Auditoria - Normas - Isoiec 27002 Castellano Versión Mercosur

Proyecto de Norma MERCOSUR
Projeto de Norma MERCOSUL
28:00-ISO/IEC 27002
Año / Ano 2007
Tecnología de la información - Código de buenas

prácticas para la gestión de la seguridad de la
información
Tecnologia de informação - Código de boas práticas para

a gestão da segurança da informação
ASOCIACIÓN
MERCOSUR DE
NORMALIZACIÓN
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Índice Sumário
Prefacio Prefácio
0 Introducción 0 Introdução
1 Objeto 1 Escopo
2 Términos y definiciones 2 Termos e definições
3 Estructura de esta Norma 3 Estrutura desta Norma
4 Evaluación y tratamiento de riesgos 4 Análise/avaliação e tratamento de riscos
5 Política de seguridad 5 Política de segurança da informação
6 Organización de la seguridad de la información 6 Organizando a segurança da informação
7 Gestión de activos 7 Gestão de ativos
8 Seguridad ligada a los recursos humanos 8 Segurança em recursos humanos
9 Seguridad física y del ambiente 9 Segurança física e do ambiente
10 Gestión de comunicaciones y operaciones 10 Gerenciamento das operações e comunicações
11 Control de acceso 11 Controle de acessos
12 Adquisición, desarrollo y mantenimiento de los 12 Aquisição, desenvolvimento e manutenção de

sistemas de información sistemas de informação
13 Gestión de incidentes de la seguridad de la 13 Gestão de incidentes de segurança da

información informação
14 Gestión de la continuidad del negocio 14 Gestão da continuidade do negócio
15 Cumplimiento 15 Conformidade
Anexo A (normativo) Glosario Anexo A (normativo) Glossário
ii 10.09.2007
Prefacio Prefácio
La AMN - Asociación MERCOSUR de A AMN - Asociación MERCOSUR de Normalización

Normalización - tiene por objeto promover y tem por objetivo promover e adotar as ações para a
adoptar las acciones para la armonización y la harmonização e a elaboração das normas no
elaboración de las normas en el ámbito del âmbito do Mercado Comum do Sul - MERCOSUL,
Mercado Común del Sur - MERCOSUR, y está e é integrado pelos Organismos Nacionais de
integrada por los Organismos Nacionales de Normalização dos países membros.
Normalización de los países miembros.
La AMN desarrolla su actividad de normalización A AMN desenvolve sua atividade de normalização

por medio de los CSM - Comités Sectoriales por meio dos CSM - Comitês Setoriais MERCOSUL
MERCOSUR - creados para campos de acción criados para campos de ação claramente definidos.
claramente definidos.
Los proyectos de Norma MERCOSUR, Os projetos de Norma MERCOSUL, elaborados no

elaborados en el ámbito de los CSM, circulan âmbito dos CSM, circulam para votação nacional
para votación nacional por intermedio de los por intermédio dos Organismos Nacionais de
Organismos Nacionales de Normalización de los Normalização dos países membros.
países miembros.
Normas MERCOSUR son elaboradas en acuerdo Normas MERCOSUL são elaboradas de acordo
con las reglas dadas en las Directivas AMN, Parte com as regras dadas nas Diretivas AMN, Parte 2.
2.
La aprobación como norma MERCOSUR por A homologação como Norma MERCOSUL por
parte de la AMN requiere la aprobación por parte da AMN requer a aprovação por consenso de
consenso de sus miembros. seus membros.
Esta Norma fue elaborada por el CSM 28 - Esta Norma foi elaborada pelo CSM 28 - Comitê
Comité Sectorial MERCOSUR de Seguridad de la Setorial MERCOSUL de Segurança da Informação.
Información.
Esta Norma es una traducción de la ISO/IEC Esta Norma é uma tradução da ISO/IEC
27002:2005, Information technology - Security 27002:2005, Information technology - Security
techniques - Code of practice for information techniques - Code of practice for information
security management security management
Una familia de normas internacionales sobre Uma família de normas de sistema de gestão de
Sistemas de Gestión de Seguridad de la segurança da informação (SGSI) está sendo
Información (SGSI) está siendo desarrollada por desenvolvida no ISO/IEC JTC 1/SC 27. A família
el ISO/IEC JTC 1/SC 27. La familia de normas inclui normas sobre requisitos de sistema de gestão
internacionales incluye normas de requisitos para da segurança da informação, gestão de riscos,
un sistema de gestión de la seguridad de la métricas e medidas, e diretrizes para
información, gestión de riesgos, medición y implementação. Esta família adotará um esquema
métricas, y directrices de implementación. Esta de numeração usando a série de números 27000
familia adoptaría un esquema numérico basado em seqüência.
en la serie de números 27000 y subsecuentes.
A partir del año 2007, se ha propuesto incorporar A partir de 2007, a nova edição da ISO/IEC 17799
la nueva edición de la norma ISO/IEC 17799 a será incorporada ao novo esquema de numeração
este nuevo esquema numérico bajo la como ISO/IEC 27002.
denominación de ISO/IEC 27002.
Aquellos que tuvieren conocimiento de cualquier Aqueles que tiverem conhecimento de qualquer
derecho de patente deben presentar esta direito de patente devem apresentar esta
información en sus comentarios, con la informação em seus comentários, com
documentación comprobatoria. documentação comprobatória.
iii 10.09.2007
0 Introducción 0 Introdução
0.1 ¿Qué es la Seguridad de la Información? 0.1 O que é segurança da informação?
La información es un activo que, como otros A informação é um ativo que, como qualquer outro
activos importantes del negocio, es esencial al ativo importante, é essencial para os negócios de
negocio de una organización y requiere en uma organização e conseqüentemente necessita
consecuencia una protección adecuada. Esto es ser adequadamente protegida. Isto é
especialmente importante en ambientes de especialmente importante no ambiente dos
negocio cada vez más interconectados. Como negócios, cada vez mais interconectado. Como um
consecuencia de esta creciente interconectividad, resultado deste incrível aumento da
la información está ahora expuesta a un número interconectividade, a informação está agora
mayor y a una variedad más amplia de amenazas exposta a um crescente número e a uma grande
y vulnerabilidades (véase también OECD - variedade de ameaças e vulnerabilidades (ver
Guidelines for the Security of Information Systems OECD Diretrizes para a Segurança de Sistemas de
and Networks). Informações e Redes).
La información adopta diversas formas. Puede A informação pode existir em diversas formas. Ela
estar impresa o escrita en papel, almacenada pode ser impressa ou escrita em papel,
electrónicamente, transmitida por correo o por armazenada eletronicamente, transmitida pelo
medios electrónicos, mostrada en filmes o correio ou por meios eletrônicos, apresentada em
hablada en conversación. Cualquiera sea la forma filmes ou falada em conversas. Seja qual for a
que tome la información o los medios por los que forma apresentada ou o meio através do qual a
se comparta o almacene, la misma debería ser informação é compartilhada ou armazenada, é
siempre protegida adecuadamente. recomendado que ela seja sempre protegida
adequadamente.
La seguridad de la información es la protección Segurança da informação é a proteção da

de la información contra una amplia gama de informação de vários tipos de ameaças para
amenazas para asegurar la continuidad del garantir a continuidade do negócio, minimizar o
negocio, minimizar los daños al negocio y risco ao negócio, maximizar o retorno sobre os
maximizar el retorno de las inversiones y las investimentos e as oportunidades de negócio.
oportunidades de negocio.
La seguridad de la información se consigue A segurança da informação é obtida a partir da

implantando un conjunto adecuado de controles, implementação de um conjunto de controles
incluyendo políticas, procesos, procedimientos, adequados, incluindo políticas, processos,
estructuras organizativas y funciones de hardware procedimentos, estruturas organizacionais e
y software. Estos controles deberían ser funções de software e hardware. Estes controles
establecidos, implementados, supervisados, precisam ser estabelecidos, implementados,
revisados y mejorados cuando fuere necesario monitorados, analisados criticamente e
para asegurar que se cumplen los objetivos melhorados, onde necessário, para garantir que os
específicos de seguridad de la organización. Esto objetivos do negócio e de segurança da
debería hacerse en forma conjunta con otros organização sejam atendidos. Convém que isto
procesos de la administración del negocio. seja feito em conjunto com outros processos de
gestão do negócio.
0.2 ¿Por qué es necesaria la seguridad de la 0.2 Por que a segurança da informação é
información? necessária?
La información y los procesos que la apoyan, los A informação e os processos de apoio, sistemas e
sistemas y las redes son importantes activos del redes são importantes ativos para os negócios.
negocio. Definir, alcanzar, mantener y mejorar la Definir, alcançar, manter e melhorar a segurança
seguridad de la información puede ser esencial da informação podem ser atividades essenciais
para mantener su competitividad, flujo de fondos, para assegurar a competitividade, o fluxo de caixa,
rentabilidad, cumplimiento de leyes e imagen a lucratividade, o atendimento aos requisitos legais
comercial. e a imagem da organização junto ao mercado.
Las organizaciones y sus sistemas y redes de As organizações, seus sistemas de informação e
iv 10.09.2007
información se enfrentan con amenazas de redes de computadores são expostos a diversos

seguridad procedentes de una amplia variedad de tipos de ameaças à segurança da informação,
fuentes, incluyendo fraudes informáticos, incluindo fraudes eletrônicas, espionagem,
espionaje, sabotaje, vandalismo, incendios o sabotagem, vandalismo, incêndio e inundação.
inundaciones. Ciertas fuentes de daños como Danos causados por código malicioso, hackers e
código malicioso y ataques de intrusión o de ataques de denial of service estão se tornando
denegación de servicios se están volviendo cada cada vez mais comuns, mais ambiciosos e
vez más comunes, ambiciosos y sofisticados. incrivelmente mais sofisticados.
La seguridad de la Información es importante A segurança da informação é importante para os

tanto para los negocios del sector público como negócios, tanto do setor público como do setor
privado, y para proteger infraestructuras críticas. privado, e para proteger as infra-estruturas críticas.
En ambos sectores, la seguridad de la Em ambos os setores, a função da segurança da
información funcionará como un habilitador, por informação é viabilizar os negócios como o governo
.ej. lograr el gobierno electrónico (e-government) eletrônico (e-gov) ou o comércio eletrônico (e-
o el comercio electrónico (e-business), y para business), e evitar ou reduzir os riscos relevantes.
evitar o reducir riesgos relevantes. La A interconexão de redes públicas e privadas e o
interconexión de redes públicas y privadas y el compartilhamento de recursos de informação
hecho de compartir recursos de información aumentam a dificuldade de se controlar o acesso. A
aumentan la dificultad de alcanzar el control de tendência da computação distribuída reduz a
acceso. La tendencia hacia la informática eficácia da implementação de um controle de
distribuida ha debilitado la eficacia de un control acesso centralizado.
central y especializado.
Muchos sistemas de información no se han Muitos sistemas de informação não foram

diseñado para ser seguros. La seguridad que projetados para serem seguros. A segurança da
puede lograrse a través de los medios técnicos es informação que pode ser alcançada por meios
limitada, y debería apoyarse en una gestión y técnicos é limitada e deve ser apoiada por uma
unos procedimientos adecuados. La identificación gestão e por procedimentos apropriados. A
de los controles que deberían instalarse requiere identificação de controles a serem implantados
una planificación cuidadosa y una atención al requer um planejamento cuidadoso e uma atenção
detalle. La gestión de la seguridad de la aos detalhes. A gestão da segurança da
información requiere, como mínimo, la informação requer pelo menos a participação de
participación de todos los empleados de la todos os funcionários da organização. Pode ser
organización. También puede requerir la que seja necessária também a participação de
participación de los accionistas, proveedores, acionistas, fornecedores, terceiras partes, clientes
terceras partes, clientes u otros externos La ou outras partes externas. Uma consultoria externa
asesoría especializada de organizaciones especializada pode ser também necessária.
externas también puede ser necesaria.
0.3 ¿Cómo establecer los requisitos de 0.3 Como estabelecer requisitos de segurança
seguridad? da informação
Es esencial que la organización identifique sus É essencial que uma organização identifique os
requisitos de seguridad. Existen tres fuentes seus requisitos de segurança da informação.
principales. Existem três fontes principais de requisitos de
segurança da informação.
1. La primera fuente procede de la valoración de 1. Uma fonte é obtida a partir da análise/avaliação

los riesgos de la organización. Con ella se de riscos para a organização, levando-se em conta
identifican las amenazas a los activos, se evalúa os objetivos e as estratégias globais de negócio da
la vulnerabilidad y la probabilidad de su organização. Por meio da análise/avaliação de
ocurrencia y se estima su posible impacto. riscos, são identificadas as ameaças aos ativos e
as vulnerabilidades destes, e realizada uma
estimativa da probabilidade de ocorrência das
ameaças e do impacto potencial ao negócio.
2. La segunda fuente es el conjunto de requisitos 2. Uma outra fonte é a legislação vigente, os

legales, estatutarios, normativos y contractuales estatutos, a regulamentação e as Cláusulas
que debería satisfacer la organización, sus socios contratuais que a organização, seus parceiros
comerciales, los contratistas y los proveedores de comerciais, contratados e provedores de serviço
servicios. têm que atender, além do seu ambiente
v 10.09.2007
sociocultural.
3. La tercera fuente está formada por los 3. A terceira fonte é um conjunto particular de
principios, objetivos y requisitos que forman parte princípios, objetivos e os requisitos do negócio para
del procesamiento de la información que la o processamento da informação que uma
organización ha desarrollado para apoyar sus organização tem que desenvolver para apoiar suas
operaciones operações.
0.4 Evaluación de los riesgos de seguridad 0.4 Analisando/avaliando os riscos de

segurança da informação
Los requisitos de seguridad se identifican Os requisitos de segurança da informação são

mediante una evaluación metódica de los riesgos. identificados por meio de uma análise/avaliação
El gasto en controles debería equilibrarse con el sistemática dos riscos de segurança da informação.
perjuicio en el negocio, resultante de los fallos de Os gastos com os controles precisam ser
seguridad. balanceados de acordo com os danos causados
aos negócios gerados pelas potenciais falhas na
Los resultados de esta evaluación ayudarán a Os resultados da análise/avaliação de riscos

orientar y a determinar una adecuada acción ajudarão a direcionar e a determinar as ações
gerencial y las prioridades para gestionar los gerenciais apropriadas e as prioridades para o
riesgos de seguridad de la información, y la gerenciamento dos riscos da segurança da
implementación de los controles seleccionados informação, e para a implementação dos controles
para proteger contra dichos riesgos. selecionados para a proteção contra estes riscos.
La evaluación del riesgo debería repetirse Convém que a análise/avaliação de riscos seja
periódicamente para tratar cualquier cambio que repetida periodicamente para contemplar quaisquer
pudiera influenciar los resultados de la evaluación mudanças que possam influenciar os resultados
del riesgo. desta análise/avaliação.
Se puede encontrar más información sobre Informações adicionais sobre a análise/avaliação

evaluación de riesgos de seguridad en el punto de riscos de segurança da informação podem ser
4.1 “Evaluación de riesgos de seguridad”. encontradas em 4.1 “Analisando/avaliando os
riscos de segurança da informação”.
0.5 Selección de controles 0.5 Seleção de controles
Una vez que los requisitos y los riesgos de Uma vez que os requisitos de segurança da
seguridad han sido identificados y se han tomado informação e os riscos tenham sido identificados e
las decisiones para el tratamiento de riesgos, as decisões para o tratamento dos riscos tenham
deberían elegirse e implantarse los controles sido tomadas, convém que controles apropriados
apropiados que aseguren la reducción de los sejam selecionados e implementados para
riesgos a un nivel aceptable. Los controles assegurar que os riscos sejam reduzidos a um
pueden elegirse de esta norma o de otro conjunto nível aceitável. Os controles podem ser
de controles, o nuevos controles pueden selecionados a partir desta Norma ou de um outro
diseñarse para cubrir adecuadamente conjunto de controles ou novos controles podem
necesidades específicas. La selección de los ser desenvolvidos para atender às necessidades
controles de seguridad depende de una decisión específicas, conforme apropriado. A seleção de
organizacional basada en los criterios para la controles de segurança da informação depende
aceptación del riesgo, las opciones para el das decisões da organização, baseadas nos
tratamiento del riesgo, y el acercamiento a la critérios para aceitação de risco, nas opções para
gestión general del riesgo aplicado a la tratamento do risco e no enfoque geral da gestão
organización, y debería también estar conforme a de risco aplicado à organização, e convém que
toda la legislación y regulaciones nacionales e também esteja sujeito a todas as legislações e
internacionales relevantes. regulamentações nacionais e internacionais,
relevantes.
Algunos de los controles en esta Norma pueden Alguns dos controles nesta Norma podem ser
considerarse como principios rectores para la considerados como princípios básicos para a
gestión de la seguridad de la información, gestão da segurança da informação e podem ser
aplicables a la mayoría de las organizaciones. Se aplicados na maioria das organizações. Estes
vi 10.09.2007
explican más detalladamente en el siguiente controles são explicados em mais detalhes no item
Apartado bajo el título "Punto de partida de la “Ponto de partida para a segurança da informação”.
seguridad de la información".
Más información sobre seleccionar controles y Informações adicionais sobre seleção de controles
otras opciones del tratamiento del riesgo se e outras opções para tratamento de risco podem
puede encontrar en el Apartado 4.2 "Tratando ser encontradas em 4.2 “Tratamento dos riscos de
riesgos de seguridad". segurança da informação”.
0.6 Punto de partida de la seguridad de la 0.6 Ponto de partida para a segurança da

Un cierto número de controles pueden ser Um certo número de controles pode ser
considerados como un buen punto de partida considerado um bom ponto de partida para a
para implementar la seguridad de la información. implementação da segurança da informação. Estes
Estos están basados en requisitos legislativos controles são baseados tanto em requisitos legais
esenciales o que se consideran práctica habitual como nas melhores práticas de segurança da
de la seguridad de la información. informação normalmente usadas.
Los controles que se consideran esenciales para Os controles considerados essenciais para uma
una organización desde un punto de vista organização, sob o ponto de vista legal, incluem,
legislativo comprenden, dependiendo de la dependendo da legislação aplicável:
legislación aplicable:
a) la protección de los datos y la privacidad de la a) proteção de dados e privacidade de informações

información de carácter personal (véase el pessoais (ver 15.1.4);
Apartado 15.1.4)
b) la protección de los registros de la organización b) proteção de registros organizacionais (ver

((véase el Apartado 15.1.3) 15.1.3);
c) los derechos de la propiedad intelectual (véase c) direitos de propriedade intelectual (ver 15.1.2).
el Apartado 15.1.2)
Los controles que se consideran práctica habitual Os controles considerados práticas para a
para conseguir la seguridad de la información, segurança da informação incluem:
comprenden:
a) la documentación de la política de seguridad a) documento da política de segurança da

de la información (véase el Apartado 5.1.1) informação (ver 5.1.1);
b) la asignación de responsabilidades de b) atribuição de responsabilidades para a

seguridad (véase el Apartado 6.1.3) segurança da informação (ver 6.1.3);
c) la concienciación, formación y capacitación en c) conscientização, educação e treinamento em

seguridad de la información (véase el Apartado segurança da informação (ver 8.2.2);
8.2.2)
d) el correcto procesamiento de las aplicaciones d) processamento correto nas aplicações (ver

(véase el Apartado 12.2) 12.2);
e) la gestión de la vulnerabilidad técnica (véase el e) gestão de vulnerabilidades técnicas (ver 12.6);

Apartado 12.6)
f) la gestión de la continuidad del negocio (véase f) gestão da continuidade do negócio (ver Seção
el Apartado 14) 14);
g) la gestión de incidentes de seguridad de la g) gestão de incidentes de segurança da

información y mejoramiento (véase el Apartado informação e melhorias (ver 13.2).
13.2)
Estos controles pueden aplicarse a la mayoría de Esses controles se aplicam para a maioria das
vii 10.09.2007
las organizaciones y en la mayoría de los organizações e na maioria dos ambientes.

ambientes.
Es conveniente señalar que pese a la importancia Convém observar que, embora todos os controles
dada a los controles en este documento, la nesta Norma sejam importantes e devam ser
importancia de cualquier control debería considerados, a relevância de qualquer controle
determinarse a la luz de los riesgos específicos deve ser determinada segundo os riscos
que afronta la organización. Por tanto y aunque el específicos a que uma organização está exposta.
enfoque anterior se considere un buen punto de Por isto, embora o enfoque acima seja considerado
partida, no sustituye a la selección de controles um bom ponto de partida, ele não substitui a
basada en una evaluación del riesgo. seleção de controles, baseado na análise/avaliação
de riscos.
0.7 Factores críticos de éxito 0.7 Fatores críticos de sucesso
La experiencia muestra que los siguientes A experiência tem mostrado que os seguintes
factores suelen ser críticos para el éxito de la fatores são geralmente críticos para o sucesso da
implementación de la seguridad de la información implementação da segurança da informação dentro
en una organización: de uma organização:
a) una política de seguridad, objetivos y a) política de segurança da informação, objetivos e

actividades que reflejen los objetivos del negocio atividades, que reflitam os objetivos do negócio;
de la organización;
b) un enfoque para implantar la seguridad que b) uma abordagem e uma estrutura para a
sea consistente con la cultura de la organización; implementação, manutenção, monitoramento e
melhoria da segurança da informação que seja
consistente com a cultura organizacional;
c) el apoyo visible y el compromiso de la alta c) comprometimento e apoio visível de todos os

dirección; níveis gerenciais;
d) una buena comprensión de los requisitos de la d) um bom entendimento dos requisitos de

seguridad, de la evaluación del riesgo y de la segurança da informação, da análise/avaliação de
gestión del riesgo; riscos e da gestão de risco;
e) la comunicación eficaz de la necesidad de la e) divulgação eficiente da segurança da informação

seguridad a todos los directivos y empleados; para todos os gerentes, funcionários e outras
partes envolvidas para se alcançar a
conscientização;
f) la distribución de directrices sobre la política de f) distribuição de diretrizes e normas sobre a

seguridad de la información de la organización y política de segurança da informação para todos os
de normas a todos los empleados y contratistas; gerentes, funcionários e outras partes envolvidas;
g) proveer recursos para las actividades de g) provisão de recursos financeiros para as

gestión de seguridad de la información; atividades da gestão de segurança da informação;
h) proveer concientización, formación y educación h) provisão de conscientização, treinamento e

apropiadas; educação adequados;
i) un proceso efectivo de gestión de incidentes de i) estabelecimento de um eficiente processo de

seguridad de la información; gestão de incidentes de segurança da informação;
j) implementación de un sistema de medición1) j) implementação de um sistema de medição1), que

utilizado para evaluar el desempeño en la gestión seja usado para avaliar o desempenho da gestão
de seguridad de la información y las sugerencias da segurança da informação e obtenção de
de mejoras. sugestões para a melhoria.
________________ ____________________
viii 10.09.2007
1) 1)
Notar que las mediciones de seguridad de la Deve-se observar que as medições de segurança
información están fuera del alcance de esta da informação estão fora do escopo desta Norma.
Norma.
0.8 Desarrollo de directrices propias 0.8 Desenvolvendo suas próprias diretrizes
Este código de buenas prácticas puede verse Esta Norma pode ser considerada como um ponto
como punto de partida para desarrollar directrices de partida para o desenvolvimento de diretrizes
específicas de la organización. Pueden no ser específicas para a organização. Nem todos os
aplicables todas las recomendaciones y controles controles e diretrizes contidos nesta Norma podem
de este código. Incluso pueden requerirse ser aplicados. Além disto, controles adicionais e
controles y recomendaciones adicionales que recomendações não incluídos nesta Norma podem
este documento no incluye. Cuando sean ser necessários. Quando os documentos são
desarrollados documentos que contengan desenvolvidos contendo controles ou
controles y recomendaciones adicionales, puede recomendações adicionais, pode ser útil realizar
ser útil, cuando sea aplicable, mantener uma referência cruzada para as Seções desta
referencias cruzadas a los Apartados de esta Norma, onde aplicável, para facilitar a verificação
norma que faciliten la realización de pruebas de da conformidade por auditores e parceiros do
cumplimiento a los auditores y socios del negocio. negócio.
ix 10.09.2007
Tecnología de la información -
Código de buenas prácticas para la gestión de la seguridad de la información
Tecnologia de informação -
Código de boas práticas para a gestão da segurança da informação
1 Objeto 1 Escopo
Esta Norma establece recomendaciones y Esta Norma estabelece diretrizes e princípios

principios generales para iniciar, implantar, gerais para iniciar, implementar, manter e melhorar
mantener y mejorar la gestión de la seguridad de a gestão de segurança da informação em uma
la información en una organización. Los objetivos organização. Os objetivos definidos nesta Norma
señalados en esta Norma proporcionan provêem diretrizes gerais sobre as metas
recomendaciones generales sobre las metas geralmente aceitas para a gestão da segurança da
comúnmente aceptadas para la gestión de la informação.
seguridad de la información.
Los objetivos de control y los controles de esta Os objetivos de controle e os controles desta
Norma están pensados para ser implementados a Norma têm como finalidade ser implementados
fin de alcanzar los requisitos identificados por una para atender aos requisitos identificados por meio
evaluación del riesgo. Esta Norma puede servir da análise/avaliação de riscos. Esta Norma pode
como recomendación práctica para desarrollar servir como um guia prático para desenvolver os
normas de seguridad de la organización y una procedimentos de segurança da informação da
práctica efectiva de la gestión de la misma, así organização e as eficientes práticas de gestão da
como ayudar a construir confianza en las segurança, e para ajudar a criar confiança nas
actividades entre organizaciones. atividades interorganizacionais.
2 Términos y definiciones 2 Termos e definições
A los efectos de este documento se aplican los Para os efeitos desta Norma, aplicam-se os
siguientes términos y definiciones: seguintes termos e definições:
2.1 2.1
activo ativo
aquello que tenga valor para la organización qualquer coisa que tenha valor para a organização
[ISO/IEC 13335-1:2004] [ISO/IEC 13335-1:2004]
2.2 2.2
control controle
medio de gestionar el riesgo, incluyendo políticas, forma de gerenciar o risco, incluindo políticas,
procedimientos, recomendaciones, prácticas o procedimentos, diretrizes, práticas ou estruturas
estructuras de la organización, que pueden ser de organizacionais, que podem ser de natureza
naturaleza administrativa, técnica, de gestión, o administrativa, técnica, de gestão ou legal
legal
NOTA Control también es usado como sinónimo para NOTA Controle é também usado como um sinômino para
salvaguarda o contramedida. proteção ou contramedida.
2.3 2.3
guía diretriz
una descripción que clarifica qué debería ser descrição que orienta o que deve ser feito e como,
hecho y cómo, para alcanzar los objetivos para se alcançarem os objetivos estabelecidos nas
establecidos en las políticas políticas
[ISO/IEC 13335-1:2004] [ISO/IEC 13335-1:2004]
2.4 2.4
recursos de procesamiento de la información recursos de processamento da informação
1 10.09.2007
todo sistema de procesamiento de la información, qualquer sistema de processamento da informação,

servicio o infraestructura, o las localizaciones serviço ou infra-estrutura, ou as instalações físicas
físicas que los contienen que os abriguem
2.5 2.5
seguridad de la información segurança da informação
preservación de la confidencialidad, integridad y preservação da confidencialidade, da integridade e
disponibilidad de la información; además pueden da disponibilidade da informação; adicionalmente,
también estar implicadas otras características, outras propriedades, tais como autenticidade,
tales como autenticidad, responsabilidad, no responsabilidade, não repúdio e confiabilidade,
repudio, y confiabilidad podem também estar envolvidas
2.6 2.6
evento de seguridad de la información evento de segurança da informação
un evento de seguridad de la información es una ocorrência identificada de um sistema, serviço ou
ocurrencia identificada de un estado de un rede, que indica uma possível violação da política
sistema, servicio o red que indica una posible de segurança da informação ou falha de controles,
violación de la política de seguridad de la ou uma situação previamente desconhecida, que
información o la falla de salvaguardas, o una possa ser relevante para a segurança da
situación previamente desconocida que pueda ser informação
relevante para la seguridad [ISO/IEC TR 18044:2004]
[ISO/IEC TR 18044:2004]
2.7 2.7
incidente de seguridad de la información incidente de segurança da informação
un incidente de seguridad de la información es um incidente de segurança da informação é
indicado por un único o una serie de eventos indicado por um simples ou por uma série de
indeseados o inesperados de seguridad de la eventos de segurança da informação indesejados
información que tienen una probabilidad ou inesperados, que tenham uma grande
significativa de comprometer las operaciones de probabilidade de comprometer as operações do
negocio y de amenazar la seguridad de la negócio e ameaçar a segurança da informação
información [ISO/IEC TR 18044:2004]
[ISO/IEC TR 18044:2004]
2.8 2.8
política política
intención y dirección general expresada intenções e diretrizes globais formalmente
formalmente por la dirección expressas pela direção
2.9 2.9
riesgo risco
combinación de la probabilidad de un combinação da probabilidade de um evento e de
acontecimiento y de su consecuencia suas conseqüências
[Guía ISO/IEC 73:2002] [ISO/IEC Guia 73:2005]
2.10 2.10
análisis de riesgos análise de riscos
uso sistemático de la información para identificar uso sistemático de informações para identificar
fuentes y estimar el riesgo fontes e estimar o risco
2.11 2.11
evaluación de riesgos análise/avaliação de riscos
proceso completo de análisis de riesgos y processo completo de análise e avaliação de riscos
evaluación de riesgos [ISO/IEC Guia 73:2005]
[Guía ISO/IEC 73:2002]
2.12 2.12
valoración de riesgos avaliação de riscos
2 10.09.2007
proceso de comparación de riesgos estimados processo de comparar o risco estimado com

respecto a los criterios de riesgos dados, para critérios de risco pré-definidos para determinar a
determinar la magnitud del riesgo importância do risco
2.13 2.13
gestión de riesgos gestão de riscos
coordinación de actividades para dirigir y controlar atividades coordenadas para direcionar e controlar
una organización respecto del riesgo uma organização no que se refere a riscos
NOTA: la gestión de riesgos incluye generalmente, evaluación NOTA A gestão de riscos geralmente inclui a análise/avaliação
de riesgos, tratamiento de riesgos, aceptación de riesgos y de riscos, o tratamento de riscos, a aceitação de riscos e a
comunicación de riesgos. comunicação de riscos.
2.14 2.14
tratamiento de riesgos tratamento do risco
proceso de selección e implementación de processo de seleção e implementação de medidas
medidas para modificar el riesgo para modificar um risco
2.15 2.15
tercera parte terceira parte
persona u organismo reconocido como pessoa ou organismo reconhecido como
independiente de las partes implicadas en lo que independente das partes envolvidas, no que se
se refiere a la materia en cuestión refere a um dado assunto
2.16 2.16
amenaza ameaça
una causa potencial de un incidente indeseado, causa potencial de um incidente indesejado, que
que puede dar lugar a daños a un sistema o a pode resultar em dano para um sistema ou
una organización organização
[ISO/IEC 13335-1:2004] [ISO/IEC 13335-1:2004]
2.17 2.17
vulnerabilidad vulnerabildade
una debilidad de un activo o de un grupo de fragilidade de um ativo ou grupo de ativos que pode
activos que puede ser explotada por una o más ser explorada por uma ou mais ameaças
amenazas
[ISO/IEC 13335-1:2004]
3 Estructura de esta norma 3 Estrutura desta Norma
Esta Norma contiene 11 Cláusulas de control de Esta Norma contém 11 Seções de controles de
la seguridad que en su conjunto contienen un segurança da informação, que juntas totalizam 39
total de 39 categorías principales de seguridad y categorias principais de segurança e uma Seção
una Cláusula introductoria a la evaluación y introdutória que aborda a análise/avaliação e o
tratamiento de riesgos. tratamento de riscos.
3.1 Cláusulas 3.1 Seções
Cada Cláusula contiene un número de categorías Cada Seção contém um número de categorias
principales de seguridad. Estás once Cláusulas principais de segurança da informação. As 11
(acompañadas por el número de categorías Seções (acompanhadas com o respectivo número
principales de seguridad incluidas en cada de categorias) são:
Cláusula) son:
3 10.09.2007
a) Política de Seguridad (1); a) Política de Segurança da Informação (1);
b) Organización de la Seguridad de la Información b) Organizando a Segurança da Informação (2);

(2);
c) Gestión de Activos (2); c) Gestão de Ativos (2);
d) Seguridad de Recursos Humanos (3); d) Segurança em Recursos Humanos (3);
e) Seguridad Física y del Ambiente (2); e) Segurança Física e do Ambiente (2);
f) Gestión de Comunicaciones y Operaciones f) Gestão das Operações e Comunicações (10);

(10);
g) Control de Acceso (7); g) Controle de Acesso (7);
h) Adquisición, Desarrollo y Mantenimiento de los h) Aquisição, Desenvolvimento e Manutenção de

Sistemas de Información (6); Sistemas de Informação (6);
i) Gestión de Incidentes de la Seguridad de la i) Gestão de Incidentes de Segurança da

Información (2); Informação (2);
j) Gestión de la Continuidad del Negocio (1); j) Gestão da Continuidade do Negócio (1);
k) Cumplimiento (3). k) Conformidade (3).
NOTA El orden de las Cláusulas en esta norma no implica su NOTA A ordem das Seções nesta Norma não significa o seu
importancia. Dependiendo de las circunstancias, todas las grau de importância. Dependendo das circunstâncias, todas as
Cláusulas podrían ser importantes, por lo tanto cada Seções podem ser importantes. Portanto, convém que cada
organización que aplica esta norma debería identificar las organização que utilize esta Norma identifique quais são os
Cláusulas aplicables, que tan importantes son y su aplicación itens aplicáveis, quão importantes eles são e a sua aplicação
a los procesos individuales del negocio. Todas las listas en para os processos específicos do negócio. Todas as alíneas
esta norma tampoco están en orden de prioridad a menos que nesta Norma também não estão ordenadas por prioridade, a
esté precisado. menos que explicitado.
3.2 Categorías principales de seguridad 3.2 Principais categorias de segurança da

informação
Cada categoría principal de seguridad contiene: Cada categoria principal de segurança da

informação contém:
a) una indicación del objetivo de control que a) um objetivo de controle que define o que deve
debería alcanzarse; y ser alcançado; e
b) uno o más controles que se pueden aplicar b) um ou mais controles que podem ser aplicados
para alcanzar el objetivo de control. para se alcançar o objetivo do controle.
La descripción del control se estructura de la As descrições dos controles estão estruturadas da

siguiente manera: seguinte forma:
Control Controle
define la declaración del control específico para Define qual o controle específico para atender ao
satisfacer el objetivo de control. objetivo do controle.
Guía de implementación Diretrizes para a implementação

proporciona información más detallada para Contém informações mais detalhadas para apoiar a
apoyar la implementación del control y alcanzar el implementação do controle e atender ao objetivo de
objetivo de control. Alguna de estas controle. Algumas destas diretrizes podem não ser
recomendaciones puede no ser conveniente en adequadas em todos os casos e assim outras
todos los casos, por lo que pueden ser más formas de implementação do controle podem ser
4 10.09.2007
apropiadas otras manera de implementar el mais apropriadas.

control.
Información adicional Informações adicionais

proporciona información adicional que puede Contém informações adicionais que podem ser
necesitar ser considerada, por ejemplo las consideradas, como, por exemplo, considerações
consideraciones legales y las referencias a otras legais e referências a outras normas.
normas.
4 Evaluación y tratamiento de riesgos 4 Análise/avaliação e tratamento de riscos
4.1 Evaluando el riesgo de seguridad 4.1 Analisando/avaliando os riscos de

Las evaluaciones de riesgo deben identificar, Convém que as análises/avaliações de riscos

cuantificar, y priorizar los riesgos contra los identifiquem, quantifiquem e priorizem os riscos
criterios para la aceptación del riesgo y los com base em critérios para aceitação dos riscos e
objetivos relevantes para la organización. Los dos objetivos relevantes para a organização.
resultados deben dirigir y determinar la apropiada Convém que os resultados orientem e determinem
acción de gestión y las prioridades para gestionar as ações de gestão apropriadas e as prioridades
los riesgos de la seguridad de la información y para o gerenciamento dos riscos de segurança da
para implementar los controles seleccionados informação, e para a implementação dos controles
como protección ante estos riesgos. El proceso selecionados, de maneira a proteger contra estes
de evaluación de riesgos y de selección de riscos. O processo de avaliar os riscos e selecionar
controles puede requerir ser realizado repetidas os controles pode precisar ser realizado várias
veces de manera de cubrir diversas partes de la vezes, de forma a cobrir diferentes partes da
organización o de los sistemas de información organização ou de sistemas de informação
individuales. específicos.
La evaluación de riesgos debería incluir el Convém que a análise/avaliação de riscos inclua

enfoque sistemático para la estimación de la um enfoque sistemático de estimar a magnitude do
magnitud de los riesgos (análisis de riesgos) y el risco (análise de riscos) e o processo de comparar
proceso de comparación de los riesgos estimados os riscos estimados contra os critérios de risco para
contra los criterios de riesgos para determinar la determinar a significância do risco (avaliação do
importancia de los mismos (evaluación de risco).
riesgos).
Las evaluaciones de riesgos también deberían Convém que as análises/avaliações de riscos

realizarse periódicamente para tratar cambios en também sejam realizadas periodicamente, para
los requisitos de la seguridad y en la situación del contemplar as mudanças nos requisitos de
riesgo, por ejemplo, en los activos, las amenazas, segurança da informação e na situação de risco, ou
las vulnerabilidades, los impactos, la valoración seja, nos ativos, ameaças, vulnerabilidades,
del riesgo, y cuando ocurran cambios impactos, avaliação do risco e quando uma
significativos. Estas evaluaciones de riesgo se mudança significativa ocorrer. Essas análises/
deben emprender de una manera metódica capaz avaliações de riscos devem ser realizadas de forma
de producir resultados comparables y metódica, capaz de gerar resultados comparáveis e
reproducibles. reproduzíveis.
La evaluación de riesgo de la seguridad de la Convém que a análise/avaliação de riscos de

información debería tener un alcance claramente segurança da informação tenha um escopo
definido para ser eficaz y debería incluir, si es claramente definido para ser eficaz e inclua os
apropiado, relaciones con evaluaciones de riesgo relacionamentos com as análises/avaliações de
en otras áreas. riscos em outras áreas, se necessário.
El alcance de una evaluación de riesgo puede ser O escopo de uma análise/avaliação de riscos pode
la organización en su conjunto, partes de la tanto ser em toda a organização, partes da
organización, un sistema de información organização, em um sistema de informação
individual, componentes específicos del sistema, específico, em componentes de um sistema
o servicios donde esto sea factible, realista, y específico ou em serviços onde isto seja praticável,
5 10.09.2007
provechoso. Ejemplos de metodologías de realístico e útil. Exemplos de metodologias de

evaluación de riesgo se discuten en ISO/IEC TR análise/avaliação de riscos são discutidas no
13335-3 (Guidelines for the management of IT ISO/IEC TR 13335-3 (Guidelines for the
security: Techniques for the management of IT management of IT security: Techniques for the
Security). management of IT Security).
4.2 Tratando los riesgos de seguridad 4.2 Tratando os riscos de segurança da

informação
Antes de considerar el tratamiento de un riesgo, Convém que, antes de considerar o tratamento de

la organización debería decidir los criterios para um risco, a organização defina os critérios para
determinar si los riesgos pueden ser aceptados o determinar se os riscos podem ser ou não aceitos.
no. Los riesgos pueden ser aceptados si, por Riscos podem ser aceitos se, por exemplo, for
ejemplo, se determina que el riesgo es bajo o que avaliado que o risco é baixo ou que o custo do
el costo del tratamiento no es rentable para la tratamento não é economicamente viável para a
organización. Tales decisiones deberían ser organização. Convém que tais decisões sejam
registradas. registradas.
Para cada uno de los riesgos identificados Para cada um dos riscos identificados, seguindo a
siguiendo la evaluación de riesgo una decisión análise/avaliação de riscos, uma decisão sobre o
sobre el tratamiento del riesgo necesita ser tratamento do risco precisa ser tomada. Possíveis
tomada. Las opciones posibles para el opções para o tratamento do risco, incluem:
tratamiento del riesgo incluyen:
a) aplicación de controles apropiados para reducir a) aplicar controles apropriados para reduzir os
los riesgos; riscos;
b) aceptando riesgos objetivamente y bajo b) conhecer e objetivamente aceitar os riscos,

conocimiento, siempre que satisfagan claramente sabendo que eles atendem claramente à política da
la política y los criterios de la organización para la organização e aos critérios para a aceitação de
aceptación del riesgo; risco;
c) evitando riesgos, no permitiendo las acciones c) evitar riscos, não permitindo ações que poderiam
que harían ocurrir los riesgos; causar a ocorrência de riscos;
d) transfiriendo los riesgos asociados a otras d) transferir os riscos associados para outras
partes, por ejemplo, aseguradores o proveedores. partes, por exemplo, seguradoras ou fornecedores.
Para aquellos riesgos donde la decisión del Convém que, para aqueles riscos onde a decisão
tratamiento del mismo halla sido aplicar controles de tratamento do risco seja a de aplicar os
apropiados, estos deberían seleccionarse e controles apropriados, esses controles sejam
implantarse de manera de alcanzar los requisitos selecionados e implementados para atender aos
identificados por una evaluación de riesgo. Los requisitos identificados pela análise/avaliação de
controles deberían asegurar que los riesgos son riscos. Convém que os controles assegurem que os
reducidos a un nivel aceptable teniendo en riscos sejam reduzidos a um nível aceitável,
cuenta: levando-se em conta:
a) requisitos y restricciones de la legislación y de a) os requisitos e restrições de legislações e

las regulaciones nacionales e internacionales; regulamentações nacionais e internacionais;
b) objetivos de la organización; b) os objetivos organizacionais;
c) requisitos y restricciones operacionales; c) os requisitos e restrições operacionais;
d) costo de la implementación y de la operación d) custo de implementação e a operação em

en lo referente a los riesgos que son reducidos, y relação aos riscos que estão sendo reduzidos e
el remanente proporcional a los requisitos y a las que permanecem proporcionais às restrições e
restricciones de la organización; requisitos da organização;
6 10.09.2007
e) la necesidad de balancear la inversión en la e) a necessidade de balancear o investimento na

implementación y la operación de controles contra implementação e operação de controles contra a
el daño probable como resultado de fallas de la probabilidade de danos que resultem em falhas de
seguridad. segurança da informação.
Los controles pueden seleccionarse de esta Os controles podem ser selecionados desta Norma
norma o de otro conjunto de controles, o nuevos ou de outros conjuntos de controles, ou novos
controles pueden diseñarse para resolver las controles podem ser considerados para atender às
necesidades específicas de la organización. Es necessidades específicas da organização. É
necesario reconocer que algunos controles importante reconhecer que alguns controles podem
pueden no ser aplicables a todos los sistema de não ser aplicáveis a todos os sistemas de
información o ambientes, y puede no ser práctico informação ou ambientes, e podem não ser
para todas las organizaciones. Como ejemplo, en praticáveis para todas as organizações. Como um
10.1.3 describe cómo las tareas pueden exemplo, 10.1.3 descreve como as
segregarse para prevenir fraudes y errores. responsabilidades podem ser segregadas para
Puede que en organizaciones más pequeñas no evitar fraudes e erros. Pode não ser possível para
sea posible segregar todas las tareas y pueden pequenas organizações segregar todas as
ser necesarias otras maneras de alcanzar el responsabilidades e, portanto, outras formas de
mismo objetivo de control. Como otro ejemplo, en atender o mesmo objetivo de controle podem ser
10.10 describe como el uso del sistema puede ser necessárias. Em um outro exemplo, 10.10
supervisado y las evidencia ser recogidas. Los descreve como o uso do sistema pode ser
controles descritos, por ejemplo, el registro de monitorado e as evidências coletadas. Os controles
eventos, puede estar en conflicto con la descritos, como, por exemplo, eventos de “logging”,
legislación aplicable, tal como la protección de la podem conflitar com a legislação aplicável, tais
privacidad de los clientes o el registro del lugar de como a proteção à privacidade dos clientes ou a
trabajo. exercida nos locais de trabalho.
Los controles de seguridad de la información Convém que os controles de segurança da

deberían considerarse en las etapas de informação sejam considerados na especificação
especificación de requisitos y de diseño en dos requisitos e nos estágios iniciais dos projetos e
sistemas y proyectos. El no hacerlo puede dar sistemas. Caso isso não seja realizado, pode
lugar a costos adicionales y a soluciones menos acarretar custos adicionais e soluções menos
eficaces, y quizá, en el peor de los casos, efetivas, ou mesmo, no pior caso, incapacidade de
inhabilidad de alcanzar la seguridad adecuada. se alcançar a segurança necessária.
Debería tenerse presente que ningún sistema de Convém que seja lembrado que nenhum conjunto
controles puede alcanzar la seguridad completa, y de controles pode conseguir a segurança completa,
que acciones adicionales de gestión deberían e que uma ação gerencial adicional deve ser
implementarse para supervisar, evaluar, y mejorar implementada para monitorar, avaliar e melhorar a
la eficiencia y la eficacia de los controles de eficiência e eficácia dos controles de segurança da
seguridad para apoyar las metas de la informação, para apoiar as metas da organização.
organización.
5 Política de seguridad 5 Política de segurança da informação
5.1 Política de seguridad de la información 5.1 Política de segurança da informação
OBJETIVO: Proporcionar orientación y apoyo de Objetivo: Prover uma orientação e apoio da direção
la dirección para la seguridad de la información, para a segurança da informação de acordo com os
de acuerdo con los requisitos del negocio y con requisitos do negócio e com as leis e
las regulaciones y leyes pertinentes. regulamentações pertinentes.
La dirección debería establecer una orientación Convém que a direção estabeleça uma clara
clara de la política en línea con los objetivos de orientação da política, alinhada com os objetivos do
negocio y demostrar su apoyo y compromiso a la negócio e demonstre apoio e comprometimento
seguridad de la información, publicando y com a segurança da informação por meio da
manteniendo una política de seguridad en toda la publicação e manutenção de uma política de
organización. segurança da informação para toda a organização.
7 10.09.2007
5.1.1 Documento de política de seguridad de la 5.1.1 Documento da política de segurança da

Control Controle
La dirección debería aprobar, publicar y Convém que um documento da política de
comunicar a todos los empleados y a las partes segurança da informação seja aprovado pela
externas pertinentes, un documento con la direção, publicado e comunicado para todos os
política de seguridad de la información. funcionários e partes externas relevantes.
Guía de implementación Diretrizes para implementação

El documento con la política de seguridad de la Convém que o documento da política de segurança
información debería establecer el compromiso de da informação declare o comprometimento da
la dirección y el enfoque de la organización para direção e estabeleça o enfoque da organização
gestionar la seguridad de la información. El para gerenciar a segurança da informação.
documento con la política debería contener Convém que o documento da política contenha
declaraciones respecto de: declarações relativas a:
a) una definición de la seguridad de la a) uma definição de segurança da informação, suas

información, sus objetivos y alcance generales y metas globais, escopo e importância da segurança
la importancia de la seguridad como mecanismo da informação como um mecanismo que habilita o
que permite compartir la información (véase el compartilhamento da informação (ver introdução);
Capítulos de Introducción);
b) una declaración de la intención de la dirección, b) uma declaração do comprometimento da

apoyando los objetivos y principios de la direção, apoiando as metas e princípios da
seguridad de la información alineada con las segurança da informação, alinhada com os
estrategias y objetivos de negocio; objetivos e estratégias do negócio;
c) un marco para fijar objetivos de control y c) uma estrutura para estabelecer os objetivos de
controles, incluyendo la estructura de la controle e os controles, incluindo a estrutura de
evaluación del riesgo y gestión del riesgo; análise/avaliação e gerenciamento de risco;
d) una breve explicación de las políticas de d) breve explanação das políticas, princípios,
seguridad, principios, normas y requisitos de normas e requisitos de conformidade de segurança
cumplimiento de particular importancia para la da informação específicos para a organização,
organización, incluyendo: incluindo:
1) cumplimiento de los requisitos legislativos, 1) conformidade com a legislação e com

reguladores y contractuales; requisitos regulamentares e contratuais;
2) requisitos de educación, formación y 2) requisitos de conscientização, treinamento e

concientización en seguridad; educação em segurança da informação;
3) gestión de la continuidad del negocio; 3) gestão da continuidade do negócio;
4) consecuencias de las violaciones a la 4) conseqüências das violações na política de

política de seguridad de la información; segurança da informação;
e) una definición de las responsabilidades e) definição das responsabilidades gerais e

generales y específicas en materia de gestión de específicas na gestão da segurança da informação,
la seguridad de la información, incluida la incluindo o registro dos incidentes de segurança da
comunicación de los incidentes relativos a la informação;
seguridad;
f) las referencias a documentación que pueda f) referências à documentação que possam apoiar
sustentar la política; por ejemplo, políticas y a política, por exemplo, políticas e procedimentos
procedimientos mucho más detallados para de segurança mais detalhados de sistemas de
sistemas de información específicos o las reglas informação específicos ou regras de segurança que
8 10.09.2007
de seguridad que los usuarios deberían cumplir. os usuários devem seguir.
Esta política debería ser comunicada a todos los Convém que esta política de segurança da
usuarios de la organización de manera pertinente, informação seja comunicada através de toda a
accesible y comprensible. organização para os usuários de forma que seja
relevante, acessível e compreensível para o leitor
em foco.

La política de seguridad de la información pudo A política de segurança da informação pode ser
ser parte del documento con la política general. Si uma parte de um documento da política geral. Se a
la política de seguridad de la información es política de segurança da informação for distribuída
distribuida fuera de la organización, se debería fora da organização, convém que sejam tomados
tomar especial cuidado para no divulgar cuidados para não revelar informações sensíveis.
información sensible. Información adicional se Informações adicionais podem ser encontradas na
puede encontrar en ISO/IEC 13335-1:2004. ISO/IEC 13335-1:2004.
5.1.2 Revisión de la política de seguridad de la 5.1.2 Análise crítica da política de segurança da

Control Controle
La política de seguridad de la información debería Convém que a política de segurança da informação
revisarse a intervalos planificados, o si se seja analisada criticamente a intervalos planejados
producen cambios significativos, para asegurar su ou quando mudanças significativas ocorrerem, para
conveniencia, suficiencia, y eficacia continuas. assegurar a sua contínua pertinência, adequação e
eficácia.

La política de seguridad de la información debería Convém que a política de segurança da informação
tener un propietario con responsabilidad de tenha um gestor que tenha responsabilidade de
gestión aprobada para el desarrollo, la revisión, y gestão aprovada para desenvolvimento, análise
la evaluación de la política de seguridad. crítica e avaliação da política de segurança da
informação.
La revisión debería incluir la evaluación de las Convém que a análise crítica inclua a avaliação de
oportunidades de mejora de la política de oportunidades para melhoria da política de
seguridad de la información de la organización y segurança da informação da organização e tenha
el enfoque a la gestión de la seguridad de la um enfoque para gerenciar a segurança da
información en respuesta a cambios en el informação em resposta às mudanças ao ambiente
ambiente de la organización, a las circunstancias organizacional, às circunstâncias do negócio, às
del negocio, a las condiciones legales, o al condições legais, ou ao ambiente técnico.
ambiente técnico.
La revisión de la política de seguridad de la Convém que a análise crítica da política de

información debería tomar en cuenta los segurança da informação leve em consideração os
resultados de las revisiones por la dirección. resultados da análise crítica pela direção. Convém
Debería haber procedimientos definidos de la que sejam definidos procedimentos para análise
revisión por la dirección, incluyendo un calendario crítica pela direção, incluindo uma programação ou
o un período para la revisión. um período para a análise crítica.
Las entradas para la revisión por la dirección Convém que as entradas para a análise crítica pela
deberían incluir información sobre: direção incluam informações sobre:
a) retroalimentación de las partes interesadas; a) realimentação das partes interessadas;
b) resultados de la revisiones independientes b) resultados de análises críticas independentes

(véase el Apartado 6.1.8); (ver 6.1.8);
c) estado de las acciones correctivas y c) situação de ações preventivas e corretivas (ver
9 10.09.2007
preventivas (véase los Apartados 6.1.8 y 15.2.1); 6.1.8 e 15.2.1);
d) resultados de las anteriores revisiones por la d) resultados de análises críticas anteriores feitas
dirección; pela direção;
e) cumplimiento de la política de seguridad de la e) desempenho do processo e conformidade com a

información y del desempeño de procesos; política de segurança da informação;
f) cambios que podrían afectar el enfoque de la f) mudanças que possam afetar o enfoque da
organización a la gestión de la seguridad de la organização para gerenciar a segurança da
información, incluyendo cambios al ambiente de informação, incluindo mudanças no ambiente
la organización, circunstancias del negocio, organizacional, nas circunstâncias do negócio, na
disponibilidad de recursos, condiciones disponibilidade dos recursos, nas questões
contractuales, reguladoras, y legales, o cambios contratuais, regulamentares e de aspectos legais
al ambiente técnico; ou no ambiente técnico;
g) tendencias relacionadas con las amenazas y g) tendências relacionadas com as ameaças e

las vulnerabilidades; vulnerabilidades;
h) incidentes de seguridad de la información h) relato sobre incidentes de segurança da

reportados (véase el Apartado 13.1); informação (ver 13.1);
i) recomendaciones proporcionadas por i) recomendações fornecidas por autoridades

autoridades relevantes (véase el Apartado 6.1.6) relevantes (ver 6.1.6).
La salida de la revisión por la dirección debería Convém que as saídas da análise crítica pela
incluir cualquier decisión y acción relacionadas direção incluam quaisquer decisões e ações
con: relacionadas a:
a) mejora del enfoque de la organización a la a) melhoria do enfoque da organização para

gestión de la seguridad de la información y a sus gerenciar a segurança da informação e seus
procesos; processos;
b) mejora de los objetivos de control y de los b) melhoria dos controles e dos objetivos de
controles; controles;
c) mejora en la asignación de recursos y/o c) melhoria na alocação de recursos e/ou de

responsabilidades. responsabilidades.
Debería mantenerse un registro de la revisión por Convém que um registro da análise crítica pela
la dirección. direção seja mantido.
Debería obtenerse la aprobación de la dirección Convém que a aprovação pela direção da política
para la política revisada. de segurança da informação revisada seja obtida.
6 Organización de la seguridad de la 6 Organizando a segurança da informação

información
6.1 Organización interna 6.1 Organização interna
OBJETIVO: Gestionar la seguridad de la Objetivo: Gerenciar a segurança da informação

información dentro de la organización. dentro da organização.
Debería establecerse un marco de gestión para Convém que uma estrutura de gerenciamento seja
iniciar y controlar la implementación de la estabelecida para iniciar e controlar a
seguridad de la información dentro de la implementação da segurança da informação dentro
organización. da organização.
10 10.09.2007
La dirección debería aprobar la política de Convém que a direção aprove a política de

seguridad de la información, asignar roles de segurança da informação, atribua as funções da
seguridad y coordinar y revisar la implementación segurança, coordene e analise criticamente a
de la seguridad a través de la organización. implementação da segurança da informação por
toda a organização.
Si es necesario, una fuente de asesoramiento Se necessário, convém que uma consultoria

especializada en seguridad de la información especializada em segurança da informação seja
debería establecerse y estar disponible dentro de estabelecida e disponibilizada dentro da
la organización. Contactos con especialistas de organização. Convém que contatos com
seguridad o grupos externos a la organización, especialistas ou grupos de segurança da
incluyendo autoridades relevantes, deberían ser informação externos, incluindo autoridades
desarrollados para mantenerse al día con relevantes, sejam feitos para se manter atualizado
tendencias de la industria, seguimiento de com as tendências de mercado, monitorar normas
normas, y métodos de evaluación y proveer e métodos de avaliação, além de fornecer apoio
puntos de enlace adecuados cuando se deban adequado, quando estiver tratando de incidentes
manejar incidentes de seguridad de la de segurança da informação. Convém que um
información. Un enfoque multidisciplinario hacia la enfoque multidisciplinar na segurança da
seguridad de la información debería ser informação seja incentivado.
impulsado.
6.1.1 Compromiso de la dirección con la 6.1.1 Comprometimento da direção com a

Control Controle
La dirección debería apoyar activamente la Convém que a direção apóie ativamente a
seguridad dentro de la organización a través de segurança da informação dentro da organização,
una orientación clara, compromiso demostrado, y por meio de um claro direcionamento,
la asignación explícita de las responsabilidades demonstrando o seu comprometimento, definindo
de seguridad de la información y su atribuições de forma explícita e reconhecendo as
reconocimiento. responsabilidades pela segurança da informação.

La dirección debería: Convém que a direção:
a) asegurar que los objetivos de seguridad de la a) assegure que as metas de segurança da

información son identificados, cumplen los informação estão identificadas, atendem aos
requisitos de la organización y están integrados requisitos da organização e estão integradas nos
en los procesos relevantes; processos relevantes;
b) formular, revisar y aprobar la política de b) formule, analise criticamente e aprove a política

seguridad de la información; de segurança da informação;
c) revisar la efectividad de la implementación de c) analise criticamente a eficácia da implementação

la política de seguridad; da política de segurança da informação;
d) proveer una orientación clara y apoyo visible d) forneça um claro direcionamento e apoio para as
hacia las iniciativas de seguridad; iniciativas de segurança da informação;
e) proveer los recursos necesarios para la e) forneça os recursos necessários para a

seguridad; segurança da informação;
f) aprobar la asignación de los roles específicos y f) aprove as atribuições de tarefas e

responsabilidades en seguridad de la información responsabilidades específicas para a segurança da
a lo largo de la organización; informação por toda a organização;
g) iniciar planes y programas para mantener la g) inicie planos e programas para manter a
concientización en seguridad; conscientização da segurança da informação;
11 10.09.2007
h) asegurar que la implementación de los h) assegure que a implementação dos controles de

controles de seguridad de la información es segurança da informação tem uma coordenação e
coordinada en toda la organización (véase el permeia a organização (ver 6.1.2).
Apartado 6.1.2).
La dirección debería identificar la necesidad de Convém que a direção identifique as necessidades

asesoramiento especializado en seguridad de la para a consultoria de um especialista interno ou
información, interno o externo, y revisar y externo em segurança da informação, analise
coordinar los resultados de dicho asesoramiento criticamente e coordene os resultados desta
a través de la organización. consultoria por toda a organização.
Dependiendo del tamaño de la organización, tales Dependendo do tamanho da organização, tais

responsabilidades podrían ser manejadas por un responsabilidades podem ser conduzidas por um
foro dedicado de dirección o por un cuerpo fórum de gestão exclusivo ou por um fórum de
directivo existente, tal como la junta de directores. gestão existente, a exemplo do conselho de
diretores.

Más información se encuentra disponible en Outras informações podem ser obtidas na
ISO/IEC 13335-1:2004 ISO/IEC 13335-1:2004.
6.1.2 Coordinación de la seguridad de la 6.1.2 Coordenação da segurança da informação

información
Control Controle
Las actividades referentes a la seguridad de la Convém que as atividades de segurança da
información deberían ser coordinadas por informação sejam coordenadas por representantes
representantes de diferentes partes de la de diferentes partes da organização, com funções e
organización con funciones y roles pertinentes. papéis relevantes.

Típicamente, la coordinación de la seguridad de Convém que a coordenação da segurança da
la información debería involucrar la cooperación y informação envolva a cooperação e colaboração de
colaboración de directores, usuarios, gerentes, usuários, administradores,
administradores, diseñadores de aplicativos, desenvolvedores, auditores, pessoal de segurança
auditores y personal de seguridad, y especialistas e especialistas com habilidades nas áreas de
con habilidades en áreas tales como seguros, seguro, questões legais, recursos humanos, TI e
aspectos legales, recursos humanos, TI y gestión gestão de riscos.
de riesgos.
Esta actividad debería: Convém que esta atividade:
a) asegurar que las actividades referentes a la a) garanta que as atividades de segurança da

seguridad son ejecutadas de acuerdo a la política informação são executadas em conformidade com
de seguridad; a política de segurança da informação;
b) identificar como manejar los no cumplimientos; b) identifique como conduzir as não-conformidades;
c) aprobar metodologías y procesos para la c) aprove as metodologias e processos para a

seguridad de la información, por ejemplo, segurança da informação, tais como
evaluación de riesgo, clasificación de la análise/avaliação de riscos e classificação da
Información; informação;
d) identificar cambios significativos en las d) identifique as ameaças significativas e a

amenazas y la exposición de la información y de exposição da informação e dos recursos de
las instalaciones de procesamiento de la processamento da informação às ameaças;
información a las amenazas;
e) evaluar la adecuación y coordinación de la e) avalie a adequação e coordene a implementação
12 10.09.2007
implementación de los controles de seguridad de de controles de segurança da informação;

la información;
f) promover en forma efectiva la educación, la f) promova, de forma eficaz, a educação, o

formación y la concientización en seguridad de la treinamento e a conscientização pela segurança da
información a través de la organización; informação por toda a organização;
g) evaluar la información recibida de los g) avalie as informações recebidas do

seguimientos y revisiones de los incidentes de monitoramento e da análise crítica dos incidentes
seguridad de la información y las acciones de segurança da informação, e recomende ações
recomendadas en respuesta a los mismos. apropriadas como resposta para os incidentes de
segurança da informação identificados.
Si la organización no utiliza un grupo Se a organização não usa representantes das

multidisciplinario separado, por ejemplo porque diferentes áreas, por exemplo, porque tal grupo não
dicho grupo no es apropiado dado el tamaño de la é apropriado para o tamanho da organização,
organización, las acciones descriptas más arriba convém que as ações descritas acima sejam
deberían ser llevadas a cabo por otro cuerpo conduzidas por um organismo de gestão adequado
adecuado de dirección o director individual. ou por um gestor individual.
6.1.3 Asignación de responsabilidades sobre 6.1.3 Atribuição de responsabilidades para a

Control Controle
Deberían definirse claramente todas las Convém que todas as responsabilidades pela
responsabilidades de seguridad de la información. segurança da informação, estejam claramente
definidas.

La asignación de las responsabilidades de Convém que a atribuição das responsabilidades
seguridad de la información debería hacerse de pela segurança da informação seja feita em
acuerdo con la política de seguridad de la conformidade com a política de segurança da
información (véase la Cláusula 4). Deberían informação (ver Seção 5). Convém que as
identificarse claramente las responsabilidades responsabilidades pela proteção de cada ativo e
para la protección de los activos individuales y pelo cumprimento de processos de segurança da
para la ejecución de los procesos específicos de informação específicos sejam claramente definidas.
seguridad. Esta responsabilidad debería ser Convém que esta responsabilidade seja
complementada, donde sea necesario, con una complementada, onde for necessário, com
guía más detallada para sitios e instalaciones de orientações mais detalhadas para locais
procesamiento de información específicos. específicos e recursos de processamento de
Deberían definirse claramente las informações. Convém que sejam claramente
responsabilidades locales para la protección de definidas as responsabilidades em cada local para
activos y para llevar a cabo procesos específicos a proteção dos ativos e para realizar processos de
de la seguridad, como por ejemplo, el plan de segurança da informação específicos, como, por
continuidad del negocio. exemplo, o plano de continuidade de negócios.
Individuos con responsabilidades de seguridad Pessoas com responsabilidades definidas pela

asignadas pueden delegar tareas de seguridad a segurança da informação podem delegar as tarefas
otros. Sin embargo, siguen manteniendo la de segurança da informação para outros usuários.
responsabilidad y deberían poder determinar que Todavia eles continuam responsáveis e convém
cualquier tarea delegada se ha cumplido que verifiquem se as tarefas delegadas estão
correctamente. sendo executadas corretamente.
Deberían establecerse claramente las áreas de Convém que as áreas pelas quais as pessoas
las cuales los individuos son responsables, en sejam responsáveis, estejam claramente definidas;
particular deberían considerarse las siguientes: em particular convém que os seguintes itens sejam
cumpridos:
a) deberían identificarse y definirse claramente a) os ativos e os processos de segurança da
13 10.09.2007
los activos y los procesos de seguridad asociados informação associados com cada sistema sejam
con cada sistema específico; identificados e claramente definidos;
b) debería asignarse la entidad responsable de b) gestor responsável por cada ativo ou processo
cada activo o proceso de seguridad y documentar de segurança da informação tenha atribuições
los detalles de dicha responsabilidad (véase el definidas e os detalhes dessa responsabilidade
Apartado 7.1.2); sejam documentados (ver 7.1.2);
c) deberían definirse y documentarse claramente c) os níveis de autorização sejam claramente

los niveles de autorización. definidos e documentados.

Muchas organizaciones nombran un Em muitas organizações um gestor de segurança
administrador de seguridad de la información para da informação pode ser indicado para assumir a
asumir toda la responsabilidad del desarrollo e responsabilidade global pelo desenvolvimento e
implantación de la seguridad y para dar soporte a implementação da segurança da informação e para
la identificación de controles. apoiar a identificação de controles.
Sin embargo, la responsabilidad de proporcionar Entretanto, a responsabilidade pela obtenção dos

recursos e implantar los controles suele recaer en recursos e implementação dos controles
ciertos directivos. Una práctica habitual consiste permanece sempre com os gestores. Uma prática
en designar un propietario de cada activo de comum é indicar um responsável por cada ativo,
información, que se convierte así, en responsable tornando-o assim responsável por sua proteção no
de su seguridad cotidiana. dia a dia.
6.1.4 Proceso de autorización para 6.1.4 Processo de autorização para os recursos

instalaciones de procesamiento de de processamento da informação
información
Control Controle
Debería definirse e implantarse un proceso de Convém que seja definido e implementado um
autorización por parte de la dirección para nuevas processo de gestão de autorização para novos
instalaciones de procesamiento de información. recursos de processamento da informação.

Deberían considerarse las siguientes pautas para Convém que as seguintes diretrizes sejam
el proceso de autorización: consideradas no processo de autorização:
a) las nuevas instalaciones deberían tener una a) os novos recursos tenham a autorização
autorización de la dirección apropiada para el adequada por parte da administração de usuários,
usuario, autorizando su propósito y uso. También autorizando seus propósitos e uso. Convém que a
debería obtenerse la autorización del directivo autorização também seja obtida junto ao gestor
responsable del mantenimiento del entorno de responsável pela manutenção do sistema de
seguridad del sistema de información local, para segurança da informação, para garantir que todas
asegurar que cumple con todas las políticas y as políticas e requisitos de segurança relevantes
requisitos de seguridad relevantes. sejam atendidos;
b) se debería comprobar donde sea necesario, b) hardware e o software sejam verificados para
que el hardware y el software sean compatibles garantir que são compatíveis com outros
con los demás dispositivos del sistema. componentes do sistema, onde necessários;
c) el uso de las instalaciones para procesamiento c) uso de recursos de processamento de

de información personales o privados por informação, pessoais ou privados, como, por
ejemplo, computadoras portátiles, computadoras exemplo, note books, computadores pessoais ou
de uso doméstico u otros dispositivos portátiles, dispositivos do tipo palm top, para processamento
puede causar vulnerabilidades, por lo que das informações do negócio, possa introduzir
deberían identificarse e implementarse medidas novas vulnerabilidades, e convém que controles
de control necesarias. necessários sejam identificados e implementados.
14 10.09.2007
6.1.5 Acuerdos de confidencialidad 6.1.5 Acordos de confidencialidade
Control Controle
Deberían identificarse y revisarse con regularidad Convém que os requisitos para confidencialidade
los requisitos para los acuerdos de ou acordos de não divulgação que reflitam as
confidencialidad o de no-divulgación, que reflejan necessidades da organização para a proteção da
las necesidades de la organización para la informação sejam identificados e analisados
protección de la información. criticamente, de forma regular.

Los acuerdos de confidencialidad o de no- Convém que os acordos de confidencialidade e de
divulgación deberían tratar el requisito de não divulgação considerem os requisitos para
proteger la información confidencial usando proteger as informações confidenciais, usando
términos que puedan hacerse cumplir legalmente. termos que são obrigados do ponto de vista legal.
Para identificar los requisitos de los acuerdos de Para identificar os requisitos para os acordos de
confidencialidad y no-divulgación, deberían confidencialidade ou de não divulgação, convém
considerarse los siguientes elementos: que sejam considerados os seguintes elementos:
a) una definición de la información a ser protegida a) uma definição da informação a ser protegida (por
(por ejemplo información confidencial); exemplo, informação confidencial);
b) duración prevista del acuerdo, incluyendo los b) tempo de duração esperado de um acordo,
casos en que sea necesario mantener la incluindo situações onde a confidencialidade tenha
confidencialidad indefinidamente; que ser mantida indefinidamente;
c) acciones requeridas cuando termina un c) ações requeridas quando um acordo está

acuerdo; encerrado;
d) responsabilidades y acciones de los signatarios d) responsabilidades e ações dos signatários para

para evitar la divulgación no autorizada de la evitar a divulgação não autorizada da informação
información ( “necesidad de saber”); (como o conceito “need to know”);
e) propiedad de la información, secretos e) proprietário da informação, segredos comerciais

comerciales y propiedad intelectual, y cómo ésto e de propriedade intelectual, e como isto se
se relaciona con la protección de la información relaciona com a proteção da informação
confidencial; confidencial;
f) el uso permitido de la información confidencial, f) uso permitido da informação confidencial e os

y los derechos del signatario para utilizar direitos do signatário para usar a informação;
información;
g) el derecho de auditar y de supervisar g) direito de auditar e monitorar as atividades que

actividades que involucran información envolvem as informações confidenciais;
confidencial;
h) procesos para la notificación y reporte de h) processo para notificação e relato de divulgação

divulgación no autorizada o brechas de la não autorizada ou violação das informações
información confidencial; confidenciais;
i) términos vinculados a la destrucción o i) termos para a informação ser retornada ou

devolución de información cuando cesa un destruída quando do término do acordo; e
acuerdo; y
j) acciones previstas a tomar en caso de ruptura j) ações esperadas a serem tomadas no caso de
del acuerdo. uma violação deste acordo.
Basándose en los requisitos de seguridad de una Com base nos requisitos de segurança da
organización, puede ser necesario incorporar informação da organização, outros elementos
otros elementos en los acuerdos de podem ser necessários em um acordo de
15 10.09.2007
confidencialidad y no-divulgación. confidencialidade ou de não divulgação.
Los acuerdos de confidencialidad y no- Convém que os acordos de confidencialidade e de

divulgación deberían cumplir con todas las leyes y não divulgação estejam em conformidade com
regulaciones de la jurisdicción a la cual se aplican todas as leis e regulamentações aplicáveis na
(véase el Apartado 15.1.1). jurisdição para a qual eles se aplicam (ver 15.1.1).
Los requisitos de los acuerdos de Convém que os requisitos para os acordos de

confidencialidad y no-divulgación deberían ser confidencialidade e de não divulgação sejam
revisados periódicamente y cuando ocurran analisados criticamente de forma periódica e
cambios que influyan en estos requisitos. quando mudanças ocorrerem que influenciem estes
requisitos.

Los acuerdos de confidencialidad y no- Acordos de confidencialidade e de não divulgação
divulgación protegen la información de la protegem as informações da organização e
organización e informan a los signatarios de su informam aos signatários das suas
responsabilidad para proteger, utilizar, y divulgar responsabilidades, para proteger, usar e divulgar a
la información de forma responsable y autorizada. informação de maneira responsável e autorizada.
Puede haber necesidad por parte de una Pode haver a necessidade de uma organização
organización de utilizar diversas formas de usar diferentes formas de acordos de
acuerdos de confidencialidad o no-divulgación en confidencialidade ou de não divulgação, em
diferentes circunstancias. diferentes circunstâncias.
6.1.6 Contacto con autoridades 6.1.6 Contato com autoridades
Control Controle
Deberían mantenerse contactos apropiados con Convém que contatos apropriados com autoridades
las autoridades relevantes. pertinentes sejam mantidos.

Las organizaciones deberían tener Convém que as organizações tenham
procedimientos vigentes que especifiquen cuándo procedimentos em funcionamento que
y qué autoridades (por ejemplo cumplimiento de especifiquem quando e por quais autoridades (por
leyes, departamento de bomberos, autoridades exemplo, obrigações legais, corpo de bombeiros,
de supervisión) deben ser contactados, y cómo autoridades fiscalizadoras) devem ser contatadas e
identificar los incidentes de seguridad los cuales como os incidentes de segurança da informação
deberían ser reportados en tiempo si se sospecha identificados devem ser notificados em tempo hábil,
que están incumpliendo la ley. no caso de suspeita de que a lei foi violada.
Las organizaciones que están siendo atacadas Organizações que estejam sob ataque da internet
desde Internet pueden necesitar terceras partes podem precisar do apoio de partes externas à
externas (proveedores de servicios de Internet u organização (por exemplo, um provedor de serviço
operadores de Telecomunicaciones) para tomar da internet ou um operador de telecomunicações),
acciones contra la fuente del ataque. para tomar ações contra a origem do ataque.

El mantenimiento de dichos contactos puede ser A manutenção de tais contatos pode ser um
un requerimiento para sustentar la gestión de requisito para apoiar a gestão de incidentes de
incidentes de seguridad (Apartado 13.2) o el segurança da informação (ver 13.2) ou da
proceso de continuidad del negocio y plan de continuidade dos negócios e do processo de
contingencia (Cláusula 14). Los contactos con planejamento da contingência (ver Seção 14).
instituciones reguladoras son también útiles para Contatos com organismos reguladores são também
anticiparse y prepararse para cambios próximos úteis para antecipar e preparar para as mudanças
de la ley o regulaciones, los cuales tienen que ser futuras na lei ou nos regulamentos, os quais têm
implementados por las organizaciones. Los que ser seguidos pela organização. Contatos com
contactos con otras autoridades incluye utilitarios, outras autoridades incluem utilidades, serviços de
servicios de emergencia, salud y seguridad del emergência, saúde e segurança, por exemplo
16 10.09.2007
personal, por ejemplo departamento de corpo de bombeiros (em conjunto com a

bomberos(en relación con la continuidad del continuidade do negócio), provedores de
negocio) , proveedores de telecomunicaciones telecomunicação (em conjunto com as rotas de
(en relación con las lineas de ruteo y la linha e disponibilidade), fornecedor de água (em
disponibilidad), proveedores de agua (en relación conjunto com as instalações de refrigeração para
con las instalaciones de refrigeración para el os equipamentos).
equipamiento).
6.1.7 Contacto con grupos de interés especial 6.1.7 Contato com grupos especiais
Control Controle
Deberían mantenerse contactos apropiados con Convém que sejam mantidos contatos apropriados
los grupos de interés especial u otros foros com grupos de interesses especiais ou outros
especializados en seguridad, así como fóruns especializados de segurança da informação
asociaciones de profesionales. e associações profissionais.

La participación en foros o grupos de interés Convém que associação a grupos de interesses
especial debería considerarse un medio para: especiais ou fóruns seja considerada como forma
de:
a) incrementar el conocimiento sobre las mejores a) ampliar o conhecimento sobre as melhores

prácticas y mantenerse al día con la información práticas e manter-se atualizado com as
relevante sobre seguridad; informações relevantes sobre segurança da
informação;
b) garantizar que la comprensión del ambiente de b) assegurar que o entendimento do ambiente de

seguridad de la información es actual y completa; segurança da informação está atual e completo;
c) recibir advertencias oportunas de alertas, c) receber previamente advertências de alertas,

avisos y parches referidos a ataques o aconselhamentos e correções relativos a ataques e
vulnerabilidades; vulnerabilidades;
d) obtener acceso a asesoría especializada sobre d) conseguir acesso à consultoria especializada em

seguridad de la información; segurança da informação;
e) compartir e intercambiar información sobre e) compartilhar e trocar informações sobre novas

nuevas tecnologías, productos, amenazas o tecnologias, produtos, ameaças ou
vulnerabilidades; vulnerabilidades;
f) proveer puntos adecuados de enlace para el f) prover relacionamentos adequados quando tratar
manejo de incidentes de seguridad de la com incidentes de segurança da informação
información (véase el Apartado 13.2.1). (ver 13.2.1).

Pueden establecerse acuerdos para compartir la Acordos de compartilhamento de informações
información de forma de incrementar la podem ser estabelecidos para melhorar a
cooperación y la coordinación de temas de cooperação e coordenação de assuntos de
seguridad. Tales acuerdos deberían identificar los segurança da informação. Convém que tais
requisitos para la protección de información acordos identifiquem requisitos para a proteção de
sensible. informações sensíveis.
6.1.8 Revisión independiente de la seguridad 6.1.8 Análise crítica independente de segurança

de la información da informação
Control Controle
El enfoque de la organización hacia la gestión de Convém que o enfoque da organização para
la seguridad de la información y su gerenciar a segurança da informação e a sua
implementación (objetivos de control, controles, implementação (por exemplo, controles, objetivo
17 10.09.2007
políticas, procesos y procedimientos para la dos controles, políticas, processos e procedimentos

seguridad de la información) debería ser revisado para a segurança da informação) seja analisado
independientemente a intervalos planificados, o criticamente, de forma independente, a intervalos
cuando ocurran cambios significativos en la planejados, ou quando ocorrerem mudanças
implementación de la seguridad. significativas relativas à implementação da

La revisión independiente debería ser iniciada por Convém que a análise crítica independente seja
la dirección. Esta revisión independiente es iniciada pela direção. Tal análise crítica
necesaria para asegurar la eficacia, idoneidad y independente é necessária para assegurar a
propiedad del enfoque de la organización para la contínua pertinência, adequação e eficácia do
gestión de seguridad. La revisión debería incluir la enfoque da organização para gerenciar a
evaluación de las oportunidades de mejora y la segurança da informação. Convém que a análise
necesidad de cambios en el enfoque de la crítica inclua a avaliação de oportunidades para a
seguridad, incluyendo la política y los objetivos de melhoria e a necessidade de mudanças para o
control. enfoque da segurança da informação, incluindo a
política e os objetivos de controle.
Dicha revisión debería ser realizada por Convém que a análise crítica seja executada por
individuos independientes del área a revisar, por pessoas independentes da área avaliada, como,
ejemplo por el cargo de auditoría interna, un por exemplo, uma função de auditoria interna, um
gerente independiente o una organización externa gerente independente ou uma organização de
especializada en estas revisiones. Los individuos terceira parte especializada em tais análises
que las llevan a cabo deberían tener la críticas. Convém que as pessoas que realizem
experiencia y habilidades apropiadas. estas análises críticas possuam habilidade e
experiência apropriadas.
El resultado de la revisión debería ser registrado y Convém que os resultados da análise crítica
reportado a la dirección que inició la revisión. independente sejam registrados e relatados para a
Estos registros deberían ser mantenidos. direção que iniciou a análise crítica. Estes registros
devem ser mantidos.
Si la revisión independiente identificara que el Se a análise crítica independente identificar que o

enfoque y la implementación de la organización enfoque da organização e a implementação para
para la gestión de la seguridad de la información gerenciar a segurança da informação são
son inadecuados o no cumplen con la orientación inadequados ou não-conformes com as orientações
declarada en el documento de política de estabelecidas para segurança da informação, no
seguridad de la información(véase el Apartado documento da política de segurança da informação
5.1.1), la dirección debería definir las acciones (ver 5.1.1), convém que a direção considere a
correctivas. tomada de ações corretivas.

El área que los directores deberían revisar Convém que as áreas onde os gerentes
regularmente (véase el Apartado 15.2.1), también regularmente fazem a análise crítica (ver 15.2.1)
puede ser revisada en forma independiente. possam também ser analisadas criticamente de
forma independente.
Las técnicas de revisión podrían incluir Técnicas para a análise crítica podem incluir
entrevistas de la dirección, verificación de entrevistas com a gerência, verificação de registros
registros o revisión de los documentos de ou análise crítica dos documentos da política de
seguridad. segurança da informação.
La norma ISO 19011:2002, Directrices para la A ISO 19011:2002, Diretrizes para auditoria de
auditoría de los sistemas de gestión de la calidad sistemas de gestão da qualidade e/ou do meio
y/o ambiental, puede proveer una guía de ayuda ambiente, pode também fornecer orientações para
para realizar la revisión independiente, incluyendo se realizar a análise crítica independente, incluindo
la definición e implementación del programa de o estabelecimento e a implementação de um
revisión. El Apartado 15.3 especifica controles programa de análise crítica. A Subseção 15.3
18 10.09.2007
relevantes a la revisión independiente de los especifica os controles relevantes para a análise

sistemas operacionales de información y el uso crítica independente de sistemas de informações
de las herramientas de auditoría de sistemas. operacionais e o uso de ferramentas de auditoria
de sistemas.
6.2 Partes externas 6.2 Partes externas
OBJETIVO: Mantener la seguridad de la Objetivo: Manter a segurança dos recursos de

información de la organización y de las processamento da informação e da informação da
instalaciones de procesamiento de información a organização, que são acessados, processados,
las que tienen acceso las partes externas, o que comunicados ou gerenciados por partes externas.
son procesadas, comunicadas o gestionadas por
éstas.
La seguridad de la información de la organización Convém que a segurança dos recursos de

y de las instalaciones de procesamiento de processamento da informação e da informação da
información no debería verse reducida por la organização não seja reduzida pela introdução de
introducción de productos o servicios de externos. produtos ou serviços oriundos de partes externas.
Debería controlarse cualquier acceso a las Convém que qualquer acesso aos recursos de
instalaciones de procesamiento de información de processamento da informação da organização e ao
la organización y el procesamiento y processamento e comunicação da informação por
comunicación de información por externos. partes externas seja controlado.
Cuando el negocio requiera trabajo con externos Convém que seja feita uma análise/avaliação dos
que pueda implicar acceso a la información de la riscos envolvidos para determinar as possíveis
organización y a las instalaciones de implicações na segurança e os controles
procesamiento de la información, u obtener o necessários, onde existir uma necessidade de
proveer un producto o servicio de o para negócio para trabalhar com partes externas, que
externos, se debería realizar una evaluación de possa requerer acesso aos recursos de
riesgos para determinar implicaciones sobre la processamento da informação e à informação da
seguridad y los controles que requieran. Estos organização, ou na obtenção e fornecimento de um
controles deberían definirse y aceptarse en un produto e serviço de uma parte externa ou para ela.
acuerdo con las partes externas. Convém que os controles sejam acordados e
definidos por meio de um acordo com a parte
externa.
6.2.1 Identificación de los riegos relacionados 6.2.1 Identificação dos riscos relacionados com
con partes externas partes externas
Control Controle
Deberían identificarse los riesgos asociados a la Convém que os riscos para os recursos de
información de la organización y a las processamento da informação e da informação da
instalaciones de procesamiento de la información organização oriundos de processos do negócio que
para los procesos de negocio que involucran envolva as partes externas sejam identificados e
partes externas, y deberían implementarse controles apropriados implementados antes de se
controles apropiados antes de otorgar el acceso. conceder o acesso.

Cuando exista la necesidad de permitir el acceso Convém que uma análise/avaliação de riscos (ver
a partes externas a las instalaciones de Seção 4) seja feita para identificar quaisquer
procesamiento de información o a la información requisitos de controles específicos, onde existir
de la organización, debería realizarse una uma necessidade que permita o acesso de uma
evaluación de riesgos (véase la Cláusula 4) para parte externa aos recursos de processamento da
identificar los requisito para los controles informação ou à informação de uma organização.
específicos. La identificación de los riesgos Convém que a identificação de riscos relativos ao
relacionados con el acceso de partes externas acesso da parte externa leve em consideração os
debería tener en cuenta los siguientes aspectos: seguintes aspectos:
19 10.09.2007
a) las instalaciones de procesamiento de la a) os recursos de processamento da informação

información a los cuales requiere acceso la parte que uma parte externa esteja autorizada a acessar;
externa;
b) el tipo de acceso que la parte externa tendrá a b) tipo de acesso que a parte externa terá aos
la información y a las instalaciones de recursos de processamento da informação e à
procesamiento de la información, por ejemplo: informação, como, por exemplo:
1) acceso físico, como ser, las oficinas, salas 1) acesso físico ao escritório, sala dos
de computadoras, gabinetes de computadores, arquivos de papéis;
clasificación;
2) acceso lógico, por ejemplo, a las bases de 2) acesso lógico ao banco de dados da
datos de la organización, sistemas de organização e aos sistemas de informações;
información;
3) conexión de red entre la red de la 3) rede de conexão entre a organização e a

organización y la de la parte externa, por rede da parte externa, como, por exemplo,
ejemplo, conexión permanente, acceso conexão permanente, acesso remoto;
remoto;
4) cuando el acceso es realizado en el sitio 4) se o acesso vai ser dentro ou fora da

(on-site) o fuera de él (off-site); organização;
c) el valor y la sensibilidad de la información c) valor e a sensibilidade da informação envolvida,

involucrada, y la criticidad para las operaciones e a sua criticidade para as operações do negócio;
de negocio;
d) los controles necesarios para proteger la d) os controles necessários para proteger a

información que no ha sido prevista que sea informação que não deva ser acessada pelas
accesible por las partes externas; partes externas;
e) el personal de la parte externa involucrada en e) as pessoas das partes externas envolvidas no

el manejo de la información de la organización; manuseio das informações da organização;
f) cómo la organización o el personal autorizado f) como a organização ou o pessoal autorizado a

para acceder pueden ser identificados, la manera ter acesso pode ser identificado, como a
de verificar la autorización y cuan seguido es autorização é verificada e com qual freqüência isto
necesario que sea reconfirmada; precisa ser reconfirmado;
g) los diferentes medios y controles empleados g) as diferentes formas e controles empregados

por la parte externa cuando almacena, procesa, pela parte externa quando estiver armazenando,
comunica, comparte e intercambia información; processando, comunicando, compartilhando e
repassando informações;
h) el impacto del acceso denegado a la parte h) impacto do acesso não estar disponível para a
externa cuando lo requiere, y de que la parte parte externa, quando requerido, e a entrada ou o
externa ingrese o reciba información inexacta o recebimento incorreto ou por engano da
engañosa. informação;
i) practicas y procedimiento para tratar incidentes i) práticas e procedimentos para tratar com
de seguridad de la información y daños incidentes de segurança da informação e danos
potenciales, al igual que los términos y potenciais, e os termos e condições para que a
condiciones para la continuidad del acceso de la parte externa continue acessando, no caso que
parte externa en el caso de un incidente de ocorra um incidente de segurança da informação;
seguridad de la información;
j) requisitos legales y reguladores y otras j) que os requisitos legais e regulamentares e
20 10.09.2007
obligaciones contractuales pertinentes a la parte outras obrigações contratuais relevantes para a

externa que deban ser tenidos en cuenta; parte externa sejam levados em consideração;
k) cómo los intereses de cualquier otro k) como os interesses de quaisquer uma das partes
involucrado (stakeholders) pueden ser afectados interessadas podem ser afetados pelos acordos.
por los acuerdos.
El acceso de las partes externas a la información Convém que o acesso às informações da

de la organización no debería ser proporcionado organização pelas partes externas não seja
hasta que se hayan implementado los controles fornecido até que os controles apropriados tenham
apropiados y, cuando sea factible, se haya sido implementados e, onde for viável, um contrato
firmado un contrato que defina los términos y tenha sido assinado definindo os termos e
condiciones para la conexión o el acceso y el condições para a conexão ou o acesso e os
acuerdo de trabajo. Generalmente, todos los preparativos para o trabalho. Convém que, de uma
requisitos de seguridad resultantes del trabajo forma geral, todos os requisitos de segurança da
con partes externas, o los controles internos informação resultantes do trabalho com partes
deberían reflejarse en el acuerdo con la parte externas ou controles internos estejam refletidos
externa (véase los Apartados 6.2.2 y 6.2.3). por um acordo com a parte externa (ver 6.2.2 e
6.2.3).
Debería asegurarse que la parte externa sea Convém que seja assegurado que a parte externa
consciente de sus obligaciones, y acepte las está consciente de suas obrigações, e aceita as
responsabilidades y deberes involucrados en el responsabilidades e obrigações envolvendo o
acceso, procesamiento, comunicación o gestión acesso, processamento, comunicação ou o
de la información de la organización y de las gerenciamento dos recursos do processamento da
instalaciones de procesamiento de la información. informação e da informação da organização.

La información puede ponerse en riesgo por la A informação pode ser colocada em risco por
inadecuada gestión de la seguridad por medio de partes externas com uma gestão inadequada da
las partes externas. Deberían identificarse y segurança da informação. Convém que os
aplicarse los controles para administrar el acceso controles sejam identificados e aplicados para
de las partes externas a las instalaciones de administrar o acesso da parte externa aos recursos
procesamiento de la información. Por ejemplo, si de processamento da informação. Por exemplo, se
hay una necesidad especial de confidencialidad existir uma necessidade especial para a
de la información, podrían utilizarse acuerdos de confidencialidade da informação, acordos de não
no divulgación. divulgação devem ser usados.
Las organizaciones pueden enfrentar riesgos As organizações podem estar sujeitas a riscos
asociados con los procesos, la gestión y la associados com processos interorganizacionais,
comunicación entre las organizaciones si se gerenciamento e comunicação, se um alto grau de
aplica un alto grado de contratación externa, o terceirização for realizado, ou onde existirem várias
cuando hay varias partes externas involucradas. partes externas envolvidas.
Los controles 6.2.2 y 6.2.3 cubren diferentes Os controles de 6.2.2 e 6.2.3 cobrem diferentes
acuerdos con partes externas, incluyendo por situações para as partes externas, incluindo, por
ejemplo: exemplo:
a) proveedores de servicios, como ser a) provedores de serviço, tais como ISP,

proveedores de servicios de Internet (ISPs), provedores de rede, serviços de telefonia e
proveedores de red, servicio telefónico, servicios serviços de apoio e manutenção;
de mantenimiento y soporte;
b) servicios de seguridad gestionados; b) terceirização de operações e recursos, como,

por exemplo, sistemas de TI, serviços de coleta de
dados, operação de central de atendimento (call
center);
c) clientes; c) clientes;
21 10.09.2007
d) contratación externa de instalaciones y/u d) operações e/ou recursos de terceirização, como,

operaciones, por ejemplo, sistemas de TI, por exemplo, sistemas de TI, serviços de coleta de
servicios de recolección de datos, operaciones dados, operação de call center;
del centro de llamados;
e) consultores de gestión y de negocios, y e) consultores em negócios e em gestão, e

auditores; auditores;
f) desarrolladores y proveedores, por ejemplo, de f) desenvolvedores e fornecedores, como, por

productos de software y de sistemas de TI; exemplo, de produtos de software e sistemas de TI;
g) limpieza, abastecimiento y otros servicios de g) pessoal de limpeza, serviços de bufês e outros

soporte contratados externamente; serviços de apoio terceirizados;
h) personal temporal, colocación de estudiantes y h) pessoal temporário, estagiário e outras

otros cargos de corto plazo ocasionales. contratações de curta duração.
Dichos acuerdos pueden ayudar a reducir los Tais acordos podem ajudar a reduzir o risco
riesgos asociados con las partes externas. associado com as partes externas.
6.2.2 Tener en cuenta la seguridad cuando se 6.2.2 Identificando a segurança da informação,

trata con clientes quando tratando com os clientes
Control Controle
Todos los requisitos de seguridad identificados Convém que todos os requisitos de segurança da
deberían ser tratados antes de brindarle a los informação identificados sejam considerados antes
clientes acceso a activos o información de la de conceder aos clientes o acesso aos ativos ou às
organización. informações da organização.

Los siguientes términos deberían ser Convém que os seguintes termos sejam
considerados para tratar la seguridad antes de considerados para contemplar a segurança da
brindarle a los clientes acceso a cualquiera de los informação antes de conceder aos clientes o
activos de la organización (dependiendo del tipo y acesso a quaisquer ativos da organização
la extensión del acceso brindado, no todos ellos (dependendo do tipo e extensão do acesso
podrían aplicarse): concedido, nem todos os itens são aplicáveis):
a) protección de activos, incluyendo: a) proteção dos ativos, incluindo:
1) procedimiento para proteger los activos de 1) procedimentos para proteger os ativos da

la organización, incluyendo información y organização, incluindo informação e
software, y gestión de las vulnerabilidades software, e a gestão de vulnerabilidades
conocidas; conhecidas;
2) procedimientos para determinar si se han 2) procedimentos para determinar se ocorreu

comprometido en algún momento los qualquer comprometimento de ativos, por
activos, por ejemplo, pérdida o modificación exemplo, perda ou modificação de dados;”
de datos;
3) integridad; 3) integridade;
4) restricción en la copia y la divulgación de 4) restrições em relação a cópias e divulgação

información; de informações;
b) descripción del producto y servicio a ser b) descrição do produto ou serviço a ser fornecido;
provisto;
c) las diferentes razones, requisitos y beneficios c) as diferentes razões, requisitos e benefícios para
22 10.09.2007
del acceso del cliente; o acesso do cliente;
d) política de control de acceso, que cubra: d) políticas de controle de acesso, cobrindo:
1) métodos de acceso permitido, y de control y 1) métodos de acesso permitido e o controle e

uso de identificadores únicos tales como uso de identificadores únicos, tais como
identificación de usuario (IDs) y identificador de usuário e senhas de acesso;
contraseñas;
2) un proceso de autorización para el acceso 2) um processo de autorização para acesso dos

de los usuarios y los privilegios; usuários e privilégios;
3) una declaración de que todo acceso que no 3) uma declaração de que todo o acesso que
es explícitamente autorizado está não seja explicitamente autorizado é
prohibido; proibido;
4) un proceso para revocar los derechos de 4) um processo para revogar os direitos de

acceso o interrumpir la conexión entre acesso ou interromper a conexão entre
sistemas; sistemas;
e) acuerdos para el reporte, la notificación y la e) procedimentos para relato, notificação e

investigación de las inexactitudes en la investigação de informações imprecisas (por
información (por ejemplo de detalles personales), exemplo, sobre pessoal), incidentes de segurança
incidentes de seguridad de la información y da informação e violação da segurança da
brechas de seguridad; informação;
f) una descripción de cada servicio que va a estar f) descrição de cada serviço que deve estar
disponible; disponível;
g) el nivel a alcanzar por el servicio y los niveles g) os níveis de serviços acordados e os níveis de
inaceptables del servicio; serviços inaceitáveis;
h) el derecho al seguimiento, y revocar cualquier h) direito de monitorar e revogar qualquer atividade

actividad relacionada con los activos de la relacionada com os ativos da organização;
organización;
i) las responsabilidades respectivas de la i) as respectivas responsabilidades legais da

organización y del cliente; organização e dos clientes;
j) responsabilidades respecto a asuntos legales y j) responsabilidades com relação a aspectos legais

como se asegura que los requisitos legales son e como é assegurado que os requisitos legais são
alcanzados, por ejemplo, legislación de atendidos, por exemplo, leis de proteção de dados,
protección de datos, especialmente teniendo en especialmente levando-se em consideração os
cuenta los diferentes sistemas legales de cada diferentes sistemas legais nacionais se o acordo
nación si el acuerdo involucra la cooperación con envolver a cooperação com clientes em outros
clientes en otros países (véase el Apartado 15.1); países (ver 15.1);
k) derechos de propiedad intelectual (DPI) y k) direitos de propriedade intelectual e direitos

asignación de derechos de copia (véase el autorais (ver 15.1.2) e proteção de qualquer
Apartado 15.1.2) y la protección de cualquier trabalho colaborativo (ver 6.1.5).
trabajo en colaboración (véase el Apartado 6.1.5).

Los requisitos de seguridad relacionados con el Os requisitos de segurança da informação
acceso del cliente a los activos de la organización relacionados com o acesso dos clientes aos ativos
pueden variar considerablemente dependiendo de da organização podem variar consideravelmente,
las instalaciones de procesamiento de la dependendo dos recursos de processamento da
información y de la información a los cuales se informação e das informações que estão sendo
tiene acceso. Estos requisitos de seguridad acessadas. Estes requisitos de segurança da
23 10.09.2007
pueden tratarse utilizando acuerdos con el cliente, informação podem ser contemplados, usando-se os
que contengan todos los riesgos y requisitos de acordos com o cliente, os quais contêm todos os
seguridad identificados (véase el Apartado 6.2.1). riscos identificados e os requisitos de segurança da
informação (ver 6.2.1).
Los acuerdos con las partes externas también Acordos com partes externas podem também
pueden involucrar a otras partes. Los acuerdos envolver outras partes. Convém que os acordos
que permitan el acceso de una parte externa que concedam o acesso a partes externas incluam
deberían incluir permisos para la designación de permissão para designação de outras partes
otras partes y las condiciones para su acceso y elegíveis e condições para os seus acessos e
participación. envolvimento.
6.2.3 Tener en cuenta la seguridad en los 6.2.3 Identificando segurança da informação

acuerdos con terceras partes nos acordos com terceiros
Control Controle
Los acuerdos con terceros que involucren acceso, Convém que os acordos com terceiros envolvendo
procesamiento, comunicación o gestión de la o acesso, processamento, comunicação ou
información de la organización o de las gerenciamento dos recursos de processamento da
instalaciones de procesamiento de información, o informação ou da informação da organização, ou o
el agregado de productos o servicios a las acréscimo de produtos ou serviços aos recursos de
instalaciones de procesamiento de información processamento da informação cubram todos os
deberían cubrir todos los requisitos pertinentes de requisitos de segurança da informação relevantes.
seguridad.

El acuerdo debería asegurar que no hay Convém que o acordo assegure que não existe
malentendidos entre la organización y los mal-entendido entre a organização e o terceiro.
terceros. Las organizaciones deberían estar Convém que as organizações considerem a
satisfechas en cuanto a la indemnidad de los possibilidade de indenização do terceiro.
terceros.
Deberían tenerse en cuenta los siguientes Convém que os seguintes termos sejam
términos para su inclusión en los acuerdos con el considerados para inclusão no acordo, com o
fin de satisfacer los requisitos de seguridad objetivo de atender aos requisitos de segurança da
identificados (véase el Apartado 6.2.1): informação identificados (ver 6.2.1):
a) la política de seguridad de la información; a) política de segurança da informação;
b) los controles que aseguren la protección del b) controles para assegurar a proteção do ativo,
activo, incluyendo: incluindo:
1) procedimientos para proteger los activos de 1) procedimentos para proteger os ativos da

la organización, incluyendo información, organização, incluindo informação, software
software y hardware; e hardware;
2) todos los controles y mecanismos de 2) quaisquer mecanismos e controles para a

protección física requeridos; proteção física requerida;
3) controles que aseguren la protección contra 3) controles para assegurar proteção contra
software malicioso (véase el Apartado software malicioso (ver 10.4.1);
10.4.1);
4) procedimientos para determinar si se han 4) procedimentos para determinar se ocorreu

comprometido en algún momento los qualquer comprometimento de ativos, por
activos, por ejemplo, perdida o modificación exemplo, perda ou modificação de dados,
de información, software y hardware; software e hardware;
5) controles que aseguren el retorno o la 5) controles para assegurar o retorno ou a
24 10.09.2007
destrucción de la información y los activos destruição da informação e dos ativos no

al finalizar el acuerdo o en un punto final do contrato, ou em um dado momento
acordado en el tiempo durante la duración definido no acordo;
del acuerdo;
6) confidencialidad, integridad, disponibilidad, 6) confidencialidade, integridade, disponibilidade

y cualquier otra propiedad relevante (véase e qualquer outra propriedade relevante (ver
el Apartado 2.1.5) de los activos; 2.1.5) dos ativos;
7) restricciones a la copia y a la divulgación de 7) restrições em relação a cópias e divulgação

información, y uso de acuerdos de de informações, e uso dos acordos de
confidencialidad (véase el Apartado 6.1.5); confidencialidade (ver 6.1.5).
c) capacitación de los usuarios y administradores c) treinamento dos usuários e administradores nos

en métodos, procedimientos y seguridad; métodos, procedimentos e segurança da
informação;
d) asegurar la concientización del usuario sobre d) assegurar a conscientização dos usuários nas
responsabilidades y aspectos de la seguridad de questões e responsabilidades pela segurança da
la información; informação;
e) disposición para la transferencia de personal, f) provisão para a transferência de pessoal, onde

cuando sea apropiado; necessário;
f) responsabilidades respecto a la instalación y f) responsabilidades com relação à manutenção e

mantenimiento del hardware y software; instalação de software e hardware;
g) una estructura de reportes clara y formatos de g) uma estrutura clara de notificação e formatos de
reporte convenidos; relatórios acordados;
h) un proceso claro y especificado para la gestión h) um processo claro e definido de gestão de

de cambios; mudanças;
i) políticas de control de acceso, que cubran: i) política de controle de acesso, cobrindo:
1) las diferentes razones, requisitos y 1) as diferentes razões, requisitos e benefícios

beneficios de la necesidad del acceso por que justificam a necessidade do acesso pelo
terceras partes; terceiro;
2) métodos de acceso permitidos y el control y 2) métodos de acesso permitido e o controle e

uso de identificadores únicos, tales como uso de identificadores únicos, tais como
las identificaciones de usuario (IDs) y identificadores de usuários e senhas de
contraseñas; acesso;
3) un proceso de autorización para el acceso 3) um processo de autorização de acesso e

de usuario y los privilegios; privilégios para os usuários;
4) el requisito de mantener una lista de 4) um requisito para manter uma lista de

individuos autorizados a utilizar los pessoas autorizadas a usar os serviços que
servicios habilitados, y cuáles son sus estão sendo disponibilizados, e quais os
derechos y privilegios respecto a dicho uso; seus direitos e privilégios com relação a tal
uso;
5) una declaración de que toda autorización 5) uma declaração de que todo o acesso que
cuyo acceso no está explicitado está não seja explicitamente autorizado é
prohibida; proibido;
6) un proceso para la revocación de derechos 6) um processo para revogar os direitos de

de acceso o la interrupción de la conexión acesso ou interromper a conexão entre
25 10.09.2007
entre sistemas; sistemas;
j) las disposiciones para el reporte, la notificación j) dispositivos para relato, notificação e

y la investigación de los incidentes de seguridad investigação de incidentes de segurança da
de la información y las brechas de seguridad, así informação e violação da segurança, bem como as
como violaciones de los requisitos establecidos violações dos requisitos definidos no acordo;
en los acuerdos;
k) una descripción del productos o servicio a ser k) uma descrição do produto ou serviço que está
provisto, y una descripción de la información a sendo fornecido e uma descrição da informação
habilitar con su clasificación de seguridad (véase que deve estar disponível, juntamente com a sua
el Apartado 7.2.1); classificação de segurança (ver 7.2.1);
l) el nivel a alcanzar por el servicio y los niveles l) níveis de serviços acordados e os níveis de
inaceptables del servicio; serviços inaceitáveis;
m) la definición de criterios verificables de m) definição de critérios de desempenho

rendimiento, su seguimiento y reporte; verificáveis, seu monitoramento e relato;
n) el derecho al seguimiento y a revocar cualquier n) direito de monitorar e revogar qualquer atividade

actividad relacionada con los activos de la relacionada com os ativos da organização;
organización;
o) el derecho a auditar responsabilidades o) direito de auditar as responsabilidades definidas

definidas en el acuerdo, a que dichas auditorías do acordo, para ter essas auditorias realizadas por
sean realizadas por terceros, y a enumerar los terceira parte para enumerar os direitos
derechos estatutarios de los auditores; regulamentares dos auditores;
p) el establecimiento de un proceso escalable p) estabelecimento de um processo escalonado

para la resolución de problemas; para resolução de problemas;
q) requisitos de continuidad del servicio, q) requisitos para a continuidade dos serviços,

incluyendo medidas de disponibilidad y incluindo medições para disponibilidade e
confiabilidad, en concordancia con las prioridades confiabilidade, de acordo com as prioridades do
de negocio de la organización; negócio da organização;
r) las respectivas responsabilidades de las partes r) respectivas obrigações das partes com o acordo;
en el acuerdo;
s) responsabilidades respecto a asuntos legales y s) responsabilidades com relação a aspectos legais

como se asegura que los requisitos legales son e como é assegurado que os requisitos legais são
alcanzados, por ejemplo, legislación de atendidos, por exemplo, leis de proteção de dados,
protección de datos, especialmente teniendo en levando-se em consideração especialmente os
cuenta los diferentes sistemas legales de cada diferentes sistemas legais nacionais, se o acordo
nación si el acuerdo involucra la cooperación con envolver a cooperação com organizações em
clientes en otros países (véase el Apartado 15.1); outros países (ver 15.1);
t) derechos de propiedad intelectual (DPI) y t) direitos de propriedade intelectual e direitos

asignación de derechos de copia (véase el autorais (ver 15.1.2) e proteção de qualquer
Apartado 15.1.2) y la protección de cualquier trabalho colaborativo (ver 6.1.5);
trabajo en colaboración (véase el Apartado 6.1.5);
u) participación de terceros con subcontratistas, y u) envolvimento do terceiro com subfornecedores e

los controles de seguridad que dichos os controles de segurança da informação que
subcontratistas necesitan implementar; esses subfornecedores precisam implementar;
v) condiciones para la renegociación/término de v) condições de renegociação ou encerramento de

acuerdos: acordos:
26 10.09.2007
1) debería establecerse un plan de 1) um plano de contingência deve ser elaborado

contingencia en caso de que cualquier no caso de uma das partes desejar encerrar
parte desee terminar la relación antes de la a relação antes do final do acordo;
finalización de los acuerdos;
2) renegociación de los acuerdos si los 2) renegociação dos acordos se os requisitos de

requisitos de seguridad de la organización segurança da organização mudarem;
cambian;
3) documentación vigente de las listas de 3) listas atualizadas da documentação dos

activos, licencias, acuerdos o derechos ativos, licenças, acordos ou direitos
relacionados con ellos. relacionados aos ativos.

Los acuerdos pueden variar considerablemente Os acordos podem variar consideravelmente para
para diferentes organizaciones y entre distintos diferentes organizações e entre os diferentes tipos
tipos de terceros. Por lo tanto, debería tenerse de terceiros. Portanto, convém que sejam tomados
cuidado de incluir todos los riesgos y los cuidados para incluir nos acordos todos os riscos
requisitos seguridad identificados (véase el identificados e os requisitos de segurança da
Apartado 6.2.1) en los acuerdos. Cuando sea informação (ver 6.2.1). Onde necessário, os
necesario, los procedimientos y controles procedimentos e controles requeridos podem ser
requeridos pueden ser expandidos en el plan de incluídos em um plano de gestão de segurança da
gestión de la seguridad. informação.
Si la gestión de la seguridad de la información se Se a gestão da segurança da informação for

contrata externamente, los acuerdos deberían terceirizada, convém que os acordos definam como
aclarar como los terceros garantizarán la os terceiros irão garantir que a segurança da
seguridad adecuada, tal como lo definió la informação, conforme definida na análise/avaliação
evaluación de riesgos, cómo será mantenida y de riscos, será mantida e como a segurança da
cómo será adaptada la seguridad para identificar informação será adaptada para identificar e tratar
y tratar los cambios en los riesgos. com as mudanças aos riscos.
Algunas de las diferencias entre la contratación Algumas das diferenças entre as terceirizações e
externa y otras formas de provisión de servicio as outras formas de provisão de serviços de
por terceros incluyen cuestiones de terceiros incluem a questão das obrigações legais,
responsabilidad, planificación de períodos de o planejamento do período de transição e de
transición y potencial interrupción de operaciones descontinuidade da operação durante este período,
durante ese período, acuerdos sobre planificación planejamento de contingências e análise crítica de
de contingencias y las debidas solicitudes de investigações, e coleta e gestão de incidentes de
revisión, así como la recolección y gestión de segurança da informação. Portanto, é importante
información de los incidentes de seguridad. Por lo que a organização planeje e gerencie a transição
tanto, es importante que la organización para um terceirizado e tenha processos adequados
planifique y gestione la transición hacia un implantados para gerenciar as mudanças e
acuerdo contratado externamente y tenga renegociar ou encerrar os acordos.
procesos adecuados establecidos para la gestión
de los cambios y la renegociación / el término de
acuerdos.
Los procedimientos para continuar procesando en Os procedimentos para continuar processando no

el caso en que el tercero se vuelva incapaz de caso em que o terceiro se torne incapaz de prestar
brindar sus servicios deberían considerase en el o serviço precisam ser considerados no acordo
acuerdo para evitar cualquier demora en la para evitar qualquer atraso nos serviços de
disposición de los servicios de reemplazo. substituição.
Los acuerdos con terceros también pueden Acordos com terceiros podem também envolver
involucrar a otras partes. Los acuerdos que outras partes. Convém que os acordos que
permitan el acceso de terceros deberían incluir concedam o acesso a terceiros incluam permissão
permisos para la designación de otras partes y las para designação de outras partes elegíveis e
condiciones para su acceso y participación. condições para os seus acessos e envolvimento.
27 10.09.2007
Generalmente los acuerdos son desarrollados en De um modo geral os acordos são geralmente
primer término por la organización. Puede haber elaborados pela organização. Podem existir
ocasiones en algunas circunstancias donde un situações onde, em algumas circunstâncias, um
acuerdo puede ser desarrollado e impuesto sobre acordo possa ser elaborado e imposto à
una organización por un tercero. La organización organização pelo terceiro. A organização precisa
necesita asegurarse que su propia seguridad no assegurar que a sua própria segurança da
es impactada innecesariamente por los requisitos informação não é afetada desnecessariamente
del tercero estipulados en los acuerdos pelos requisitos do terceiro, estipulados no acordo
impuestos. imposto.
7 Gestión de activos 7 Gestão de ativos
7.1 Responsabilidad sobre los activos 7.1 Responsabilidade pelos ativos
OBJETIVO: Implementar y mantener una Objetivo: Alcançar e manter a proteção adequada

adecuada protección sobre los activos de la dos ativos da organização.
organización.
Todos los activos deberían tener un responsable Convém que todos os ativos sejam inventariados e
y debería asignarse un propietario a cada uno de tenham um proprietário responsável.
ellos.
Deberían identificarse los propietarios para todos Convém que os proprietários dos ativos sejam
los activos y se debería asignar la identificados e a eles seja atribuída a
responsabilidad del mantenimiento de los responsabilidade pela manutenção apropriada dos
controles apropiados. La implementación de controles. A implementação de controles
controles sobre un activo podría ser delegada por específicos pode ser delegada pelo proprietário,
su propietario pero éste continúa manteniendo la conforme apropriado, porém o proprietário
responsabilidad por la protección del mismo. permanece responsável pela proteção adequada
dos ativos.
7.1.1 Inventario de activos 7.1.1 Inventário dos ativos
Control Controle
Todos los activos deberían ser claramente Convém que todos os ativos sejam claramente
identificados y debería realizarse y mantenerse identificados e um inventário de todos os ativos
un inventario de los activos importantes. importantes seja estruturado e mantido.

La organización debería identificar todos sus Convém que a organização identifique todos os
activos y documentar la importancia de ellos. El ativos e documente a importância destes ativos.
inventario de activos debería incluir toda la Convém que o inventário do ativo inclua todas as
información necesaria en caso de tener que informações necessárias que permitam recuperar
recuperar el activo luego de un desastre. Esto de um desastre, incluindo o tipo do ativo, formato,
incluye tipo de activo, formato, localización, localização, informações sobre cópias de
información del respaldo, información de licencias segurança, informações sobre licenças e a
e importancia para el negocio. Este inventario no importância do ativo para o negócio. Convém que o
debería duplicar innecesariamente otros inventário não duplique outros inventários
inventarios, pero debería garantizarse que el desnecessariamente, porém ele deve assegurar
contenido esté alineado. que o seu conteúdo está coerente.
Asimismo, la propiedad (véase el Apartado 7.1.2) Adicionalmente, convém que o proprietário (ver
y la clasificación (véase el Apartado 7.2) de la 7.1.2) e a classificação da informação (ver 7.2)
información debería ser acordada y documentada sejam acordados e documentados para cada um
para cada uno de los activos. Deberían definirse dos ativos. Convém que, com base na importância
niveles de protección acordes a la importancia del do ativo, seu valor para o negócio e a sua
activo, su relevancia en el negocio y su classificação de segurança, níveis de proteção
28 10.09.2007
clasificación en relación a la seguridad. (Más proporcionais à importância dos ativos sejam

información de cómo valorar los activos para identificados (mais informações sobre como valorar
representar su importancia puede ser encontrada os ativos para indicar a sua importância podem ser
en ISO/IEC TR 13335-3). encontradas na ISO IEC TR 13335-3).

Existen muchos tipos de activos, incluyendo: Existem vários tipos de ativos, incluindo:
a) información: archivos y bases de datos, a) ativos de informação: base de dados e arquivos,

contratos y acuerdos, documentación de contratos e acordos, documentação de sistema,
sistemas, información de investigaciones, informações sobre pesquisa, manuais de usuário,
manuales de usuario, material de entrenamiento, material de treinamento, procedimentos de suporte
procedimientos operativos o de soportes, planes ou operação, planos de continuidade do negócio,
de continuidad del negocio, procedimientos de procedimentos de recuperação, trilhas de auditoria
vuelta atrás (fallback), pistas de auditoría e e informações armazenadas;
información archivada;
b) activos de software: software de aplicación, b) ativos de software: aplicativos, sistemas,

software de sistemas, herramientas de desarrollo ferramentas de desenvolvimento e utilitários;
y utilitarios;
c) activos físicos: computadoras, equipos de c) ativos físicos: equipamentos computacionais,

comunicaciones, medios removibles y otros equipamentos de comunicação, mídias removíveis
equipos; e outros equipamentos;
d) servicios: servicios de procesamiento y d) serviços: serviços de computação e

comunicaciones, servicios generales por ejemplo: comunicações, utilidades gerais, por exemplo
calefacción, iluminación, suministro de energía y aquecimento, iluminação, eletricidade e
aire acondicionado; refrigeração;
e) recursos humanos, y su calificación, e) pessoas e suas qualificações, habilidades e

habilidades y experiencia; experiências;
f) intangibles, tales como reputación e imagen de f) intangíveis, tais como a reputação e a imagem da
la organización. organização.
Los inventarios de activos ayudan a garantizar Os inventários de ativos ajudam a assegurar que a
que se logra la protección eficaz de los activos proteção efetiva do ativo pode ser feita e também
pero también pueden ser requeridos para otros pode ser requerido para outras finalidades do
propósitos del negocio, como por ejemplo por negócio, como saúde e segurança, seguro ou
razones de salud y seguridad, financieras o de financeira (gestão de ativos). O processo de
seguros (gestión de activos). El proceso de compilação de um inventário de ativos é um pré-
compilar un inventario de activos es un requisito importante no gerenciamento de riscos
prerrequisito importante de la gestión de riesgos (ver Seção 4).
(véase también Cláusula 4).
7.1.2 Propiedad de los activos 7.1.2 Proprietário dos ativos
Control Controle
Toda la información y los activos asociados con Convém que todas as informações e ativos
las instalaciones de procesamiento de la associados com os recursos de processamento da
información deberían pertenecer a un propietario1) informação tenham um proprietário1) designado por
designado por la organización. uma parte definida da organização.
_______________ __________________
1) 1)
El término propietario identifica un individuo o entidad que ha O termo “proprietário” identifica uma pessoa ou organismo que
probado habilidades de gestión para controlar la producción, tenha uma responsabilidade autorizada para controlar a
desarrollo, mantenimiento, uso y seguridad de un activo. El produção, o desenvolvimento, a manutenção, o uso e a
término propietario no significa que la persona tiene segurança dos ativos. O termo "proprietário" não significa que a
efectivamente derechos de propiedad sobre el activo. pessoa realmente tenha qualquer direito de propriedade ao
ativo.
29 10.09.2007

El propietario de un activo debería ser Convém que o proprietário do ativo seja
responsable de: responsável por:
a) asegurar que la información y los activos a) assegurar que as informações e os ativos

asociados con las instalaciones de procesamiento associados com os recursos de processamento da
de la información son clasificados en forma informação estejam adequadamente classificados;
apropiada;
b) definir y revisar periódicamente restricciones y b) definir e periodicamente analisar criticamente as

clasificación del acceso al activo teniendo en classificações e restrições ao acesso, levando em
cuenta las políticas aplicables de control de conta as políticas de controle de acesso, aplicáveis.
acceso.
La propiedad puede ser asignada a: O proprietário pode ser designado para:
a) a un procesos de negocio; a) um processo do negócio;
b) a un conjuntos definido de actividades; b) um conjunto de atividades definidas;
c) a una aplicación; c) uma aplicação; ou
d) a un conjunto definido de datos. d) um conjunto de dados definido.

Las tareas rutinarias pueden ser delegadas, por As tarefas de rotina podem ser delegadas, por
ejemplo, a un guardia que vigile el activo exemplo, para um custodiante que cuida do ativo
diariamente, pero la responsabilidad continua no dia-a-dia, porém a responsabilidade permanece
siendo del propietario. com o proprietário.
En sistemas de información complejos puede Em sistemas de informação complexos pode ser

resultar útil designar un grupo de activos, los útil definir grupos de ativos que atuem juntos para
cuales actúan en forma conjunta para proveer fornecer uma função particular, como serviços.
una función particular como un “servicio”. En este Neste caso, o proprietário do serviço é o
caso el propietario del servicio es responsable por responsável pela entrega do serviço, incluindo o
la entrega del mismo, incluido el funcionamiento funcionamento dos ativos, que provê os serviços.
de los activos que lo proveen.
7.1.3 Uso aceptable de los activos 7.1.3 Uso aceitável dos ativos
Control Controle
Deberían ser identificadas, documentadas e Convém que sejam identificadas, documentadas e
implementadas reglas para el uso aceptable de la implementadas regras para que sejam permitidos o
información y de los activos asociados con las uso de informações e de ativos associados aos
instalaciones de procesamiento de la información. recursos de processamento da informação.

Todos los empleados, contratistas, y usuarios de Convém que todos os funcionários, fornecedores e
terceras partes deberían seguir las reglas para el terceiros sigam as regras para o uso permitido de
uso aceptable de la información y de los activos informações e de ativos associados aos recursos
asociados con las instalaciones de procesamiento de processamento da informação, incluindo:
de la información, incluyendo:
a) reglas para el uso del correo electrónico e a) regras para o uso da internet e do correio
Internet (véase el Apartado 10.8); eletrônico (ver 10.8);
b) directrices para el uso de dispositivos móviles, b) diretrizes para o uso de dispositivos móveis,
especialmente para el uso fuera del la especialmente para o uso fora das instalações da
30 10.09.2007
organización (véase el Apartado 11.7.1). organização (ver 11.7.1).
El director correspondiente debería suministrar Convém que regras específicas ou diretrizes sejam
las reglas o directrices específicas. Los fornecidas pelo gestor relevante. Convém que
empleados, contratistas y usuarios de terceras funcionários, fornecedores e terceiros que usem ou
partes que utilicen o tengan acceso a los activos tenham acesso aos ativos da organização estejam
de la organización deberían estar conscientes de conscientes dos limites que existem para os usos
los límites que existen para el uso de la das informações e ativos associados da
información y de los activos de la organización organização aos recursos de processamento da
asociados con las instalaciones de procesamiento informação. Convém que eles sejam responsáveis
de información, así como de los recursos. pelo uso de quaisquer recursos de processamento
Deberían responsabilizarse del uso que hagan de da informação e de quaisquer outros usos
los recursos de procesamiento de información y conduzidos sob a suas responsabilidades.
de cualquier uso efectuado bajo su
responsabilidad.
7.2 Clasificación de la información 7.2 Classificação da informação
OBJETIVO: Asegurar que la información recibe el Objetivo: Assegurar que a informação receba um
nivel de protección adecuado. nível adequado de proteção.
La información debería clasificarse para indicar la Convém que a informação seja classificada para
necesidad, prioridades y grado de protección indicar a necessidade, prioridades e o nível
esperado en el manejo de la misma. esperado de proteção quando do tratamento da
informação.
La información tiene grados variables de
sensibilidad y criticidad. Algunos elementos de A informação possui vários níveis de sensibilidade
información pueden requerir un nivel adicional de e criticidade. Alguns itens podem necessitar um
protección o un manejo especial. Debería nível adicional de proteção ou tratamento especial.
utilizarse un sistema de clasificación de la Convém que um sistema de classificação da
información para definir un conjunto de niveles de informação seja usado para definir um conjunto
protección adecuados, y comunicar la necesidad apropriado de níveis de proteção e determinar a
de medidas especiales de manejo. necessidade de medidas especiais de tratamento.
7.2.1 Directrices de clasificación 7.2.1 Recomendações para classificação
Control Controle
La información debería clasificarse en términos Convém que a informação seja classificada em
de su valor, requisitos legales, sensibilidad y termos do seu valor, requisitos legais, sensibilidade
criticidad para la organización. e criticidade para a organização.

La clasificación de información y otros controles Convém que a classificação da informação e seus
de protección asociados deberían tener en cuenta respectivos controles de proteção levem em
que el negocio necesita compartir o restringir la consideração as necessidades de
información, así como los impactos en el negocio compartilhamento ou restrição de informações e os
asociados a esas necesidades. respectivos impactos nos negócios, associados
com tais necessidades.
Las directrices de clasificación deberían incluir Convém que as diretrizes para classificação
convenciones para la clasificación inicial y incluam convenções para classificação inicial e
reclasificación a lo largo del tiempo, de acuerdo reclassificação ao longo do tempo, de acordo com
con políticas predeterminadas de control de algumas políticas de controle de acesso
acceso (véase el Apartado 11.1.1). predeterminadas (ver 11.1.1).
Debería ser responsabilidad del propietario del Convém que seja de responsabilidade do
activo (véase el Apartado 7.2.1) definir la proprietário do ativo (ver 7.1.2) definir a
clasificación del activo, revisarla periódicamente y classificação de um ativo, analisando-o
31 10.09.2007
asegurar que esté actualizada y en el nivel criticamente a intervalos regulares, e assegurar que
apropiado. La clasificación debería tener en ele está atualizado e no nível apropriado. Convém
cuanta el efecto de acumulación mencionado en que a classificação leve em consideração a
el Apartado 10.7.2. agregação do efeito mencionado em 10.7.2.
Debería considerarse el número de categorías de Convém que cuidados sejam tomados com a
clasificación y los beneficios obtenidos con su quantidade de categorias de classificação e com os
uso. Los esquemas demasiado complejos pueden benefícios obtidos pelo seu uso. Esquemas
volverse engorrosos y de uso costoso o no ser excessivamente complexos podem tornar o uso
prácticos. Debería interpretarse cuidadosamente incômodo e ser inviáveis economicamente ou
las etiquetas de clasificación que aparezcan en impraticáveis. Convém que atenção especial seja
documentos de otras organizaciones que pueden dada na interpretação dos rótulos de classificação
tener distintas definiciones para etiquetas iguales sobre documentos de outras organizações, que
o similares. podem ter definições diferentes para rótulos iguais
ou semelhantes aos usados.

El nivel de protección se asegura mediante el O nível de proteção pode ser avaliado analisando a
análisis de confidencialidad, integridad y confidencialidade, a integridade e a disponibilidade
disponibilidad y otros requisitos relativos a la da informação, bem como quaisquer outros
información considerada. requisitos que sejam considerados.
La información suele dejar de tener importancia o A informação freqüentemente deixa de ser sensível
criticidad tras cierto tiempo, por ejemplo, cuando ou crítica após um certo período de tempo, por
se ha hecho pública. Estos aspectos deberían exemplo quando a informação se torna pública.
considerarse, puesto que una sobre-clasificación Convém que estes aspectos sejam levados em
conllevaría un gasto adicional innecesario. consideração, pois uma classificação
superestimada pode levar à implementação de
custos desnecessários, resultando em despesas
adicionais.
Cuando se asignan niveles de clasificación, la Considerar, conjuntamente, documentos com

consideración de documentos con similares requisitos de segurança similares, quando da
requisitos de seguridad en forma conjunta facilita atribuição dos níveis de classificação, pode ajudar
la tarea de clasificación. a simplificar a tarefa de classificação.
En general, la clasificación dada a la información Em geral, a classificação dada à informação é uma

constituye una forma práctica de determinar la maneira de determinar como esta informação vai
manera que la información debería ser tratada y ser tratada e protegida.
protegida.
7.2.2 Etiquetado y manejo de la información 7.2.2 Rótulos e tratamento da informação
Control Controle
Debería desarrollarse e implementarse un Convém que um conjunto apropriado de
conjunto apropiado de procedimientos para el procedimentos para rotulação e tratamento da
etiquetado y manejo de la información de acuerdo informação seja definido e implementado de acordo
al esquema de clasificación adoptado por la com o esquema de classificação adotado pela
organización. organização.

Los procedimientos para el etiquetado de la Os procedimentos para rotulação da informação
información han de cubrir los activos de precisam abranger tanto os ativos de informação
información en formato físico y electrónico. no formato físico quanto no eletrônico.
La salida procedente de los sistemas que traten Convém que as saídas de sistemas que contêm
información clasificada como sensible o crítica informações classificadas como sensíveis ou
deberían llevar una etiqueta de clasificación críticas tenham o rótulo apropriado da classificação
adecuada (en la salida). El etiquetado debería da informação (na saída). Convém que o rótulo
32 10.09.2007
reflejar la clasificación de acuerdo con las reglas reflita a classificação de acordo com as regras
establecidas en el Apartado 7.2.1. Los elementos estabelecidas em 7.2.1. Itens que devem ser
a considerar incluyen informes impresos, considerados incluem relatórios impressos, telas,
presentaciones en pantalla, medios de mídias magnéticas (fitas, discos, CD), mensagens
almacenamiento (cintas, discos, CDs), mensajes eletrônicas e transferências de arquivos.
electrónicos y transferencias de archivos.
Para cada nivel de clasificación deberían definirse Convém que sejam definidos, para cada nível de
procedimientos para el manejo de la información, classificação, procedimentos para o tratamento da
incluyendo procedimientos seguros de, informação que contemplem o processamento
almacenamiento, transmisión, desclasificación y seguro, a armazenagem, a transmissão, a
destrucción. Esto debería incluir los reclassificação e a destruição. Convém que isto
procedimientos para la cadena de custodia y el também inclua os procedimentos para a cadeia de
registro de cualquier evento relevante en cuanto a custódia e registros de qualquer evento de
su seguridad. segurança relevante.
Los acuerdos con otras organizaciones que Convém que acordos com outras organizações,
impliquen compartir información deberían incluir que incluam o compartilhamento de informações,
procedimientos para identificar la clasificación de considerem procedimentos para identificar a
dicha información y para interpretar las etiquetas classificação daquela informação e para interpretar
de clasificación de otras organizaciones. os rótulos de classificação de outras organizacões.

El etiquetado y manejo seguro de la información A rotulação e o tratamento seguro da classificação
es un requisito clave para acuerdos que impliquen da informação é um requisito-chave para os
compartir información. Las etiquetas físicas procedimentos de compartilhamento da
suelen ser la forma más común de etiquetado. Sin informação. Os rótulos físicos são uma forma usual
embargo, ciertos activos de información, como los de rotulação. Entretanto, alguns ativos de
documentos en formato electrónico no pueden informação, como documentos em forma
marcarse físicamente y hay que usar medios eletrônica, não podem ser fisicamente rotulados,
electrónicos de marcado, por ejemplo, sendo necessário usar um rótulo eletrônico. Por
desplegando marcas de notificación en la exemplo, a notificação do rótulo pode aparecer na
pantalla. En donde el marcado no es posible, tela ou no display. Onde a aplicação do rótulo não
pueden aplicarse otras maneras para la for possível, outras formas de definir a classificação
clasificación, por ejemplo, por la vía de da informação podem ser usadas, por exemplo, por
procedimientos o meta-data. meio de procedimentos ou metadados.
8 Seguridad ligada a los recursos 8 Segurança em recursos humanos

humanos
8.1 Previo al empleo1) 8.1 Antes da contratação1)
OBJETIVO: Asegurar que los empleados, Objetivo: Assegurar que os funcionários,

contratistas y usuarios de terceras partes fornecedores e terceiros entendam suas
entiendan sus responsabilidades, y que sean responsabilidades e estejam de acordo com os
aptos para los roles para los cuales están siendo seus papéis, e reduzir o risco de furto ou roubo,
considerados, y para reducir el riesgo de hurto, fraude ou mau uso de recursos.
fraude o mal uso de las instalaciones.
Las responsabilidades de seguridad deberían ser Convém que as responsabilidades pela segurança
tratadas antes de tomar personal en da informação sejam atribuídas antes da
descripciones adecuadas de tareas y en términos contratação, de forma adequada, nas descrições
y condiciones de empleo. de cargos e nos termos e condições de
contratação.
1) Explicación: La palabra "empleo" se utiliza aquí para cubrir 1) Explicação: A palavra “contratação”, neste contexto, visa
todas las diferentes situaciones siguientes: empleo de cobrir todas as seguintes diferentes situações: contratação de
personas (temporales o a largo plazo), nombramiento de roles pessoas (temporárias ou por longa duração), nomeação de
de trabajo, cambio de roles de trabajo, asignaciones de funções, mudança de funções, atribuições de contratos e
contratistas, y la terminación de cualquiera de estos acuerdos. encerramento de quaisquer destas situações.
33 10.09.2007
Todos los candidatos para el empleo, contratistas Convém que todos os candidatos ao emprego,
y usuarios de terceras partes deberían ser fornecedores e terceiros sejam adequadamente
filtrados adecuadamente, especialmente para analisados, especialmente em cargos com acesso
tareas sensibles. a informações sensíveis.
Usuarios de instalaciones de procesamiento de Convém que todos os funcionários, fornecedores e

información, ya sea empleados, contratistas y de terceiros, usuários dos recursos de processamento
terceras partes deberían firmar un acuerdo sobre da informação, assinem acordos sobre seus papéis
sus roles y responsabilidades de seguridad. e responsabilidades pela segurança da informação.
8.1.1 Roles y responsabilidades 8.1.1 Papéis e responsabilidades
Control Controle
Los roles y responsabilidades de seguridad de Convém que papéis e responsabilidades pela
usuarios empleados, contratistas y de terceras segurança da informação de funcionários,
partes deberían ser definidos y documentados de fornecedores e terceiros sejam definidos e
acuerdo con la política de seguridad de la documentados de acordo com a política de
información de la organización. segurança da informação da organização.

Los roles y responsabilidades de seguridad Convém que os papéis e responsabilidades pela
deberían incluir la exigencia de: segurança da informação incluam requisitos para:
a) implementar y actuar de acuerdo con las a) implementar e agir de acordo com as políticas de
políticas de seguridad de la información de la segurança da informação da organização (ver 5.1);
organización (véase Apartado 5.1);
b) proteger los activos de accesos no autorizados, b) proteger ativos contra acesso não autorizado,
divulgación, modificación, destrucción o divulgação, modificação, destruição ou
interferencia; interferência;
c) ejecutar procesos o actividades particulares de c) executar processos ou atividades particulares de

seguridad; segurança da informação;
d) asegurar que la responsabilidad sea asignada d) assegurar que a responsabilidade é atribuída à

al individuo por acciones tomadas; pessoa para tomada de ações;
e) reportar eventos de seguridad o eventos e) relatar eventos potenciais ou reais de segurança

potenciales u otros riesgos de seguridad para la da informação ou outros riscos de segurança para
organización. a organização.
Los roles y responsabilidades de seguridad Convém que papéis e responsabilidades de

deberían ser definidos y claramente comunicados segurança da informação sejam definidos e
a los candidatos al puesto durante el proceso de claramente comunicados aos candidatos a cargos,
pre-empleo. durante o processo de pré-contratação.

Las descripciones de tareas pueden ser usadas Descrições de cargos podem ser usadas para
para documentar roles y responsabilidades de documentar responsabilidades e papéis pela
seguridad. Los roles y responsabilidades de segurança da informação. Convém que papéis e
seguridad para individuos no involucrados vía el responsabilidades pela segurança da informação
proceso de empleo de la organización, por para pessoas que não estão engajadas por meio
ejemplo involucrados vía una organización de do processo de contratação da organização, como,
terceras partes, deberían también ser claramente por exemplo, através de uma organização
definidos y comunicados. terceirizada, sejam claramente definidos e
comunicados.
34 10.09.2007
8.1.2 Selección 8.1.2 Seleção
Control Controle
Debería realizarse la verificación de antecedentes Convém que verificações do histórico de todos os
en todos los candidatos al empleo, contratistas, y candidatos a emprego, fornecedores e terceiros
usuarios de terceras partes de acuerdo con las sejam realizadas de acordo com a ética, as leis e
leyes, regulaciones y normas éticas relevantes y as regulamentações pertinentes, e proporcionais
en proporción a los requisitos del negocio, la aos requisitos do negócio, à classificação das
clasificación de la información a ser accedida, y informações a serem acessadas e aos riscos
los riesgos percibidos. percebidos.

Los chequeos de verificación deberían tener en Convém que as verificações levem em
cuenta toda la legislación relevante sobre consideração toda a legislação pertinente relativa à
privacidad, protección de datos personales y/o privacidade, proteção de dados pessoais e/ou
relativa a empleo, y debería, donde sea permitido, emprego, e onde permitido, incluam os seguintes
incluir lo siguiente: itens:
a) disponibilidad de referencias satisfactorias, por a) disponibilidade de referências de caráter

ejemplo una de negocios y una personal; satisfatórias, por exemplo uma profissional e uma
pessoal;
b) una comprobación (para integridad y exactitud) b) uma verificação (da exatidão e inteireza) das
del currículum vitae del postulante; informações do curriculum vitae do candidato;
c) confirmación de las calificaciones académicas c) confirmação das qualificações acadêmicas e

y profesionales declaradas; profissionais;
d) comprobación independiente de identidad d) verificação independente da identidade

(pasaporte o documento similar); (passaporte ou documento similar);
e) comprobaciones más detalladas, tales como e) verificações mais detalhadas, tais como
verificación de crédito o antecedentes criminales. verificações financeiras (de crédito) ou verificações
de registros criminais.
Cuando una tarea, tanto en un nombramiento Convém que a organização também faça
inicial o en un ascenso, involucre que la persona verificações mais detalhadas, onde um trabalho
tenga acceso a instalaciones de procesamiento envolver pessoas, tanto por contratação como por
de información, y en particular si éstas están promoção, que tenham acesso aos recursos de
manejando información sensible, por ejemplo processamento da informação, em particular
información financiera o altamente confidencial, la aquelas que tratam de informações sensíveis, tais
organización debería también considerar como informações financeiras ou informações
comprobaciones adicionales más detalladas. altamente confidenciais.
Los procedimientos deberían definir criterios y Convém que os procedimentos definam critérios e
limitaciones para comprobaciones de verificación, limitações para as verificações de controle, por
por ejemplo, quién es elegible para seleccionar exemplo, quem está qualificado para selecionar as
personal, y cómo, cuándo y por qué se han de pessoas, e como, quando e por que as verificações
realizar las comprobaciones de verificación. de controle são realizadas.
Debería también realizarse un proceso de Convém que um processo de seleção também seja
selección para contratistas, y usuarios de terceras feito para fornecedores e terceiros. Quando essas
partes. Donde los contratistas sean provistos a pessoas vêm por meio de uma agência, convém
través de una agencia, el contrato con la agencia que o contrato especifique claramente as
debería especificar claramente las responsabilidades da agência pela seleção e os
responsabilidades de la agencia para selección y procedimentos de notificação que devem ser
los procedimientos de notificación que ellos seguidos se a seleção não for devidamente
necesitan seguir si la selección no ha sido concluída ou quando os resultados obtidos forem
35 10.09.2007
completada o si los resultados ocasionan duda o motivos de dúvidas ou preocupações.

preocupación. De la misma manera, el acuerdo Do mesmo modo, convém que acordos com
con terceras partes (véase también el Apartado terceiros (ver 6.2.3) especifiquem claramente todas
6.2.3) debería especificar claramente todas las as responsabilidades e procedimentos de
responsabilidades y procedimientos de notificação para a seleção.
notificación para selección.
Debería recopilarse la información de todos los Convém que informações sobre todos os
candidatos a ser considerados para posiciones candidatos que estão sendo considerados para
dentro de la organización y debería ser manejada certas posições dentro da organização sejam
de acuerdo con toda legislación apropiada levantadas e tratadas de acordo com qualquer
existente en la jurisdicción relevante. legislação apropriada existente na jurisdição
Dependiendo de la legislación aplicable, los pertinente. Dependendo da legislação aplicável,
candidatos deberían ser informados con convém que os candidatos sejam previamente
antelación sobre las actividades de selección. informados sobre as atividades de seleção.
8.1.3 Términos y condiciones de empleo 8.1.3 Termos e condições de contratação
Control Controle
Como parte de su obligación contractual, los Como parte das suas obrigações contratuais,
empleados, contratistas y usuarios de terceras convém que os funcionários, fornecedores e
partes deberían acordar y firmar los términos y terceiros concordem e assinem os termos e
condiciones de su contrato de empleo, el cual condições de sua contratação para o trabalho, os
debería declarar las responsabilidades de él y de quais devem declarar as suas responsabilidades e
la organización para la seguridad de la a da organização para a segurança da informação.
información.

Los términos y condiciones de empleo deberían Convém que os termos e condições de trabalho
reflejar la política de seguridad de la organización reflitam a política de segurança da organização,
además de aclarar y enunciar: esclarecendo e declarando:
a) que todos los empleados, contratistas y a) que todos os funcionários, fornecedores e

usuarios de terceras partes a los cuales se le de terceiros que tenham acesso a informações
acceso a información sensible deberían firmar un sensíveis assinem um termo de confidencialidade
acuerdo de confidencialidad o de no-divulgación ou de não divulgação antes de lhes ser dado o
previamente a ser otorgado el acceso a las acesso aos recursos de processamento da
instalaciones de procesamiento de información; informação;
b) las responsabilidades y derechos legales de b) as responsabilidades legais e direitos dos

empleados, contratistas y todo otro usuario, como funcionários, fornecedores e quaisquer outros
por ejemplo relativas a derechos de copia o usuários, por exemplo, com relação às leis de
legislación de protección de datos (véase también direitos autorais ou à legislação de proteção de
los Apartados 15.1.1 y 15.1.2); dados (ver 15.1.1 e 15.1.2);
c) responsabilidades para la clasificación de c) as responsabilidades pela classificação da

información y gestión de activos de la informação e pelo gerenciamento dos ativos da
organización asociados a sistemas y servicios de organização associados com os sistemas de
información manejados por el empleado, el informação e com os serviços conduzidos pelos
contratista o el usuario de terceras partes (véase funcionários, fornecedores ou terceiros (ver 7.2.1 e
también los Apartados 7.2.1 y 10.7.3); 10.7.3);
d) responsabilidades del empleado, contratista o d) as responsabilidades dos funcionários,

usuario de terceras partes por el manejo de fornecedores e terceiros pelo tratamento da
información recibida de otras organizaciones o informação recebida de outras companhias ou de
partes externas; partes externas;
e) responsabilidades de la organización para el e) responsabilidades da organização pelo

manejo de información personal, incluyendo tratamento das informações pessoais, incluindo
36 10.09.2007
información personal creada como resultado o informações pessoais criadas como resultado de,
durante el contrato laboral con la organización ou em decorrência da, contratação com a
(véase también el Apartado 15.1.4); organização (ver 15.1.4);
f) responsabilidades que se extiendan fuera de f) responsabilidades que se estendem para fora

las instalaciones de la organización y fuera del das dependências da organização e fora dos
horario normal de trabajo, por ejemplo en el caso horários normais de trabalho, como, por exemplo,
de trabajo en el domicilio (véase también los nos casos de execução de trabalhos em casa (ver
Apartados 9.2.5 y 11.7.1); 9.2.5 e 11.7.1);
g) acciones a ser tomadas si el empleado, g) ações a serem tomadas no caso de o

contratista o usuario de terceras partes funcionário, fornecedor ou terceiro desrespeitar os
desatiende los requisitos de seguridad de la requisitos de segurança da informação da
organización (véase también el Apartado 8.2.3). organização (ver 8.2.3).
h) La organización debería asegurar que los h) Convém que a organização assegure que os
empleados, contratistas y usuarios de terceras funcionários, fornecedores e terceiros concordam
partes acuerden en los términos y condiciones com os termos e condições relativas à segurança
concernientes a la seguridad de la información da informação adequados à natureza e extensão
apropiada a la naturaleza y extensión de acceso do acesso que eles terão aos ativos da
que ellos tendrán a los activos de la organización organização associados com os sistemas e
asociados con los sistemas y servicios de serviços de informação.
información.
Cuando sea apropiado, las responsabilidades Convém que as responsabilidades contidas nos
contenidas dentro de los términos y condiciones termos e condições de contratação continuem por
de empleo deberían continuar por un período um período de tempo definido, após o término da
definido luego de la finalización del empleo contratação (ver 8.3), onde apropriado.
(véase también el Apartado 8.3).

Se puede usar un código de conducta para cubrir Um código de conduta pode ser usado para
las responsabilidades de los empleados, contemplar as responsabilidades dos funcionários,
contratistas y usuarios de terceras partes fornecedores ou terceiros, em relação à
referentes a confidencialidad, protección de confidencialidade, proteção de dados, éticas, uso
datos, normas éticas, uso apropiado de los apropriado dos recursos e dos equipamentos da
equipos e instalaciones de la organización, organização, bem como práticas de boa conduta
además de prácticas honestas esperadas por la esperada pela organização. O fornecedor ou o
organización. Los usuarios contratistas o de terceiro pode estar associado com uma
terceras partes pueden estar asociados con una organização externa que possa, por sua vez, ser
organización externa que a su vez puede requerir solicitada a participar de acordos contratuais, em
ingresar en acuerdos contractuales en nombre del nome do contratado.
individuo contratado.
8.2 Durante el empleo 8.2 Durante a contratação
OBJETIVO: Asegurar que los empleados, Objetivo: Assegurar que os funcionários,

contratistas y usuarios de terceras partes sean fornecedores e terceiros estão conscientes das
conscientes de las amenazas y la pertinencia de ameaças e preocupações relativas à segurança da
la seguridad de la información, de sus informação, suas responsabilidades e obrigações,
responsabilidades y obligaciones, y estén e estão preparados para apoiar a política de
equipados para sustentar la política de seguridad segurança da informação da organização durante
de la organización en el curso de su trabajo os seus trabalhos normais, e para reduzir o risco de
normal, y para reducir el riesgo de errores erro humano.
humanos.
Las responsabilidades de la dirección deberían Convém que as responsabilidades pela direção

ser definidas para asegurar que la seguridad se sejam definidas para garantir que a segurança da
aplica a lo largo del empleo de un individuo dentro informação é aplicada em todo trabalho individual
37 10.09.2007
de una organización. dentro da organização.
Debería proveerse a todos los empleados, Convém que um nível adequado de

contratistas y usuarios de terceras partes un nivel conscientização, educação e treinamento nos
adecuado de concientización, educación, y procedimentos de segurança da informação e no
formación en procedimientos de seguridad y en el uso correto dos recursos de processamento da
uso correcto de instalaciones de procesamiento informação seja fornecido para todos os
de información, para minimizar los posibles funcionários, fornecedores e terceiros, para
riesgos de seguridad. Debería establecerse un minimizar possíveis riscos de segurança da
proceso disciplinario formal para manejar brechas informação. Convém que um processo disciplinar
de seguridad. formal para tratar das violações de segurança da
informação seja estabelecido.
8.2.1 Responsabilidades de la dirección 8.2.1 Responsabilidades da direção
Control Controle
La dirección debería requerir a los empleados, Convém que a direção solicite aos funcionários,
contratistas y usuarios de terceras partes que fornecedores e terceiros que pratiquem a
apliquen la seguridad de acuerdo a las políticas y segurança da informação de acordo com o
los procedimientos establecidos por la estabelecido nas políticas e procedimentos da
organización. organização.

Las responsabilidades de la dirección deberían Convém que as responsabilidades da direção
incluir asegurar que los empleados, contratistas y assegurem que os funcionários, fornecedores e
usuarios de terceras partes: terceiros:
a) sean apropiadamente instruidos sobre sus a) estão adequadamente instruídos sobre as suas
roles y responsabilidades de seguridad antes de responsabilidades e papéis pela segurança da
que se les otorgue acceso a información sensible informação antes de obter acesso às informações
o a sistemas de información; sensíveis ou aos sistemas de informação;
b) se les proporcione orientaciones para hacer b) recebam diretrizes que definam quais as
constar las expectativas sobre la seguridad de su expectativas sobre a segurança da informação de
rol dentro de la organización; suas atividades dentro da organização;
c) sean motivados a cumplir con las políticas de c) estão motivados para cumprir com as políticas
seguridad de la organización; de segurança da informação da organização;
d) logren un nivel de conciencia sobre seguridad d) atinjam um nível de conscientização sobre

relevante a sus roles y responsabilidades dentro segurança da informação que seja relevante para
de la organización (véase también el Apartado os seus papéis e responsabilidades dentro da
8.2.2); organização (ver 8.2.2);
e) convengan con los términos y condiciones del e) atendam aos termos e condições de
empleo, lo cual incluye la política de seguridad de contratação, que incluam a política de segurança
la información de la organización y métodos da informação da organização e métodos
apropiados de trabajo; apropriados de trabalho;
f) continúen teniendo aptitudes y calificaciones f) tenham as habilidades e qualificações

apropiadas. apropriadas.

Si los empleados, contratistas y usuarios de Se os funcionários, fornecedores e terceiros não
terceras partes no son concientizados de sus forem conscientizados das suas responsabilidades,
responsabilidades de seguridad, pueden causar eles podem causar consideráveis danos para a
un daño considerable a la organización. El organização. Pessoas motivadas têm uma maior
personal motivado es probable que sea más probabilidade de serem mais confiáveis e de
38 10.09.2007
confiable y ocasione menos incidentes de causar menos incidentes de segurança da

seguridad de la información. informação.
Una gestión pobre puede causar que el personal Uma má gestão pode causar às pessoas o
se sienta subvaluado resultando en un impacto sentimento de sub-valorização, resultando em um
negativo en la seguridad para la organización. Por impacto de segurança da informação negativo para
ejemplo, una gestión pobre puede conducir a a organização. Por exemplo, uma má gestão pode
negligencias en la seguridad o mal uso potencial levar a segurança da informação a ser
de los activos de la organización. negligenciada ou a um potencial mau uso dos
ativos da organização.
8.2.2 Concientización, educación y formación 8.2.2 Conscientização, educação e treinamento

en seguridad de la información em segurança da informação
Control Controle
Todos los empleados de la organización y, donde Convém que todos os funcionários da organização
sea relevante, contratistas y usuarios de terceras e, onde pertinente, fornecedores e terceiros
partes deberían recibir formación adecuada en recebam treinamento apropriados em
concientización y actualizaciones regulares en conscientização, e atualizações regulares nas
políticas y procedimientos organizacionales, políticas e procedimentos organizacionais,
relevantes para su función laboral. relevantes para as suas funções.

La formación en concientización debería Convém que o treinamento em conscientização
comenzar con un proceso de inducción formal comece com um processo formal de indução
ideado para introducir las políticas y expectativas concebido para introduzir as políticas e
de la organización antes de otorgar acceso a expectativas de segurança da informação da
información o servicios. organização, antes que seja dado o acesso às
informações ou serviços.
La formación en curso debería incluir requisitos Convém que os treinamentos em curso incluam
de seguridad, responsabilidades legales y requisitos de segurança da informação,
controles del negocio, así como también responsabilidades legais e controles do negócio,
formación en el uso correcto de instalaciones de bem como o treinamento do uso correto dos
procesamiento de información, como por ejemplo recursos de processamento da informação, como,
procedimiento de conexión (log-on), uso de por exemplo, procedimentos de log-on, o uso de
paquetes de software e información sobre el pacotes de software e informações sobre o
proceso disciplinario (véase el Apartado 8.2.3). processo disciplinar (ver 8.2.3).

Las actividades de concientización, educación y Convém que a conscientização, educação e
formación en seguridad deberían ser adecuadas y treinamento nas atividades de segurança da
relevantes al rol de la persona, responsabilidades informação sejam adequados e relevantes para os
y habilidades, y deberían incluir información sobre papéis, responsabilidades e habilidades da pessoa,
amenazas conocidas, a quién contactar para e que incluam informações sobre conhecimento de
consejos sobre seguridad adicionales y los ameaças, quem deve ser contatado para
canales apropiados para reportar incidentes de orientações sobre segurança da informação e os
seguridad de la información (véase también el canais adequados para relatar os incidentes de
Apartado 13.1). segurança da informação (ver 13.1).
La formación para promover la concientización O treinamento para aumentar a conscientização

tiene como objetivo permitir a los individuos visa permitir que as pessoas reconheçam os
reconocer problemas e incidentes de seguridad problemas e incidentes de segurança da
de la información, y responder de acuerdo a las informação, e respondam de acordo com as
necesidades de su rol laboral. necessidades do seu trabalho.
8.2.3 Proceso disciplinario 8.2.3 Processo disciplinar
Control Controle
39 10.09.2007
Debería existir un proceso disciplinario formal Convém que exista um processo disciplinar formal
para empleados que han perpetrado una violación para os funcionários que tenham cometido uma
a la seguridad. violação da segurança da informação.

El proceso disciplinario no debería comenzar sin Convém que o processo disciplinar não inicie sem
una verificación previa de que la violación a la uma verificação prévia de que a violação da
seguridad ha ocurrido (véase también el Apartado segurança da informação realmente ocorreu (ver
13.2.3 por recolección de evidencia). 13.2.3 em coleta de evidências).
El proceso disciplinario formal debería asegurar Convém que o processo discipline formal assegure
un tratamiento correcto y justo para los um tratamento justo e correto aos funcionários que
empleados de los cuales se sospecha que han são suspeitos de cometer violações de segurança
violado la seguridad. El proceso disciplinario da informação. O processo disciplinar formal deve
formal debería proveer una respuesta graduada dar uma resposta de forma gradual, que leve em
que tome en consideración factores tales como la consideração fatores como a natureza e a
naturaleza y gravedad de la violación y su gravidade da violação e o seu impacto no negócio,
impacto en el negocio, si es la primera ofensa o se este é ou não o primeiro delito, se o infrator foi
una repetición, si el violador fue apropiadamente ou não adequadamente treinado, as legislações
entrenado, legislación relevante, contratos del relevantes, os contratos do negócio e outros fatores
negocio y otros factores que se requieran. En conforme requerido. Em casos sérios de má
casos serios de mal comportamiento el proceso conduta, convém que o processo permita a
debería permitir remoción instantánea de tareas, imediata remoção das atribuições, direitos de
derechos de acceso y privilegios, e inmediata acesso e privilégios e, dependendo da situação,
escolta fuera del sitio, si es necesario. solicitar à pessoa, a saída imediata das
dependências da organização, escoltando-a.

El proceso disciplinario debería también ser Convém que o processo discipline também seja
usado como disuasión para prevenir que los usado como uma forma de dissuasão, para evitar
empleados, contratistas y usuarios de terceras que os funcionários, fornecedores e terceiros
partes violen las políticas y procedimientos de violem os procedimentos e as políticas de
seguridad organizacionales, y cualquier otra segurança da informação da organização, e
violación de seguridad. quaisquer outras violações na segurança.
8.3 Finalización o cambio de la relación laboral 8.3 Encerramento ou mudança da contratação

o empleo
OBJETIVO: Asegurar que los empleados, Objetivo: Assegurar que funcionários, fornecedores
contratistas o usuarios de terceras partes se e terceiros deixem a organização ou mudem de
desvinculen de una organización o cambien su trabalho de forma ordenada.
relación laboral de una forma ordenada.
Deberían existir responsabilidades para asegurar Convém que responsabilidades sejam definidas
que la desvinculación de la organización por parte para assegurar que a saída de funcionários,
de un empleado, contratista o usuarios de fornecedores e terceiros da organização seja feita
terceras partes sea gestionada, y que sea de modo controlado e que a devolução de todos os
completada la devolución de todo equipamiento y equipamentos e a retirada de todos os direitos de
la remoción de todos los derechos de acceso. acesso estão concluídas.
Los cambios en las responsabilidades y en las Convém que as mudanças de responsabilidades e

relaciones laborales dentro de una organización de trabalhos dentro de uma organização sejam
deberían ser gestionados como la finalización de gerenciadas quando do encerramento da
la respectiva responsabilidad o relación laboral en respectiva responsabilidade ou trabalho de acordo
línea con esta sección, y toda nueva contratación com esta Seção, e quaisquer novos trabalhos
debería ser gestionada como se describe en el sejam gerenciados conforme descrito em 8.1.
Apartado 8.1.
40 10.09.2007
8.3.1 Responsabilidades en la desvinculación 8.3.1 Encerramento de atividades
Control Controle
Las responsabilidades para realizar la Convém que responsabilidades para realizar o
desvinculación o el cambio de la relación laboral encerramento ou a mudança de um trabalho sejam
deberían ser claramente definas y asignadas. claramente definidas e atribuídas.

La comunicación de las responsabilidades en la Convém que a comunicação de encerramento de
desvinculación debería incluir los requisitos de atividades inclua requisitos de segurança e
seguridad y responsabilidades legales en curso y, responsabilidades legais existentes e, onde
donde sea apropiado, responsabilidades apropriado, responsabilidades contidas em
contenidas dentro de algún acuerdo de quaisquer acordos de confidencialidade (ver 6.1.5)
confidencialidad (véase el Apartado 6.1.5), y los e os termos e condições de trabalho (ver 8.1.3) que
términos y condiciones de empleo (véase el continuem por um período definido após o fim do
Apartado 8.1.3) deberían continuar por un período trabalho do funcionário, do fornecedor ou do
de tiempo luego de la desvinculación del terceiro.
empleado, contratista o usuario de terceras
partes.
Las responsabilidades y deberes válidos aún Convém que as responsabilidades e obrigações

luego de la desvinculación deberían estar contidas nos contratos dos funcionários,
contenidas en el contrato del empleado, fornecedores ou terceiros permaneçam válidas
contratista o usuario de terceras partes. após o encerramento das atividades.
Los cambios en las responsabilidades o en la Convém que as mudanças de responsabilidades ou

relación laboral deberían manejarse de la misma do trabalho sejam gerenciadas quando do
manera que la desvinculación, y la nueva encerramento da respectiva responsabilidade ou do
responsabilidad o relación laboral deberían ser trabalho, e que novas responsabilidades ou
controladas como se describe en el Apartado 8.1. trabalho sejam controladas conforme descrito em
8.1.

La función de recursos humanos generalmente es A função de Recursos Humanos é geralmente
responsable por el proceso completo de responsável pelo processo global de encerramento
desvinculación laboral y trabaja junto con el e trabalha em conjunto com o gestor responsável
supervisor de la persona que egresa para pela pessoa que está saindo, para gerenciar os
gestionar los aspectos de seguridad de los aspectos de segurança da informação dos
procedimientos relevantes. En el caso de un procedimentos pertinentes. No caso de um
contratista, este proceso de responsabilidad en la fornecedor, o processo de encerramento de
finalización puede ser llevado a cabo por una atividades pode ser realizado por uma agência
agencia responsable por el contratista, y en el responsável pelo fornecedor e, no caso de um
caso de otro usuario esto puede ser gestionado outro usuário, isto pode ser tratado pela sua
por su organización. organização.
Puede ser necesario informar a los empleados, Pode ser necessário informar aos funcionários,
clientes, contratistas, o usuarios de terceras clientes, fornecedores ou terceiros sobre as
partes de los cambios en los acuerdos operativos mudanças de pessoal e procedimentos
y de personal. operacionais.
8.3.2 Devolución de activos 8.3.2 Devolução de ativos
Control Controle
Todos los empleados, contratistas y usuarios de Convém que todos os funcionários, fornecedores e
terceras partes deberían devolver todos los terceiros devolvam todos os ativos da organização
activos pertenecientes a la organización que que estejam em sua posse, após o encerramento
estén en su poder como consecuencia de la de suas atividades, do contrato ou acordo.
finalización de su relación laboral, contrato o
acuerdo.
41 10.09.2007

El proceso de desvinculación debería ser Convém que o processo de encerramento de
formalizado para incluir la devolución de todo atividades seja formalizado para contemplar a
software, documentos corporativos, y devolução de todos os equipamentos, documentos
equipamiento proporcionados previamente. Otros corporativos e software entregues à pessoa. Outros
activos organizacionales tales como dispositivos ativos da organização, tais como dispositivos de
móviles de computación, tarjetas de crédito, computação móvel, cartões de créditos, cartões de
tarjetas de acceso, software, manuales, e acesso, software, manuais e informações
información almacenada en medios electrónicos armazenadas em mídia eletrônica, também
también deben ser devueltos. precisam ser devolvidos.
En casos en que el empleado, contratista o No caso em que um funcionário, fornecedor ou

usuario de terceras partes compra el terceiro compre o equipamento da organização ou
equipamiento de la organización o utiliza su use o seu próprio equipamento pessoal, convém
equipamiento personal, se deben seguir que procedimentos sejam adotados para assegurar
procedimientos para asegurar que toda que toda a informação relevante seja transferida
información relevante sea transferida a la para a organização e que seja apagada de forma
organización y eliminada de forma confiable del segura do equipamento (ver 10.7.1).
equipamiento (véase también el Apartado 10.7.1).
En casos en que el empleado, contratista o Nos casos em que o funcionário, fornecedor ou

usuario de terceras partes tiene un conocimiento terceiro tenha conhecimento de que seu trabalho é
que es importante para las operaciones en curso, importante para as atividades que são executadas,
esa información debería ser documentada y convém que este conhecimento seja documentado
transferida a la organización. e transferido para a organização.
8.3.3 Remoción de derechos de acceso 8.3.3 Retirada de direitos de acesso
Control Controle
Los derechos de acceso de todo empleado, Convém que os direitos de acesso de todos os
contratista o usuario de terceras partes a funcionários, fornecedores e terceiros às
información e instalaciones de procesamiento de informações e aos recursos de processamento da
información deberían ser removidos como informação sejam retirados após o encerramento
consecuencia de la desvinculación de su empleo, de suas atividades, contratos ou acordos, ou
contrato o acuerdo, o ajustado cuando cambia. ajustado após a mudança destas atividades.

Cuando ocurre la desvinculación, los derechos de Convém que os direitos de acesso da pessoa aos
acceso de un individuo a activos asociados con ativos associados com os sistemas de informação
sistemas y servicios de información deberían ser e serviços sejam reconsiderados, após o
reconsiderados. Esto determinará si es necesario encerramento das atividades. Isto irá determinar se
remover los derechos de acceso. Los cambios en é necessário retirar os direitos de acesso. Convém
la relación laboral deberían ser reflejados en la que mudanças de uma atividade sejam refletidas
remoción de todos los derechos de acceso que na retirada de todos os direitos de acesso que não
no fueron aprobados para el nuevo puesto. Los foram aprovados para o novo trabalho. Convém
derechos de acceso que deberían ser removidos que os direitos de acesso que sejam retirados ou
o adaptados incluyen acceso físico y lógico, adaptados incluam o acesso lógico e físico, chaves,
llaves, tarjetas de identificación, instalaciones de cartões de identificação, recursos de
procesamiento de información (véase también el processamento da informação (ver 11.2.4),
Apartado 11.2.4), suscripciones, y remoción de subscrições e retirada de qualquer documentação
toda documentación que los identifique como un que os identifiquem como um membro atual da
miembro actual de la organización. Si el organização. Caso o funcionário, fornecedor ou
empleado, contratista o usuario de terceras partes terceiro que esteja saindo tenha conhecimento de
conoce contraseñas de claves que permanecen senhas de contas que permanecem ativas, convém
activas, estas deberían ser cambiadas al que estas sejam alteradas após um encerramento
momento de la desvinculación o cambio de cargo, das atividades, mudança do trabalho, contrato ou
contrato o acuerdo. acordo.
42 10.09.2007
Los derechos de acceso a activos de información Convém que os direitos de acesso aos ativos de
e instalaciones de procesamiento de información informação e aos recursos de processamento da
deberían ser reducidos o removidos antes de que informação sejam reduzidos ou retirados antes que
el empleo termine o cambie, dependiendo de la a atividade se encerre ou altere, dependendo da
evaluación de los factores de riesgo tales como: avaliação de fatores de risco, tais como:
a) si la desvinculación o cambio es iniciado por el a) se o encerramento da atividade ou a mudança é

empleado, contratista o usuario de terceras iniciada pelo funcionário, fornecedor ou terceiro, ou
partes, o por la dirección y la razón de la pelo gestor e a razão do encerramento da
desvinculación; atividade;
b) las responsabilidades actuales del empleado, b) as responsabilidades atuais do funcionário,

contratista o cualquier otro usuario; fornecedor ou qualquer outro usuário;
c) el valor de los activos accesibles actualmente. c) valor dos ativos atualmente acessíveis.

En ciertas circunstancias los derechos de acceso Em certas circunstâncias os direitos de acesso
pueden ser asignados sobre la base de estar podem ser alocados com base no que está sendo
disponibles a más personas que la persona que disponibilizado para mais pessoas do que as que
egresa, contratista o usuario de terceras partes, estão saindo (funcionário, fornecedor ou terceiro),
por ejemplo IDs de grupo. En tal circunstancia, los como, por exemplo, grupos de ID. Convém que, em
individuos que egresan deberían ser removidos tais casos, as pessoas que estão saindo da
de toda lista de acceso de grupo y deberían organização sejam retiradas de quaisquer listas de
realizarse acuerdos para recomendar a todos los grupos de acesso e que sejam tomadas
otros empleados, contratistas y usuarios de providências para avisar aos outros funcionários,
terceras partes involucrados, que no compartan fornecedores e terceiros envolvidos para não mais
más la información con la persona que egresa. compartilhar estas informações com a pessoa que
está saindo.
En casos que la desvinculación sea iniciada por la Nos casos em que o encerramento da atividade
dirección, los empleados, contratistas o usuarios seja da iniciativa do gestor, os funcionários,
de terceras partes contrariados pueden fornecedores ou terceiros descontentes podem
deliberadamente dañar información o sabotear deliberadamente corromper a informação ou
equipamiento de procesamiento de información. sabotar os recursos de processamento da
En casos de personas que renuncian, podrían informação. No caso de pessoas demitidas ou
estar tentados a recoger información para uso exoneradas, elas podem ser tentadas a coletar
futuro. informações para uso futuro.
9 Seguridad física y del ambiente 9 Segurança física e do ambiente
9.1 Áreas Seguras 9.1 Áreas seguras
OBJETIVO: Evitar accesos físicos no autorizados, Objetivo: Prevenir o acesso físico não autorizado,
daños e interferencias contra las instalaciones y danos e interferências com as instalações e
la información de la organización. informações da organização.
Las instalaciones de procesamiento de Convém que as instalações de processamento da

información crítica o sensible de la organización informação críticas ou sensíveis sejam mantidas
deberían estar ubicadas en áreas seguras y em áreas seguras, protegidas por perímetros de
resguardadas por un perímetro de seguridad segurança definidos, com barreiras de segurança e
definido, con barreras de seguridad y controles de controles de acesso apropriados. Convém que
acceso apropiados. Deberían estar físicamente sejam fisicamente protegidas contra o acesso não
protegidas contra accesos no autorizados, daños autorizado, danos e interferências.
e interferencias.
La protección provista debería ser proporcional a Convém que a proteção oferecida seja compatível
los riesgos identificados. com os riscos identificados.
43 10.09.2007
9.1.1 Perímetro de seguridad física 9.1.1 Perímetro de segurança física
Control Controle
Deberían utilizarse perímetros de seguridad Convém que sejam utilizados perímetros de
(barreras tales como paredes, puertas de entrada segurança (barreiras tais como paredes, portões de
controladas por tarjeta o recepcionista) para entrada controlados por cartão ou balcões de
proteger las áreas que contienen información e recepção com recepcionistas) para proteger as
instalaciones de procesamiento de información. áreas que contenham informações e instalações de
processamento da informação.
Guía de implementación Diretrizes para a implementação

Se deberían considerar e implementar las Convém que sejam levadas em consideração e
siguientes recomendaciones sobre el perímetro implementadas as seguintes diretrizes para
de seguridad física, según corresponda: perímetros de segurança física, quando apropriado:
a) el perímetro de seguridad debería estar a) os perímetros de segurança sejam claramente

claramente definido, la ubicación y la resistencia definidos e que a localização e a capacidade de
de cada uno de los perímetros deberían depender resistência de cada perímetro dependam dos
de los requisitos de la seguridad de los activos requisitos de segurança dos ativos existentes no
dentro del perímetro y de los resultados de una interior do perímetro, e dos resultados da
evaluación de riesgos; análise/avaliação de riscos;
b) el perímetro de un edificio o un lugar que b) os perímetros de um edifício ou de um local que

contenga instalaciones de procesamiento de contenha instalações de processamento da
información debería tener solidez física (por informação sejam fisicamente sólidos (ou seja, o
ejemplo no tendrá zonas que puedan derribarse perímetro não deve ter brechas nem pontos onde
fácilmente); los muros externos del lugar deberían poderia ocorrer facilmente uma invasão); convém
ser sólidos y todas las puertas exteriores que as paredes externas do local sejam de
deberían estar convenientemente protegidas construção robusta e todas as portas externas
contra accesos no autorizados, mediante sejam adequadamente protegidas contra acesso
mecanismos de control, por ejemplo, vallas, não autorizado por meio de mecanismos de
alarmas, cerraduras, etc; puertas y ventanas controle, por exemplo, barras, alarmes, fechaduras
deberían ser bloqueadas cuando se encuentren etc.; convém que as portas e janelas sejam
descuidadas y se debería considerar protección trancadas quando estiverem sem monitoração, e
externa para las ventanas, particularmente en que uma proteção externa para as janelas seja
niveles bajos; considerada, principalmente para as que estiverem
situadas no andar térreo;
c) debería existir un área de recepción atendida c) seja implantada uma área de recepção, ou um
por personal u otros medios de control de acceso outro meio para controlar o acesso físico ao local
físico al área o edificio; dicho acceso se debería ou ao edifício; o acesso aos locais ou edifícios deve
restringir sólo al personal autorizado; ficar restrito somente ao pessoal autorizado;
d) donde sea aplicable, se deberían construir d) sejam construídas barreiras físicas, onde
barreras físicas para evitar el acceso físico no aplicável, para impedir o acesso físico não
autorizado y la contaminación del entorno; autorizado e a contaminação do meio ambiente;
e) todas las puertas contra incendios del e) todas as portas corta-fogo do perímetro de
perímetro de seguridad deberían tener alarma, segurança sejam providas de alarme, monitoradas
ser supervisadas y probadas conjuntamente con e testadas juntamente com as paredes, para
las paredes para establecer el nivel requerido de estabelecer o nível de resistência exigido, de
resistencia de acuerdo a las normas regionales, acordo com normas regionais, nacionais e
nacionales, e internacionales apropiadas; internacionais aceitáveis; elas devem funcionar de
deberían funcionar de acuerdo con las acordo com os códigos locais de prevenção de
disposiciones locales de protección contra el incêndios e prevenção de falhas;
fuego de modo de garantizar la seguridad;
f) se deberían instalar sistemas de detección de f) sistemas adequados de detecção de intrusos, de
44 10.09.2007
intrusos adecuados según las normas nacionales, acordo com normas regionais, nacionais e
regionales o internacionales y probar internacionais, sejam instalados e testados em
regularmente para cubrir todas las puertas intervalos regulares, e cubram todas as portas
externas y ventanas accesibles; las áreas externas e janelas acessíveis; as áreas não
vacantes se deberían alarmar siempre; también ocupadas devem ser protegidas por alarmes o
se debería proporcionar protección para otras tempo todo; também deve ser dada proteção a
áreas, por ejemplo, sala de computadoras o outras áreas, por exemplo, salas de computadores
cuartos de comunicaciones; ou salas de comunicações;
g) las instalaciones de procesamiento de g) as instalações de processamento da informação

información gestionadas por la organización se gerenciadas pela organização devem ficar
deben separar físicamente de aquellas fisicamente separadas daquelas que são
gestionadas por terceras partes. gerenciadas por terceiros.

La protección física puede ser alcanzada creando Pode-se obter proteção física criando uma ou mais
una o más barreras físicas alrededor de las barreiras físicas ao redor das instalações e dos
premisas de la organización y de las instalaciones recursos de processamento da informação da
de procesamiento de la información. El uso de organização. O uso de barreiras múltiplas
múltiples barreras brinda protección adicional, proporciona uma proteção adicional, uma vez que
mientras que la falta de una barrera no significa neste caso a falha de uma das barreiras não
que la seguridad se vea comprometida significa que a segurança fique comprometida
inmediatamente. imediatamente.
Un área segura puede ser una oficina bloqueable, Uma área segura pode ser um escritório trancável
o varios cuartos rodeados por una barrera física ou um conjunto de salas rodeado por uma barreira
continua interna de seguridad. Las barreras física interna contínua de segurança. Pode haver
adicionales y los perímetros para controlar el necessidade de barreiras e perímetros adicionais
acceso físico pueden ser necesarios entre áreas para o controle do acesso físico, quando existem
con diferentes requisitos de seguridad dentro del áreas com requisitos de segurança diferentes
perímetro de seguridad. dentro do perímetro de segurança.
Se deberían tener consideraciones especiales de Convém que sejam tomadas precauções especiais
seguridad de acceso físico en los edificios donde para a segurança do acesso físico no caso de
funcionan múltiples organizaciones. edifícios que alojam diversas organizações.
9.1.2 Controles de accesos físico 9.1.2 Controles de entrada física
Controles Controle
Las áreas de seguridad deberían estar protegidas Convém que as áreas seguras sejam protegidas
por controles de entrada adecuados que por controles apropriados de entrada para
aseguren el acceso sólo al personal autorizado. assegurar que somente pessoas autorizadas
tenham acesso.

Deberían considerarse las siguientes Convém que sejam levadas em consideração as
recomendaciones: seguintes diretrizes:
a) la fecha y hora de entrada y salida de visitantes a) a data e hora da entrada e saída de visitantes
deberían ser registradas, y todos los visitantes sejam registradas, e todos os visitantes sejam
deberían ser supervisados a menos que su supervisionados, a não ser que o seu acesso tenha
acceso se haya aprobado previamente; el acceso sido previamente aprovado; convém que as
debería ser concedido sólo para propósitos permissões de acesso sejam concedidas somente
especificados y autorizados, proporcionándoles para finalidades específicas e autorizadas, e sejam
instrucciones sobre los requisitos de seguridad emitidas com instruções sobre os requisitos de
del área y los procedimientos de emergencia; segurança da área e os procedimentos de
emergência;
b) el acceso a las áreas donde se procesa o se b) acesso às áreas em que são processadas ou
45 10.09.2007
almacena la información sensible debería ser armazenadas informações sensíveis seja

controlado y restringido sólo a las personas controlado e restrito às pessoas autorizadas;
autorizadas; e deberían usar controles de convém que sejam utilizados controles de
autenticación, por ejemplo, tarjetas con número autenticação, por exemplo, cartão de controle de
de identificación personal (PIN), para autorizar y acesso mais PIN (personal identification number),
validar el acceso; debería mantenerse una pista para autorizar e validar todos os acessos; deve ser
auditable de todos los accesos, con las debidas mantido de forma segura um registro de todos os
medidas de seguridad; acessos para fins de auditoria;
c) para todos los empleados, contratistas y c) seja exigido que todos os funcionários,
usuarios de terceras partes así como para todos fornecedores e terceiros, e todos os visitantes,
los visitantes debería requerirse el uso de algún tenham alguma forma visível de identificação, e
tipo de identificación visible y deberían notificar eles devem avisar imediatamente o pessoal de
inmediatamente al personal de seguridad si segurança caso encontrem visitantes não
encuentran a visitantes no acompañados y a acompanhados ou qualquer pessoa que não esteja
cualquier persona que no lleve la identificación usando uma identificação visível;
visible;
d) debería concederse el acceso restringido del d) aos terceiros que realizam serviços de suporte,
personal de soporte de terceras partes a las seja concedido acesso restrito às áreas seguras ou
áreas seguras o a las instalaciones sensibles de às instalações de processamento da informação
procesamiento de la información sólo cuando sea sensível somente quando necessário; este acesso
requerido; este acceso debería ser autorizado y deve ser autorizado e monitorado;
supervisado;
e) los derechos de acceso a las áreas seguras e) os direitos de acesso a áreas seguras sejam
deberían ser regularmente revisados y revistos e atualizados em intervalos regulares, e
actualizados, y revocados cuando sea necesario revogados quando necessário (ver 8.3.3).
(véase el Apartado 8.3.3).
9.1.3 Seguridad de oficinas, despachos e 9.1.3 Segurança em escritórios, salas e

instalaciones instalações
Control Controle
Debería diseñarse y aplicarse la seguridad física Convém que seja projetada e aplicada segurança
para oficinas, despachos e instalaciones. física para escritórios, salas e instalações.

Se deberían considerar las siguientes Convém que sejam levadas em consideração as
recomendaciones para asegurar oficinas, seguintes diretrizes para proteger escritórios, salas
despachos, e instalaciones: e instalações:
a) se deberían tomar en cuenta las regulaciones y a) sejam levados em conta os regulamentos e

normativas relevantes en materia de salud y normas de saúde e segurança aplicáveis;
seguridad;
b) las instalaciones claves se deberían situarse b) as instalações-chave sejam localizadas de

de manera de evitar el acceso público; maneira a evitar o acesso do público;
c) los edificios deberían ser discretos y dar el c) os edifícios sejam discretos e dêem a menor
mínimo indicio de su propósito, cuando sea indicação possível da sua finalidade, sem letreiros
posible, sin dar muestras obvias, fuera o dentro evidentes, fora ou dentro do edifício, que
del edificio, que identifiquen la presencia de las identifiquem a presença de atividades de
actividades de procesamiento de la información; processamento de informações, quando for
aplicável;
d) los directorios y libros de teléfonos internos que d) as listas de funcionários e guias telefônicos
identifican ubicaciones de instalaciones sensibles internos que identifiquem a localização das
de procesamiento de la información no deberían instalações que processam informações sensíveis
46 10.09.2007
ser fácilmente accesibles por el público. não fiquem facilmente acessíveis ao público.
9.1.4 Protección contra amenazas externas y 9.1.4 Proteção contra ameaças externas e do
del ambiente meio ambiente
Control Controle
Debería diseñarse y aplicarse medios de Convém que sejam projetadas e aplicadas
protección física contra daños por incendio, proteção física contra incêndios, enchentes,
inundación, terremoto, explosión, disturbios terremotos, explosões, perturbações da ordem
civiles, y otras formas de desastre natural o pública e outras formas de desastres naturais ou
artificial. causados pelo homem.
Guia de implementación Diretrizes para implementação

Debería tomarse en consideración cualquier Convém que sejam levadas em consideração todas
amenaza de seguridad presentada por las as ameaças à segurança representadas por
instalaciones vecinas, por ejemplo, un incendio en instalações vizinhas, por exemplo, um incêndio em
un edificio vecino, agua proveniente de la azotea um edifício vizinho, vazamento de água do telhado
o en pisos a niveles subterráneos o una explosión ou em pisos do subsolo ou uma explosão na rua.
en la calle.

recomendaciones para evitar daños ocasionados seguintes diretrizes para evitar danos causados por
por incendios, inundaciones, terremotos, incêndios, enchentes, terremotos, explosões,
explosiones, disturbios civiles, y por otras formas perturbações da ordem pública e outras formas de
de desastre natural o artificial: desastres naturais ou causados pelo homem:
a) los materiales peligrosos o combustibles a) os materiais perigosos ou combustíveis sejam

deberían almacenarse a una distancia prudente armazenados a uma distância segura da área de
de un área segura. Los suministros a granel tales segurança. Suprimentos em grande volume, como
como los materiales de oficina no deberían materiais de papelaria, não devem ser
almacenarse dentro de un área segura; armazenados dentro de uma área segura;
b) el equipamiento de reserva y los medios de b) os equipamentos para contingência e mídia de

respaldo deberían localizarse a una distancia backup fiquem a uma distância segura, para que
prudente para evitar daños producto de un não sejam danificados por um desastre que afete o
desastre que afecten al emplazamiento principal; local principal;
c) debería proporcionarse y colocarse c) os equipamentos apropriados de detecção e

convenientemente el equipo apropiado de lucha combate a incêndios sejam providenciados e
contra incendios. posicionados corretamente.
9.1.5 El trabajo en las áreas seguras 9.1.5 Trabalhando em áreas seguras
Control Controle
Debería diseñarse y aplicarse la protección física Convém que seja projetada e aplicada proteção
y las directrices para trabajar en áreas seguras. física, bem como diretrizes para o trabalho em
áreas seguras.

a) El personal sólo debería conocer la existencia a) pessoal só tenha conhecimento da existência de

de un área segura, o de sus actividades, si lo áreas seguras ou das atividades nelas realizadas,
necesitara para su trabajo. apenas se for necessário;
b) Se debería evitar el trabajo no supervisado en b) seja evitado o trabalho não supervisionado em

áreas seguras tanto por motivos de seguridad áreas seguras, tanto por motivos de segurança
como para evitar ocasiones de actividades como para prevenir as atividades mal
47 10.09.2007
maliciosas. intencionadas;
c) Las áreas seguras desocupadas deberían estar c) as áreas seguras não ocupadas sejam
cerradas y controlarse periódicamente. fisicamente trancadas e periodicamente verificadas;
não seja permitido o uso de máquinas fotográficas,
d) No debería permitirse la presencia de equipos gravadores de vídeo ou áudio ou de outros
de fotografía, video, audio u otros formas de equipamentos de gravação, tais como câmeras em
registro, salvo autorización expresa. dispositivos móveis, salvo se for autorizado.
Los acuerdos para trabajar en áreas seguras As normas para o trabalho em áreas seguras
incluyen controles para los empleados, los incluem o controle dos funcionários, fornecedores e
contratistas y los usuarios de terceras partes que terceiros que trabalham em tais áreas, bem como o
trabajan en el área segura, así como otras controle de outras atividades de terceiros nestas
actividades de terceros que ocurren allí. áreas.
9.1.6 Áreas de de acceso público, de entrega y 9.1.6 Acesso do público, áreas de entrega e de
de carga carregamento
Control Controle
Los puntos de acceso tales como áreas de Convém que os pontos de acesso, tais como áreas
entrega y de cargamento y otros puntos donde las de entrega e de carregamento e outros pontos em
personas no autorizadas puedan acceder a las que pessoas não autorizadas possam entrar nas
instalaciones deberían controlarse, y si es instalações, sejam controlados e, se possível,
posible, aislarlos de instalaciones de isolados das instalações de processamento da
procesamiento de la información para evitar el informação, para evitar o acesso não autorizado.
acceso no autorizado.

a) debería restringirse el acceso al área de a) acesso a uma área de entrega e carregamento a

depósito desde el exterior únicamente al personal partir do exterior do prédio fique restrito ao pessoal
autorizado e identificado; identificado e autorizado;
b) el área debería diseñarse para que los b) as áreas de entrega e carregamento sejam
suministros puedan descargarse sin que el projetadas de tal maneira que seja possível
personal de depósito tenga acceso a otras zonas descarregar suprimentos sem que os entregadores
del edificio; tenham acesso a outras partes do edifício;
c) la puerta externa del área debería estar c) as portas externas de uma área de entrega e
cerrada cuando la interna esté abierta; carregamento sejam protegidas enquanto as portas
internas estiverem abertas;
d) el material entrante se debería inspeccionar d) os materiais entregues sejam inspecionados

para evitar posibles amenazas (véase el Apartado para detectar ameaças potenciais (ver 9.2.1d)
9.2.1d) antes de llevarlo a su lugar de utilización; antes de serem transportados da área de entrega e
carregamento para o local de utilização;
e) el material entrante debería registrarse de e) os materiais entregues sejam registrados por

acuerdo con el procedimiento de gestión de ocasião de sua entrada no local, usando-se
activos (véase el Apartado 7.1) al entrar en el procedimentos de gerenciamento de ativos (ver
lugar. 7.1.1);
f) cuando sea posible, los envíos entrantes y f) as remessas entregues sejam segregadas
salientes deberían segregarse físicamente. fisicamente das remessas que saem, sempre que
possível.
9.2 Seguridad del equipamiento 9.2 Segurança de equipamentos
48 10.09.2007
OBJETIVO: Prevenir pérdidas, daños, hurtos o Objetivo: Impedir perdas, danos, furto ou roubo, ou
comprometer los activos así como la interrupción comprometimento de ativos e interrupção das
de las actividades de la organización. atividades da organização.
El equipo debería protegerse contra las Convém que os equipamentos sejam protegidos
amenazas físicas y ambientales. contra ameaças físicas e do meio ambiente.
Es necesaria la protección del equipamiento A proteção dos equipamentos (incluindo aqueles

(incluyendo aquel utilizado fuera del local y la utilizados fora do local, e a retirada de ativos) é
eliminación de la propiedad) para reducir el riesgo necessária para reduzir o risco de acesso não
de accesos no autorizados a la información y para autorizado às informações e para proteger contra
protegerlo contra pérdidas o daños. Esto también perdas ou danos. Convém que também seja levado
debería considerar la ubicación y la disposición em consideração a introdução de equipamentos no
del equipamiento. Se pueden requerir controles local, bem como sua remoção. Podem ser
especiales para proteger contra amenazas necessários controles especiais para a proteção
físicas, y para salvaguardar las instalaciones de contra ameaças físicas e para a proteção de
soporte, tales como el suministro eléctrico y la instalações de suporte, como a infra-estrutura de
infraestructura de cableado. suprimento de energia e de cabeamento.
9.2.1 Ubicación y protección del equipamiento 9.2.1 Instalação e proteção do equipamento
Control Controle
El equipamiento debería ubicarse o protegerse Convém que os equipamentos sejam colocados no
para reducir los riesgos ocasionados por local ou protegidos para reduzir os riscos de
amenazas y peligros ambientales, y ameaças e perigos do meio ambiente, bem como
oportunidades de acceso no autorizado. as oportunidades de acesso não autorizado.

recomendaciones para proteger el equipamiento: seguintes diretrizes para proteger os
equipamentos:
a) el equipamiento debería situarse de manera de a) os equipamentos sejam colocados no local, a fim

minimizar el acceso innecesario a las áreas de de minimizar o acesso desnecessário às áreas de
trabajo; trabalho;
b) las instalaciones de procesamiento de la b) as instalações de processamento da informação

información que manejan datos sensibles que manuseiam dados sensíveis sejam
deberían ser colocadas y su ángulo de visión posicionadas de forma que o ângulo de visão seja
restringido para reducir el riesgo de que la restrito, de modo a reduzir o risco de que as
información sea vista por personas no informações sejam vistas por pessoal não
autorizadas durante su uso, y las instalaciones de autorizado durante a sua utilização, e os locais de
almacenamiento aseguradas para evitar el armazenagem sejam protegidos, a fim de evitar o
acceso no autorizado; acesso não autorizado;
c) los elementos que requieran protección c) os itens que exigem proteção especial devem
especial deberían aislarse para reducir el nivel ser isolados para reduzir o nível geral de proteção
general de protección requerida; necessário;
d) se deberían adoptar controles para reducir al d) sejam adotados controles para minimizar o risco
mínimo el riesgo de amenazas físicas de ameaças físicas potenciais, tais como furto ou
potenciales, como ser: hurto, fuego, explosivos, roubo, incêndio, explosivos, fumaça, água (ou falha
humo, inundaciones (o falta de suministro de do suprimento de água), poeira, vibração, efeitos
agua), polvo, vibraciones, efectos químicos, químicos, interferência com o suprimento de
interferencias en el suministro eléctrico, energia elétrica, interferência com as
interferencia de las comunicaciones, radiación comunicações, radiação eletromagnética e
electromagnética, y vandalismo; vandalismo;
49 10.09.2007
e) deberían establecerse pautas para comer, e) sejam estabelecidas diretrizes quanto a comer,
beber, y fumar en proximidad de las instalaciones beber e fumar nas proximidades das instalações de
de procesamiento de la información; processamento da informação;
f) las condiciones ambientales, tales como f) as condições ambientais, como temperatura e

temperatura y humedad, deberían supervisarse umidade, sejam monitoradas para a detecção de
para verificar que las mismas no afectan condições que possam afetar negativamente os
negativamente el funcionamiento de las recursos de processamento da informação;
instalaciones de procesamiento de la información;
g) deberían colocarse pararrayos sobre todos los g) todos os edifícios sejam dotados de proteção
edificios y deberían aplicarse filtros de protección contra raios e todas as linhas de entrada de força e
contra rayos a todas las lineas entrantes de de comunicações tenham filtros de proteção contra
energía y de comunicaciones; raios;
h) debería considerarse el uso de métodos de h) para equipamentos em ambientes industriais, o

protección especial, como las cubiertas de uso de métodos especiais de proteção, tais como
teclados, para el equipamiento ubicado en membranas para teclados, deve ser considerado;
ambientes industriales;
i) debería protegerse el equipamiento que i) os equipamentos que processam informações

procese información sensible para reducir al sensíveis sejam protegidos, a fim de minimizar o
mínimo el riesgo de fuga de información debido a risco de vazamento de informações em decorrência
filtraciones. de emanações.
9.2.2 Elementos de soporte 9.2.2 Utilidades
Control Controle
Debería protegerse el equipamiento contra Convém que os equipamentos sejam protegidos
posibles fallas en el suministro de energía y otras contra falta de energia elétrica e outras
interrupciones causados por fallas en elementos interrupções causadas por falhas das utilidades.
de soporte.

Todos los elementos de soporte, tales como Convém que todas as utilidades, tais como
electricidad, abastecimiento de agua, aguas suprimento de energia elétrica, suprimento de
residuales, calefacción/ventilación, y aire água, esgotos, calefação/ventilação e ar-
acondicionado deberían adecuarse para los condicionado sejam adequados para os sistemas
sistemas que están apoyando. Los elementos de que eles suportam. Convém que as utilidades
soporte deberían examinarse regularmente y sejam inspecionadas em intervalos regulares e
probarse adecuadamente de manera de asegurar testadas de maneira apropriada para assegurar seu
su funcionamiento apropiado y reducir cualquier funcionamento correto e reduzir os riscos de
riesgo de mal funcionamiento o falla. Debería defeitos ou interrupções do funcionamento.
proveerse un suministro eléctrico apropiado Convém que seja providenciado um suprimento
conforme con las especificaciones del fabricante adequado de energia elétrica, de acordo com as
del equipo. especificações do fabricante dos equipamentos.
Se recomienda contar con una fuente de energía Recomenda-se o uso de UPS para suportar as
ininterrumpida (UPS) para asegurar el correcto paradas e desligamento dos equipamentos ou para
apagado o el funcionamiento continuo del manter o funcionamento contínuo dos
equipamiento que soporta las operaciones críticas equipamentos que suportam operações críticas dos
del negocio. Los planes de contingencia negócios. Convém que hajam planos de
energéticos deberían contemplar las acciones a contingência de energia referentes às providências
tomar en caso de falla de la UPS. Debería a serem tomadas em caso de falha do UPS.
tenerse en cuenta el empleo de un generador de Convém que seja considerado um gerador de
reserva si el procesamiento ha de continuar en emergência caso seja necessário que o
caso de una falla prolongada en el suministro processamento continue mesmo se houver uma
eléctrico. Debería disponerse de un adecuado interrupção prolongada do suprimento de energia.
50 10.09.2007
suministro de combustible para asegurarse que el Convém que esteja disponível um suprimento
generador pueda funcionar por un período adequado de combustível para garantir a operação
prolongado. Los equipos de UPS y los prolongada do gerador. Convém que os
generadores deberían inspeccionarse equipamentos UPS e os geradores sejam
regularmente para asegurar que tienen la verificados em intervalos regulares para assegurar
capacidad requerida y probarlos de acuerdo con que eles tenham capacidade adequada, e sejam
las recomendaciones del fabricante. Además, se testados de acordo com as recomendações do
podría considerar el uso de fuentes de energía fabricante. Além disto, deve ser considerado o uso
múltiples o, si el sitio es grande, una subestación de múltiplas fontes de energia ou de uma
energética separada. subestação de força separada, se o local for
grande.
Los interruptores de emergencia deberían Convém que as chaves de emergência para o

situarse cerca de las salidas de emergencia en desligamento da energia fiquem localizadas na
las salas donde se encuentra el equipamiento a proximidade das saídas de emergência das salas
fin de facilitar un corte rápido de la energía en de equipamentos, para facilitar o desligamento
caso de producirse una situación crítica. Se rápido da energia em caso de uma emergência.
debería proveer de iluminación de emergencia en Convém que seja providenciada iluminação de
caso de producirse una falla en el suministro emergência para o caso de queda da força.
principal de energía.
El suministro de agua debería ser estable y Convém que o suprimento de água seja estável e
adecuado para abastecer los sistemas de aire adequado para abastecer os equipamentos de
acondicionado, de humectación y de supresión ar-condicionado e de umidificação, bem como os
del fuego (cuando sean utilizados). sistemas de extinção de incêndios (quando
usados).
El mal funcionamiento del sistema de Falhas de funcionamento do abastecimento de

abastecimiento de agua pueden dañar el água podem danificar o sistema ou impedir uma
equipamiento o evitar que la supresión del fuego ação eficaz de extinção de incêndios. Convém que
actúe con eficacia. Si es requerido debería seja analisada a necessidade de sistemas de
evaluarse e instalarse un sistema de alarma para alarme para detectar falhas de funcionamento das
detectar un mal funcionamiento en los elementos utilidades, instalando os alarmes, se necessário.
de soporte.
El equipamiento de telecomunicaciones debería Convém que os equipamentos de

conectarse con el proveedor al menos a través de telecomunicações sejam conectados à rede pública
dos rutas distintas para prevenir fallas en el de energia elétrica através de pelo menos duas
servicio de una de las rutas de conexión linhas separadas, para evitar que a falha de uma
imposibilitando los servicios de voz. Los servicios das conexões interrompa os serviços de voz.
de voz deberían adecuarse para alcanzar los Convém que os serviços de voz sejam adequados
requisitos legales locales para comunicaciones de para atender às exigências legais locais relativas a
emergencia. comunicações de emergência.

Como opción para alcanzar la continuidad en el As opções para assegurar a continuidade do
suministro energético se pueden incluir redes suprimento de energia incluem múltiplas linhas de
múltiples de alimentación a fin de evitar un único entrada, para evitar que uma falha em um único
punto de falla en el suministro. ponto comprometa o suprimento de energia.
9.2.3 Seguridad en el cableado 9.2.3 Segurança do cabeamento
Control Controle
Debería protegerse contra interceptación o daños Convém que o cabeamento de energia e de
el cableado de energía y de telecomunicaciones telecomunicações que transporta dados ou dá
que transporta datos o brinda soporte a servicios suporte aos serviços de informações seja protegido
de información. contra interceptação ou danos.
Guía para la implementación Diretrizes para implementação
51 10.09.2007

recomendaciones para la seguridad en el seguintes diretrizes para a segurança do
cableado: cabeamento:
a) las líneas de energía y telecomunicaciones en a) as linhas de energia e de telecomunicações que

instalaciones de procesamiento de la información entram nas instalações de processamento da
deben ser subterráneas, siempre que sea posible, informação sejam subterrâneas (ou fiquem abaixo
o sujetas a una adecuada protección alternativa; do piso), sempre que possível, ou recebam uma
proteção alternativa adequada;
b) el cableado de red debería estar protegido b) cabeamento de redes seja protegido contra
contra interceptación no autorizada o daño, por interceptação não autorizada ou danos, por
ejemplo, mediante el uso de conductos o evitando exemplo, pelo uso de conduítes ou evitando
trayectos que atraviesen áreas públicas; trajetos que passem por áreas públicas;
c) los cables de energía deben estar separados c) os cabos de energia sejam segregados dos
de los cables de comunicaciones para evitar cabos de comunicações, para evitar interferências;
interferencias;
d) deberían utilizarse marcas claramente d) nos cabos e nos equipamentos, sejam utilizadas
identificables en cables y equipamiento para marcações claramente identificáveis, a fim de
reducir al mínimo los errores de manejo, tales minimizar erros de manuseio, como, por exemplo,
como conexiones accidentales erróneas de los fazer de forma acidental conexões erradas em
cables de red; cabos da rede;
e) debería utilizarse una lista documentada de las e) seja utilizada uma lista de documentação das
conexiones para reducir la posibilidad de errores; conexões para reduzir a possibilidade de erros;
f) entre los controles adicionales a considerar f) para sistemas sensíveis ou críticos, os seguintes
para los sistemas sensibles o críticos se controles adicionais devem ser considerados:
encuentran los siguientes:
1) instalación de conductos blindados y 1) instalação de conduítes blindados e salas ou

recintos o cajas con cerradura en los caixas trancadas em pontos de inspeção e
puntos terminales y de inspección; pontos terminais;
2) uso de rutas y/o medios de transmisión 2) uso de rotas alternativas e/ou meios de
alternativos que proporcionen una transmissão alternativos que proporcionem
adecuada seguridad; segurança adequada;
3) uso de cableado de fibra óptica; 3) utilização de cabeamento de fibras ópticas;
4) uso de escudos electromagnéticos para 4) utilização de blindagem eletromagnética para

proteger los cables; a proteção dos cabos;
5) iniciar barridos técnicos e inspecciones 5) realização de varreduras técnicas e

físicas contra dispositivos no autorizados inspeções físicas para detectar a presença
conectados a los cables; de dispositivos não autorizados conectados
aos cabos;
6) acceso controlado a los paneles de 6) acesso controlado aos painéis de conexões e

conexión (patcheras) y a las salas de cable. às salas de cabos.
9.2.4 Mantenimiento del equipamiento 9.2.4 Manutenção dos equipamentos
Control Controle
El equipamiento debería mantenerse Convém que os equipamentos tenham uma
adecuadamente para asegurar su continua manutenção correta para assegurar sua
disponibilidad e integridad. disponibilidade e integridade permanentes.
52 10.09.2007

recomendaciones para el mantenimiento del seguintes diretrizes para a manutenção dos
equipamiento: equipamentos:
a) el equipamiento debería mantenerse de a) a manutenção dos equipamentos seja realizada

acuerdo a las recomendaciones de intervalos y nos intervalos recomendados pelo fornecedor, e de
especificaciones de servicio del proveedor; acordo com as suas especificações;
b) sólo el personal de mantenimiento b) a manutenção e os consertos dos equipamentos

debidamente autorizado debería realizar sejam realizados somente por pessoal de
reparaciones y realizar el mantenimiento a los manutenção autorizado;
equipos;
c) se deberían mantener registros de todos los c) sejam mantidos os registros de todas as falhas,
fallos, reales o sospechados, así como de todo el suspeitas ou reais, e de todas as operações de
mantenimiento preventivo y correctivo; manutenção preventiva e corretiva realizadas;
d) deberían implementarse controles apropiados d) sejam implementados controles apropriados, na

cuando el equipamiento sea dispuesto para época programada para a manutenção do
mantenimiento, considerando si este equipamento, dependendo de a manutenção ser
mantenimiento es realizado por personal interno o realizada pelo pessoal do local ou por pessoal
externo a la organización; la información sensible externo à organização; onde necessário, as
debería ser removida del equipo, cuando sea informações sensíveis sejam eliminadas do
necesario, o el personal de mantenimiento equipamento, ou o pessoal de manutenção seja de
debería ser suficientemente transparente; absoluta confiança;
e) debería cumplirse con todos los requisitos e) sejam atendidas todas as exigências
impuestos por pólizas de seguros. estabelecidas nas apólices de seguro.
9.2.5 Seguridad del equipamiento fuera de las 9.2.5 Segurança de equipamentos fora das
instalaciones de la organización dependências da organização
Control Controle
Debería asegurarse todo el equipamiento fuera Convém que sejam tomadas medidas de
de los locales de la organización, teniendo en segurança para equipamentos que operem fora do
cuenta los diferentes riesgos de trabajar fuera de local, levando em conta os diferentes riscos
las instalaciones de la organización. decorrentes do fato de se trabalhar fora das
dependências da organização.

El uso de equipamiento destinado al Convém que, independentemente de quem seja o
procesamiento de información, fuera de las proprietário, a utilização de quaisquer
instalaciones de la organización, debería ser equipamentos de processamento de informações
autorizado por la dirección, sin importar quien sea fora das dependências da organização seja
su propietario. autorizada pela gerência.

recomendaciones para la protección del seguintes diretrizes para a proteção de
equipamiento fuera de los locales de la equipamentos usados fora das dependências da
organización: organização:
a) los equipos y soportes que contengan datos a) os equipamentos e mídias removidos das
con información y sean sacados de su entorno dependências da organização não fiquem sem
habitual no deberían dejarse desatendidos en supervisão em lugares públicos; os computadores
sitios públicos; cuando viajen, las computadoras portáteis sejam carregados como bagagem de mão
portátiles deberían, cuando sea posible, e disfarçados, sempre que possível, quando se
transportarse como equipaje de mano y de forma viaja;
53 10.09.2007
disimulada;
b) deberían observarse siempre las instrucciones b) sejam observadas a qualquer tempo as

del fabricante para proteger los equipos, por instruções do fabricante para a proteção do
ejemplo, contra exposiciones a campos equipamento, por exemplo, proteção contra a
electromagnéticos intensos; exposição a campos eletromagnéticos intensos;
c) los controles para el trabajo en el domicilio se c) os controles para o trabalho em casa sejam
deberían determinar mediante una evaluación de determinados por uma análise/avaliação de riscos,
los riesgos y aplicarse los controles convenientes sendo aplicados controles adequados para cada
según sea apropiado, por ejemplo, gabinetes para caso, por exemplo, arquivos trancáveis, política de
archivos con cerradura, una política de escritorios "mesa limpa", controles de acesso a computadores,
limpios, controles de acceso a las computadoras e comunicação segura com o escritório
y comunicaciones seguras con la oficina (véase (ver ISO/IEC 18028, Network security);
también ISO/IEC 18028, Network Security);
d) deberían cubrirse con un seguro adecuado los d) haja uma cobertura adequada de seguro para
equipos fuera de su lugar de trabajo. proteger os equipamentos fora das dependências
da organização.
Los riesgos de seguridad, por ejemplo, de daño, Os riscos de segurança, por exemplo, de danos,
robo y escucha, pueden variar mucho según la furto ou espionagem, podem variar
ubicación y esto debería tenerse en cuenta al consideravelmente de um local para outro e
determinar los controles más apropiados. convém que sejam levados em conta para
determinar os controles mais apropriados.

El equipamiento de almacenamiento y Os equipamentos de armazenagem e
procesamiento de la información comprende todo processamento de informações incluem todas as
tipo de computadoras personales, organizadores, formas de computadores pessoais, agendas
teléfonos móviles, tarjetas inteligentes, eletrônicas, telefones celulares, cartões
documentos u otros, que se lleven al domicilio o inteligentes, papéis e outros tipos, utilizados no
fuera del lugar habitual de trabajo. trabalho em casa, ou que são removidos do local
normal de trabalho.
Puede encontrarse en el Apartado 11.7.1 más Mais informações sobre outros aspectos da
información sobre otros aspectos de la protección proteção de equipamentos móveis podem ser
de equipos móviles. encontradas em 11.7.1.
9.2.6 Seguridad en la reutilización o 9.2.6 Reutilização e alienação segura de

eliminación de equipos equipamentos
Control Controle
Todos aquel equipamiento que contenga medios Convém que todos os equipamentos que
de almacenamiento debería revisarse para contenham mídias de armazenamento de dados
asegurar que todo los datos sensibles y software sejam examinados antes do descarte, para
licenciado se haya removido o se haya assegurar que todos os dados sensíveis e
sobreescrito con seguridad antes de su softwares licenciados tenham sido removidos ou
disposición. sobregravados com segurança.

Los dispositivos de almacenamiento con Convém que os dispositivos que contenham
información sensible deberían destruirse informações sensíveis sejam destruídos
físicamente o la información debería destruirse, fisicamente ou as informações sejam destruídas,
suprimirse o sobreescribirse usando técnicas para apagadas ou sobregravadas por meio de técnicas
hacer la información original no recuperable, en que tornem as informações originais irrecuperáveis,
lugar de utilizar las funciones de borrado o em vez de se usarem as funções-padrão de apagar
formateado estándar. ou formatar.
54 10.09.2007

Los dispositivos de almacenamiento dañados que No caso de dispositivos defeituosos que
contengan datos sensibles pueden requerir una contenham informações sensíveis, pode ser
evaluación de riesgo para determinar si estos necessária uma análise/avaliação de riscos para
deberían destruirse físicamente, antes que ser determinar se convém destruir fisicamente o
enviados para su reparación o desecho. dispositivo em vez de mandá-lo para o conserto ou
descartá-lo.
La información puede verse comprometida si la As informações podem ser comprometidas por um

reutilización o eliminación de los equipos se descarte feito sem os devidos cuidados ou pela
realiza de manera descuidada (véase también el reutilização do equipamento (ver 10.7.2).
Apartado 10.7.2)
9.2.7 Retiro de bienes 9.2.7 Remoção de propriedade
Control Controle
El equipamiento, la información o el software no Convém que equipamentos, informações ou
deberían retirarse del local de la organización sin software não sejam retirados do local sem
previa autorización. autorização prévia.

a) el equipamiento, la información o el software a) os equipamentos, informações ou software não

no deberían retirarse del local de la organización sejam retirados do local sem autorização prévia;
sin previa autorización;
b) deberían identificarse claramente aquellos b) os funcionários, fornecedores e terceiros que

empleados, contratistas y usuarios de terceras tenham autoridade para permitir a remoção de
partes que tengan autoridad para permitir el retiro ativos para fora do local sejam claramente
de activos fuera de los locales de la organización; identificados;
c) debería fijarse un límite de tiempo para el c) sejam estabelecidos limites de tempo para a
equipamiento retirado y verificar el cumplimiento retirada de equipamentos do local, e a devolução
del retorno; seja controlada;
d) cuando sea necesario y procedente, debería d) sempre que necessário ou apropriado, seja feito
registrarse tanto la salida del equipamiento del um registro da retirada e da devolução de
local, como el retorno del mismo. equipamentos, quando do seu retorno.

Las instancias de inspección, emprendidas para Podem ser feitas inspeções aleatórias para
detectar el retiro de bienes no autorizados, se detectar a retirada não autorizada de bens e a
pueden también realizar para detectar y prevenir existência de equipamentos de gravação não
el ingreso no autorizado a las instalaciones, de autorizados, armas etc., e impedir sua entrada no
dispositivos de grabación, armas, etc. Tales local. Convém que tais inspeções aleatórias sejam
instancias de inspección deberían realizarse de feitas de acordo com a legislação e as normas
acuerdo con la legislación y las regulaciones aplicáveis. Convém que as pessoas sejam
relevantes. Los individuos deberían estar en avisadas da realização das inspeções, e elas só
conocimiento de que estas instancias de podem ser feitas com a devida autorização,
inspección serán llevadas a cabo, y las mismas levando em conta as exigências legais e
deberían realizarse solamente con la autorización regulamentares.
apropiada según los requisitos legales y
reguladores.
10 Gestión de comunicaciones y 10 Gerenciamento das operações e

operaciones comunicações
55 10.09.2007
10.1 Procedimientos operacionales y 10.1 Procedimentos e responsabilidades

responsabilidades operacionais
OBJETIVO: Asegurar la operación correcta y Objetivo: Garantir a operação segura e correta dos
segura de las instalaciones de procesamiento de recursos de processamento da informação.
información.
Se deberían establecer todas las Convém que os procedimentos e responsabilidades

responsabilidades y los procedimientos para la pela gestão e operação de todos os recursos de
gestión y operación de todas las instalaciones de processamento das informações sejam definidos.
procesamiento de información. Esto incluye el Isto abrange o desenvolvimento de procedimentos
desarrollo de procedimientos operativos operacionais apropriados.
apropiados.
Cuando sea conveniente, se debería implementar Convém que seja utilizada a segregação de
la separación de funciones para reducir el riesgo funções quando apropriado, para reduzir o risco de
de uso inadecuado deliberado o negligente del mau uso ou uso doloso dos sistemas.
sistema.
10.1.1 Procedimientos documentados de 10.1.1 Documentação dos procedimentos de

operación operação
Control Controle
Los procedimientos de operación deberían Convém que os procedimentos de operação sejam
documentarse, mantenerse y ponerse a documentados, mantidos atualizados e disponíveis
disposición de todos los usuarios que los a todos os usuários que deles necessitem.
necesiten.

Deberían elaborarse procedimientos Convém que procedimentos documentados sejam
documentados para las actividades del sistema preparados para as atividades de sistemas
asociadas con la instalaciones de associadas a recursos de processamento e
comunicaciones y de procesamiento de comunicação de informações, tais como
información, tales como procedimientos de procedimentos de inicialização e desligamento de
arranque y apagado del computador, respaldo, computadores, geração de cópias de segurança
mantenimiento de equipos, manejo de medios, (backup), manutenção de equipamentos,
sala de cómputos, utilización de correo, y tratamento de mídias, segurança e gestão do
seguridad. tratamento das correspondências e das salas de
computadores.
Dichos procedimientos deberían especificar las Convém que os procedimentos de operação

instrucciones necesarias para la ejecución especifiquem as instruções para a execução
detallada de cada tarea, incluyendo: detalhada de cada tarefa, incluindo:
a) procesamiento y utilización de la información; a) processamento e tratamento da informação;
b) respaldo (véase el Apartado 10.5); b) backup (ver 10.5);
c) requisitos programables, incluyendo c) requisitos de agendamento, incluindo

interdependencias con otros sistemas, tiempos de interdependências com outros sistemas, a primeira
comienzo y finalización de tareas; hora para início da tarefa e a última hora para o
término da tarefa;
d) instrucciones para el manejo de errores u otras d) instruções para tratamento de erros ou outras
condiciones excepcionales, que pudieran condições excepcionais, que possam ocorrer
presentarse durante la ejecución de la tarea, durante a execução de uma tarefa, incluindo
incluyendo restricciones en el uso de las restrições de uso dos utilitários do sistema (ver
56 10.09.2007
utilidades de sistema (véase el Apartado 11.5.4); 11.5.4);
e) soporte en caso de inesperadas dificultades e) dados para contatos de suporte para o caso de
operacionales o técnicas; eventos operacionais inesperados ou dificuldades
técnicas;
f) instrucciones para salida de información y f) instruções especiais quanto ao manuseio e saída

manejo de medios, tales como la utilización de de mídias, tais como o uso de formulários especiais
papelería especial o la gestión de salidas ou o gerenciamento de saídas confidenciais,
confidenciales incluyendo los procedimientos para incluindo procedimentos para o descarte seguro de
la disposición segura de la salida de trabajos resultados provenientes de rotinas com falhas (ver
fallidos (véase los Apartados 10.7.2 y 10.7.3); 10.7.2 e 10.7.3);
g) procedimientos de reinicio y recuperación del g) procedimento para o reinício e recuperação em

sistema en caso de falla; caso de falha do sistema;
h) la gestión de las pistas de auditoría y de la h) gerenciamento de trilhas de auditoria e

información del registro del sistema (véase el informações de registros (log) de sistemas (ver
Apartado 10.10). 10.10).
Los procedimientos de operación, y los Convém que procedimentos operacionais e os

procedimientos documentados para las procedimentos documentados para atividades de
actividades del sistema, deberían tratarse como sistemas sejam tratados como documentos formais
documentos formales y los cambios autorizados e as mudanças sejam autorizadas pela direção.
por la dirección. Cuando sea técnicamente Quando tecnicamente possível, convém que os
posible, los sistemas de información deberían sistemas de informação sejam gerenciados
gestionarse de forma consistente, usando los uniformemente, usando os mesmos procedimentos,
mismos procedimientos, herramientas, y ferramentas e utilitários.
utilidades.
10.1.2 Gestión de cambios 10.1.2 Gestão de mudanças
Control Controle
Deberían controlarse los cambios en los sistemas Convém que modificações nos recursos de
e instalaciones de procesamiento de información. processamento da informação e sistemas sejam
controladas.

Los sistemas operacionales y el software en Convém que sistemas operacionais e aplicativos
producción deberían ajustarse a un estricto estejam sujeitos a rígido controle de gestão de
control de gestión de cambios. mudanças.
En particular debería considerarse: Em particular, convém que os seguintes itens

sejam considerados:
a) identificación y registro de cambios a) identificação e registro das mudanças

significativos; significativas;
b) planificación y pruebas de los cambios; b) planejamento e testes das mudanças;
c) evaluación de los impactos potenciales de tales c) avaliação de impactos potenciais, incluindo

cambios, incluyendo los impactos en la seguridad; impactos de segurança, de tais mudanças;
d) procedimiento formal de aprobación para los d) procedimento formal de aprovação das

cambios propuestos; mudanças propostas;
e) comunicación de los detalles del cambio a e) comunicação dos detalhes das mudanças para
todas las personas involucradas en los mismos; todas as pessoas envolvidas;
57 10.09.2007
f) procedimientos de vuelta atrás (fallback), f) procedimentos de recuperação, incluindo

incluyendo procedimientos y responsabilidades procedimentos e responsabilidades pela
para abortar y recuperar los cambios sin éxito y interrupção e recuperação de mudanças em caso
de acontecimientos imprevistos. de insucesso ou na ocorrência de eventos
inesperados.
Se deberían establecer las responsabilidades y Convém que sejam estabelecidos os

los procedimientos formales de gestión para procedimentos e responsabilidades gerenciais
asegurar el control satisfactorio de todos los formais para garantir que haja um controle
cambios al equipamiento, software o satisfatório de todas as mudanças em
procedimientos. Cuando se realizan los cambios, equipamentos, software ou procedimentos.
debería conservarse un registro de auditoría Quando mudanças forem realizadas, convém que
conteniendo toda la información relevante. seja mantido um registro de auditoria contendo
todas as informações relevantes.

El control inadecuado de cambios en las O controle inadequado de modificações nos
instalaciones y los sistemas de procesamiento de sistemas e nos recursos de processamento da
la información es una causa común de las fallas informação é uma causa comum de falhas de
del sistema o de la seguridad. Cambios al segurança ou de sistema. Mudanças a ambientes
ambiente operacional, especialmente al transferir operacionais, especialmente quando da
un sistema en desarrollo al estado operacional, transferência de um sistema em desenvolvimento
pueden afectar la confiabilidad de las aplicaciones para o estágio operacional, podem trazer impactos
(véase también el Apartado 12.5.1). à confiabilidade de aplicações (ver 12.5.1).
Los cambios a los sistemas operacionales Convém que mudanças em sistemas operacionais
deberían realizarse solamente cuando existe una sejam apenas realizadas quando houver uma razão
razón válida para el negocio, por ejemplo un de negócio válida para tal, como um aumento no
aumento en el riesgo al sistema. La actualización risco do sistema. A atualização de sistemas às
de los sistemas con las últimas versiones del versões mais atuais de sistemas operacionais ou
sistema operativo o de la aplicación no siempre aplicativos nem sempre é do interesse do negócio,
favorece el interés del negocio, pues podría pois pode introduzir mais vulnerabilidades e
introducir más vulnerabilidades e inestabilidad instabilidades ao ambiente do que a versão
que la versión vigente. Puede también haber una corrente. Pode haver ainda a necessidade de
necesidad de capacitación adicional, costos de treinamento adicional, custos de licenciamento,
licencia, soporte, gastos indirectos de suporte, manutenção e sobrecarga de
mantenimiento y de administración, y hardware administração, bem como a necessidade de novos
nuevo, especialmente durante la migración. equipamentos, especialmente durante a fase de
migração.
10.1.3 Segregación de tareas 10.1.3 Segregação de funções
Control Controle
Deberían segregarse las tareas y las áreas de Convém que funções e áreas de responsabilidade
responsabilidad para reducir las oportunidades de sejam segregadas para reduzir as oportunidades
modificación no autorizada o no intencional, o el de modificação ou uso indevido não autorizado ou
uso inadecuado de los activos de la organización. não intencional dos ativos da organização.

La segregación de tareas es un método para A segregação de funções é um método para
reducir el riesgo del uso erróneo accidental o redução do risco de uso indevido acidental ou
deliberado del sistema. Debería verificarse que deliberado dos sistemas. Convém que sejam
ninguna persona pueda tener acceso, modificar o tomados certos cuidados para impedir que uma
utilizar activos sin autorización o detección. La única pessoa possa acessar, modificar ou usar
iniciación de un evento debería separarse de su ativos sem a devida autorização ou detecção.
autorización. La posibilidad de fraude debería Convém que o início de um evento seja separado
considerarse al diseñar los controles. de sua autorização. Convém que a possibilidade de
existência de conluios seja considerada no projeto
dos controles.
58 10.09.2007
Las organizaciones pequeñas pueden considerar As pequenas organizações podem considerar a

que este método de control es difícil de lograr, segregação de funções difícil de ser implantada,
pero el principio debería aplicarse en la medida mas convém que o seu princípio seja aplicado
en que sea posible y practicable. Cuando la sempre que possível e praticável. Onde for difícil a
segregación sea difícil, deberían considerarse segregação, convém que outros controles, como a
otros controles como la supervisión de las monitoração das atividades, trilhas de auditoria e o
actividades, las pistas de auditoría y la acompanhamento gerencial, sejam considerados. É
supervisión de la gestión. Es importante que la importante que a auditoria da segurança
auditoría de seguridad permanezca permaneça como uma atividade independente.
independiente.
10.1.4 Separación de los recursos para 10.1.4 Separação dos recursos de

desarrollo, prueba y producción desenvolvimento, teste e de produção
Control Controle
Los recursos para desarrollo, prueba y producción Convém que recursos de desenvolvimento, teste e
deberían separarse para reducir los riesgos de produção sejam separados para reduzir o risco de
acceso no autorizado o los cambios al sistema acessos ou modificações não autorizadas aos
operacional. sistemas operacionais.

Debería identificarse el grado de separación entre Convém que o nível de separação dos ambientes
los ambientes de desarrollo, prueba y producción de produção, testes e desenvolvimento que é
que es necesario para prevenir problemas necessário para prevenir problemas operacionais
operativos e implementar los controles seja identificado e os controles apropriados sejam
adecuados. implementados.
Los siguientes puntos deberían ser considerados: Convém que os seguintes itens sejam
considerados:
a) deberían definirse y documentarse las reglas a) as regras para a transferência de software da

para transferir el software del ambiente de situação de desenvolvimento para a de produção
desarrollo al de producción; sejam definidas e documentadas;
b) el software de desarrollo y el de producción b) software em desenvolvimento e o software em

deberían, si es posible, funcionar en sistemas y produção sejam, sempre que possível, executados
procesadores diferentes, y en dominios o em diferentes sistemas ou processadores e em
directorios distintos; diferentes domínios ou diretórios;
c) Los compiladores, editores y otras c) os compiladores, editores e outras ferramentas

herramientas de desarrollo o utilidades del de desenvolvimento ou utilitários de sistemas não
sistema no deberían accederse desde los sejam acessíveis a partir de sistemas operacionais,
sistemas en producción, cuando no sea quando não for necessário;
necesario;
d) el ambiente del sistema de prueba debería d) os ambientes de testes emulem o ambiente de

emular el ambiente del sistema operacional tan produção o mais próximo possível;
real como sea posible;
e) los usuarios deberían emplear perfiles de e) os usuários tenham diferentes perfis para
usuario diferentes para los sistemas en sistemas em testes e em produção, e que os
producción y prueba, y los menús deberían menus mostrem mensagens apropriadas de
exhibir los mensajes de identificación apropiados identificação para reduzir o risco de erro;
para reducir el riesgo a errores;
f) los datos sensibles no deberían utilizarse en el f) os dados sensíveis não sejam copiados para os
ambiente del sistema de prueba (véase el ambientes de testes (ver 12.4.2).
Apartado 12.4.2).
59 10.09.2007

Las actividades de desarrollo y prueba pueden As atividades de desenvolvimento e teste podem
causar serios problemas, por ejemplo causar sérios problemas, como, por exemplo,
modificación indeseada de archivos o del modificações inesperadas em arquivos ou sistemas
ambiente del sistema, o fallo del sistema. En este ou falhas de sistemas. Nesse caso, é necessária a
caso, hay una necesidad de mantener un manutenção de um ambiente conhecido e estável,
ambiente estable en el cual realizar la prueba no qual possam ser executados testes significativos
significativa y prevenir el inadecuado acceso del e que seja capaz de prevenir o acesso indevido do
desarrollador. pessoal de desenvolvimento.
Si el personal de desarrollo y de prueba tiene Quando o pessoal de desenvolvimento e teste

acceso al sistema operacional y a su información, possui acesso ao ambiente de produção e suas
puede introducir código no autorizado y no informações, eles podem introduzir códigos não
comprobado o alterar datos operacionales. En testados e não autorizados, ou mesmo alterar os
algunos sistemas esta capacidad podría ser mal dados do sistema. Em alguns sistemas essa
utilizada para realizar fraude, o introducir código capacidade pode ser mal utilizada para a execução
no comprobado o malicioso, que puede causar de fraudes, ou introdução de códigos maliciosos ou
problemas operacionales serios. não testados, que podem causar sérios problemas
operacionais.
Quienes desarrollan y realizan las pruebas O pessoal de desenvolvimento e testes também

imponen una amenaza a la confidencialidad de la representa uma ameaça à confidencialidade das
información operativa. Las actividades de informações de produção. As atividades de
desarrollo y de prueba pueden causar cambios desenvolvimento e teste podem causar
involuntarios al software o a la información si modificações não intencionais no software e
comparten el mismo ambiente. Por lo tanto, es informações se eles compartilharem o mesmo
conveniente separar los recursos para desarrollo, ambiente computacional. A separação dos
prueba y producción para reducir el riesgo de ambientes de desenvolvimento, teste e produção
cambio accidental o acceso no autorizado al são, portanto, desejável para reduzir o risco de
software operacional o los datos del negocio modificações acidentais ou acessos não
(véase el Apartado 12.4.2 para la protección de autorizados aos sistemas operacionais e aos dados
los datos de prueba). do negócio (ver 12.4.2 para a proteção de dados de
teste).
10.2 Gestión de la entrega del servicio por 10.2 Gerenciamento de serviços terceirizados
terceras partes
OBJETIVO: Implementar y mantener un nivel Objetivo: Implementar e manter o nível apropriado

apropiado de la seguridad de la información y la de segurança da informação e de entrega de
entrega del servicio, acorde con los acuerdos de serviços em consonância com acordos de entrega
entrega del servicio por terceras partes. de serviços terceirizados.
La organización debería verificar la Convém que a organização verifique a

implementación de acuerdos, supervisar el implementação dos acordos, monitore a
cumplimiento de ellos y gestionar los cambios conformidade com tais acordos e gerencie as
para asegurar que los servicios entregados mudanças para garantir que os serviços entregues
cumplen los requisitos acordados con la tercera atendem a todos os requisitos acordados com os
parte. terceiros.
10.2.1 Entrega del servicio 10.2.1 Entrega de serviços
Control Controle
Debería asegurarse que los controles de Convém que seja garantido que os controles de
seguridad, las definiciones del servicio y los segurança, as definições de serviço e os níveis de
niveles de entrega incluidos en el acuerdo de entrega incluídos no acordo de entrega de serviços
entrega del servicio por terceras partes son terceirizados sejam implementados, executados e
implementados, operados, y mantenidos por las mantidos pelo terceiro.
60 10.09.2007
terceras partes.

La entrega del servicio por una tercera parte Convém que a entrega de serviços por um terceiro
debería incluir los acuerdos de seguridad, las inclua os arranjos de segurança acordados,
definiciones del servicio, y los aspectos de la definições de serviço e aspectos de gerenciamento
gestión del servicio convenidos. En caso de de serviços. No caso de acordos de terceirização,
acuerdos de contratación externa, la organización convém que a organização planeje as transições
debería planificar las transiciones necesarias (de necessárias (de informação, recursos de
información, instalaciones de procesamiento de la processamento de informações e quaisquer outros
información, y cualquier cosa que necesite ser que necessitem de movimentação) e garanta que a
desplazada) y debería garantizar el segurança seja mantida durante todo o período de
mantenimiento de la seguridad durante el período transição.
de transición.
La organización debería asegurarse que la Convém que a organização garanta que o terceiro
tercera parte conserva una capacidad de servicio mantenha capacidade de serviço suficiente,
suficiente acorde con los planes realizables, juntamente com planos viáveis projetados para
diseñados para asegurarse que los niveles garantir que os níveis de continuidade de serviços
convenidos de la continuidad del servicio están acordados sejam mantidos após falhas de serviços
mantenidos ante fallas del servicio o de desastre severas ou desastres (ver 14.1).
(véase el Apartado 14.1).
10.2.2 Supervisión y revisión de los servicios 10.2.2 Monitoramento e análise crítica de

por terceras partes serviços terceirizados
Control Controle
Deberían supervisarse y revisarse regularmente Convém que os serviços, relatórios e registros
los servicios, informes y registros proporcionados fornecidos por terceiro sejam regularmente
por las terceras partes, y deberían realizarse monitorados e analisados criticamente, e que
regularmente auditorías. auditorias sejam executadas regularmente.

El seguimiento y la revisión de los servicios por Convém que a monitoração e análise crítica dos
terceras partes deberían asegurar el serviços terceirizados garantam a aderência entre
cumplimiento de los términos y condiciones de os termos de segurança de informação e as
seguridad de la información de los acuerdos, y condições dos acordos, e que problemas e
que los incidentes y los problemas de la incidentes de segurança da informação sejam
seguridad de la información estén manejados gerenciados adequadamente. Convém que isto
correctamente. Esto debería implicar una relación envolva processos e relações de gerenciamento de
y un proceso de gestión del servicio entre la serviço entre a organização e o terceiro para:
organización y la tercera parte para:
a) supervisar niveles de desempeño del servicio a) monitorar níveis de desempenho de serviço para
para comprobar adherencia a los acuerdos; verificar aderência aos acordos;
b) revisar los informes del servicio producidos por b) analisar criticamente os relatórios de serviços
las terceras partes y realizar reuniones de produzidos por terceiros e agendamento de
evaluación según los requisitos de los acuerdos; reuniões de progresso conforme requerido pelos
acordos;
c) entregar información sobre incidentes de la c) fornecer informações acerca de incidentes de

seguridad de la información y revisión de esta segurança da informação e análise crítica de tais
información por las terceras partes y la informações tanto pelo terceiro quanto pela
organización según los requisitos de los acuerdos organização, como requerido pelos acordos e por
y las pautas y procedimientos de soporte; quaisquer procedimentos e diretrizes que os
apóiem;
d) revisar pistas de auditoría confeccionadas por d) analisar criticamente as trilhas de auditoria do
61 10.09.2007
las terceras partes y registros de los incidentes de terceiro e registros de eventos de segurança,
seguridad, de los problemas operacionales, de las problemas operacionais, falhas, investigação de
fallas, y de interrupciones relacionadas con el falhas e interrupções relativas ao serviço entregue;
servicio entregado;
e) resolver y gestionar cualquier problema e) resolver e gerenciar quaisquer problemas

identificado. identificados.
La responsabilidad de gestionar la relación con Convém que a responsabilidade do gerenciamento

terceras partes debería asignarse a un individuo o de relacionamento com o terceiro seja atribuída a
a un equipo designado de gestión del servicio. um indivíduo designado ou equipe de
Además, la organización debería asegurarse de gerenciamento de serviço. Adicionalmente, convém
que las terceras partes asignen responsabilidades que a organização garanta que o terceiro atribua
de verificación para evaluar la conformidad y responsabilidades pela verificação de conformidade
hacer cumplir los requisitos de los acuerdos. Los e reforço aos requisitos dos acordos. Convém que
recursos técnicos deberían estar disponibles para habilidades técnicas suficientes e recursos sejam
supervisar que los requisitos del acuerdo (véase disponibilizados para monitorar se os requisitos dos
el Apartado 6.2.3), en particular los requisitos de acordos (ver 6.2.3), em particular os requisitos de
seguridad de la información, se estén cumpliendo. segurança da informação, estão sendo atendidos.
Se deberían tomar las acciones adecuadas Convém que ações apropriadas sejam tomadas
cuando se observen deficiencias en el servicio de quando deficiências na entrega dos serviços forem
las terceras partes. observadas.
La organización debería mantener suficiente Convém que a organização mantenha suficiente

control y supervisión en todos los aspectos de la controle geral e visibilidade em todos os aspectos
seguridad de la información sensible o crítica, o de segurança para as informações sensíveis ou
de las instalaciones de procesamiento de la críticas ou para os recursos de processamento da
información accedidas, procesadas o gestionadas informação acessados, processados ou
por terceras partes. La organización debería gerenciados por um terceiro. Convém que a
asegurar el control sobre actividades de la organização garanta a retenção da visibilidade nas
seguridad tales como gestión del cambio, atividades de segurança como gerenciamento de
identificación de las vulnerabilidades, y reportes mudanças, identificação de vulnerabilidades e
de incidentes y respuestas de la seguridad de la relatório/resposta de incidentes de segurança da
información mediante una estructura, formato y informação através de um processo de notificação,
proceso claramente definido. formatação e estruturação claramente definido.

En caso de contratación externa, es necesario Em caso de terceirização, a organização precisa
que la organización sepa que la máxima estar ciente de que a responsabilidade final pela
responsabilidad por la información procesada por informação processada por um parceiro de
una parte contratada externamente sigue siendo terceirização permanece com a organização.
de la organización.
10.2.3 Gestión de cambios en los servicios de 10.2.3 Gerenciamento de mudanças para

terceras partes serviços terceirizados
Control Controle
Los cambios a la prestación de los servicios, Convém que mudanças no provisionamento dos
incluyendo mantenimiento y mejora de las serviços, incluindo manutenção e melhoria da
políticas existentes de la seguridad de la política de segurança da informação,
información, procedimientos y controles, deberían procedimentos e controles existentes, sejam
gestionarse tomando en cuenta la importancia de gerenciadas levando-se em conta a criticidade dos
los sistemas y procesos de negocio que impliquen sistemas e processos de negócio envolvidos e a
una nueva valoración de riesgos. reanálise/reavaliação de riscos.

El proceso de gestión de cambios a un servicio de O processo de gerenciamento de mudanças para
terceras partes necesita tomar en cuenta: serviços terceirizados precisa levar em conta:
62 10.09.2007
a) cambios realizados por la organización para a) mudanças feitas pela organização para a
implementar: implementação de:
1) mejoras a los servicios actuales ofrecidos; 1) melhorias dos serviços correntemente

oferecidos;
2) desarrollo de nuevos sistemas y 2) desenvolvimento de quaisquer novas

aplicaciones; aplicações ou sistemas;
3) modificaciones o actualizaciones de las 3) modificações ou atualizações das políticas e

políticas y de los procedimientos de la procedimentos da organização;
organización;
4) nuevos controles para resolver incidentes 4) novos controles para resolver os incidentes
de la seguridad de la información y para de segurança da informação e para melhorar
mejorar la seguridad; a segurança;
b) cambios en servicios de las terceras partes b) mudanças em serviços de terceiros para

para implementar: implementação de:
1) cambios y mejoras en las redes; 1) mudanças e melhorias em redes;
2) uso de nuevas tecnologías; 2) uso de novas tecnologias;
3) adopción de nuevos productos o versiones; 3) adoção de novos produtos ou novas versões;
4) nuevas herramientas y ambientes de 4) novas ferramentas e ambientes de

desarrollo; desenvolvimento;
5) cambios a la localización física de las 5) mudanças de localização física dos recursos

instalaciones del servicio; de serviços;
6) cambio de vendedores. 6) mudanças de fornecedores.
10.3 Planificación y aceptación del sistema 10.3 Planejamento e aceitação dos sistemas
OBJETIVO: Minimizar el riesgo de fallos de los Objetivo: Minimizar o risco de falhas nos sistemas.
sistemas.
Se requiere una planificación y preparación O planejamento e a preparação prévios são

avanzada para asegurar la disponibilidad de requeridos para garantir a disponibilidade
capacidad y recursos adecuados para el adequada de capacidade e recursos para entrega
desempeño requerido del sistema. do desempenho desejado ao sistema.
Deberían realizarse proyecciones de los Convém que projeções de requisitos de capacidade

requisitos futuros de capacidad para reducir el futura sejam feitas para reduzir o risco de
riesgo de sobrecarga del sistema. sobrecarga dos sistemas.
Deberían establecerse, documentarse y probarse Convém que os requisitos operacionais dos novos
los requisitos operativos de nuevos sistemas sistemas sejam estabelecidos, documentados e
antes de su aprobación y utilización. testados antes da sua aceitação e uso.
10.3.1 Gestión de la capacidad 10.3.1 Gestão de capacidade
Control Controle
Debería supervisarse y adaptarse el uso de Convém que a utilização dos recursos seja
recursos, así como proyecciones de los futuros monitorada e ajustada, e as projeções feitas para
requisitos de capacidad para asegurar el necessidades de capacidade futura, para garantir o
63 10.09.2007
desempeño requerido del sistema. desempenho requerido do sistema.

Para cada actividad nueva y en curso, deberían Convém que requisitos de capacidade sejam
identificarse los requisitos de capacidad. identificados para cada atividade nova ou em
andamento.
Debería supervisarse y adaptarse el sistema para Convém que o ajuste e o monitoramento dos
asegurar, y cuando sea necesario, mejorar la sistemas sejam aplicados para garantir e, quando
disponibilidad y la eficacia de los sistemas. necessário, melhorar a disponibilidade e eficiência
Deberían ejecutarse controles exhaustivos para dos sistemas. Convém que controles detectivos
indicar problemas a su debido tiempo. Las sejam implantados para identificar problemas em
proyecciones de los requisitos de capacidad tempo hábil. Convém que projeções de capacidade
futura deberían tomar en cuenta los nuevos futura levem em consideração os requisitos de
requisitos del negocio y del sistema, así como novos negócios e sistemas e as tendências atuais
tendencias actuales y proyectadas en la e projetadas de capacidade de processamento de
capacidad de procesamiento de la información de informação da organização.
la organización.
Es necesario poner atención a los recursos cuya Atenção particular precisa ser dada a qualquer
adquisición toma mucho tiempo o requiere costos recurso que possua um ciclo de renovação ou
elevados; por lo tanto los responsables deberían custo maior, sendo responsabilidade dos gestores
supervisar la utilización de los recursos clave del monitorar a utilização dos recursos-chave dos
sistema. Deberían identificar tendencias en uso, sistemas. Convém que eles identifiquem as
particularmente en lo referente a las aplicaciones tendências de utilização, particularmente em
del negocio o herramientas de administración de relação às aplicações do negócio ou às
sistemas de información. ferramentas de gestão de sistemas de informação.
Los responsables deberían utilizar esta Convém que os gestores utilizem essas
información para identificar y evitar posibles informações para identificar e evitar os potenciais
embotellamientos, así como dependencia de gargalos e a dependência em pessoas-chave que
personal clave que pudiera presentar una possam representar ameaças à segurança dos
amenaza a la seguridad o a los servicios del sistemas ou aos serviços, e planejar ação corretiva
sistema, y planificar la acción apropiada. apropriada.
10.3.2 Aceptación del sistema 10.3.2 Aceitação de sistemas
Control Controle
Deberían establecerse criterios de aceptación Convém que sejam estabelecidos critérios de
para sistemas de información nuevos, aceitação para novos sistemas, atualizações e
actualizaciones y nuevas versiones y llevar a novas versões, e que sejam efetuados testes
cabo las pruebas adecuadas del sistema durante apropriados do(s) sistema(s) durante seu
el desarrollo y antes de la aceptación. desenvolvimento e antes da sua aceitação.

Los directores deberían asegurarse que los Convém que os gestores garantam que os
requisitos y criterios de aceptación de los nuevos requisitos e critérios para aceitação de novos
sistemas estén claramente definidos, acordados, sistemas estejam claramente definidos, acordados,
documentados y probados. Los nuevos sistemas documentados e testados. Convém que novos
de información, actualizaciones y nuevas sistemas de informação, atualizações e novas
versiones deberían migrarse a producción luego versões só sejam migrados para produção após a
de obtenerse una aceptación formal. Deberían obtenção de aceitação formal.
considerarse los siguientes elementos antes de la Convém que os seguintes itens sejam
aceptación formal: considerados antes que a aceitação formal seja
emitida:
a) requisitos de rendimiento y capacidad de las a) requisitos de desempenho e de capacidade

computadoras; computacional;
64 10.09.2007
b) procedimientos de recuperación de errores y b) recuperação de erros, procedimentos de

reinicio, y planes de contingencia; reinicialização e planos de contingência;
c) preparación y prueba de procedimientos c) preparação e teste de procedimentos

operativos de rutina según las normas definidas; operacionais de rotina, com base em normas
definidas;
d) conjunto acordado de controles y medidas de d) concordância sobre o conjunto de controles de

seguridad instalados; segurança utilizados;
e) procedimientos manuales efectivos; e) procedimentos manuais eficazes;
f) disposiciones de continuidad del negocio. f) requisitos de continuidade dos negócios (ver

(véase el Apartado 14.1); 14.1);
g) evidencia de que la instalación del nuevo g) evidência de que a instalação do novo sistema
sistema no producirá repercusiones negativas não afetará de forma adversa os sistemas
sobre los existentes, particularmente en los existentes, particularmente nos períodos de pico de
períodos picos de proceso como a fin de mes; processamento, como, por exemplo, em final de
mês;
h) evidencia de que se ha tenido en cuenta el h) evidência de que tenha sido considerado o

efecto que tendrá el nuevo sistema en la impacto do novo sistema na segurança da
seguridad global de la organización; organização como um todo;
i) formación en la operación o utilización de los i) treinamento na operação ou uso de novos

sistemas nuevos; sistemas;
j) facilidad de empleo, y como esto afecta el j) facilidade de uso, uma vez que afeta o
funcionamiento del usuario y evita el error desempenho do usuário e evita falhas humanas.
humano.
Para nuevos desarrollos importantes, se debería Para os principais novos desenvolvimentos,

consultar al responsable de operaciones y a los convém que os usuários e as funções de operação
usuarios en todos las etapas del proceso de sejam consultados em todos os estágios do
desarrollo para asegurar la eficacia operacional processo de desenvolvimento, de forma a garantir
del diseño del sistema propuesto. Deberían a eficiência operacional do projeto de sistema
realizarse pruebas apropiadas para confirmar que proposto. Convém que os devidos testes sejam
se han satisfecho completamente todos los executados para garantir que todos os critérios de
criterios de aceptación. aceitação tenham sido plenamente satisfeitos.

La aceptación puede incluir un proceso formal de A aceitação pode incluir um processo formal de
certificación y acreditación para verificar que los certificação e reconhecimento para garantir que os
requisitos de la seguridad se han tratado requisitos de segurança tenham sido devidamente
correctamente. endereçados.
10.4 Protección contra código malicioso y 10.4 Proteção contra códigos maliciosos e
código móvil códigos móveis
OBJETIVO: Proteger la integridad del software y Objetivo: Proteger a integridade do software e da

de la información. informação.
Se requieren ciertas precauciones para prevenir y Precauções são requeridas para prevenir e
detectar la introducción de código malicioso y detectar a introdução de códigos maliciosos e
código móvil no autorizado. códigos móveis não autorizados.
65 10.09.2007
El software y las instalaciones de procesamiento Os recursos de processamento da informação e os

de información son vulnerables a la introducción softwares são vulneráveis à introdução de código
de código malicioso como virus informáticos, malicioso, tais como vírus de computador, worms
gusanos de la red, caballos de Troya y bombas de rede, cavalos de Tróia e bombas lógicas.
lógicas. Los usuarios deberían conocer los Convém que os usuários estejam conscientes dos
peligros que puede ocasionar el código malicioso perigos do código malicioso. Convém que os
y el código móvil no autorizado. Los responsables gestores, onde apropriado, implantem controles
deberían, cuando sea apropiado, introducir para prevenir, detectar e remover código malicioso
controles para prevenir, detectar y remover el e controlar códigos móveis.
código malicioso y controlar el código móvil.
10.4.1 Controles contra código malicioso 10.4.1 Controles contra códigos maliciosos
Control Controle
Deberían implantarse controles de detección, Convém que sejam implantados controles de
prevención y recuperación para protegerse contra detecção, prevenção e recuperação para proteger
códigos maliciosos, junto a procedimientos contra códigos maliciosos, assim como
adecuados para concientizar a los usuarios. procedimentos para a devida conscientização dos
usuários.

La protección contra el código malicioso debería Convém que a proteção contra códigos maliciosos
basarse en el empleo de sistemas de detección y seja baseada em softwares de detecção de códigos
reparación, en la conciencia de la seguridad, y en maliciosos e reparo, na conscientização da
apropiados controles de acceso al sistema y segurança da informação, no controle de acesso
gestión de cambios. Las siguientes directrices adequado e nos controles de gerenciamento de
deberían considerarse: mudanças. Convém que as seguintes diretrizes
sejam consideradas:
a) establecimiento de una política formal que a) estabelecer uma política formal proibindo o uso
establezca la prohibición del uso de software no de softwares não autorizados (ver 15.1.2);
autorizado (véase el Apartado 15.1.2);
b) establecimiento de una política formal de b) estabelecer uma política formal para proteção
protección contra los riesgos asociados a la contra os riscos associados com a importação de
obtención de archivos y software por redes arquivos e softwares, seja de redes externas, ou
externas o cualquier otro medio, indicando las por qualquer outro meio, indicando quais medidas
medidas protectoras a adoptar; preventivas devem ser adotadas;
c) revisiones regulares del contenido de datos y c) conduzir análises críticas regulares dos
software que soportan los procesos del negocio; softwares e dados dos sistemas que suportam
la presencia de archivos no aprobados o arreglos processos críticos de negócio; convém que a
no autorizados debería investigarse formalmente; presença de quaisquer arquivos não aprovados ou
atualização não autorizada seja formalmente
investigada;
d) la instalación y actualización regular de d) instalar e atualizar regularmente softwares de

antivirus para detección y reparación de software detecção e remoção de códigos maliciosos para o
que exploren las computadoras y los soportes de exame de computadores e mídias magnéticas, de
forma rutinaria o como un control preventivo; las forma preventiva ou de forma rotineira; convém que
verificaciones deberían incluir: as verificações realizadas incluam:
1) comprobación de archivos en medios 1) verificação, antes do uso, da existência de

electrónicos u ópticos, y archivos recibidos códigos maliciosos nos arquivos em mídias
a través de redes, para verificar la óticas ou eletrônicas, bem como nos
existencia de código malicioso, antes de su arquivos transmitidos através de redes;
uso;
2) la comprobación para buscar software 2) verificação, antes do uso, da existência de
66 10.09.2007
malicioso, antes de usarlo, de todo archivo software malicioso em qualquer arquivo

adjunto a un correo electrónico o de toda recebido através de correio eletrônico ou
descarga. Esta comprobación que se hará importado (download). Convém que essa
en distintos lugares, por ejemplo, en los avaliação seja feita em diversos locais,
servidores de correo, en las computadoras como, por exemplo, nos servidores de
terminales o a la entrada en la red de la correio eletrônico, nos computadores
organización; pessoais ou quando da sua entrada na rede
da organização;
3) comprobación de páginas web para saber si 3) verificação da existência de códigos

hay código malicioso; maliciosos em páginas web;
e) definición de procedimientos y e) definir procedimentos de gerenciamento e

responsabilidades de gestión para la protección respectivas responsabilidades para tratar da
de los sistemas contra código malicioso, la proteção de código malicioso nos sistemas,
capacitación para su uso, la información de los treinamento nesses procedimentos, reporte e
ataques de los virus y la recuperación de éstos recuperação de ataques de códigos maliciosos (ver
(véase los Apartados 13.1 y 13.2); 13.1 e 13.2);
f) preparación de planes de continuidad del f) preparar planos de continuidade do negócio

negocio apropiados para la recuperación ante los adequados para a recuperação em caso de
ataques de código malicioso, incluyendo todos los ataques por códigos maliciosos, incluindo todos os
datos y software necesarios de respaldo y las procedimentos necessários para a cópia e
disposiciones para la recuperación (véase la recuperação dos dados e softwares (ver Seção 14);
Clausula 14);
g) implementación de procedimientos para g) implementar procedimentos para regularmente

recoger regularmente la información, tal como coletar informações, tais como, assinaturas de
suscripción a las listas de correo y/o listas de discussão e visitas a sites informativos
comprobación de los sitios web que brindan la sobre novos códigos maliciosos;
información sobre nuevo código malicioso;
h) implementación de procedimientos para h) implementar procedimentos para a verificação

verificar toda la información relativa al software de informação relacionada a códigos maliciosos e
malicioso y asegurarse que los boletines de alerta garantia de que os boletins com alertas sejam
son precisos e informativos. Los responsables precisos e informativos; convém que os gestores
deberían asegurarse que se diferencian los garantam que fontes qualificadas, como, por
códigos maliciosos reales de los falsos avisos de exemplo, jornais com reputação idônea, sites
código malicioso, usando fuentes calificadas, por confiáveis ou fornecedores de software de proteção
ejemplo, revistas expertas, sitios de Internet contra códigos maliciosos, sejam utilizadas para
fiables o proveedores de software contra código diferenciar boatos de notícias reais sobre códigos
malicioso. Debería advertirse al personal sobre el maliciosos; convém que todos os usuários estejam
problema de los falsos avisos de código malicioso cientes dos problemas decorrentes de boatos e
y qué hacer en caso de recibirlos. capacitados a lidar com eles.

El uso de dos o más productos de software que A utilização de dois ou mais tipos de software de
protegen contra código malicioso a través del controle contra códigos maliciosos de diferentes
tratamiento de la información de diversos fornecedores no ambiente de processamento da
vendedores puede mejorar la eficacia de la informação pode aumentar a eficácia na proteção
protección contra el código malicioso. contra códigos maliciosos.
El software a proteger contra código malicioso se Softwares de proteção contra código malicioso
puede instalar para obtener actualizaciones podem ser instalados para prover atualizações
automáticas de los archivos y los motores de automáticas dos arquivos de definição e
búsqueda para asegurar la actualización de la mecanismos de varredura, para garantir que a
protección. Además, este software se puede proteção esteja atualizada. Adicionalmente, estes
instalar en cada escritorio para realizar softwares podem ser instalados em todas as
verificaciones automáticas. estações de trabalho para a realização de
67 10.09.2007
verificações automáticas.
Debería tenerse especial cuidado para protegerse Convém que seja tomado cuidado quanto a
contra la introducción de código malicioso durante possível introdução de códigos maliciosos durante
los procedimientos de mantenimiento y de manutenções e quando estão sendo realizados
emergencia, evitando que códigos maliciosos procedimentos de emergência. Tais procedimentos
puedan saltear los controles. podem ignorar controles normais de proteção
contra códigos maliciosos.
10.4.2 Controles contra código móvil 10.4.2 Controles contra códigos móveis
Control Controle
Donde el uso de código móvil está autorizado, la Onde o uso de códigos móveis é autorizado,
configuración debería asegurar que el código convém que a configuração garanta que o código
móvil autorizado opera de acuerdo con una móvel autorizado opere de acordo com uma política
política de seguridad definida, y debería evitarse de segurança da informação claramente definida e
la ejecución de código móvil no autorizado. códigos móveis não autorizados tenham sua
execução impedida.

Las siguientes acciones deberían considerarse Convém que as seguintes ações sejam
para protegerse contra las acciones del código consideradas para proteger contra ações não
móvil no autorizado: autorizadas realizadas por códigos móveis:
a) ejecución de código móvil en un entorno a) executar códigos móveis em ambientes isolados

lógicamente aislado; logicamente;
b) bloqueo de cualquier utilización de código b) bloquear qualquer tipo de uso de código móvel;
móvil;
c) bloqueo de recepción de código móvil; c) bloquear o recebimento de códigos móveis;
d) activación de medidas técnicas disponibles en d) ativar medidas técnicas disponíveis nos sistemas
sistemas específicos para asegurar el control del específicos para garantir que o código móvel esteja
código móvil; sendo administrado;
e) control de recursos disponibles sobre el acceso e) controlar os recursos disponíveis para acesso ao
del código móvil; código móvel;
f) controles criptográficos para autenticar el f) estabelecer controles criptográficos de

código móvil. autenticação exclusiva do código móvel.

El código móvil es un software que se transfiere Código móvel é um código transferido de um
de un computador a otro y se ejecuta computador a outro executando automaticamente e
automáticamente y desarrolla una función realizando funções específicas com pequena ou
específica con poca o nula intervención del nenhuma interação por parte do usuário. Códigos
usuario. El código móvil está asociado con un móveis são associados a uma variedade de
número de servicios de software intermedio serviços middleware.
(middleware).
Además para asegurar que el código móvil no Além de garantir que os códigos móveis não
contiene otro código malicioso, el control del carreguem códigos maliciosos, manter o controle
código móvil es esencial para evitar su uso no deles é essencial na prevenção contra o uso não
autorizado o la interrupción del sistema, red o autorizado ou interrupção de sistemas, redes ou
recursos de la aplicación y otras brechas de la aplicativos, e na prevenção contra violações de
seguridad de la información. segurança da informação.
10.5 Respaldo 10.5 Cópias de segurança
68 10.09.2007
OBJETIVO: Mantener la integridad y Objetivo: Manter a integridade e disponibilidade da

disponibilidad de la información y de las informação e dos recursos de processamento de
instalaciones de procesamiento de la información. informação.
Deberían establecerse procedimientos de rutina Convém que procedimentos de rotina sejam

para implementar una política y estrategia estabelecidos para implementar as políticas e
acordada de respaldo (véase el Apartado 14.1) estratégias definidas para a geração de cópias de
haciendo copias de respaldo de datos y segurança (ver 14.1) e possibilitar a geração das
ensayando sus tiempos de restauración. cópias de segurança dos dados e sua recuperação
em um tempo aceitável.
10.5.1 Respaldo de la información 10.5.1 Cópias de segurança das informações
Control Controle
Deberían hacerse regularmente copias de Convém que as cópias de segurança das
seguridad de la información y del software y informações e dos softwares sejam efetuadas e
probarse regularmente acorde con la política de testadas regularmente conforme a política de
respaldo. geração de cópias de segurança definida.

Deberían mantenerse adecuados soportes de Convém que recursos adequados para a geração
respaldo para asegurar que toda la información de cópias de segurança sejam disponibilizados
esencial y el software puedan recuperarse tras un para garantir que toda informação e software
desastre o fallo de los soportes. essenciais possam ser recuperados após um
desastre ou a falha de uma mídia.
Deberían considerarse los siguientes elementos Convém que os seguintes itens para a geração das
para el respaldo de la información: cópias de segurança sejam considerados:
a) debería definirse el nivel necesario de a) definição do nível necessário das cópias de

información de respaldo; segurança das informações;
b) deberían realizarse copias de seguridad de la b) produção de registros completos e exatos das

información seguras y completas, y producirse cópias de segurança e documentação apropriada
documentos de restauración; sobre os procedimentos de restauração da
informação;
c) el grado (por ejemplo, respaldo completo o c) a extensão (por exemplo, completa ou

diferencial) y la frecuencia de los respaldos diferencial) e a freqüência da geração das cópias
deberían reflejar los requisitos del negocio, los de segurança reflita os requisitos de negócio da
requisitos de la seguridad de la información organização, além dos requisitos de segurança da
implicada, y la importancia de la información que informação envolvidos e a criticidade da informação
permita la operación continua de la organización; para a continuidade da operação da organização;
d) los respaldos deberían almacenarse en lugar d) as cópias de segurança sejam armazenadas em

Apartado, a una suficiente distancia para la uma localidade remota, a uma distância suficiente
salvaguarda de cualquier daño de un desastre en para escapar dos danos de um desastre ocorrido
el sitio principal; no local principal;
e) la información de respaldo debería tener un e) deve ser dado um nível apropriado de proteção
nivel apropiado de protección ambiental y físico física e ambiental das informações das cópias de
(véase la Cláusula 9) consistente con las normas segurança (ver Seção 9), consistente com as
aplicadas en el sitio principal; los controles normas aplicadas na instalação principal; os
aplicados a los soportes en el sitio principal se controles aplicados às mídias na instalação
deben ampliar para cubrir el sitio de respaldo; principal sejam usados no local das cópias de
segurança;
69 10.09.2007
f) los soportes de respaldo deberían probarse f) as mídias de cópias de segurança sejam

regularmente para asegurarse que pueden ser testadas regularmente para garantir que elas são
confiables para el uso cuando sean necesarios; suficientemente confiáveis para uso de
emergência, quando necessário;
g) los procedimientos de restauración deberían g) os procedimentos de recuperação sejam

comprobarse regularmente para asegurar que verificados e testados regularmente, de forma a
son eficaces y que pueden ser utilizados dentro garantir que estes são efetivos e que podem ser
del tiempo asignado en los procedimientos concluídos dentro dos prazos definidos nos
operacionales para la recuperación; procedimentos operacionais de recuperação;
h) en situaciones donde la confidencialidad es de h) em situações onde a confidencialidade é

importancia, los respaldos deberían protegerse importante, cópias de segurança sejam protegidas
por medio del cifrado. através de encriptação.
Las disposiciones de respaldo para los sistemas Convém que as cópias de segurança de sistemas
individuales deberían verificarse regularmente específicos sejam testadas regularmente para
para asegurar que resuelven los requisitos de los garantir que elas estão aderentes aos requisitos
planes para la continuidad del negocio (véase la definidos nos planos de continuidade do negócio
Cláusula 14). Para los sistemas críticos, las (ver Seção 14). Para sistemas críticos, convém que
disposiciones de respaldo deberían cubrir toda la os mecanismos de geração de cópias de
información, usos, y datos de los sistemas segurança abranjam todos os sistemas de
necesarios para recuperar el sistema completo en informação, aplicações e dados necessários para a
caso de un desastre. completa recuperação do sistema em um evento de
desastre.
Debería determinarse el periodo de validez para Convém que o período de retenção para
la información esencial de la organización, y informações essenciais ao negócio e também
también cualquier requisito para las copias de qualquer requisito para que cópias de arquivo
archivo. (véase el Apartado 15.1.3). sejam permanentemente retidas seja determinado
(ver 15.1.3).

Las disposiciones de respaldo se pueden Os mecanismos de cópias de segurança podem
automatizar para facilitar el respaldo y los ser automatizados para facilitar os processos de
procesos de restauración. Tales soluciones geração e recuperação das cópias de segurança.
automatizadas deberían probarse suficientemente Convém que tais soluções automatizadas sejam
antes de la puesta en práctica y en intervalos suficientemente testadas antes da implementação
regulares. e verificadas em intervalos regulares.
10.6 Gestión de la seguridad de red 10.6 Gerenciamento da segurança em redes
OBJETIVO: Asegurar la protección de la Objetivo: Garantir a proteção das informações em

información en redes y la protección de la redes e a proteção da infra-estrutura de suporte.
infraestructura de soporte.
La gestión segura de las redes, las cuales pueden O gerenciamento seguro de redes, que pode ir
sobrepasar las fronteras de la organización, além dos limites da organização, requer
requiere la consideración cuidadosa del flujo de cuidadosas considerações relacionadas ao fluxo de
datos, las implicaciones legales, el seguimiento y dados, implicações legais, monitoramento e
la protección. proteção.
También pueden ser necesarios los controles Controles adicionais podem ser necessários para
adicionales para proteger la información sensible proteger informações sensíveis trafegando sobre
que pasa por las redes públicas. redes públicas.
10.6.1 Controles de red 10.6.1 Controles de redes
70 10.09.2007
Control Controle
Las redes deberían gestionarse y controlarse Convém que as redes sejam adequadamente
adecuadamente, para protegerlas contra gerenciadas e controladas, de forma a protegê-las
amenazas, y mantener la seguridad de los contra ameaças e manter a segurança de sistemas
sistemas, incluyendo la información en tránsito. e aplicações que utilizam estas redes, incluindo a
informação em trânsito.

Los administradores de redes deberían implantar Convém que gestores de redes implementem
los controles y medidas requeridas para controles para garantir a segurança da informação
conservar la seguridad de los datos en las redes nestas redes e a proteção dos serviços a elas
de computadoras, así como la protección contra conectadas, de acesso não autorizado. Em
servicios conectados no autorizados. En particular, convém que os seguintes itens sejam
particular, deberían considerarse los siguientes considerados:
elementos:
a) la responsabilidad operativa por las redes a) a responsabilidade operacional pelas redes seja
debería separarse de las operaciones del separada da operação dos recursos
computador, según sea apropiado (véase el computacionais onde for apropriado (ver 10.1.3);
Apartado 10.1.3);
b) deberían establecerse responsabilidades y b) as responsabilidades e procedimentos sobre o

procedimientos para la gestión de los equipos gerenciamento de equipamentos remotos, incluindo
remotos, incluyendo los de las áreas de usuarios; equipamentos em áreas de usuários, sejam
estabelecidos;
c) deberían establecerse, controles y medidas c) os controles especiais sejam estabelecidos para

especiales para salvaguardar la confidencialidad proteção da confidencialidade e integridade dos
y la integridad de los datos que circulen a través dados trafegando sobre redes públicas ou sobre as
de redes públicas, así como para proteger los redes sem fio (wireless) e para proteger os
sistemas conectados (véase los Apartados 11.4 y sistemas e aplicações a elas conectadas (ver 11.4
12.3); también deberían requerirse controles y e 12.3); controles especiais podem também ser
medidas especiales para mantener la requeridos para manter a disponibilidade dos
disponibilidad de los servicios de las redes y de serviços de rede e computadores conectados;
las computadoras conectadas;
d) debería utilizarse el registro y la supervisión d) os mecanismos apropriados de registro e

apropiada para permitir el registro de las acciones monitoração sejam aplicados para habilitar a
relevantes para la seguridad; gravação das ações relevantes de segurança;
e) deberían coordinarse estrechamente las e) as atividades de gerenciamento sejam

actividades de gestión tanto para optimizar el coordenadas para otimizar os serviços para a
servicio al negocio como para asegurar que los organização e assegurar que os controles estejam
controles y medidas se aplican coherentemente aplicados de forma consistente sobre toda a infra-
en toda la infraestructura de tratamiento de la estrutura de processamento da informação.
información.
Informações adicionais
Informações adicionais sobre segurança de redes
podem ser encontradas na ISO/IEC 18028,
Information technology - Security techniques - IT
network security.
10.6.2 Seguridad de los servicios de red 10.6.2 Segurança dos serviços de rede
Control Controle
Las características de la seguridad, los niveles del Convém que as características de segurança,
servicio, y los requisitos de la gestión de todos los níveis de serviço e requisitos de gerenciamento dos
servicios de red se deberían identificar e incluir en serviços de rede sejam identificados e incluídos em
71 10.09.2007
cualquier acuerdo de servicios de red. qualquer acordo de serviços de rede, tanto para
serviços de rede providos internamente ou
terceirizados.

La capacidad del proveedor de servicio de red Convém que a capacidade do provedor dos
para gestionar los servicios acordados de una serviços de rede de gerenciar os serviços
manera segura deberían ser establecidos y acordados de maneira segura seja determinada e
supervisados regularmente, y debería acordarse monitorada regularmente, bem como que o direito
el derecho a auditar. de auditá-los seja acordado.
Deberían identificarse los acuerdos de seguridad Convém que as definições de segurança

necesarios para servicios particulares, tales como necessárias para serviços específicos, como
características de la seguridad, niveles de características de segurança, níveis de serviço e
servicio, y requisitos de gestión. La organización requisitos de gerenciamento, sejam identificadas.
debería asegurarse que los proveedores de Convém que a organização assegure que os
servicios de red implementen estas medidas. provedores dos serviços de rede implementam
estas medidas.

Los servicios de red incluyen la provisión de Serviços de rede incluem o fornecimento de
conexiones, los servicios de red privados, y las conexões, serviços de rede privados, redes de
redes con valor agregado, así como soluciones valor agregado e soluções de segurança de rede
de seguridad para la red tales como cortafuegos gerenciadas como firewalls e sistemas de detecção
(firewalls) y sistemas de detección de intrusos. de intrusos. Estes serviços podem abranger desde
o simples fornecimento de banda de rede não
gerenciada até complexas ofertas de soluções de
valor agregado.
Las características de la seguridad de los Funcionalidades de segurança de serviços de rede

servicios de red podían ser: podem ser:
a) la tecnología aplicada para los servicios de a) tecnologias aplicadas para segurança de

seguridad de red, tales como autenticación, serviços de redes como autenticação, encriptação
cifrado, y controles de la conexión de red; e controles de conexões de rede;
b) parámetros técnicos requeridos para la b) parâmetro técnico requerido para uma conexão
conexión segura con los servicios de red de segura com os serviços de rede de acordo com a
acuerdo con las reglas de la seguridad y de la segurança e regras de conexão de redes;
conexión de red;
c) procedimientos para la utilización del servicio c) procedimentos para o uso de serviços de rede
de red para restringir el acceso a los servicios o a para restringir o acesso a serviços de rede ou
los usos de red, cuando sea necesario. aplicações, onde for necessário.
10.7 Manejo de los medios 10.7 Manuseio de mídias
OBJETIVO: Evitar divulgación no autorizada, Objetivo: Prevenir contra divulgação não

modificación, borrado o destrucción de los activos autorizada, modificação, remoção ou destruição
e interrupción de las actividades del negocio. aos ativos, e interrupções das atividades do
negócio.
Los medios deberían controlarse y protegerse Convém que as mídias sejam controladas e
físicamente. fisicamente protegidas.
Deberían establecerse los procedimientos Convém que procedimentos operacionais

operativos adecuados para proteger los apropriados sejam estabelecidos para proteger
documentos, medios informáticos (discos, cintas, documentos, mídias magnéticas de computadores
etc.), datos de entrada o salida y documentación (fitas, discos), dados de entrada e saída e
72 10.09.2007
del sistema contra daño, borrado y acceso no documentação dos sistemas contra divulgação não
autorizado. autorizada, modificação, remoção e destruição.
10.7.1 Gestión de los medios removibles 10.7.1 Gerenciamento de mídias removíveis
Control Controle
Debería haber implementados procedimientos Convém que existam procedimentos
para la gestión de los medios removibles. implementados para o gerenciamento de mídias
removíveis.

Deberían considerarse los siguientes controles: Convém que as seguintes diretrizes para o
gerenciamento de mídias removíveis sejam
consideradas:
a) deberían borrarse en forma irrecuperable, a) quando não for mais necessário, o conteúdo de
cuando no se necesiten más, los contenidos qualquer meio magnético reutilizável seja
previos de todo medio reutilizable del que se destruído, caso venha a ser retirado da
desprenda la organización; organização;
b) cuando sea necesario y práctico, debería b) quando necessário e prático, seja requerida a
requerirse autorización para liberar medios de la autorização para remoção de qualquer mídia da
organización y deberían registrarse las organização e mantido o registro dessa remoção
remociones para mantener la pista de auditoría; como trilha de auditoria;
c) todos los medios deberían almacenarse a salvo c) toda mídia seja guardada de forma segura em
en un entorno seguro, de acuerdo con las um ambiente protegido, de acordo com as
especificaciones de los fabricantes; especificações do fabricante;
d) la información almacenada en medios que d) informações armazenadas em mídias que

necesite estar disponible mayor tiempo que la precisam estar disponíveis por muito tempo (em
vida útil del medio (de acuerdo con las conformidade com as especificações dos
especificaciones del fabricante) debería también fabricantes) sejam também armazenadas em outro
almacenarse en otra parte para evitar la pérdida local para evitar perda de informações devido à
de la información debido al deterioro del medio; deterioração das mídias;
e) debería considerarse el registro de los medios e) as mídias removíveis sejam registradas para
removibles para minimizar la oportunidad de limitar a oportunidade de perda de dados;
pérdida de datos;
f) las unidades de medios removibles sólo f) as unidades de mídias removíveis estejam

deberían habilitarse si existen razones del habilitadas somente se houver uma necessidade
negocio para hacerlo. do negócio.
Deberían documentarse claramente todos los Convém que todos os procedimentos e os níveis de
procedimientos y niveles de autorización. autorização sejam explicitamente documentados.

Los medios removibles incluyen cintas, discos, Mídia removível inclui fitas, discos, flash disks,
discos removibles (flash disks), CDs, DVDs y discos removíveis, CD, DVD e mídia impressa.
medios impresos.
10.7.2 Eliminación de los medios 10.7.2 Descarte de mídias
Control Controle
Deberían eliminarse los medios de forma segura Convém que as mídias sejam descartadas de
y sin peligro cuando no se necesiten más, usando forma segura e protegida quando não forem mais
procedimientos formales. necessárias, por meio de procedimentos formais.
73 10.09.2007

Los procedimientos formales de eliminación Convém que procedimentos formais para o
segura de los medios deberían minimizar el descarte seguro das mídias sejam definidos para
riesgo que personas no autorizadas accedan a minimizar o risco de vazamento de informações
información sensible. Deberían considerarse los sensíveis para pessoas não autorizadas. Convém
siguientes elementos: que os procedimentos para o descarte seguro das
mídias, contendo informações sensíveis, sejam
relativos à sensibilidade das informações. Convém
que os seguintes itens sejam considerados:
a) los medios que contengan información sensible a) mídias contendo informações sensíveis sejam
deberían almacenarse y eliminarse de forma guardadas e destruídas de forma segura e
segura, por ejemplo, incinerándolos o protegida, como, por exemplo, através de
triturándolos, o borrando sus datos para evitar el incineração ou trituração, ou da remoção dos
uso en otra aplicación dentro de la organización; dados para uso por uma outra aplicação dentro da
organização;
b) los procedimientos deberían estar disponibles b) procedimentos sejam implementados para

para identificar los controles que requieren la identificar os itens que requerem descarte seguro;
remoción segura;
c) puede ser más fácil que todos los medios sean c) pode ser mais fácil implementar a coleta e
recogidos y removidos con seguridad, que descarte seguro de todas as mídias a serem
intentar separar los elementos sensibles; inutilizadas do que tentar separar apenas aquelas
contendo informações sensíveis;
d) muchas organizaciones ofrecen servicios de d) muitas organizações oferecem serviços de

recolección y eliminación de papel, equipos y coleta e descarte de papel, de equipamentos e de
medios; debería tenerse especial cuidado en mídias magnéticas; convém que se tenha o
seleccionar un contratista conveniente con cuidado na seleção de um fornecedor com
controles y experiencia adecuados; experiência e controles adequados;
e) la disposición de artículos sensibles debería e) descarte de itens sensíveis seja registrado em

registrarse en lo posible para mantener una pista controles sempre que possível para se manter uma
de auditoría. trilha de auditoria.
Quando da acumulação de mídias para descarte,

convém que se leve em consideração o efeito
proveniente do acúmulo, o que pode fazer com que
uma grande quantidade de informação não
sensível torne-se sensível.

La información sensible podría divulgarse con la Informações sensíveis podem ser divulgadas
disposición inadecuada de medios (véase através do descarte negligente das mídias (ver
también el Apartado 9.2.6 para información sobre 9.2.6 para informações de descarte de
la eliminación del equipamiento). equipamentos).
10.7.3 Procedimientos para el manejo de la 10.7.3 Procedimentos para tratamento de

Control Controle
Deberían establecerse procedimientos de Convém que sejam estabelecidos procedimentos
utilización y almacenamiento de la información para o tratamento e o armazenamento de
para protegerla de su mal uso o divulgación no informações, para proteger tais informações contra
autorizada. a divulgação não autorizada ou uso indevido.
74 10.09.2007
Deberían elaborarse procedimientos de manejo, Convém que procedimentos sejam estabelecidos

procesamiento, almacenamiento y comunicación para o tratamento, processamento,
de la información, de acuerdo con su clasificación armazenamento e transmissão da informação, de
(véase el Apartado 7.2). Los siguientes elementos acordo com a sua classificação (ver 7.2). Convém
deberían considerarse: que os seguintes itens sejam considerados:
a) manejo y etiquetado de todos los medios a) tratamento e identificação de todos os meios

según su nivel de clasificación indicado; magnéticos indicando o nível de classificação;
b) restricciones de acceso para evitar el acceso b) restrições de acesso para prevenir o acesso de
de personal no autorizado; pessoas não autorizadas;
c) mantenimiento de un registro formal de los c) manutenção de um registro formal dos

receptores autorizados de datos; destinatários de dados autorizados;
d) asegurar que los datos de entrada estén d) garantia de que a entrada de dados seja
completos, que el procesamiento se completa completa, de que o processamento esteja
adecuadamente y que se valide su salida; devidamente concluído e de que a validação das
saídas seja aplicada;
e) protección de los datos que están en cola para e) proteção dos dados preparados para expedição
su salida en un nivel coherente con su ou impressão de forma consistente com a sua
sensibilidad; criticidade;
f) almacenamiento de los medios en un entorno f) armazenamento das mídias em conformidade

acorde con las especificaciones del fabricante; com as especificações dos fabricantes;
g) mantener la distribución de los datos al g) manutenção da distribuição de dados no menor

mínimo; nível possível;
h) rotulado claro de todas las copias de los h) identificação eficaz de todas as cópias das
medios para cuidado de los receptores mídias, para chamar a atenção dos destinatários
autorizados; autorizados;
i) revisión de las listas de distribución y de i) análise crítica das listas de distribuição e das
receptores autorizados a intervalos regulares. listas de destinatários autorizados em intervalos
regulares.

Estos procedimientos se aplican a la información Estes procedimentos são aplicados para
en documentos, sistemas de computación, redes, informações em documentos, sistemas de
sistemas de comunicaciones móviles, correo, computadores, redes de computadores,
correo de voz, comunicaciones de voz en general, computação móvel, comunicação móvel, correio
multimedia, servicio postal, el uso de facsímiles y eletrônico, correio de voz, comunicação de voz em
cualquier otro elemento sensible, por ejemplo, geral, multimídia, serviços postais, uso de
cheques en blanco, facturas. máquinas de fax e qualquer outro item sensível,
como, por exemplo, cheques em branco e faturas.
10.7.4 Seguridad de la documentación de 10.7.4 Segurança da documentação dos

sistemas sistemas
Control Controle
La documentación de sistemas debería Convém que a documentação dos sistemas seja
protegerse contra el acceso no autorizado. protegida contra acessos não autorizados.
Guía de implementación
Para asegurar la documentación de sistemas, Diretrizes para implementação
deberían considerarse los siguientes elementos: Para proteger a documentação dos sistemas,
convém que os seguintes itens sejam
a) la documentación de sistemas debería considerados:
75 10.09.2007
almacenarse en forma segura; a) a documentação dos sistemas seja guardada de

forma segura;
b) la lista de acceso a la documentación de
sistemas debería limitarse al máximo, y ser b) a relação de pessoas com acesso autorizado à
autorizada por el propietario de la aplicación; documentação de sistemas seja a menor possível e
autorizada pelo proprietário do sistema;
c) la documentación de sistemas mantenida en
una red pública, o suministrada vía una red c) a documentação de sistema mantida em uma
pública, debería protegerse adecuadamente. rede pública, ou fornecida através de uma rede
pública, seja protegida de forma apropriada.
Información adicional
La documentación de sistemas puede contener Informações adicionais
variada información sensible, por ejemplo A documentação dos sistemas pode conter uma
descripciones de procesos de aplicaciones, série de informações sensíveis, como, por
procedimientos, estructura de datos, procesos de exemplo, descrições de processos da aplicação,
autorización. procedimentos, estruturas de dados e processos de
autorização.
10.8 Intercambio de información
10.8 Troca de informações
OBJETIVO: Mantener la seguridad de la
información y software intercambiado dentro de Objetivo: Manter a segurança na troca de
una organización y con cualquier otra entidad. informações e softwares internamente à
organização e com quaisquer entidades externas.
El intercambio de información y software entre
organizaciones debería estar basado en una Convém que as trocas de informações e softwares
política de intercambio formal, llevándose a cabo entre organizações estejam baseadas numa
según los acuerdos de intercambio, y debería política formal específica, sejam efetuadas a partir
cumplir con cualquier legislación relevante (véase de acordos entre as partes e estejam em
Cláusula 15). conformidade com toda a legislação pertinente (ver
Seção 15).
Deberían establecerse procedimientos y normas
para proteger la información y los medios físicos Convém que sejam estabelecidos procedimentos e
que contengan información en transito. normas para proteger a informação e a mídia física
que contém informação em trânsito.
10.8.1 Políticas y procedimientos de
intercambio de información 10.8.1 Políticas e procedimentos para troca de
informações
Control
Deberían implementarse políticas formales de Controle
intercambio, procedimientos y controles para Convém que políticas, procedimentos e controles
proteger el intercambio de información por medio sejam estabelecidos e formalizados para proteger a
del uso de cualquier tipo de recurso de troca de informações em todos os tipos de recursos
comunicación. de comunicação.
Los procedimientos y controles a ser seguidos al Diretrizes para implementação
utilizar medios de comunicación electrónica para Convém que os procedimentos e controles
el intercambio de información deberían de estabelecidos para a troca de informações em
considerar los siguientes elementos: recursos eletrônicos de comunicação considerem
os tópicos a seguir:
a) procedimientos diseñados para proteger el
intercambio de información de la intercepción, a) procedimentos formulados para proteger a
copiado, modificación, desviación, y destrucción; informação em trânsito contra interceptação, cópia,
modificação, desvio e destruição;
b) procedimientos para la detección de y
protección contra código malicioso que pueda ser b) procedimentos para detecção e proteção contra
transmitido por medio del uso de comunicaciones código malicioso que pode ser transmitido através
electrónicas. (véase el Apartado 10.4.1); do uso de recursos eletrônicos de comunicação
76 10.09.2007
(ver 10.4.1);
c) procedimientos para proteger la comunicación
de información electrónica sensible que se c) procedimentos para proteção de informações
encuentra en la forma de un adjunto; eletrônicas sensíveis que sejam transmitidas na
forma de anexos;
d) políticas o directrices delineando el uso
aceptable de medios de comunicación electrónica d) política ou diretrizes que especifiquem o uso
(véase el Apartado 7.1.3); aceitável dos recursos eletrônicos de comunicação
(ver 7.1.3);
e) procedimientos para el uso de comunicaciones
inalámbricas, tomando en consideración los e) procedimentos para o uso de comunicação sem
riesgos particulares involucrados; fio (wireless), levando em conta os riscos
particulares envolvidos;
f) responsabilidades de empleados, contratistas y
cualquier otro usuario de no comprometer a la f) as responsabilidades de funcionários,
organización, por ejemplo, por medio de la fornecedores e quaisquer outros usuários não
difamación, acoso, engaño, reenvió de cadenas devem comprometer a organização através de, por
de cartas, compra no autorizada, etc.; exemplo, difamação, assédio, falsa identidade,
retransmissão de "correntes", compras não
autorizadas etc.;
g) uso de técnicas criptográficas, por ejemplo,
para proteger la confidencialidad, integridad y g) uso de técnicas de criptografia para, por
autenticidad de la información (véase el Apartado exemplo, proteger a confidencialidade, a
12.3); integridade e a autenticidade das informações (ver
12.3);
h) directrices de retención y eliminación para toda
la correspondencia del negocio, incluyendo h) diretrizes de retenção e descarte para toda a
mensajes, de acuerdo con la legislación y correspondência de negócios, incluindo
regulaciones nacionales y locales relevantes; mensagens, de acordo com regulamentações e
legislação locais e nacionais relevantes;
i) no dejar información sensible o critica en el
equipamiento de impresión, por ejemplo, i) não deixar informações críticas ou sensíveis em
fotocopiadoras, impresoras, facsímiles, en la equipamentos de impressão, tais como copiadoras,
medida que estas pueden ser accedidas por impressoras e aparelhos de fax, de tal forma que
personal no autorizado; pessoas não autorizadas tenham acesso a elas;
j) controles y restricciones asociadas con el

reenvió de comunicaciones, por ejemplo, reenvió j) controles e restrições associados à retransmissão
automático de correo electrónico hacia em recursos de comunicação como, por exemplo, a
direcciones de correo externo; retransmissão automática de correios eletrônicos
para endereços externos;
k) recordarle al personal que deberían tomar las
precauciones apropiadas, por ejemplo no revelar k) lembrar às pessoas que elas devem tomar
información sensible evitando el ser escuchados precauções adequadas como, por exemplo, não
o interceptados al realizar una llamada telefónica revelar informações sensíveis, para evitar que
por: sejam escutadas ou interceptadas durante uma
ligação telefônica por:
1) personas en los alrededores, en particular al
utilizar teléfonos móviles; 1) pessoas em sua vizinhança, especialmente
quando estiver usando telefone celular;
2) intercepción del cableado, y otras formas de
intercepción por medio del acceso físico al 2) grampo telefônico e outras formas de escuta
aparato o cableado telefónico, o utilizando clandestina através do acesso físico ao
dispositivos de búsqueda; aparelho telefônico ou à linha, ou, ainda, pelo
uso de rastreadores;
3) personas en el extremo del receptor;
3) pessoas ao lado do interlocutor;
l) no dejar mensajes conteniendo información
sensible en máquinas contestadoras en la medida l) não deixar mensagens contendo informações
77 10.09.2007
que pueden ser escuchadas por personas no sensíveis em secretárias eletrônicas, uma vez que
autorizadas, almacenadas incorrectamente como as mensagens podem ser reproduzidas por
resultado de un error de discado; pessoas não autorizadas, gravadas em sistemas
públicos ou gravadas indevidamente por erro de
discagem;
m) recordarle al personal sobre los problemas de
utilizar máquinas de facsímil, llámese: m) lembrar as pessoas sobre os problemas do uso
de aparelhos de fax, tais como:
1) acceso no autorizado al almacenamiento de
mensajes para retirarlos; 1) acesso não autorizado a dispositivos para
recuperação de mensagens;
2) programación deliberada o accidental de las
máquinas para enviar mensajes a números 2) programação de aparelhos, deliberada ou
específicos; acidental, para enviar mensagens para
números específicos determinados;
3) enviar documentos o mensajes a números
incorrectos, ya sea por discar 3) envio de documentos e mensagens para
incorrectamente o utilizar un numero número errado, seja por falha na discagem
almacenado incorrecto; ou uso de número armazenado errado;
n) recordarle al personal el no registrar

información demográfica en cualquier software, n) lembrar as pessoas para que evitem o
como la dirección de correo u otra información armazenamento de dados pessoais, como
personal, para evitar su recopilación para usos no endereços de correios eletrônicos ou informações
autorizados; adicionais particulares, em qualquer software,
impedindo que sejam capturados para uso não
autorizado;
o) recordarle al personal que los equipos de
facsímil y fotocopiados actuales cuentan con o) lembrar as pessoas sobre a existência de
memorias para almacenar páginas en el caso de aparelhos de fax e copiadoras que têm dispositivos
fallas de papel o transmisión, que serán impresas de armazenamento temporário de páginas para o
una vez sea solucionada la falla. caso de falha no papel ou na transmissão, as quais
serão impressas após a correção da falha.
A su vez, al personal debería serle recordado que
no deberían tener conversaciones confidenciales Adicionalmente, convém que as pessoas sejam
en lugares públicos u oficinas abiertas y lugares lembradas de que não devem manter conversas
de reunión que no cuenten con paredes a prueba confidenciais em locais públicos, escritórios abertos
de sonido. ou locais de reunião que não disponham de
paredes à prova de som.
Los medio de intercambio de información
deberían de cumplir con todos los requisitos Convém que os recursos utilizados para a troca de
legales relevantes (véase la Cláusula 15). informações estejam de acordo com os requisitos
legais pertinentes (ver Seção 15).
El intercambio de información puede ocurrir por Informações adicionais
medio del uso de diferentes tipos de medios de A troca de informações pode ocorrer através do
comunicación, incluyendo, correo electrónico, uso de vários tipos diferentes de recursos de
voz, facsímil, y video. comunicação, incluindo correios eletrônicos, voz,
fax e vídeo.
El intercambio de software puede ocurrir por
medio de diferentes medios, incluyendo A troca de softwares pode ocorrer de diferentes
descargas desde Internet y adquiriéndolo de formas, incluindo a baixa (download) da internet ou
proveedores de productos. a aquisição junto a fornecedores que vendem
produtos em série.
Deberían considerarse las implicaciones de
negocios, legales y de seguridad asociadas con el Convém que sejam consideradas as possíveis
intercambio de datos electrónico, comercio implicações nos negócios, nos aspectos legais e na
electrónico y comunicaciones electrónicas, y los segurança, relacionadas com a troca eletrônica de
requisitos de controles. dados, com o comércio eletrônico, comunicação
78 10.09.2007
eletrônica e com os requisitos para controles.

La información puede verse comprometida debido
a la falta de concientización, políticas o As informações podem ser comprometidas devido
procedimientos en el uso de medios de à falta de conscientização, de políticas ou de
intercambio de información, por ejemplo ser procedimentos no uso de recursos de troca de
escuchado en un teléfono móvil en un área informações, como, por exemplo, a escuta de
publica, direccionamiento erróneo de un mensaje conversas ao telefone celular em locais públicos,
de correo electrónico, escucha de máquinas erro de endereçamento de mensagens de correio
contestadoras, acceso no autorizado a sistemas eletrônico, escuta não autorizada de mensagens
de menajes de vos o accidentalmente enviar gravadas em secretárias eletrônicas, acesso não
facsímiles a un equipo equivocado. autorizado a sistemas de correio de voz ou o envio
acidental de faxes para aparelhos errados.
Las operaciones del negocio pueden ser
perturbadas y la información puede verse As operações do negócio podem ser prejudicadas
comprometida si los medios de comunicación e as informações podem ser comprometidas se os
fallan, son interrumpidas o sobrecargadas (véase recursos de comunicação falharem, forem
el Apartado 10.3 y la Cláusula 14). La información sobrecarregados ou interrompidos (ver 10.3 e
puede verse comprometida si es accedida por Seção 14). As informações podem ser
usuarios no autorizados (véase la Cláusula 11). comprometidas se acessadas por usuários não
autorizados (ver Seção 11).
10.8.2 Acuerdos de intercambio
10.8.2 Acordos para a troca de informações
Control
Se deberían establecer acuerdos para el Controle
intercambio de información y software entre la Convém que sejam estabelecidos acordos para a
organización y terceras partas. troca de informações e softwares entre a
organização e entidades externas.
Los acuerdos de intercambio deberían considerar Diretrizes para implementação
las siguientes condiciones de seguridad: Convém que os acordos de troca de informações
considerem as seguintes condições de segurança
da informação:
a) responsabilidades de gestión para controlar y
notificar la transmisión, el envió y recepción; a) responsabilidades do gestor pelo controle e
notificação de transmissões, expedições e
recepções;
b) procedimientos para notificar el origen de la
transmisión, su envió y recepción; b) procedimentos para notificar o emissor da
transmissão, expedição e recepção;
c) procedimientos para asegurar la trazabilidad y
el no repudio; c) procedimentos para assegurar a rastreabilidade
dos eventos e o não-repúdio;
d) normas técnicas mínimas para el empaquetado
y transmisión; d) padrões técnicos mínimos para embalagem e
transmissão;
e) acuerdos de custodia (escrow);
e) acordos para procedimentos de custódia;
f) normas para identificar los servicios de
mensajería; f) normas para identificação de portadores;
g) responsabilidades en el caso de incidentes de

seguridad, tales como pérdida de datos; g) responsabilidades e obrigações na ocorrência de
incidentes de segurança da informação, como
perda de dados;
h) uso de un sistema de etiquetado acordado
para la información sensible y crítica, asegurar h) utilização de um sistema acordado de
que el significado de las etiquetas es identificação para informações críticas e sensíveis,
inmediatamente comprendido y que la garantindo que o significado dos rótulos seja
información es apropiadamente protegida; imediatamente entendido e que a informação esteja
79 10.09.2007
devidamente protegida;
i) propiedad y responsabilidad por la protección
de datos, derechos de copia, cumplimiento con i) propriedade e responsabilidades sobre a
licencias de software y consideraciones similares proteção dos dados, direitos de propriedade,
(véase los Apartados 15.1.2 y 15.1.4); conformidade com as licenças dos softwares e
considerações afins (ver 15.1.2 e 15.1.4);
j) normas técnicas para la grabación y lectura de
información y software; j) normas técnicas para a gravação e leitura de
informações e softwares;
k) cualquier control especial que puede ser
requerido para proteger elementos sensibles, k) quaisquer controles especiais que possam ser
tales como claves criptográficas (véase el necessários para proteção de itens sensíveis, tais
Apartado 12.3). como chaves criptográficas (ver 12.3).
Deberían establecerse y mantenerse políticas,

procedimientos, y normas para proteger la Convém que políticas, procedimentos e normas
información y los medios físicos en transito para proteger as informações e as mídias em
(véase el Apartado 10.8.3), y deberían ser trânsito (ver também 10.8.3) sejam estabelecidos e
referenciados en los acuerdos de intercambio. mantidos, além de serem referenciados nos
mencionados acordos para a troca de informações.
El contenido sobre seguridad de cualquier
acuerdo debería reflejar la sensibilidad de la Convém que os aspectos de segurança contidos
información del negocio involucrada. nos acordos reflitam a sensibilidade das
informações envolvidas no negócio.
Los acuerdos pueden ser electrónicos o Informações adicionais
manuales, y pueden tomar la forma de un Os acordos podem ser eletrônicos ou manuais, e
contrato formal o condiciones de empleo. Para la podem estar no formato de contratos formais ou
información sensible, los mecanismos específicos condições de contratação. Para informações
utilizados para el intercambio de dicha sensíveis, convém que os mecanismos específicos
información deberían ser consistentes para todas usados para a troca de tais informações sejam
las organizaciones y tipos de acuerdos. consistentes com todas as organizações e tipos de
acordos.
10.8.3 Medio físico en transito
10.8.3 Mídias em trânsito
Control
Los medios conteniendo información deberían ser Controle
protegidos contra accesos no autorizados, su mal Convém que mídias contendo informações sejam
uso o corrupción durante el transporte fuera de protegidas contra acesso não autorizado, uso
las fronteras físicas de la organización. impróprio ou alteração indevida durante o
transporte externo aos limites físicos da
organização.
Deberían considerarse las siguientes directrices Diretrizes para implementação
para proteger los medios de información durante Convém que as seguintes recomendações sejam
su transporte entre sitios: consideradas, para proteger as mídias que são
transportadas entre localidades:
a) deberían ser utilizados transportistas o
mensajeros confiables; a) meio de transporte ou o serviço de mensageiros
sejam confiáveis;
b) debería ser acordada una lista de mensajeros
autorizados con la dirección; b) seja definida uma relação de portadores
autorizados em concordância com o gestor;
c) se deberían desarrollar procedimientos para
chequear la identificación del mensajero; c) sejam estabelecidos procedimentos para a
verificação da identificação dos transportadores;
d) el empaquetado debería ser suficiente a los
efectos de proteger el contenido ante cualquier d) a embalagem seja suficiente para proteger o
daño físico que pueda ocurrir durante el transito, conteúdo contra qualquer dano físico, como os que
80 10.09.2007
de acuerdo con cualquier especificación del podem ocorrer durante o transporte, e que seja
fabricante (por ejemplo para el software), por feita de acordo com as especificações dos
ejemplo protegiendo contra cualquier factor fabricantes (como no caso de softwares), por
ambiental que pueda afectar a los medios, tales exemplo, protegendo contra fatores ambientais que
como exceso de calor, humedad o campos possam reduzir a possibilidade de restauração dos
electromagnéticos; dados como a exposição ao calor, umidade ou
campos eletromagnéticos;
e) donde sea necesario, deberían ser adoptados
controles para proteger información sensible de e) sejam adotados controles, onde necessário, para
su divulgación o modificación no autorizada; proteger informações sensíveis contra divulgação
ejemplos: não autorizada ou modificação; como exemplo,
pode-se incluir o seguinte:
1) uso de contenedores sellados;
1) utilização de recipientes lacrados;
2) entrega en mano;
2) entrega em mãos;
3) paquetes que evidencian violaciones (que
revelan cualquier intento de obtener acceso 3) lacre explícito de pacotes (que revele
al contenido); qualquer tentativa de acesso);
4) en casos excepcionales, distribuir el envió

en más de una entrega y el envió por 4) em casos excepcionais, divisão do conteúdo
diferentes rutas. em mais de uma remessa e expedição por
rotas distintas.
La información puede ser vulnerable al acceso no Informações adicionais
autorizado, uso incorrecto o corrupción durante su As informações podem estar vulneráveis a acesso
transporte físico, por ejemplo al enviar medios por não autorizado, uso impróprio ou alteração indevida
el servicio postal o un mensajero. durante o transporte físico, por exemplo quando a
mídia é enviada por via postal ou sistema de
mensageiros.
10.8.4 Mensajería electrónica
10.8.4 Mensagens eletrônicas
Control
La información contenida en la mensajería Controle
electrónica debería ser apropiadamente Convém que as informações que trafegam em
protegida. mensagens eletrônicas sejam adequadamente
protegidas.
Las consideraciones de seguridad para la Diretrizes para implementação
mensajería electrónica deberían incluir lo Convém que as considerações de segurança da
siguiente: informação sobre as mensagens eletrônicas
incluam o seguinte:
a) proteger mensajes del acceso no autorizado,
modificación o negación de servicio; a) proteção das mensagens contra acesso não
autorizado, modificação ou negação de serviço;
b) asegurar el correcto direccionamiento y
transporte de los mensajes; b) assegurar que o endereçamento e o transporte
da mensagem estejam corretos;
c) confiabilidad y disponibilidad general del
servicio; c) confiabilidade e disponibilidade geral do serviço;
d) consideraciones legales, por ejemplo,

requisitos para firmas digitales; d) aspectos legais, como, por exemplo, requisitos
de assinaturas eletrônicas;
e) obtener la aprobación antes de utilizar servicios
públicos externos, tales como mensajería e) aprovação prévia para o uso de serviços
instantánea y compartir archivos; públicos externos, tais como sistemas de
mensagens instantâneas e compartilhamento de
81 10.09.2007
arquivos;
f) fuertes niveles de autenticación controlando el
acceso desde redes de acceso público. f) níveis mais altos de autenticação para controlar o
acesso a partir de redes públicas.
La mensajería electrónica, como el correo Informações adicionais
electrónico, intercambio electrónico de datos Mensagens eletrônicas como correio eletrônico,
(EDI), y mensajería instantánea juegue un rol Eletronic Data Interchange (EDI) e sistemas de
cada vez más importante en las comunicaciones mensagens instantâneas cumprem um papel cada
del negocio. La mensajería electrónica tiene vez mais importante nas comunicações do negócio.
diferentes riesgos que las comunicaciones en A mensagem eletrônica tem riscos diferentes, se
base a papel. comparada com a comunicação em documentos
impressos.
10.8.5 Sistemas de Información de negocio
10.8.5 Sistemas de informações do negócio
Control
Deberían desarrollarse y ponerse en práctica una Controle
política de control y procedimientos para proteger Convém que políticas e procedimentos sejam
la información asociada con la interconexión de desenvolvidos e implementados para proteger as
sistemas de información de negocio. informações associadas com a interconexão de
sistemas de informações do negócio.
Las consideraciones de las implicaciones que Diretrizes para implementação
tiene la interconexión de tales recursos para la Convém que as considerações sobre segurança da
seguridad y para el negocio deberían incluir: informação e implicações no negócio das
interconexões de sistemas incluam o seguinte:
a) vulnerabilidades conocidas en los sistemas
administrativos y de la contabilidad donde la a) vulnerabilidades conhecidas nos sistemas
información es compartida entre partes diferentes administrativos e contábeis onde as informações
de la organización; são compartilhadas com diferentes áreas da
organização;
b) las vulnerabilidades de información en
sistemas de comunicación de negocio, por b) vulnerabilidades da informação nos sistemas de
ejemplo registrando llamadas telefónicas o comunicação do negócio, como, por exemplo,
teleconferencias, confidencialidad de llamadas, gravação de chamadas telefônicas ou
almacenaje de facsímiles, abriendo correo, teleconferências, confidencialidade das chamadas,
distribución de correo; armazenamento de faxes, abertura de correio e
distribuição de correspondência;
c) política y controles apropiados para poder
gestionar la información compartida; c) política e controles apropriados para gerenciar o
compartilhamento de informações;
d) excluir las categorías de información sensibles
del negocio y documentos clasificados si el d) exclusão de categorias de informações sensíveis
sistema no provee un nivel apropiado de e documentos confidenciais, caso o sistema não
protección (véase el Apartado 7.2); forneça o nível de proteção apropriado (ver 7.2);
e) restringir el acceso a información de bitácoras

relacionada con individuos seleccionados, por e) restrição do acesso a informações de trabalho
ejemplo personal que trabaja sobre proyectos relacionado com indivíduos específicos, como, por
sensibles; exemplo, um grupo que trabalha com projetos
sensíveis;
f) las categorías de personal, contratistas o socios
de negocio permitidos para usar el sistema y las f) categorias de pessoas, fornecedores ou
posiciones desde las cuales puede ser tenido parceiros nos negócios autorizados a usar o
acceso (véase los Apartados 6.2 y 6.3); sistema e as localidades a partir das quais pode-se
obter acesso ao sistema (ver 6.2 e 6.3);
g) restricción de instalaciones a las categorías
específicas de usuario; g) restrição aos recursos selecionados para
categorias específicas de usuários;
82 10.09.2007
h) identificación del estado de usuarios, por

ejemplo los empleados de la organización o h) identificação da condição do usuário, como, por
contratistas en directorios en beneficio de otros exemplo,funcionários da organização ou
usuarios; fornecedores na lista de catálogo de usuários em
benefício de outros usuários;
i) la retención y el respaldo sostenido de
información del sistema (véase el Apartado i) retenção e cópias de segurança das informações
10.5.1); mantidas no sistema (ver 10.5.1);
j) requisitos y acuerdos de vuelta atrás (véase la

Cláusula 14). j) requisitos e procedimentos para recuperação e
contingência (ver Seção 14).
Los sistemas de información de oficina permiten Informações adicionais
diseminar y compartir más rápido información de Os sistemas de informação de escritório
negocio utilizando una combinación de: representam uma oportunidade de rápida
documentos, computadoras, informática móvil, disseminação e compartilhamento de informações
comunicaciones móviles, correo, correo de voz, do negócio através do uso de uma combinação de:
comunicaciones de voz en general, multimedia, documentos, computadores, dispositivos móveis,
servicios / prestaciones postales y máquinas de comunicação sem fio, correio, correio de voz,
facsímil. comunicação de voz em geral, multimídia, serviços
postais e aparelhos de fax.
10.9 Servicios de comercio electrónico
10.9 Serviços de comércio eletrônico
OBJETIVO: Asegurar la seguridad de los
servicios de comercio electrónico, así como su Objetivo: Garantir a segurança de serviços de
uso seguro. comércio eletrônico e sua utilização segura.
Deberían considerarse las implicaciones de

seguridad asociadas con el uso de servicios de Convém que as implicações de segurança da
comercio electrónico, incluyendo transacciones informação associadas com o uso de serviços de
en línea (on-line), y los requisitos de control. comércio eletrônico, incluindo transações on-line e
Debería tambien considerarse la integridad y os requisitos de controle, sejam consideradas.
disponibilidad de información electrónicamente Convém que a integridade e a disponibilidade da
publicada por medio de sistemas públicos. informação publicada eletronicamente por sistemas
publicamente disponíveis sejam também
consideradas.
10.9.1 Comercio electrónico
10.9.1 Comércio eletrônico
Control
La información involucrada en el comercio Controle
electrónico sobre redes públicas debería ser Convém que as informações envolvidas em
protegida ante actividades fraudulentas, disputas comércio eletrônico transitando sobre redes
contractuales, y su divulgación o modificación no públicas sejam protegidas de atividades
autorizada. fraudulentas, disputas contratuais e divulgação e
modificações não autorizadas.
Las consideraciones de seguridad para el Diretrizes para implementação
comercio electrónico deberían incluir las Convém que as considerações de segurança da
siguientes: informação para comércio eletrônico incluam os
seguintes itens:
a) el nivel de confianza que cada parte requiere
en la identidad declarada por los otros, por a) nível de confiança que cada parte requer na
ejemplo, por medio de autenticación; suposta identidade de outros, como, por exemplo,
por meio de mecanismos de autenticação;
b) proceso de autorización asociado con quien
puede establecer precios, emitir o firmar b) processos de autorização com quem pode
documentos de comercio claves; determinar preços, emitir ou assinar documentos-
83 10.09.2007
chave de negociação;
c) asegurar que los socios de negocios son
completamente informados sobre sus c) garantia de que parceiros comerciais estão
autorizaciones; completamente informados de suas autorizações;
d) determinar y cumplir los requisitos de

confidencialidad, integridad, prueba de envió y d) determinar e atender requisitos de
recepción de documentos calves, y el no repudio confidencialidade, integridade, evidências de
de contratos, por ejemplo, asociados con emissão e recebimento de documentos-chave, e a
procesos de ofrecimientos y contratos; não-repudiação de contratos, como, por exemplo,
os associados aos processos de licitações e
contratações;
e) el nivel de confianza requerido en la integridad
de la lista de precios publicitada; e) nível de confiança requerido na integridade das
listas de preços anunciadas;
f) la confidencialidad de cualquier dato o
información sensible; f) a confidencialidade de quaisquer dados ou
informações sensíveis;
g) la confidencialidad e integridad de cualquier
orden de transacción, información de pago, g) a confidencialidade e integridade de quaisquer
detalles de dirección de envió, y confirmación de transações de pedidos, informações de pagamento,
recepción; detalhes de endereço de entrega e confirmações
de recebimentos;
h) el grado de verificación apropiado para
chequear la información de pago brindada por un h) grau de investigação apropriado para a
cliente; verificação de informações de pagamento
fornecidas por um cliente;
i) seleccionar la mejor forma de acuerdo del pago
para protegerse contra fraudes; i) seleção das formas mais apropriadas de
pagamento para proteção contra fraudes;
j) el nivel de protección requerido para mantener
la confidencialidad e integridad de la información j) nível de proteção requerida para manter a
de la orden; confidencialidade e integridade das informações de
pedidos;
k) evitar la perdida o duplicación de la información
de la transacción; k) prevenção contra perda ou duplicação de
informação de transação;
l) responsabilidades asociadas a cualquier
transacción fraudulenta; l) responsabilidades associados com quaisquer
transações fraudulentas;
m) requisitos de seguros.
m) requisitos de seguro.
Muchas de las consideraciones anteriores pueden
ser logradas por medio del uso de controles Muitas das considerações acima podem ser
criptográficos (véase el Apartado 12.3), tomando endereçadas pela aplicação de controles
en consideración el cumplimiento de requisitos criptográficos (ver 12.3), levando-se em conta a
legales (véase el Apartado 15.1, especialmente conformidade com os requisitos legais (ver 15.1,
15.1.6 por legislación sobre criptografía). especialmente 15.1.6 para legislação sobre
criptografia).
Acuerdos de comercio electrónico entre socios de
negocios deberían estar soportados por un Convém que os procedimentos para comércio
acuerdo documentado que comprometa a ambas eletrônico entre parceiros comerciais sejam
partes con los términos de comercio acordados, apoiados por um acordo formal que comprometa
incluyendo detalles de autorización (véase el ambas as partes aos termos da transação,
punto b). Otros acuerdos con servicios de incluindo detalhes de autorização (ver b) acima).
información y proveedores de redes de valor Outros acordos com fornecedores de serviços de
agregado pueden ser necesarios. informação e redes de valor agregado podem ser
necessários.
Los sistemas de comercio públicos deberían
84 10.09.2007
publicar los términos de negocios a sus clientes. Convém que sistemas comerciais públicos
divulguem seus termos comerciais a seus clientes.
También debería considerarse la resistencia al
ataque del servidor central (host) utilizado para el Convém que sejam consideradas a capacidade de
comercio electrónico, y las implicaciones de resiliência dos servidores utilizados para comércio
seguridad de cualquier interconexión de redes eletrônico contra ataques e as implicações de
requerido para la implementación de los servicios segurança de qualquer interconexão que seja
de comercio electrónico (véase el Apartado necessária na rede de telecomunicações para a
11.4.6). sua implementação (ver 11.4.6).
El comercio electrónico es vulnerable a un Informações adicionais
número de amenazas de red que pueden resultar Comércio eletrônico é vulnerável a inúmeras
en actividad fraudulenta, disputas de contratos, y ameaças de rede que podem resultar em
divulgación o modificación de la información. atividades fraudulentas, disputas contratuais, e
divulgação ou modificação de informação.
El comercio electrónico puede hacer uso de
métodos de autenticación seguros, por ejemplo, Comércio eletrônico pode utilizar métodos seguros
utilizando criptografía de clave publica y firmas de autenticação, como, por exemplo, criptografia de
digitales (véase el Apartado 12.3) para reducir el chave pública e assinaturas digitais (ver 12.3) para
riesgo. También pueden ser utilizadas terceras reduzir os riscos. Ainda, terceiros confiáveis podem
partes de confianza, donde sus servicios sean ser utilizados onde tais serviços forem necessários.
necesarios.
10.9.2 Transacciones en línea

10.9.2 Transações on-line
Control
La información implicada en transacciones en Controle
línea debería protegerse para prevenir la Convém que informações envolvidas em
transmisión incompleta, la omisión de envío, la transações on-line sejam protegidas para prevenir
alteración no autorizada del mensaje, la transmissões incompletas, erros de roteamento,
divulgación no autorizada, la duplicación o alterações não autorizadas de mensagens,
repetición no autorizada del mensaje. divulgação não autorizada, duplicação ou
reapresentação de mensagem não autorizada.
Las consideraciones de seguridad para Diretrizes para implementação
transacciones en línea deberían incluir lo Convém que as considerações de segurança para
siguiente: transações on-line incluam os seguintes itens:
a) el empleo de firmas electrónicas por cada una

de las partes implicadas en la transacción; a) uso de assinaturas eletrônicas para cada uma
das partes envolvidas na transação;
b) todos los aspectos de la transacción, por
ejemplo asegurar que: b) todos os aspectos da transação, ou seja,
garantindo que:
1) las cartas credenciales de usuario de todas
las partes son válidas y verificadas; 1) credenciais de usuário para todas as partes
são válidas e verificadas;
2) la transacción permanece confidencial; y
2) a transação permaneça confidencial; e
3) la privacidad asociada con todas las partes
implicadas es conservada; 3) a privacidade de todas as partes envolvidas
seja mantida;
c) el canal de comunicación entre todas las partes
implicados es cifrada; c) caminho de comunicação entre todas as partes
envolvidas é criptografado;
d) el protocolo utilizado para comunicarse entre
todas las partes implicadas es seguro; d) protocolos usados para comunicações entre
todas as partes envolvidas é seguro;
85 10.09.2007
e) el almacenamiento de los detalles de

transacción es localizado fuera de cualquier e) garantir que o armazenamento dos detalhes da
ambiente público accesible, por ejemplo en una transação está localizado fora de qualquer
plataforma de almacenamiento que exista en la ambiente publicamente acessível, como por
Intranet de la organización, y no conservado y exemplo, numa plataforma de armazenamento na
expuesto en un medio de almacenamiento intranet da organização, e não retida e exposta em
directamente accesible desde Internet; um dispositivo de armazenamento diretamente
acessível pela internet;
f) cuando se emplea una autoridad confiable (por
ejemplo para propósitos de emitir y mantener f) onde uma autoridade confiável é utilizada (como,
firmas digitales y / o certificados digitales) la por exemplo, para propósitos de emissão e
seguridad se integra e incorpora a través de todo manutenção de assinaturas e/ou certificados
el proceso completo de gestión del certificado / digitais), segurança é integrada a todo o processo
firma. de gerenciamento de certificados/assinaturas.
El grado de los controles adoptados tendría que Informações adicionais
ser proporcional con el nivel del riesgo asociado A extensão dos controles adotados precisará ser
con cada tipo de transacción en línea. proporcional ao nível de risco associado a cada
forma de transação on-line.
Las transacciones pueden tener que cumplir con
leyes, reglas, y regulaciones en la jurisdicción en Transações podem precisar estar de acordo com
la cual la transacción es generada, procesada, leis, regras e regulamentações na jurisdição em
completada, y/o almacenada. que a transação é gerada, processada, completa
ou armazenada.
Existen muchos tipos de transacciones que
pueden ser realizadas en línea, por ejemplo, Existem muitas formas de transações que podem
contractuales, financieras, etc. ser executadas de forma on-line, como, por
exemplo, contratuais, financeiras etc.
10.9.3 Información accesible públicamente
10.9.3 Informações publicamente disponíveis
Control
Debería protegerse la integridad de la información Controle
de un sistema accesible públicamente, para Convém que a integridade das informações
prevenir la modificación no autorizada. disponibilizadas em sistemas publicamente
acessíveis seja protegida para prevenir
modificações não autorizadas.
El software, datos y otra información que requiera Diretrizes para implementação
un alto nivel de integridad y que estén accesibles Convém que aplicações, dados e informações
públicamente deberían protegerse por adicionais que requeiram um alto nível de
mecanismos adecuados, por ejemplo, firmas integridade e que sejam disponibilizados em
digitales (véase el Apartado 10.3.3). Los sistemas sistemas publicamente acessíveis sejam protegidos
accesibles públicamente, deberían probarse por mecanismos apropriados, como, por exemplo,
contra debilidades y fallas antes que la assinaturas digitais (ver 12.3). Convém que os
información este disponible. sistemas acessíveis publicamente sejam testados
contra fragilidades e falhas antes da informação
estar disponível.
Debería haber un proceso de aprobación formal
antes de que la información este accesible Convém que haja um processo formal de
públicamente. Además, toda la entrada aprovação antes que uma informação seja
proveniente del exterior al sistema debería ser publicada. Adicionalmente, convém que todo dado
verificada y aprobada. de entrada fornecido por fontes externas ao
sistema seja verificado e aprovado.
Los sistemas electrónicos de edición, sobre todo
aquellos que permiten la retroalimentación y el Convém que sistemas de publicação eletrônica,
ingreso directo de información, deberían especialmente os que permitem realimentação e
controlarse con cuidado de modo que: entrada direta de informação, sejam
cuidadosamente controlados, de forma que:
86 10.09.2007
a) la información se obtenga en cumplimiento con

toda la legislación sobre protección de datos a) informações sejam obtidas em conformidade
(véase el Apartado 15.1.4); com qualquer legislação de proteção de dados (ver
15.1.4);
b) el ingreso de la información a, y el
procesamiento por, el sistema de edición será b) informações que sejam entradas e processadas
procesado completamente y con exactitud de por um sistema de publicação sejam processadas
manera oportuna; completa e corretamente em um tempo adequado;
c) la información sensible será protegida durante

la recolección, procesamiento, y almacenamiento; c) informações sensíveis sejam protegidas durante
a coleta, processamento e armazenamento;
d) el acceso al sistema de edición no permita el
acceso no planeado a redes a las cuales el d) acesso a sistemas de publicação não permita
sistema se conecta. acesso não intencional a redes às quais tal sistema
está conectado.
La información sobre un sistema accesible Informações adicionais
públicamente, por ejemplo la información sobre Informações em sistemas publicamente
un servidor web accesible vía la Internet, puede disponíveis, como, por exemplo, informações em
tener que cumplir con leyes, reglas, y servidores web acessíveis por meio da internet,
regulaciones en la jurisdicción en la cual el podem necessitar estar de acordo com leis, regras
sistema es localizado, donde el comercio tiene e regulamentações na jurisdição em que o sistema
lugar o donde el propietario(s) reside. La está localizado, onde a transação está ocorrendo
modificación no autorizada de información ou onde o proprietário reside. Modificações não
publicada puede dañar la reputación de la autorizadas de informações publicadas podem
organización. trazer prejuízos à reputação da organização que a
publica.
10.10 Seguimiento
10.10 Monitoramento
OBJETIVO: Detectar actividades de
procesamiento de información no autorizadas. Objetivo: Detectar atividades não autorizadas de
processamento da informação.
Deberían supervisarse los sistemas y registrarse
los eventos de seguridad de la información. Convém que os sistemas sejam monitorados e
eventos de segurança da informação sejam
registrados.
Registros del operador y de fallas deberían ser
utilizados para asegurar que los problemas en los Convém que registros (log) de operador e registros
sistemas de información son identificados. (log) de falhas sejam utilizados para assegurar que
os problemas de sistemas de informação são
identificados.
La organización debería cumplir con todos los
requisitos legales aplicables a sus actividades de Convém que as organizações estejam de acordo
seguimiento y registro. com todos os requisitos legais relevantes aplicáveis
para suas atividades de registro e monitoramento.
El seguimiento del sistema debería ser utilizado
para chequear la eficacia de los controles Convém que o monitoramento do sistema seja
adoptados y verificar la conformidad a una política utilizado para checar a eficácia dos controles
de acceso modelo. adotados e para verificar a conformidade com o
modelo de política de acesso.
10.10.1 Registros de auditoría
10.10.1 Registros de auditoria
Control
La grabación de registros de auditoría de Controle
actividades de usuario, excepciones, y eventos de Convém que registros (log) de auditoria contendo
seguridad de la información deberían ser atividades dos usuários, exceções e outros eventos
producidos y guardados durante un período de segurança da informação sejam produzidos e
87 10.09.2007
acordado para ayudar en futuras investigaciones mantidos por um período de tempo acordado para
y en la supervisión del control de acceso. auxiliar em futuras investigações e monitoramento
de controle de acesso.
Los registros de auditoría deberían incluir, cuando Diretrizes para implementação
sea relevante: Convém que os registros (log) de auditoria incluam,
quando relevante:
a) identificación (ID) de usuario;
a) identificação dos usuários;
b) fechas, horas, y los detalles de
acontecimientos claves, por ejemplo inicio y fin de b) datas, horários e detalhes de eventos-chave,
una sesión; como, por exemplo, horário de entrada (log-on) e
saída (log-off) no sistema;
c) identidad de la terminal y ubicación, si es
posible; c) identidade do terminal ou, quando possível, a
sua localização;
d) registros de los intentos aceptados y
rechazados de acceso al sistema; d) registros das tentativas de acesso ao sistema
aceitas e rejeitadas;
e) registros de los intentos aceptados y
rechazados de acceso a los datos y otros e) registros das tentativas de acesso a outros
recursos; recursos e dados aceitos e rejeitados;
f) cambios a la configuración de sistema;

f) alterações na configuração do sistema;
g) empleo de privilegios;
g) uso de privilégios;
h) empleo de utilitarios y aplicaciones de sistema;
h) uso de aplicações e utilitários do sistema;
i) archivos accedidos y la clase de acceso;
i) arquivos acessados e tipo de acesso;
j) direcciones y protocolos de conexiones de una
red; j) endereços e protocolos de rede;
k) alarmas levantadas por el sistema de control

de acceso; k) alarmes provocados pelo sistema de controle de
acesso;
l) activación y desactivación de sistemas de
protección, como sistemas de antivirus y sistemas l) ativação e desativação dos sistemas de proteção,
de detección de intrusos. tais como sistemas de antivírus e sistemas de
detecção de intrusos.
Los registros de auditoría puede contener datos Informações adicionais
personales confidenciales e indiscretos. Deberían Os registros (log) de auditoria podem conter dados
tomarse medidas de protección de privacidad pessoais confidenciais e de intrusos. Convém que
(véase también el Apartado 15.1.4). De ser medidas apropriadas de proteção de privacidade
posible, los administradores de sistema no sejam tomadas (ver 15.1.4). Quando possível,
deberían tener el permiso de borrar o desactivar convém que administradores de sistemas não
los registros de sus propias actividades (véase el tenham permissão de exclusão ou desativação dos
Apartado 10.1.3). registros (log) de suas próprias atividades (ver
10.1.3).
10.10.2 Supervisión del uso de sistemas
10.10.2 Monitoramento do uso do sistema
Control
Deberían establecerse procedimientos para Controle
supervisar el empleo de instalaciones de Convém que sejam estabelecidos procedimentos
procesamiento de la información y revisarse con para o monitoramento do uso dos recursos de
regularidad los resultados de las actividades de processamento da informação e os resultados das
supervisión. atividades de monitoramento sejam analisados
88 10.09.2007
criticamente, de forma regular.

El nivel de supervisión requerido para Diretrizes para implementação
instalaciones individuales debería determinarse Convém que o nível de monitoramento requerido
según una evaluación de riesgo. Una para os recursos individuais seja determinado
organización debería cumplir con todas los através de uma análise/avaliação de riscos.
requisitos legales relevantes aplicables a su Convém que a organização esteja de acordo com
actividades de supervisión. Las áreas que todos os requisitos legais relevantes, aplicáveis
deberían ser consideradas incluyen: para suas atividades de monitoramento. Convém
que as seguintes áreas sejam consideradas:
a) acceso autorizado, incluyendo detalles tales
como: a) acessos autorizados, incluindo detalhes do tipo:
1) la identificación (ID) de usuario;

1) o identificador do usuário (ID de usuário);
2) la fecha y hora de acontecimientos claves;
2) a data e o horário dos eventos-chave;
3) los tipos de eventos;
3) tipo do evento;
4) los archivos accedidos;
4) os arquivos acessados;
5) el programa/utilitario utilizado;
5) os programas ou utilitários utilizados;
b) todas las operaciones privilegiadas, tales
como: b) todas as operações privilegiadas, tais como:
1) empleo de cuentas privilegiadas, por

ejemplo, supervisor, root, administrador; 1) uso de contas privilegiadas, por exemplo:
supervisor, root, administrador;
2) arranque y apagado del sistema;
2) inicialização e finalização do sistema;
3) conexión/desconexión de dispositivos de
entrada-salida (I/O); 3) a conexão e a desconexão de dispositivos de
entrada e saída;
c) intentos de acceso no autorizados, tales como:
c) tentativas de acesso não autorizadas, tais como:
1) acciones de usuario fallidas o rechazadas;
1) ações de usuários com falhas ou rejeitados;
2) acciones fallidas o rechazadas que implican
datos y otros recursos; 2) ações envolvendo dados ou outros recursos
com falhas ou rejeitadas;
3) violaciones de política de acceso y
notificaciones para puertas de enlace 3) violação de políticas de acesso e notificações
(gateway) y cortafuegos (firewall) de red; para gateways de rede e firewalls;
4) alerta de sistemas de detección de intrusión

propietarios; 4) alertas dos sistemas proprietários de
detecção de intrusos;
d) alertas o fallas del sistema tales como:
d) alertas e falhas do sistema, tais como:
1) alarmas o mensajes de consola;
1) alertas ou mensagens do console;
2) excepciones del registro del sistema;
2) registro das exceções do sistema;
3) gestión de alarmas de red;
3) alarmes do gerenciamento da rede;
4) alarmas levantadas por el sistema de
control de acceso; 4) alarmes disparados pelo sistema de controle
de acesso;
89 10.09.2007
e) cambios o intentos de cambiar, configuraciones

y controles de seguridad del sistema. e) alterações ou tentativas de alterações nos
controles e parâmetros dos sistemas de segurança.
La frecuencia con la cual se revisan los
resultados de las actividades de supervisión Convém que a freqüência da análise crítica dos
debería depender de los riesgos involucrados. resultados das atividades de monitaramento
Los factores de riesgo que deberían considerarse dependa dos riscos envolvidos. Convém que os
incluyen: seguintes fatores de risco sejam considerados:
a) criticidad de los procesos de aplicación;

a) criticidade dos processos de aplicação;
b) valor, sensibilidad, y criticidad de la información
implicada; b) valor, sensibilidade e criticidade da informação
envolvida;
c) experiencia pasada de infiltración y mal uso del
sistema, y la frecuencia de vulnerabilidades c) experiência anterior com infiltrações e uso
explotadas; impróprio do sistema e da freqüência das
vulnerabilidades sendo exploradas;
d) la extensión de las interconexiones del sistema
(en particular con redes públicas); d) extensão da interconexão dos sistemas
(particularmente com redes públicas);
e) herramientas de registro desactivadas.
e) desativação da gravação dos registros (logs).
Es necesario utilizar procedimientos de Informações adicionais
supervisión para asegurar que los usuarios sólo O uso de procedimentos de monitoramento é
realizan las actividades que explícitamente se les necessário para assegurar que os usuários estão
han autorizado. executando somente as atividades que foram
explicitamente autorizadas.
La revisión del registro implica la comprensión de
las amenazas enfrentadas por el sistema y la A análise crítica dos registros (log) envolve a
forma en que se pueden originar. En el Apartado compreensão das ameaças encontradas no
13.1.1 se presentan ejemplos de eventos que sistema e a maneira pela qual isto pode acontecer.
podrían requerir investigación adicional en caso Exemplos de eventos que podem requerer uma
de incidentes de seguridad de la información. maior investigação em casos de incidentes de
segurança da informação são comentados em
13.1.1.
10.10.3 Protección de la información de
registros (logs) 10.10.3 Proteção das informações dos registros
(log)
Control
Los medios de registro y la información de Controle
registros deberían ser protegidos contra su Convém que os recursos e informações de
alteración y acceso no autorizado. registros (log) sejam protegidos contra falsificação
e acesso não autorizado.
Los controles deberían proteger contra cambios Diretrizes para implementação
no autorizados y problemas operativos en los Convém que os controles implementados objetivem
medios de registro, incluyendo: a proteção contra modificações não autorizadas e
problemas operacionais com os recursos dos
registros (log), tais como:
a) alteración a los tipos de mensajes que son
registrados; a) alterações dos tipos de mensagens que são
gravadas;
b) archivos de registros (logs) siendo editados o
eliminados; b) arquivos de registros (log) sendo editados ou
excluídos;
c) capacidad de almacenamiento de los medios
de archivo de registro excedida, resultando en la c) capacidade de armazenamento da mídia
90 10.09.2007
falla en el registro de eventos o en la sobre- magnética do arquivo de registros (log) excedida,

escritura de eventos pasados. resultando em falhas no registro de eventos ou
sobreposição do registro de evento anterior.
Alguna auditoría de registros puede ser requerida
para ser archivada como parte de la política de Alguns registros (log) de auditoria podem ser
retención de registros o debido a requisitos para guardados como parte da política de retenção de
recolectar y retener evidencia (véase el Apartado registros ou devido aos requisitos para a coleta e
13.2.3). retenção de evidência (ver 13.2.3).
Los registros del sistema a menudo contienen un Informações adicionais
vasto volumen de información, mucha de la cual Registros (log) de sistema normalmente contêm um
no tiene relación con la supervisión de seguridad. grande volume de informações e muitos dos quais
Para ayudar a la identificación de eventos não dizem respeito ao monitoramento da
significativos para la supervisión de seguridad, segurança. Para ajudar a identificar eventos
debería considerarse el copiado automático de significativos para propósito de monitoramento de
los tipos de mensajes apropiados a un registros segurança, convém que a cópia automática dos
secundario, y/o el uso de herramientas del tipos de mensagens para a execução de consulta
sistema adecuadas o herramientas de auditoría seja considerada e/ou o uso de sistemas utilitários
para realizar la interrogación y racionalización de adequados ou ferramentas de auditoria para
los archivos. realizar a racionalização e investigação do arquivo
seja considerado.
Los registros del sistema necesitan ser
protegidos, debido a que si la información puede Registros (log) de sistema precisam ser protegidos,
ser modificada o eliminada, su existencia puede pois os dados podem ser modificados e excluídos e
crear una falsa sensación de seguridad. suas ocorrências podem causar falsa impressão de
segurança.
10.10.4 Registros del administrador y
operador 10.10.4 Registros (log) de administrador e
operador
Control
Las actividades del administrador y operador del Controle
sistema deberían de ser registradas. Convém que as atividades dos administradores e
operadores do sistema sejam registradas.
Los registros deberían de incluir: Diretrizes para implementação
Convém que esses registros (log) incluam:
a) la hora en la cual un evento (exitoso o fallido)
ocurre; a) a hora em que o evento ocorreu (sucesso ou
falha);
b) información sobre el evento (por ejemplo,
archivos manejados) o falla (por ejemplo, errores b) informações sobre o evento (exemplo: arquivos
ocurridos y acciones correctivas emprendidas); manuseados) ou falha (exemplo: erros ocorridos e
ações corretivas adotadas);
c) que cuenta y que administrador u operador fue
involucrado; c) que conta e que administrador ou operador
estava envolvido;
d) que procesos fueron involucrados.
d) que processos estavam envolvidos.
Los registros del administrador y operador
deberían de ser revisados de forma regular. Convém que os registros (log) de atividades dos
operadores e administradores dos sistemas sejam
analisados criticamente em intervalos regulares.
Un sistema de detección de intrusión, gestionado Informações adicionais
fuera del control de los administradores de Um sistema de detecção de intrusos gerenciado
sistema y de red, puede ser utilizado para fora do controle dos administradores de rede e de
supervisar el cumplimiento de actividades de los sistemas pode ser utilizado para monitorar a
administradores de sistema y de red. conformidade das atividades dos administradores
91 10.09.2007
do sistema e da rede.
10.10.5 Registro de fallas
10.10.5 Registros (log) de falhas
Control
Las fallas deberían de ser registradas, analizadas Controle
y tomadas las acciones apropiadas. Convém que as falhas ocorridas sejam registradas
e analisadas, e que sejam adotadas ações
apropriadas.
Las fallas reportadas por los usuarios o Diretrizes para implementação
programas relativos a problemas con el Convém que falhas informadas pelos usuários ou
procesamiento de información o sistemas de pelos programas de sistema relacionado a
comunicaciones deberían ser registradas. problemas com processamento da informação ou
Deberían existir reglas claras para manejar las sistemas de comunicação sejam registradas.
fallas reportadas, incluyendo: Convém que existam regras claras para o
tratamento das falhas informadas, incluindo:
a) revisión de registros de fallas para asegurar
que han sido satisfactoriamente resueltas; a) análise crítica dos registros (log) de falha para
assegurar que as falhas foram satisfatoriamente
resolvidas;
b) revisión de medidas correctivas para asegurar
que los controles no se han visto comprometidos, b) análise crítica das medidas corretivas para
y que la acción emprendida ha sido autorizada. assegurar que os controles não foram
comprometidos e que a ação tomada é
completamente autorizada.
Se debería asegurar que el registro de errores
esta habilitado, si esta funcionalidad del sistema Convém que seja assegurado que o registro de
se encuentra disponible. erros esteja habilitado, caso essa função do
sistema esteja disponível.
El registro de errores y fallas puede impactar en Informações adicionais
el desempeño de un sistema. Estos registros Registros de falhas e erros podem impactar o
deberían de ser establecidos por personal desempenho do sistema. Convém que cada tipo de
competente, y el nivel de registro requerido para registro a ser coletado seja habilitado por pessoas
los sistemas individuales debería de ser competentes e que o nível de registro requerido
determinado por un análisis de riesgos, que tenga para cada sistema individual seja determinado por
en cuenta la degradación del sistema. uma análise/avaliação de riscos, levando em
consideração a degradação do desempenho do
sistema.
10.10.6 Sincronización de relojes
10.10.6 Sincronização dos relógios
Control
Los relojes de todos los sistemas de Controle
procesamiento de información relevantes dentro Convém que os relógios de todos os sistemas de
de la organización o dominio de seguridad processamento de informações relevantes, dentro
deberían estar sincronizados con una fuente de da organização ou do domínio de segurança, sejam
horario confiable acordada. sincronizados com uma fonte de tempo precisa,
acordada.
Cuando una computadora o dispositivo de Diretrizes para implementação
comunicaciones tiene la capacidad de operar un Onde um computador ou dispositivo de
reloj de tiempo real, este reloj debería comunicação tiver a capacidade para operar um
establecerse como el estándar acordado, por relógio (clock) de tempo real, convém que o relógio
ejemplo el tiempo coordinado universal (UTC) o el seja ajustado conforme o padrão acordado, por
horario estándar local. Dado que ciertos relojes exemplo o tempo coordenado universal
atrasan con el tiempo, debería existir un (Coordinated Universal Time - UTC) ou um padrão
procedimiento que chequea y corrija cualquier de tempo local. Como alguns relógios são
variación significativa. conhecidos pela sua variação durante o tempo,
convém que exista um procedimento que verifique
92 10.09.2007
esses tipos de inconsistências e corrija qualquer

variação significativa.
La correcta interpretación del formato fecha/hora
es importante para asegurar que las marcas de A interpretação correta do formato data/hora é
tiempo reflejan la fecha y hora real. importante para assegurar que o timestamp reflete
Características locales (por ejemplo cambio de a data/hora real. Convém que se levem em conta
horario de verano) deberían de ser tenidas en especificações locais (por exemplo, horário de
cuenta. verão).
La configuración correcta de relojes de los Informações adicionais
ordenadores es importante para asegurar la O estabelecimento correto dos relógios dos
exactitud de los registros de auditoría, que computadores é importante para assegurar a
pueden requerirse para investigaciones o como exatidão dos registros (log) de auditoria, que
pruebas en casos legales o disciplinarios. Los podem ser requeridos por investigações ou como
registros inexactos de auditoría pueden dificultar evidências em casos legais ou disciplinares.
tales investigaciones y restar credibilidad a tales Registros (log) de auditoria incorretos podem
pruebas. Un reloj vinculado a una difusión de impedir tais investigações e causar danos à
tiempo de un reloj nacional atómico puede ser credibilidade das evidências. Um relógio interno
usado como el reloj maestro para registrar ligado ao relógio atômico nacional via transmissão
sistemas. Un protocolo de tiempo de red puede de rádio pode ser utilizado como relógio principal
utilizarse para mantener a todos los servidores en para os sistemas de registros (logging). O protocolo
sincronización con el reloj maestro. de hora da rede pode ser utilizado para sincronizar
todos os relógios dos servidores com o relógio
principal.
11 Control de Acceso
11 Controle de acessos
11.1 Requisitos de negocio para el control de
acceso 11.1 Requisitos de negócio para controle de
acesso
OBJETIVO: Controlar el acceso a la información.
Objetivo: Controlar acesso à informação.
Los accesos a la información, a las instalaciones
de procesamiento de la información y a procesos Convém que o acesso à informação, recursos de
del negocio deberían ser controlados sobre la processamento das informações e processos de
base de requisitos de negocio y seguridad. negócios sejam controlados com base nos
requisitos de negócio e segurança da informação.
Las reglas para el control del acceso deberían
tener en cuenta las políticas de distribución y Convém que as regras de controle de acesso
autorización de la información. levem em consideração as políticas para
autorização e disseminação da informação.
11.1.1 Política de Control de Acceso
11.1.1 Política de controle de acesso
Control
Debería establecerse, documentarse y revisarse Controle
una política de control de acceso, basada en Convém que a política de controle de acesso seja
requisitos de negocio y seguridad para el acceso. estabelecida documentada e analisada
criticamente, tomando-se como base os requisitos
de acesso dos negócios e segurança da
informação.
Las reglas de control de acceso y derechos para Diretrizes para implementação
cada usuario o grupo de usuarios deberían estar Convém que as regras de controle de acesso e
claramente establecidas en una política de control direitos para cada usuário ou grupos de usuários
de acceso. Los controles de acceso son tanto sejam expressas claramente na política de controle
lógicos como físicos (véase también la Cláusula de acesso. Convém considerar os controles de
9), y éstos deberían considerarse en forma acesso lógico e físico (ver Seção 9) de forma
conjunta. Los usuarios y los proveedores de conjunta. Convém fornecer aos usuários e
93 10.09.2007
servicio deberían ser provistos de una declaración provedores de serviços uma declaração nítida dos
clara de los requisitos de negocio que deberían requisitos do negócio a serem atendidos pelos
cumplir para los controles de acceso. controles de acessos.
La política debería tener en cuenta lo siguiente:

Convém que a política leve em consideração os
seguintes itens:
a) requisitos de seguridad de aplicaciones de
negocio individuales; a) requisitos de segurança de aplicações de
negócios individuais;
b) identificación de toda la información
relacionada a las aplicaciones del negocio y los b) identificação de todas as informações
riesgos que la información está enfrentando; relacionadas às aplicações de negócios e os riscos
a que as informações estão expostas;
c) políticas para autorización y distribución de la
información, por ejemplo la necesidad de conocer c) política para disseminação e autorização da
el principio y los niveles de seguridad y informação, por exemplo, o princípio need to know
clasificación de la información (véase el Apartado e níveis de segurança e a classificação das
7.2); informações (ver 7.2);
d) consistencia entre los controles de acceso y las

políticas de clasificación de la información de los d) consistência entre controle de acesso e políticas
diferentes sistemas y redes; de classificação da informação em diferentes
sistemas e redes;
e) legislación relevante y obligaciones
contractuales con respecto a la protección de e) legislação pertinente e qualquer obrigação
acceso a los datos o servicios (véase el Apartado contratual relativa à proteção de acesso para dados
15.1); ou serviços (ver 15.1);
f) perfiles estándar de acceso de usuario para

roles comunes en al organización; f) perfis de acesso de usuário-padrão para
trabalhos comuns na organização;
g) gestión de derechos de acceso en un ambiente
distribuido y de redes que reconozca todos los g) administração de direitos de acesso em um
tipos de conexión posibles; ambiente distribuído e conectado à rede que
reconhece todos os tipos de conexões disponíveis;
h) separación de roles de control de acceso, por
ejemplo, pedido de acceso, autorización de h) segregação de funções para controle de acesso,
acceso, administración de acceso; por exemplo, pedido de acesso, autorização de
acesso, administração de acesso;
i) requisitos para autorizaciones formales de
pedidos de acceso (véase el Apartado 11.2.1); i) requisitos para autorização formal de pedidos de
acesso (ver 11.2.1);
j) pedidos para revisión periódica de controles de
acceso (véase el Apartado 11.2.4); j) requisitos para análise crítica periódica de
controles de acesso (ver 11.2.4);
k) remoción de derechos de acceso (véase el
Apartado 8.3.3). k) remoção de direitos de acesso (ver 8.3.3).
Debería tenerse cuidado cuando se están Informações adicionais
especificando las reglas de control de acceso en Convém que sejam tomados cuidados na
considerar: especificação de regras de controle de acesso
quando se considerar o seguinte:
a) diferenciación entre reglas que siempre deben
ser acatadas y directrices que son opcionales o a) diferenciar entre regras que devem ser
condicionales; obrigatórias e forçadas, e diretrizes que são
opcionais ou condicionais;
b) establecimiento de reglas basadas sobre la
94 10.09.2007
premisa “Todo está generalmente prohibido salvo estabelecer regra baseada na premissa “Tudo é b)
que expresamente sea permitido” mas que sobre proibido, a menos que expressamente permitido"
la regla mas débil “Todo esta generalmente em lugar da regra mais fraca "Tudo é permitido, a
permitido salvo que sea expresamente prohibido”; menos que expressamente proibido";
c) cambios en las etiquetas de la información

(véase el Apartado 7.2) que son iniciados c) mudanças em rótulos de informação (ver 7.2)
automáticamente por los recursos de que são iniciadas automaticamente através de
procesamiento de información y aquellos que son recursos de processamento da informação e os
iniciados a discreción de un usuario; que iniciaram pela ponderação de um usuário;
d) cambios en los permisos de usuario que son

iniciados automáticamente por el sistema de d) mudanças em permissões de usuário que são
información y aquellos que son iniciados por un iniciadas automaticamente pelo sistema de
administrador; informação e aqueles iniciados por um
administrador;
e) reglas, que requieren una aprobación
especifica antes de habilitarse y aquellas que no e) regras que requerem aprovação específica antes
lo requieren; de um decreto ou lei e as que não necessitam.
Las reglas de control de acceso deber ser

soportadas por procedimientos formales y Convém que as regras para controle de acesso
responsabilidades claramente definidas (véase sejam apoiadas por procedimentos formais e
por ejemplo, 6.1.3,11.3,10.4.1, 11.6). responsabilidades claramente definidas (ver 6.1.3,
11.3, 10.4.1 e 11.6).
11.2 Gestión del acceso de usuarios
11.2 Gerenciamento de acesso do usuário
OBJETIVO: Asegurar el acceso de usuarios
autorizados y prevenir el acceso no autorizado a Objetivo: Assegurar acesso de usuário autorizado e
los sistemas de información. prevenir acesso não autorizado a sistemas de
informação.
Deberían existir procedimientos formales para
controlar la asignación de derechos de acceso a Convém que procedimentos formais sejam
los sistemas de información y a los servicios. implementados para controlar a distribuição de
direitos de acesso a sistemas de informação e
serviços.
Estos procedimientos deberían cubrir todas las
etapas del ciclo de vida del acceso del usuario, Convém que os procedimentos cubram todas as
desde el registro inicial de nuevos usuarios hasta fases do ciclo de vida de acesso do usuário, da
la cancelación final del registro de usuarios que inscrição inicial como novos usuários até o
no requieren más acceso a los sistemas de cancelamento final do registro de usuários que já
información y a los servicios. Debería tenerse não requerem acesso a sistemas de informação e
especial atención, cuando corresponda, a la serviços. Convém que atenção especial seja dada,
necesidad de control de la asignación de onde apropriado, para a necessidade de controlar a
derechos de acceso privilegiados, que permiten a distribuição de direitos de acesso privilegiado que
los usuarios sobrescribir los sistemas de control. permitem os usuários mudar controles de sistemas.
11.2.1 Registro de usuarios

11.2.1 Registro de usuário
Control
Debería existir un procedimiento formal de Controle
registro y cancelación de registro para otorgar y Convém que exista um procedimento formal de
revocar los accesos a todos los servicios y registro e cancelamento de usuário para garantir e
sistemas de información. revogar acessos em todos os sistemas de
informação e serviços.
El procedimiento de control de acceso para el Diretrizes para implementação
registro y cancelación de registro del usuario Convém que os procedimentos de controle de
95 10.09.2007
debería incluir: acesso para registro e cancelamento de usuários

incluam:
a) utilización de la identificación única de usuario
(IDs) para permitir que los usuarios queden a) utilizar identificador de usuário (ID de usuário)
vinculados y sean responsables de sus acciones; único para assegurar a responsabilidade de cada
el uso del identificador de grupo, debería usuário por suas ações; convém que o uso de
permitirse solamente cuando sea necesario por grupos de ID somente seja permitido onde existe a
razones de negocio u operativas, y deberían ser necessidade para o negócio ou por razões
aprobadas y documentadas; operacionais, e isso seja aprovado e documentado;
b) verificación de que el usuario tenga autorizaron

del dueño del sistema para el uso del servicio ó el b) verificar se o usuário tem autorização do
sistema de información; aprobación separada proprietário do sistema para o uso do sistema de
para los derechos de acceso para la gestión informação ou serviço; aprovação separada para
podría ser apropiado; direitos de acesso do gestor também pode ser
apropriada;
c) verificación de que el nivel de acceso otorgado
sea apropiado para el propósito del negocio c) verificar se o nível de acesso concedido é
(véase el Apartado 11.1) y que es consistente con apropriado ao propósito do negócio (ver 11.1) e é
la política de seguridad, por ejemplo que no consistente com a política de segurança da
compromete la segregación de tareas (véase el organização, por exemplo, não compromete a
Apartado 10.1.3); segregação de função (ver 10.1.3);
d) entregar al usuario una declaración de sus

derechos de acceso; d) dar para os usuários uma declaração por escrito
dos seus direitos de acesso;
e) requerir que los usuarios firmen declaraciones
indicando que ellos comprenden las condiciones e) requerer aos usuários a assinatura de uma
de acceso; declaração indicando que eles entendem as
condições de acesso;
f) asegurar que los proveedores de servicio no
provean acceso hasta que los procedimientos de f) assegurar aos provedores de serviços que não
autorización hayan sido completados; serão dados acessos até que os procedimentos de
autorização tenham sido concluídos;
g) mantener un registro formal de todas las
personas registradas que usan el servicio; g) manter um registro formal de todas as pessoas
registradas para usar o serviço;
h) borrar inmediatamente o bloquear los derechos
de acceso de los usuarios que hayan cambiado h) remover imediatamente ou bloquear direitos de
roles o tareas o dejado la organización; acesso de usuários que mudaram de cargos ou
funções, ou deixaram a organização;
i) periódicamente realizar una verificación para
borrar o bloquear las cuentas e identificación de i) verificar periodicamente e remover ou bloquear
usuarios (IDs) redundantes (véase el Apartado identificadores (ID) e contas de usuário
11.2.4); redundantes (ver 11.2.4);
j) asegurar que las identificaciones de usuarios

(IDs) redundantes no se otorgan a otros usuarios. j) assegurar que identificadores de usuário (ID de
usuário) redundantes não sejam atribuídos para
outros usuários.
Se debería considera el establecimiento de Informações adicionais
funciones de acceso de usuario basadas en los Convém que seja considerado estabelecer perfis
requisitos del negocio que resuman una variedad de acesso do usuário baseados nos requisitos dos
de derechos de acceso en perfiles comunes para negócios que resumam um número de direitos de
el acceso de usuario. Las solicitudes y revisiones acessos dentro de um perfil de acesso típico de
de acceso (véase el Apartado 11.2.4) se usuário. Solicitações de acessos e análises críticas
gestionan más fácilmente en el ámbito de dichas (ver 11.2.4) são mais fáceis de gerenciar ao nível
funciones que en el ámbito de derechos de tais perfis do que ao nível de direitos
96 10.09.2007
particulares. particulares.
Es conveniente considerar la inclusión de

Cláusulas en los contratos del personal y de los Convém que seja considerada a inclusão de
servicios que especifiquen las sanciones si el Cláusulas nos contratos de usuários e de serviços
personal o los agentes del servicio intentan el que especifiquem as sanções em caso de tentativa
acceso no autorizado (véase los Apartados 6.1.5, de acesso não autorizado pelos usuários ou por
8.1.3 y 8.2.3). terceiros (ver 6.1.5, 8.1.3 e 8.2.3).
11.2.2 Gestión de privilegios

11.2.2 Gerenciamento de privilégios
Control
Debería restringirse y controlarse la asignación y Controle
uso de privilegios. Convém que a concessão e o uso de privilégios
sejam restritos e controlados.
Sistemas multiusuario que requieren protección Diretrizes para implementação
contra accesos no autorizados deberían tener la Convém que os sistemas de multiusuários que
asignación de privilegios controlada a través de necessitam de proteção contra acesso não
procedimientos formales de autorización. autorizado tenham a concessão de privilégios
Deberían considerarse los siguientes elementos: controlada por um processo de autorização formal.
Convém que os seguintes passos sejam
considerados:
a) los privilegios de acceso asociados con cada
producto del sistema, por ejemplo sistema a) privilégio de acesso de cada produto de sistema,
operativo, sistema de gestión de base de datos y por exemplo, sistema operacional, sistemas de
de cada aplicación, y debería identificarse a los gerenciamento de banco de dados e cada
usuarios a los que es necesario asignar tales aplicação, e de categorias de usuários para os
privilegios; quais estes necessitam ser concedido, seja
identificado;
b) los privilegios deberían ser asignados a
usuarios sobre la base de necesidad de uso y b) os privilégios sejam concedidos a usuários
sobre la base de evento por evento, alineados conforme a necessidade de uso e com base em
con la política de control de acceso (véase el eventos alinhados com a política de controle de
Apartado 11.1.1), es decir, el requisito mínimo acesso (ver 11.1.1), por exemplo, requisitos
para su rol funcional, solo cuando es necesario; mínimos para sua função somente quando
necessário;
c) deberían ser mantenidos un proceso de
autorización y un registro de todos los privilegios c) um processo de autorização e um registro de
asignados. Los privilegios no deben ser otorgados todos os privilégios concedidos sejam mantidos.
hasta que el procedimiento de autorización no Convém que os privilégios não sejam fornecidos
sea completado; até que todo o processo de autorização esteja
finalizado;
d) debería ser promovido el desarrollo y
utilización de rutinas del sistema para evitar la d) desenvolvimento e uso de rotinas de sistemas
necesidad de otorgar privilegios a los usuarios; sejam incentivados de forma a evitar a necessidade
de fornecer privilégios aos usuários;
e) debería ser promovido el desarrollo y uso de
programas que eviten la necesidad de funcionar e) desenvolvimento e uso de programas que não
con privilegios; necessitam funcionar com privilégios sejam
estimulados;
f) los privilegios deberían ser asignados a una
identificación de usuario (ID) diferente de la f) os privilégios sejam atribuídos para um
utilizada para uso normal del negocio. identificador de usuário (ID de usuário) diferente
daqueles usados normalmente para os negócios.
El uso inapropiado de los privilegios de Informações adicionais
administración del sistema (cualquier O uso inapropriado de privilégios de administrador
característica o recurso de un sistema de de sistemas (qualquer característica ou recursos de
97 10.09.2007
información que habilite al usuario a hacer caso sistemas de informação que habilitam usuários a
omiso de los controles del sistema o de la exceder o controle de sistemas ou aplicações)
aplicación) puede ser un factor importante de pode ser um grande fator de contribuição para
contribución a las fallas o brechas de los falhas ou violações de sistemas.
sistemas.
11.2.3 Gestión de contraseñas del usuario

11.2.3 Gerenciamento de senha do usuário
Control
La asignación de contraseñas debería controlarse Controle
a través de un procesos formal de gestión. Convém que a concessão de senhas seja
controlada através de um processo de
gerenciamento formal.
El proceso debería incluir los siguientes Diretrizes para implementação
requisitos: Convém que o processo considere os seguintes
requisitos:
a) se debería exigir a los usuarios que firmen una
declaración de para mantener confidencialidad a) solicitar aos usuários a assinatura de uma
sobre las contraseñas personales y mantener las declaração, para manter a confidencialidade de sua
contraseñas de grupo dentro de los miembros del senha pessoal e das senhas de grupos de trabalho,
grupo; esta declaración firmada podría estar exclusivamente com os membros do grupo; esta
incluida dentro de los términos de empleo (véase declaração assinada pode ser incluída nos termos
el Apartado 8.1.3); e condições da contratação (ver 8.1.3);
b) cuando se exige a los usuarios el mantener sus

propias contraseñas, ellos deben ser provistos b) garantir, onde os usuários necessitam manter
inicialmente con una contraseña segura temporal suas próprias senhas, que sejam fornecidas
(véase el Apartado 11.3.1), que estén forzados a inicialmente senhas seguras e temporárias (ver
cambiar inmediatamente; 11.3.1), o que obriga o usuário a alterá-la
imediatamente;
c) establecer procedimientos para verificar la
identidad del usuario antes de proporcionarle una c) estabelecer procedimentos para verificar a
contraseña temporal, de reemplazo o nueva; identidade de um usuário antes de fornecer uma
senha temporária, de substituição ou nova;
d) las contraseñas temporales deberían ser dadas
a los usuarios de un modo seguro; deberían ser d) fornecer senhas temporárias aos usuários de
evitados el uso de mensajes de correo electrónico maneira segura; convém que o uso de mensagens
de terceras partes o no protegidos (en texto de correio eletrônico de terceiros ou desprotegido
claro); (texto claro) seja evitado;
e) las contraseñas temporales deberían ser

únicas para un individuo y no deberían ser e) senhas temporárias sejam únicas para uma
descifrables; pessoa e não sejam fáceis de serem adivinhadas;
f) los usuarios deberían acusar el recibo de las

contraseñas; f) usuários acusem o recebimento de senhas;
g) las contraseñas nunca deberían ser

almacenadas en sistemas de computadoras o en g) as senhas nunca sejam armazenadas nos
forma no protegida; sistemas de um computador de forma
desprotegida;
h) las contraseñas por defecto de los vendedores
deberían cambiarse inmediatamente luego de la h) as senhas padrão sejam alteradas logo após a
instalación del software o sistemas. instalação de sistemas ou software.
Las contraseñas son un medio común de Informações adicionais
verificación de la identidad del usuario antes de Senhas são um meio comum de verificar a
98 10.09.2007
que se les otorguen accesos a los sistemas de identidade de um usuário antes que acessos sejam
información o a los servicios de acuerdo a la concedidos a um sistema de informação ou serviço
autorización que tenga el usuario. Si es de acordo com a autorização do usuário. Outras
apropiado, deberían considerarse otras tecnologias para identificação de usuário e
tecnologías disponibles para la identificación y autenticação, como biométrica, por exemplo,
autenticación del usuario, tales como biometría, verificação de digitais, verificação de assinatura, e
por ejemplo, verificación de huella digital, uso de tokens, por exemplo, e cartões inteligentes,
verificación de firma, y uso de señales de estão disponíveis, e convém que sejam
hardware (hardware tokens), por ejemplo tarjetas consideradas, se apropriado.
inteligentes.
11.2.4 Revisión de derechos de acceso de

usuario 11.2.4 Análise crítica dos direitos de acesso de
usuário
Control
La dirección debería revisar los derechos de Controle
acceso de los usuarios a intervalos regulares Convém que o gestor conduza a intervalos
utilizando un proceso formal. regulares a análise crítica dos direitos de acesso
dos usuários, por meio de um processo formal.
La revisión de los derechos de acceso debería Diretrizes para implementação
considerar las siguientes recomendaciones: Convém que a análise crítica dos direitos de
acesso considere as seguintes orientações:
a) los derechos de acceso de usuarios deberían
ser revisados a intervalos regulares, por ejemplo, a) os direitos de acesso de usuários sejam
cada seis meses, y luego de cualquier cambio, tal revisados em intervalos regulares, por exemplo, um
como una promoción, una degradación, o período de seis meses e depois de qualquer
terminación del empleo (véase el Apartado mudança, como promoção, rebaixamento ou
11.2.1); encerramento do contrato (ver 11.2.1);
b) los derechos de acceso de usuario deberían

ser revisados y reasignados cuando se mueve de b) os direitos de acesso de usuários sejam
un empleo a otro dentro de la misma analisados criticamente e realocados quando
organización; movidos de um tipo de atividade para outra na
mesma organização;
c) las autorizaciones para derechos de acceso
privilegiados (véase el Apartado 11.2.2) deberían c) autorizações para direitos de acesso privilegiado
ser d) revisados a intervalos mas frecuentes; por especial (ver 11.2.2) sejam analisadas criticamente
ejemplo cada tres meses; em intervalos mais freqüentes, por exemplo, em um
período de três meses;
e) debería verificarse la asignación de privilegios
a intervalos regulares para garantizar que no se e) as alocações de privilégios sejam verificadas em
obtienen privilegios no autorizados; intervalo de tempo regular para garantir que
privilégios não autorizados não foram obtidos;
f) los cambios en las cuentas privilegiadas
deberían registrarse para su revisión periódica. f) as modificações para contas de privilégios sejam
registradas para análise crítica periódica.
Es necesario revisar los derechos de acceso de Informações adicionais
usuarios regularmente para mantener un control É necessário analisar criticamente, a intervalos
de acceso efectivo sobre el acceso a los datos y regulares, os direitos de acesso de usuários para
servicios de información. manter o controle efetivo sobre os acessos de
dados e serviços de informação.
11.3 Responsabilidades del usuario
11.3 Responsabilidades dos usuários
OBJETIVO: Prevenir el acceso de usuario no
autorizado, y el robo o compromiso de la Objetivo: Prevenir o acesso não autorizado dos
información y de las instalaciones de usuários e evitar o comprometimento ou furto da
procesamiento de la información. informação e dos recursos de processamento da
99 10.09.2007
informação.
La cooperación de usuarios autorizados es
esencial para una seguridad efectiva. A cooperação de usuários autorizados é essencial
para uma efetiva segurança.
Los usuarios deben ser enterados de sus
responsabilidades para mantener los controles de Convém que os usuários estejam conscientes de
acceso, particularmente teniendo en cuenta el suas responsabilidades para manter efetivo
uso de contraseñas y la seguridad del controle de acesso, particularmente em relação ao
equipamiento del usuario. uso de senhas e de segurança dos equipamentos
de usuários.
Una política de escritorio y pantallas limpios,
debería ser implementada para reducir el riesgo Convém que uma política de mesa e tela limpa seja
de acceso no autorizado o daño a papeles, implementada para reduzir o risco de acessos não
medios, e instalaciones de procesamiento de la autorizados ou danos a documentos/papéis, mídias
información. e recursos de processamento da informação.
11.3.1 Uso de Contraseña

11.3.1 Uso de senhas
Control
Debería exigirse a los usuarios el cumplimiento Controle
de buenas prácticas de seguridad en la selección Convém que os usuários sejam solicitados a seguir
y el uso de contraseñas. as boas práticas de segurança da informação na
seleção e uso de senhas.
Todos los usuarios deberían ser advertidos en Diretrizes para implementação
cuanto a: Convém que todos os usuários sejam informados
para:
a) mantener confidencialidad sobre la contraseña;
a) manter a confidencialidade das senhas;
b) evitar mantener un registro de contraseñas (por
ejemplo en papel, archivo de software o b) evitar manter anotadas senhas (por exemplo,
dispositivo de mano “hand-held device”), salvo papel, arquivos ou dispositivos móveis), a menos
que este medio pueda ser almacenado en forma que elas possam ser armazenadas de forma
segura y el método de almacenamiento haya sido segura e o método de armazenamento esteja
aprobado; aprovado;
c) cambiar las contraseñas toda vez que haya

una indicación de riesgo en el sistema o en la c) alterar senha sempre que existir qualquer
contraseña; indicação de possível comprometimento do sistema
ou da própria senha;
d) seleccionar contraseñas de calidad con
suficiente largo mínimo que sean: d) selecionar senhas de qualidade com um
tamanho mínimo que sejam:
1) fáciles de recordar;
1) fáceis de lembrar;
2) no se basen en algo que alguien pueda
adivinar fácilmente o usando información 2) não baseadas em nada que alguém
relacionada con la persona, por ejemplo, facilmente possa adivinhar ou obter usando
nombres, números telefónicos, fechas de informações relativas à pessoa, por exemplo,
nacimiento, etc.; nomes, números de telefone e datas de
aniversário;
3) no vulnerables a ataques tipo diccionario
(es decir, que no consistan en palabras 3) não vulneráveis a ataque de dicionário (por
incluidas en diccionarios); exemplo, não consistir em palavras inclusas
no dicionário);
4) libres de caracteres idénticos sucesivos ya
sean todos numéricos o alfabéticos; 4) isentas de caracteres idênticos consecutivos,
todos numéricos ou todos alfabéticos
sucessivos;
100 10.09.2007
e) cambiar las contraseñas a intervalos regulares

o basados en el número de accesos (las e) modificar senhas regularmente ou com base no
contraseñas de cuentas privilegiadas deberían número de acessos (convém que senhas de
ser cambiadas mas frecuentemente que las acesso a contas privilegiadas sejam modificadas
contraseñas normales), y evitar la reutilización o mais freqüentemente que senhas normais) e evitar
reciclaje de claves viejas; a reutilização ou reutilização do ciclo de senhas
antigas;
f) cambiar las contraseñas temporales en la
primer conexión; f) modificar senhas temporárias no primeiro acesso
ao sistema;
g) no incluir contraseñas en ningún proceso
automatizado de conexión, por ejemplo g) não incluir senhas em nenhum processo
almacenado en una macro o función clave; automático de acesso ao sistema, por exemplo,
armazenadas em um macro ou funções-chave;
h) no compartir las contraseñas de usuario
individuales; h) não compartilhar senhas de usuários individuais;
i) no utilizar la misma contraseña para propósitos

del negocio y particulares. i) não utilizar a mesma senha para uso com
finalidades profissionais e pessoais.
Si los usuarios necesitan acceso a múltiples
servicios, sistemas o plataformas y se les exige Se os usuários necessitam acessar múltiplos
conservar múltiples contraseñas separadas, se serviços, sistemas ou plataformas, e forem
les debería advertir que pueden usar una sola requeridos para manter separadamente múltiplas
contraseña de calidad (véase el punto d) para senhas, convém que eles sejam alertados para
todos los servicios cuando se les garantiza que se usar uma única senha de qualidade (ver d) acima
ha establecido un nivel razonable de protección para todos os serviços, já que o usuário estará
para almacenar la contraseña en cada servicio, assegurado de que um razoável nível de proteção
sistema o plataforma. foi estabelecido para o armazenamento da senha
em cada serviço, sistema ou plataforma.
La gestión del sistema de mesa de ayuda que Informações adicionais
tiene que ver con la pérdida u olvido de A gestão do sistema de help desk que trata de
contraseñas necesita especial cuidado pues esta senhas perdidas ou esquecidas necessita de
puede ser también un medio de ataque al sistema cuidado especial, pois este caminho pode ser
de contraseñas. também um dos meios de ataque ao sistema de
senha.
11.3.2 Equipamiento desatendido por el
usuario 11.3.2 Equipamento de usuário sem
monitoração
Control
Los usuarios deberían asegurarse que los Controle
equipos desatendidos tienen la protección Convém que os usuários assegurem que os
apropiada. equipamentos não monitorados tenham proteção
adequada.
Todos los usuarios deberían ser advertidos de los Diretrizes para implementação
requisitos y procedimientos de seguridad para Convém que todos os usuários estejam cientes dos
proteger equipamiento desatendido, así como de requisitos de segurança da informação e
su responsabilidad de implementar tal protección. procedimentos para proteger equipamentos
desacompanhados, assim como suas
responsabilidades por implementar estas
proteções.
Se debería advertir a los usuarios sobre:
Convém que os usuários sejam informados para:
a) terminar sesiones activas cuando son
finalizadas, salvo que se les pueda; a) encerrar as sessões ativas,a menos que elas
possam ser protegidas por meio de um mecanismo
de bloqueio, por exemplo tela de proteção com
101 10.09.2007
senha;
b) asegurar por un mecanismo de bloqueo b) efetuar a desconexão com o computador de

apropiado, por ejemplo un protector de pantalla grande porte, servidores e computadores pessoais
protegido con contraseña; do escritório, quando a sessão for finalizada (por
exemplo: não apenas desligar a tela do computador
ou o terminal);
c) desconectarse de los computadores centrales,
servidores y estaciones de trabajo de oficina c) proteger os microcomputadores ou terminais
cuando la sesión es finalizada (por ejemplo no contra uso não autorizado através de tecla de
apagar solo el monitor de la terminal o estación bloqueio ou outro controle equivalente, por
de trabajo); exemplo, senha de acesso, quando não estiver em
uso (ver 11.3.3).
d) asegurar a las estaciones de trabajo de uso no
autorizado mediante una clave de bloqueo o un
control equivalente, por ejemplo contraseña de
acceso cuando no se encuentra en uso (véase
también el Apartado 11.3.3).
Equipamiento instalado en áreas usuarias, por Informações adicionais
ejemplo estaciones de trabajo o servidores de Equipamentos instalados em áreas de usuários,
archivo, pueden requerir protección específica por exemplo, estações de trabalho ou servidores de
frente a acceso no autorizado cuando se deja arquivos, podem requerer proteção especial contra
desatendido por un periodo largo. acesso não autorizado, quando deixados sem
monitoração por um período extenso.
11.3.3 Política de escritorio y pantalla limpios
11.3.3 Política de mesa limpa e tela limpa
Control
Se debería adoptar una política de escritorio Controle
limpio para papeles y medios de almacenamiento Convém que seja adotada uma política de mesa
removibles y una política de pantalla limpia para limpa de papéis e mídias de armazenamento
las instalaciones de procesamiento de removível e política de tela limpa para os recursos
información. de processamento da informação.
Una política de escritorio limpio debería tener en Diretrizes para implementação
cuenta la clasificación de la información (véase el Convém que uma política de mesa limpa e tela
Apartado 7.2), requisitos legales y contractuales limpa leve em consideração a classificação da
(véase el Apartado 15.1), y los aspectos informação (ver 7.2), requisitos contratuais e legais
culturales y de riesgo de la organización (ver 15.1), e o risco correspondente e aspectos
correspondientes. Deberían considerarse las culturais da organização. Convém que as seguintes
siguientes recomendaciones: diretrizes sejam consideradas:
a) cuando no se requiere la información sensible

o crítica del negocio, contenida por ejemplo en a) informações do negócio sensíveis ou críticas,
medios de almacenamiento electrónicos o en por exemplo, em papel ou em mídia de
papel, se debería asegurar bajo llave (idealmente armazenamento eletrônicas, sejam guardadas em
una caja fuerte, un gabinete u otro mueble de lugar seguro (idealmente em um cofre, armário ou
seguridad), especialmente cuando la oficina está outras formas de mobília de segurança) quando
vacía; não em uso, especialmente quando o escritório
está desocupado;
b) las computadoras y terminales deberían ser
desconectadas o protegidas con un mecanismo b) computadores e terminais sejam mantidos
de bloqueo de pantalla y teclado controlado por desligados ou protegidos com mecanismo de
contraseña, una señal (token), o mecanismo de travamento de tela e teclados controlados por
autenticación de usuario similar cuando está senha, token ou mecanismo de autenticação similar
desatendida, y debería ser protegida por claves quando sem monitoração e protegidos por tecla de
de bloqueo, o contraseñas u otros controles bloqueio, senhas ou outros controles, quando não
102 10.09.2007
cuando no esta en uso; usados;
c) deberían ser protegidos puntos de ingreso y

egreso de correo electrónico y máquinas de c) pontos de entrada e saída de correspondências
facsímil desatendidas; e máquinas de fac-símile sem monitoração sejam
protegidos;
d) debería prevenirse el uso no autorizado de
fotocopias y otras tecnologías de reproducción d) sejam evitados o uso não autorizado de
(por ejemplo escáneres, cámaras digitales); fotocopiadoras e outra tecnologia de reprodução
(por exemplo, scanners, máquinas fotográficas
digitais);
e) documentación conteniendo información
clasificada o sensible debería retirarse de las e) documentos que contêm informação sensível ou
impresoras inmediatamente. classificada sejam removidos de impressoras
imediatamente.
Una política de escritorio y pantalla limpios, Informações adicionais
reduce los riesgos de acceso no autorizado, Uma política de mesa limpa e tela limpa reduz o
pérdida o daño a la información durante y fuera risco de acesso não autorizado, perda e dano da
de las horas normales de trabajo. Cofres u otras informação durante e fora do horário normal de
formas de almacenamiento seguro pueden trabalho. Cofres e outras formas de recursos de
también proteger información almacenada dentro armazenamento seguro também podem proteger
de ellas contra desastres tales como incendios, informações armazenadas contra desastres como
terremotos, inundaciones o explosiones. incêndio, terremotos, enchentes ou explosão.
Considerar el uso de impresoras con una función

de código de uso, de modo que los generadores Considerar o uso de impressoras com função de
sean los únicos que puedan obtener sus impresos código PIN, permitindo desta forma que os
y solamente estando parados al lado de la requerentes sejam os únicos que possam pegar
impresora. suas impressões, e apenas quando estiverem
próximos às impressoras.
11.4 Control de acceso a la red
11.4 Controle de acesso à rede
OBJETIVO: Prevenir el acceso no autorizado a
los servicios en red. Objetivo: Prevenir acesso não autorizado aos
serviços de rede.
Debería controlarse el acceso a los servicios en
red, tanto internos como externos. Convém que o acesso aos serviços de rede
internos e externos seja controlado.
El acceso de los usuarios a las redes y a los
servicios de red no debería comprometer la Convém que os usuários com acesso às redes e
seguridad de los servicios de red garantizando aos serviços de rede não comprometam a
que: segurança desses serviços, assegurando:
a) las interfaces adecuadas son puestas entre la

red de la organización y redes pertenecientes a a) uso de interfaces apropriadas entre a rede da
otras organizaciones, y redes publicas; organização e as redes de outras organizações e
redes públicas;
b) mecanismos de autenticación apropiados son
aplicados para usuarios y equipamiento; b) uso de mecanismos de autenticação apropriados
para os usuários e equipamentos;
c) se exige control del acceso de los usuarios a
los servicios de información. c) controle de acesso compulsório de usuários aos
serviços de informação.
11.4.1 Políticas sobre el uso de servicios en
red 11.4.1 Política de uso dos serviços de rede
Control
103 10.09.2007
Los usuarios sólo deberían tener acceso a los Controle

servicios para cuyo uso están específicamente Convém que usuários somente recebam acesso
autorizados. para os serviços que tenham sido especificamente
autorizados a usar.
Debería ser formulada una política relativa al uso Diretrizes para implementação
de redes y servicios de red. Esta política debería Convém que uma política seja formulada
cubrir: relativamente ao uso de redes e serviços de rede.
Convém que esta política cubra:
a) las redes y servicios de red a los cuales es
permitido acceder; a) redes e serviços de redes que são permitidos de
serem acessados;
b) los procedimientos de autorización para
determinar a quién se le permite el acceso a qué b) procedimentos de autorização para determinar
redes y qué servicios en red; quem tem permissão para acessar em quais redes
e serviços de redes;
c) los controles de gestión y procedimientos para
proteger el acceso a las conexiones y servicios de c) procedimentos e controles de gerenciamento
red; para proteger acesso a conexões e serviços de
redes;
d) los medios utilizados para acceder a las redes
y servicios de red (por ejemplo, las condiciones d) os meios usados para acessar redes e serviços
para permitir el acceso discado a un servicio de de rede (por exemplo, as condições por permitir
Internet o sistema remoto). acesso discado para acessar o provedor de serviço
internet ou sistema remoto).
La política sobre el uso de servicios de red
debería ser consistente con la política de control Convém que a política no uso de serviços de rede
de acceso del negocio (véase el Apartado 11.1). seja consistente com a política de controle de
acesso do negócio (ver 11.1).
Conexiones no autorizadas o inseguras a Informações adicionais
servicios de red pueden afectar a toda la Conexões sem autorização e inseguras nos
organización. Este control es particularmente serviços de rede podem afetar toda organização.
importante para conexiones de red a aplicaciones Este controle é particularmente importante para
sensibles o críticas del negocio o de usuarios en conexões de redes sensíveis ou aplicações de
ubicaciones de alto riesgo, por ejemplo, áreas negócios críticos ou para usuários em locais de alto
públicas o externas que están fuera de la gestión risco, por exemplo, áreas públicas ou externas que
de seguridad y control de la organización. estão fora da administração e controle da
segurança da organização.
11.4.2 Autenticación de usuarios para
conexiones externas 11.4.2 Autenticação para conexão externa do
usuário
Control
Deberían emplearse métodos apropiados de Controle
autenticación para controlar el acceso de usuarios Convém que métodos apropriados de
remotos. autenticações sejam usados para controlar acesso
de usuários remotos.
La autenticación de usuarios remotos puede ser Diretrizes para implementação
lograda utilizando, por ejemplo, técnicas basadas A autenticação de usuários remotos pode ser
en criptografía, señales (tokens) de hardware, o alcançada usando, por exemplo, técnica baseada
protocolos de desafío/respuesta. Posibles em criptografia, hardware tokens ou um protocolo
implementaciones de tales técnicas pueden ser de desafio/resposta. Podem ser achadas possíveis
encontradas en distintas soluciones de redes implementações de tais técnicas em várias
privadas virtuales (VPN). Líneas privadas soluções de redes privadas virtuais (VPN).
dedicadas pueden ser utilizadas para proveer Também podem ser usadas linhas privadas
seguridad del origen de la conexión. dedicadas para prover garantia da origem de
conexões.
Los procedimientos y controles de devolución de
104 10.09.2007
llamada, por ejemplo módems de retorno de Os procedimentos e controles de discagem reversa

llamada, pueden proveer protección contra (dial-back), por exemplo, usando modens com
conexiones no autorizadas y conexiones no discagem reversa, podem prover proteção contra
deseadas a instalaciones de procesamiento de conexões não autorizadas e não desejadas nos
información de la organización. Este tipo de recursos de processamento da informação de uma
control autentica usuarios, tratando de establecer organização. Este tipo de controle autentica
una conexión a una red de la organización desde usuários que tentam estabelecer conexões com a
sitios remotos. Cuando se utilizan estos controles, rede de uma organizações de localidades remotas.
una organización no debería utilizar servicios de Ao usar este controle, convém que uma
red, que incluyan accesos discados entrantes, o organização não use serviços de rede que incluem
si lo hacen, deberían deshabilitarse el uso de transferência de chamadas (forward) ou, se eles
tales características para evitar debilidades fizerem, convém que seja desabilitado o uso de tais
asociadas con acceso discado entrante. El facilidades para evitar exposição a fragilidades
proceso de devolución de llamada debería associadas ao call forward. Convém que o
asegurar que ocurra una desconexión verdadera processo de discagem reversa assegure que uma
del lado de la organización. De otro modo el desconexão atual no lado da organização
usuario remoto podría mantener la línea abierta aconteça. Caso contrário, o usuário remoto poderia
pretendiendo que la verificación de devolución de reter aberta a linha simulando que a verificação do
llamada ha ocurrido. Los procedimientos y retorno da chamada (call back) ocorreu. Convém
controles de devolución de llamada deberían ser que os procedimentos e controles da discagem
exhaustivamente verificados por esta posibilidad. reversa sejam testados completamente para esta
possibilidade.
La autenticación de nodos puede servir como un
medio alternativo de autenticación de grupos de Autenticação de um nó pode servir como meio
usuarios remotos donde son conectados a un alternativo de autenticar grupos de usuários
recurso seguro de computación compartido. remotos onde eles são conectados a recursos de
Técnicas criptográficas, por ejemplo basadas en computador seguros e compartilhados. Técnicas
certificados , pueden ser utilizadas para la criptográficas, por exemplo, com base em
autenticación del nodo. Esto es parte de diversas certificados de máquina, podem ser usadas para
soluciones basadas en una red privada virtual autenticação de nó. Isto é parte de várias soluções
(VPN). baseado em VPN.
Deberían implementarse controles adicionales de

autenticación para controlar el acceso a redes Convém que seja implementado controle de
inalámbricas. En particular se deber prestar autenticação adicional para controlar acesso a
especial atención en la selección de los controles redes sem fios. Em particular, cuidado especial é
para redes inalámbricas debido a las grandes necessário na seleção de controles para redes sem
oportunidades para intercepción e inserción no fios devido às numerosas oportunidades de não
detectada de trafico de red. detecção de interceptação e inserção de tráfico de
rede.
Conexiones externas habilitan potenciales Informações adicionais
ingresos no autorizados a la información del As conexões externas proporcionam um potencial
negocio, por ejemplo métodos de acceso discado. de acessos não autorizados para as informações
Existen diferentes tipos de autenticación, algunos de negócio, por exemplo, acesso por métodos
de ellos proveen una mayor nivel de protección discados (dial-up). Existem diferentes tipos de
que otros, por ejemplo métodos basados en el métodos de autenticação, alguns deles
uso de técnicas de criptografía pueden proporcionam um maior nível de proteção que
suministrar una autenticación mas fuerte. Es outros, por exemplo, métodos baseados em
importante determinar a partir de una evaluación técnicas de criptografia que podem proporcionar
del riesgo, el nivel de protección requerida. Esto autenticação forte. É importante determinar o nível
es necesario para la selección apropiada del de proteção requerido a partir de uma
método de autenticación. análise/avaliação de riscos. Isto é necessário para
selecionar apropriadamente um método de
autenticação.
Un medio de conexión automática a una
computadora remota puede proveer una manera Os recursos de conexão automática para
de obtener un acceso no autorizado a las computadores remotos podem prover um caminho
aplicaciones del negocio. Esto es especialmente para ganhar acesso não autorizado nas aplicações
105 10.09.2007
importante si la conexión usa una red que está de negócio. Isto é particularmente importante se a
fuera del control de la gestión de seguridad de la conexão usar uma rede que está fora do controle
organización. do gerenciamento de segurança da informação da
organização.
11.4.3 Identificación de equipamiento en la red
11.4.3 Identificação de equipamento em redes
Control
La identificación automática del equipamiento Controle
debería ser considerada como medio de Convém que sejam consideradas as identificações
autenticar conexiones desde equipos y automáticas de equipamentos como um meio de
ubicaciones específicas. autenticar conexões vindas de localizações e
equipamentos específicos.
La identificación del equipamiento puede ser Diretrizes para implementação
usada si es importante que la comunicación sea Uma identificação de equipamentos pode ser
sólo iniciada desde un equipo o ubicación usada se for importante que a comunicação possa
específica. Un identificador en o conectado al somente ser iniciada de um local ou equipamento
equipamiento puede ser utilizada para indicar si a específico. Um identificador no equipamento pode
ese equipamiento le es permitido conectarse a la ser usado para indicar se este equipamento possui
red. Estos identificadores deben indicar permissão para conectar-se à rede. Convém que
claramente a que red le es permitido conectarse, estes identificadores indiquem claramente para
si existe mas de una red y particularmente si qual rede o equipamento possui permissão para
estas redes son de distinta sensibilidad. Puede conectar-se, se existe mais de uma rede e
ser necesario considerar protección física del particularmente se estas redes são de sensibilidade
equipamiento para mantener la seguridad del diferente. Pode ser necessário considerar proteção
identificador del equipo. física do equipamento para manter a segurança do
identificador do equipamento.
Este control puede ser completado con otras Informações adicionais
técnicas para autenticar el usuario del Este controle pode ser complementado com outras
equipamiento (véase el Apartado 11.4.2). La técnicas para autenticar o usuário do equipamento
identificación del equipamiento puede ser (ver 11.4.2). Pode ser aplicada identificação de
aplicada adicionalmente a la autenticación del equipamento adicionalmente à autenticação de
usuario. usuário.
11.4.4 Protección de los puertos de

configuración y diagnóstico remoto 11.4.4 Proteção de portas de configuração e
diagnóstico remotos
Control
El acceso lógico y físico a los puertos de Controle
configuración y de diagnóstico debería estar Convém que sejam controlados os acessos físico e
controlado. lógico a portas de diagnóstico e configuração.
Los controles potenciales para el acceso a los Diretrizes para implementação
puertos de diagnóstico y configuración incluyen el Os controles potenciais para o acesso às portas de
uso de un bloqueo de clave y procedimientos de diagnóstico e configuração incluem o uso de uma
soporte para controlar el acceso físico al puerto. tecla de bloqueio e procedimentos de suporte para
Un ejemplo de un procedimiento de soporte es controlar o acesso físico às portas. Um exemplo
garantizar que los puertos de diagnóstico y para tal procedimento é assegurar que as portas de
configuración sólo sean accesibles mediante diagnóstico e configuração são apenas acessíveis
acuerdo entre el administrador del servicio de pela combinação do acesso requerido entre o
computación y el personal de soporte de gestor dos serviços do computador e pelo pessoal
hardware/software que requiere el acceso. de suporte do hardware/software.
Los puertos, servicios y prestaciones similares

instaladas en un servicio de computación o de Convém que portas, serviços e recursos similares
red, que no se requieren específicamente para la instalados em um computador ou recurso de rede
funcionalidad del negocio, se deberían inhabilitar que não são especificamente requeridos para a
106 10.09.2007
o retirar. funcionalidade do negócio sejam desabilitados ou

removidos.
Muchos sistemas de computadoras, sistemas de Informações adicionais
red y sistemas de comunicación son instalados Muitos sistemas de computadores, sistemas de
con una facilidad de diagnóstico o configuración rede e sistemas de comunicação são instalados
de puertos remoto para uso de los ingenieros de com os recursos de diagnóstico ou configuração
mantenimiento. remota para uso pelos engenheiros de
manutenção.
Si no son protegidos estos puertos de diagnostico
proveen un medio de acceso no autorizado. Se desprotegidas, estas portas de diagnóstico
proporcionam meios de acesso não autorizado.
11.4.5 Separación en redes
11.4.5 Segregação de redes
Control
Grupos de servicios de información, usuarios y Controle
sistemas de información deberían ser separados Convém que grupos de serviços de informação,
en redes. usuários e sistemas de informação sejam
segregados em redes.
Un método para controlar la seguridad de Diretrizes para implementação
grandes redes es dividirlas en dominios de red Um método de controlar a segurança da
lógicos separados, por ejemplo, dominios de informação em grandes redes é dividir em
organización de redes internas y dominios diferentes domínios de redes lógicas, por exemplo,
externos, cada uno protegido por un perímetro de os domínios de redes internas de uma organização
seguridad. Un conjunto graduado de controles e domínios externos de uma rede, cada um
puede ser aplicado sobre diferentes dominios de protegido por um perímetro de segurança definido.
red lógica para segregar aún más los ambientes Um conjunto de controles reguláveis pode ser
de seguridad de redes, por ejemplo, sistemas de aplicado em domínios de redes lógicas diferentes
acceso público, redes internas y activos críticos. para adicionar mais segurança aos ambientes de
segurança de rede, por exemplo, sistemas
publicamente acessíveis, redes internas e ativos
críticos.
Los dominios deberían definirse con base en una
evaluación de riesgos y en los diferentes Convém que os domínios sejam definidos com
requisitos de seguridad en cada uno de los base em uma análise/avaliação de riscos e os
dominios. requisitos de segurança diferentes dentro de cada
um dos domínios.
Tal perímetro de red puede ser implementado
instalando una puerta de enlace (gateway) Tal perímetro de rede pode ser implementado
segura, entre las dos redes a ser interconectadas instalando um gateway seguro entre as duas redes
para controlar el acceso y flujo de la información a serem interconectadas para controlar o acesso e
entre los dos dominios. Esta puerta de enlace o fluxo de informação entre os dois domínios.
(gateway) debería configurarse para filtrar tráfico Convém que este gateway seja configurado para
específico entre estos dominios (véase los filtrar tráfico entre estes domínios (ver 11.4.6 e
Apartados 11.4.6 y 11.4.7) y para bloquear el 11.4.7) e bloquear acesso não autorizado conforme
acceso no autorizado de acuerdo a la política de a política de controle de acesso da organização
control de acceso de la organización (véase el (ver 11.1). Um exemplo deste tipo de gateway é o
Apartado 11.1). Un ejemplo de este tipo de puerta que geralmente é chamado de firewall. Outro
de enlace (gateway) es lo que se conoce método de segregar domínios lógicos é restringir
comúnmente como cortafuegos (firewall). Otro acesso de rede usando redes privadas virtuais para
método de separación de dominios lógico es grupos de usuário dentro da organização.
restringir el acceso a la red utilizando redes
privadas virtuales para grupos de usuarios dentro
de la organización.
Las redes también pueden ser separadas

utilizando funcionalidades del dispositivo de red, Podem também ser segregadas redes usando a
por ejemplo conmutación de IP. Dominios funcionalidade de dispositivo de rede, por exemplo,
107 10.09.2007
separados pueden luego ser implementados IP switching. Os domínios separados podem ser
controlando el flujo de datos de red utilizando implementados controlando os fluxos de dados de
capacidades de conmutación y enrutamiento tales rede, usando as capacidades de
como listas de control de acceso. roteamento/chaveamento (routing/switching), do
mesmo modo que listas de controle de acesso.
Los criterio de separación de redes en dominios
debería basarse en la política de control de Convém que critérios para segregação de redes
acceso y en los requisitos de acceso (véase el em domínios estejam baseados na política de
Apartado 10.1) y también debería tenerse en controle de acesso e requisitos de acesso (ver
cuenta el costo relativo y el impacto en el 10.1), e também levem em conta os custos
desempeño por la incorporación de tecnologías relativos e impactos de desempenho em incorporar
adecuadas de puertas de enlace (gateway) o de roteamento adequado à rede ou tecnologia de
enrutamiento (véase los Apartados 11.4.6 y gateway (ver 11.4.6 e 11.4.7).
11.4.7).
Además la separación de redes debería estar

basada sobre el valor y clasificación de la Além disso, convém que segregação de redes
información almacenada o procesada en la red, esteja baseada no valor e classificação de
niveles de confianza, o líneas de negocio de informações armazenadas ou processadas na
modo de reducir el impacto de una interrupción de rede, níveis de confiança ou linhas de negócio para
servicio. reduzir o impacto total de uma interrupção de
serviço.
Debería considerarse a la separación de redes
inalámbricas de las redes internas y privadas. Convém considerar à segregação de redes sem
Puesto que los perímetros de las redes fios de redes internas e privadas. Como os
inalámbricas no esta bien definido, una perímetros de redes sem fios não são bem
evaluación del riesgo debería ser realizada en tal definidos, convém que uma análise/avaliação de
caso para identificar controles para mantener la riscos seja realizada em tais casos para identificar
separación de la red (por ejemplo, una os controles (por exemplo, autenticação forte,
autenticación fuerte, métodos criptográficos, y métodos criptográficos e seleção de freqüência)
selección de frecuencias). para manter segregação de rede.
Las redes están siendo extendidas en forma Informações adicionais
incremental más allá de las tradicionales fronteras As redes estão sendo progressivamente estendidas
organizacionales, puesto que asociaciones de além dos limites organizacionais tradicionais, tendo
negocios pueden requerir la interconexión o em vista as parcerias de negócio que são formadas
compartir procesamiento de la información y e que podem requerer a interconexão ou
recursos de redes. Tales extensiones pueden compartilhamento de processamento de
incrementar el riesgo de acceso no autorizado a informação e recursos de rede. Tais extensões
los sistemas de información existentes que usan podem aumentar o risco de acesso não autorizado
la red, alguno de los cuales puede requerir a sistemas de informação existentes que usam a
protección de otros usuarios de red por su rede e alguns dos quais podem requerer proteção
sensibilidad o criticidad. de outros usuários de rede devido a sensibilidade
ou criticidade.
11.4.6 Control de conexión de red
11.4.6 Controle de conexão de rede
Control
Para redes compartidas, especialmente aquellas Controle
que se extienden mas allá de las fronteras de la Para redes compartilhadas, especialmente essas
organización, la capacidad de los usuarios de que se estendem pelos limites da organização,
conectarse a la red, debería ser restringida, en convém que a capacidade dos usuários para
línea con la política de control de acceso y conectar-se à rede seja restrita, alinhada com a
requisitos de las aplicaciones de negocio (véase política de controle de acesso e os requisitos das
el Apartado 11.1). aplicações do negócio (ver 11.1).
Los derechos de acceso a la red de los usuarios Diretrizes para implementação
debería mantenerse y actualizarse según esté Convêm que os direitos de acesso dos usuários a
108 10.09.2007
requerida por la política de control de acceso rede sejam mantidos e atualizados conforme
(véase el Apartado 11.1.1). requerido pela política de controle de acesso (ver
11.1.1).
La capacidad de conexión de usuarios puede ser
restringida a través de las puertas de enlace A capacidade de conexão de usuários pode ser
(gateways) que filtran el tráfico por medio de restrita através dos gateways que filtram tráfico por
tablas o reglas predefinidas. Ejemplos de meio de tabelas ou regras predefinidas. Convém
aplicaciones para las cuales deberían aplicarse que sejam aplicadas restrições nos seguintes
restricciones son: exemplos de aplicações:
a) mensajería, por ejemplo, correo electrónico;

a) mensagens, por exemplo, correio eletrônico;
b) transferencia de archivos;
b) transferência de arquivo;
c) accesos interactivos;
c) acesso interativo;
d) accesos a aplicaciones.
d) acesso à aplicação.
Es conveniente tomar en consideración el enlace
de los derechos de acceso a la red con algunas Convém que sejam considerados direitos de
horas del día o fechas. acesso entre redes para certo período do dia ou
datas.
La incorporación de controles para restringir las Informações adicionais
capacidades de conexión de los usuarios puede A incorporação de controles para restringir a
ser requerida por la política de control de acceso capacidade de conexão dos usuários pode ser
para redes compartidas, especialmente aquellas requerida pela política de controle de acesso para
que se extienden mas allá de las fronteras redes compartilhadas, especialmente aquelas que
organizacionales. estendam os limites organizacionais.
11.4.7 Control de enrutamiento de red

11.4.7 Controle de roteamento de redes
Control
Deberían implementarse controles en el Controle
enrutamiento para las redes de modo de asegurar Convém que seja implementado controle de
que las conexiones entre computadoras y flujos roteamento na rede, para assegurar que as
de información no incumplan la política de control conexões de computador e fluxos de informação
de acceso de las aplicaciones del negocio. não violem a política de controle de acesso das
aplicações do negócio.
Los controles de enrutamiento deberían basarse Diretrizes para implementação
en mecanismos de fuente positiva y verificación Convém que os controles de roteamento sejam
de la dirección de destino. baseados no mecanismo de verificação positiva do
endereço de origem e destinos.
Las puertas de enlace (gateways) de seguridad
pueden ser usados para validar las direcciones Os gateways de segurança podem ser usados para
fuentes y destinos en puntos de control de red validar endereços de origem e destino nos pontos
internos y externos si son utilizadas tecnologías de controle de rede interna ou externa se o proxy
proxy y/o traducción de direcciones de red. e/ou a tecnologia de tradução de endereço forem
Quienes implementan deberían estar advertidos empregados. Convém que os implementadores
de las fortalezas y defectos de cualquier estejam conscientes da força e deficiências de
mecanismo utilizado. Los requisitos para control qualquer mecanismo implementado. Convém que
de enrutamiento de red deberían estar basados os requisitos de controles de roteamento das redes
en la política de control de acceso (véase el sejam baseados na política de controle de acesso
Apartado 11.1). (ver 11.1).
Las redes compartidas, especialmente aquellas Informações adicionais
que se extienden mas allá de las fronteras As redes compartilhadas, especialmente as que
109 10.09.2007
organizacionales, pueden requerir controles de estendem os limites organizacionais, podem

enrutamiento adicionales. Esto se aplica requerer controles adicionais de roteamento. Isto
particularmente donde las redes son compartidas se aplica particularmente onde são compartilhadas
con usuarios de terceras partes (no redes com terceiros (usuários que não pertencem a
pertenecientes a la organización). organização).
11.5 Control de acceso al sistema operativo

11.5 Controle de acesso ao sistema operacional
OBJETIVO: Evitar el acceso no autorizado a los
sistemas operativos. Objetivo: Prevenir acesso não autorizado aos
sistemas operacionais.
Se recomienda utilizar medios de seguridad para
restringir el acceso de usuarios no autorizados a Convém que recursos de segurança da informação
los sistemas operativos. Tales medios deberían sejam usados para restringir o acesso aos sistemas
tener la capacidad para: operacionais para usuários autorizados. Convém
que estes recursos permitam:
a) autenticar usuarios autorizados, de acuerdo
con una política definida de control de acceso; a) autenticação de usuários autorizados, conforme
a política de controle de acesso definida;
b) registrar intentos exitosos y fallidos de
autenticación del sistema; b) registro das tentativas de autenticação no
sistema com sucesso ou falha;
c) registrar el uso de privilegios especiales del
sistema; c) registro do uso de privilégios especiais do
sistema;
d) emitir alarmas cuando se violan las políticas de
seguridad del sistema; d) disparo de alarmes quando as políticas de
segurança do sistema são violadas;
e) suministrar medios adecuados para la
autenticación; e) fornecer meios apropriados de autenticação;
f) cuando sea apropiado, restringir el tiempo de

conexión de los usuarios. f) restrição do tempo de conexão dos usuários,
quando apropriado.
11.5.1 Procedimientos de conexión (log-on)
seguros 11.5.1 Procedimentos seguros de entrada no
sistema (log-on)
Control
El acceso a los sistemas operativos debería ser Controle
controlado mediante procedimientos de conexión Convém que o acesso aos sistemas operacionais
(log-on) seguros. seja controlado por um procedimento seguro de
entrada no sistema (log-on).
El procedimiento para conectarse a un sistema Diretrizes para implementação
operativo debería ser diseñado para minimizar la Convém que o procedimento para entrada no
oportunidad de acceso no autorizado. Por lo sistema operacional seja configurado para
tanto, el proceso de conexión (log-on) debería minimizar a oportunidade de acessos não
divulgar el mínimo de información sobre el autorizados. Convém que o procedimento de
sistema, de manera de evitar proveer a un entrada (log-on) divulgue o mínimo de informações
usuario no autorizado con asistencia innecesaria. sobre o sistema, de forma a evitar o fornecimento
Un buen procedimiento de conexión (log-on) de informações desnecessárias a um usuário não
debería: autorizado. Convém que um bom procedimento de
entrada no sistema (log-on):
a) no mostrar identificación del sistema o
aplicación hasta que termine el proceso de a) não mostre identificadores de sistema ou de
conexión (log-on); aplicação até que o processo tenha sido concluído
com sucesso;
b) desplegar un mensaje genérico advirtiendo que
110 10.09.2007
el sistema debería ser accedido solamente por b) mostre um aviso geral informando que o
usuarios autorizados; computador seja acessado somente por usuários
autorizados;
c) no ofrecer mensajes de ayuda durante el
proceso de conexión (log -on) que puedan guiar a c) não forneça mensagens de ajuda durante o
usuarios no autorizados; procedimento de entrada (log-on) que poderiam
auxiliar um usuário não autorizado;
d) validar la información de conexión (log-on) sólo
tras rellenar todos sus datos de entrada. Si se d) valide informações de entrada no sistema
produce una condición de error, el sistema no somente quando todos os dados de entrada
debería indicar qué parte de esos datos es estiverem completos. Caso ocorra uma condição
correcta o no; de erro, convém que o sistema não indique qual
parte do dado de entrada está correta ou incorreta;
e) limitar el número de intentos fallidos de
conexión (se recomienda tres) y considerar: e) limite o número permitido de tentativas de
entradas no sistema (log-on) sem sucesso, por
exemplo, três tentativas, e considere:
1) registrar los intentos fallidos de conexión;
1) registro das tentativas com sucesso ou com
falha;
2) un tiempo forzoso de espera antes de
permitir un nuevo intento de conexión o su 2) imposição do tempo de espera antes de
rechazo sin una autorización específica; permitir novas tentativas de entrada no
sistema (log-on) ou rejeição de qualquer
tentativa posterior de acesso sem
autorização específica;
3) la desconexión de la comunicación de
datos; 3) encerramento das conexões por data link;
4) enviar un mensaje de alarma a la consola

del sistema si se ha alcanzado el máximo 4) envio de uma mensagem de alerta para o
número de intentos de conexión; console do sistema, se o número máximo de
tentativas de entrada no sistema (log-on) for
alcançado;
5) establecer el número de reintentos de
contraseña en conjunción con el mínimo 5) configuração do número de tentativas de
largo de la contraseña y el valor del senhas alinhado com o tamanho mínimo da
sistema a ser protegido; senha e o valor do sistema que está sendo
protegido;
f) limitar los tiempos máximo y mínimo permitidos
para efectuar el proceso de conexión; si se f) limite o tempo máximo e mínimo permitido para o
exceden, el sistema debería eliminar la conexión; procedimento de entrada no sistema (log-on).
Se excedido, convém que o sistema encerre o
procedimento;
g) mostrar la siguiente información tras completar
una conexión con éxito: g) mostre as seguintes informações, quando o
procedimento de entrada no sistema (log-on)
finalizar com sucesso:
1) fecha y hora de la anterior conexión (log-on)
realizada con éxito; 1) data e hora da última entrada no sistema
(log-on) com sucesso;
2) detalles de cualquier intento de conexión
fallido desde el momento de la última 2) detalhes de qualquer tentativa sem sucesso
conexión realizada con éxito. de entrada no sistema (log-on) desde o
último acesso com sucesso;
h) no mostrar la contraseña que está siendo
ingresada o considerar esconder los caracteres h) não mostre a senha que está sendo informada
de la contraseña con símbolos; ou considere ocultar os caracteres da senha por
símbolos;
111 10.09.2007
i) no transmitir por una red contraseñas en texto

limpio. i) não transmita senhas em texto claro pela rede.
Si las contraseñas son transmitidas por una red Informações adicionais
en texto limpio durante la sesión de conexión (log- Se as senhas forem transmitidas em texto claro
on), pueden ser capturadas por un programa durante o procedimento de entrada no sistema (log-
“husmeador” de red (“sniffer”). on) pela rede, elas podem ser capturadas por um
programa de sniffer de rede, instalado nela.
11.5.2 Identificación y autenticación del
usuario 11.5.2 Identificação e autenticação de usuário
Control
Todos los usuarios deberían tener un identificador Controle
único (ID de usuario) para su uso personal Convém que todos os usuários tenham um
exclusivo, y debería elegirse una técnica de identificador único (ID de usuário) para uso pessoal
autenticación adecuada para sustentar la e exclusivo, e convém que uma técnica adequada
identidad alegada por un usuario. de autenticação seja escolhida para validar a
identidade alegada por um usuário.
Este control debería ser aplicado a todo tipo de Diretrizes para implementação
usuarios(incluyendo personal de soporte técnico, Convém que este controle seja aplicado para todos
operadores, administradores de red, os tipos de usuários (incluindo o pessoal de suporte
programadores de sistemas, y administradores de técnico, operadores, administradores de rede,
bases de datos). programadores de sistema e administradores de
banco de dados).
Los identificadores de usuario (IDs) deberían
usarse para rastrear actividades hacia el individuo Convém que os identificadores de usuários (ID de
responsable. Las actividades regulares de usuários) possam ser utilizados para rastrear
usuarios no deberían realizarse desde cuentas atividades ao indivíduo responsável. Convém que
con privilegios. atividades regulares de usuários não sejam
executadas através de contas privilegiadas.
En circunstancias excepcionales, donde hay un
claro beneficio para el negocio, puede emplearse Em circunstâncias excepcionais, onde exista um
el uso de un identificador de usuario (ID) claro benefício ao negócio, pode ocorrer a
compartido para un grupo de usuarios o para un utilização de um identificador de usuário (ID de
trabajo específico. La aprobación por la dirección usuário) compartilhado por um grupo de usuários
debería ser documentada para tales casos. ou para um trabalho específico. Convém que a
Podrían ser necesarios controles adicionales para aprovação pelo gestor esteja documentada nestes
mantener las responsabilidades. casos. Controles adicionais podem ser necessários
para manter as responsabilidades.
El uso de identificadores de usuario (IDs)
genéricos por parte de un individuo debería Convém que identificadores de usuários (ID de
permitirse sólo donde las funciones accesibles o usuários) genéricos para uso de um indivíduo
acciones llevadas a cabo por el ID no necesitan somente sejam permitidos onde as funções
ser rastreadas (por ejemplo, acceso sólo de acessíveis ou as ações executadas pelo usuário
lectura), o donde hay otros controles instalados não precisam ser rastreadas (por exemplo, acesso
(por ejemplo, contraseña para un ID genérico somente leitura), ou quando existem outros
emitida solo a una persona por vez y registro de controles implementados (por exemplo, senha para
tal instancia). identificador de usuário genérico somente fornecida
para um indivíduo por vez e registrada).
Donde se requiere autenticación fuerte y
verificación de identidad, deberían usarse Convém que onde autenticação forte e verificação
métodos de autenticación alternativos a las de identidade é requerida, métodos alternativos de
contraseñas, tales como medios criptográficos, autenticação de senhas, como meios criptográficos,
tarjetas inteligentes (smart cards), señales cartões inteligentes (smart card), tokens e meios
(tokens) o medios biométricos. biométricos sejam utilizados.
112 10.09.2007
Las contraseñas (véase también los Apartados Informações adicionais

11.3.1 y 11.5.3) son una forma muy común de As senhas (ver 11.3.1 e 11.5.3) são uma maneira
proveer identificación y autenticación basadas en muito comum de se prover identificação e
un secreto que solo el usuario conoce. Lo mismo autenticação com base em um segredo que apenas
puede lograrse también con medios criptográficos o usuário conhece. O mesmo pode ser obtido com
y protocolos de autenticación. La fortaleza de la meios criptográficos e protocolos de autenticação.
identificación y autenticación de usuario debería Convém que a força da identificação e autenticação
ser acorde a la sensibilidad de la información a de usuário seja adequada com a sensibilidade da
ser accedida. informação a ser acessada.
Pueden también usarse para identificación y

autenticación, objetos que los usuarios poseen Objetos como tokens de memória ou cartões
tales como señales (tokens) de memoria o inteligentes (smart card) que os usuários possuem
tarjetas inteligentes (smart cards). También puede também podem ser usados para identificação e
usarse para autenticar la identidad de una autenticação. As tecnologias de autenticação
persona tecnologías de autenticación biométrica biométrica que usam características ou atributos
que usan características o atributos únicos de un únicos de um indivíduo também podem ser usadas
individuo. Una combinación de tecnologías y para autenticar a identidade de uma pessoa. Uma
mecanismos vinculados en forma segura combinação de tecnologias e mecanismos
resultará en una autenticación más fuerte. seguramente relacionados resultará em uma
autenticação forte.
11.5.3 Sistema de gestión de contraseñas
11.5.3 Sistema de gerenciamento de senha
Control
Los sistemas de gestión de contraseñas deberían Controle
ser interactivos y deberían asegurar la calidad de Convém que sistemas para gerenciamento de
las contraseñas. senhas sejam interativos e assegurem senhas de
qualidade.
Un sistema de gestión de contraseñas debería: Diretrizes para implementação
Convém que o sistema de gerenciamento de
senha:
a) imponer el uso de contraseñas e
identificaciones de usuario (IDs) individuales con a) obrigue o uso de identificador de usuário (ID de
el fin de establecer responsabilidades; usuário) e senha individual para manter
responsabilidades;
b) permitir a los usuarios seleccionar y cambiar
sus propias contraseñas e incluir un b) permita que os usuários selecionem e
procedimiento de confirmación para evitar errores modifiquem suas próprias senhas, incluindo um
al introducirlas; procedimento de confirmação para evitar erros;
c) imponer la selección de contraseñas de calidad

(véase el Apartado 11.3.1); c) obrigue a escolha de senhas de qualidade (ver
11.3.1);
d) imponer el cambio de contraseñas (véase el
Apartado 11.3.1); d) obrigue a troca de senhas (ver 11.3.1);
e) forzar a los usuarios el cambio de contraseñas

temporarias en su primera conexión (log-on) e) obrigue os usuários a trocar a senha temporária
(véase el Apartado 11.2.3); no primeiro acesso (ver 11.2.3);
f) mantener un registro de las anteriores

contraseñas utilizadas, e impedir su reutilización; f) mantenha um registro das senhas anteriores
utilizadas e bloqueie a reutilização;
g) no mostrar las contraseñas en la pantalla
cuando se están introduciendo; g) não mostre as senhas na tela quando forem
digitadas;
h) almacenar archivos de contraseñas en lugares
diferentes de los y los datos del sistema de h) armazene os arquivos de senha separadamente
113 10.09.2007
aplicaciones; dos dados do sistema da aplicação;
i) almacenar y transmitir las contraseñas en

formatos protegidos (por ejemplo, cifradas o i) armazene e transmita as senhas de forma
mediante algoritmo hash). protegida (por exemplo, criptografada ou hashed).
Las contraseñas son una de las principales Informações adicionais
formas de validar la autorización de un usuario A senha é um dos principais meios de validar a
para acceder a un servicio de la computadora. autoridade de um usuário para acessar um serviço
de computador.
Algunas aplicaciones requieren que una autoridad
independiente asigne contraseñas de usuario; en Algumas aplicações requerem que senhas de
tales casos, los puntos b), d) y e) de la guía de usuário sejam atribuídas por uma autoridade
arriba no se aplican. En la mayoría de los casos independente. Em alguns casos, as alíneas b), d) e
las contraseñas son seleccionadas y mantenidas e) das diretrizes acima não se aplicam. Na maioria
por usuarios. Véase el Apartado 11.3.1 para guía dos casos, as senhas são selecionadas e mantidas
sobre el uso de contraseñas. pelos usuários. Ver 11.3.1 para diretrizes do uso de
senhas.
11.5.4 Utilización de las prestaciones del
sistema 11.5.4 Uso de utilitários de sistema
Control
El uso de programas utilitarios que podrían ser Controle
capaces de pasar por encima de los controles del Convém que o uso de programas utilitários que
sistema y de la aplicación debería ser restringido podem ser capazes de sobrepor os controles dos
y controlado estrechamente. sistemas e aplicações seja restrito e estritamente
controlado.
Deberían considerarse las siguientes Diretrizes para implementação
orientaciones para el uso de prestaciones de Convém que as seguintes diretrizes para o uso de
sistema: utilitários de sistema sejam consideradas:
a) usar procedimientos de identificación,

autenticación y autorización para utilitarios del a) uso de procedimentos de identificação,
sistema; autenticação e autorização para utilitários de
sistema;
b) separar entre utilitarios del sistema y software
de aplicaciones; b) segregação dos utilitários de sistema dos
softwares de aplicação;
c) limitar el uso de utilitarios del sistema al mínimo
número de usuarios autorizados y fiables(véase c) limitação do uso dos utilitários de sistema a um
también el Apartado 11.2.2); número mínimo de usuários confiáveis e
autorizados (ver 11.2.2);
d) autorizar el uso con fines específicos de
utilitarios del sistema; d) autorização para uso de utilitários de sistema
não previstos;
e) limitar la disponibilidad de utilitarios del
sistema, por ejemplo, durante un cambio e) limitação da disponibilidade dos utilitários de
autorizado; sistema, por exemplo para a duração de uma
modificação autorizada;
f) registrar todo uso de utilitarios del sistema;
f) registro de todo o uso de utilitários de sistemas;
g) definir y documentar los niveles de autorización
para utilitarios del sistema; g) definição e documentação dos níveis de
autorização para os utilitários de sistema;
h) remoción o inhabilitación de todo el software
basado en utilitarios y software de sistema h) remoção ou desabilitação de todos os softwares
innecesarios; utilitários e de sistema desnecessários;
114 10.09.2007
i) no poner a disposición los utilitarios de sistema

a los usuarios que tienen acceso a aplicaciones i) não deixar utilitários de sistema disponíveis para
en sistemas donde se requiere segregación de usuários que têm acesso às aplicações nos
tareas. sistemas onde segregação de funções é requerida.
La mayoría de las instalaciones de computadora Informações adicionais
tienen uno o más programas utilitarios de A maioria das instalações de computadores tem um
sistemas que podrían ser capaces de pasar por ou mais programas utilitários de sistema que
encima los controles de sistema y aplicación. podem ser capazes de sobrepor os controles dos
sistemas e aplicações.
11.5.5 Desconexión automática de sesiones
11.5.5 Limite de tempo de sessão
Control
Las sesiones inactivas deberían cerrarse luego de Controle
un período definido de inactividad. Convém que sessões inativas sejam encerradas
após um período definido de inatividade.
Un recurso de desconexión debería borrar la Diretrizes para implementação
pantalla de sesión y también posiblemente más Convém que o recurso de limitação de tempo limpe
tarde, cerrar tanto la sesión de aplicación como la a tela da sessão e também, possivelmente mais
de red luego de un período definido de tarde, feche tanto a aplicação quanto as sessões
inactividad. La demora en la desconexión debería de rede após um período definido de inatividade.
reflejar los riesgos de seguridad del área, la Convém que o prazo de tempo para a desconexão
clasificación de la información manejada y las reflita os riscos de segurança da área, a
aplicaciones utilizadas, y los riesgos relativos a classificação da informação que está sendo
los usuarios del equipo. manuseada, as aplicações que estão sendo
utilizadas e os riscos relacionados para os usuários
do terminal do equipamento.
Puede proveerse una forma limitada de
desconexión para algunos sistemas, que borran Uma forma limitada para o recurso de limitação de
la pantalla y previenen acceso no autorizado pero tempo pode ser provida por alguns sistemas, os
no cierra la sesión de aplicación ni la de red. quais limpam a tela e previnem acesso não
autorizado, mas não fecham as sessões das
aplicações ou da rede.
Este control es particularmente importante en Informações adicionais
lugares con alto riesgo, que incluye áreas Este controle é particularmente importante em
públicas o externas fuera de la gestión de locais de alto risco, os quais incluem áreas públicas
seguridad de la organización. Las sesiones ou externas fora dos limites do gerenciamento de
deberían cerrarse para prevenir acceso por parte segurança da organização. Convém que estas
de personas no autorizadas y ataques de sessões sejam encerradas para prevenir o acesso
denegación de servicio. por pessoas não autorizadas e ataques de negação
de serviço.
11.5.6 Limitación del tiempo de conexión
11.5.6 Limitação de horário de conexão
Control
Deberían utilizarse restricciones en los tiempos Controle
de conexión para brindar seguridad adicional para Convém que restrições nos horários de conexão
las aplicaciones de alto riego. sejam utilizadas para proporcionar segurança
adicional para aplicações de alto risco.
Controles de tiempo de conexión deberían ser Diretrizes para implementação
consideradas en aplicaciones sensibles, Convém que controles de horário de conexão
especialmente desde ubicaciones de alto riesgo, sejam considerados para aplicações
por ejemplo, áreas públicas o externas fuera de la computacionais sensíveis, especialmente aquelas
gestión de seguridad de la organización. com terminais instalados em locais de alto risco,
Ejemplos de tales restricciones incluyen: por exemplo em áreas públicas ou externas fora
115 10.09.2007
dos limites do gerenciamento de segurança da

organização. Exemplos deste tipo de restrição
incluem:
a) uso de espacios de tiempo predeterminados,
por ejemplo para transmisiones de archivos en a) utilização de janelas de tempo predeterminadas,
lotes (batch), o para sesiones interactivas por exemplo para transmissão de arquivos em lote
regulares de corta duración; ou sessões regulares interativas de curta duração;
b) la restricción de tiempos de conexión al horario

normal de oficina, si no hay un requisito para b) restrição dos horários de conexão às horas
trabajo en horas extras o en períodos de tiempo normais de expediente se não houver
extendido; necessidades para horas extras ou trabalhos fora
do horário normal;
c) considerar re-autenticación cada intervalos.
c) considerar a reautenticação em intervalos de
tempo.
La limitación del período durante el cual se Informações adicionais
permiten las conexiones a los servicios Limitar o período durante o qual as conexões de
computacionales reduce la ventana de terminal para os serviços computadorizados são
oportunidad para accesos no autorizados. permitidas reduz a janela de oportunidade para
Limitando la duración de sesiones activas se acessos não autorizados. Limitar a duração de
impide que los usuarios mantengan sesiones sessões ativas inibe os usuários a manter Seções
abiertas para prevenir re-autenticación. abertas, para evitar reautenticação.
11.6 Control del acceso a las aplicaciones y a

la información 11.6 Controle de acesso à aplicação e à
informação
OBJETIVO: Evitar el acceso no autorizado a la
información contenida en los sistemas de Objetivo: Prevenir acesso não autorizado à
aplicación. informação contida nos sistemas de aplicação.
Se deberían usar medios de seguridad para

restringir el acceso a y en de los sistemas de Convém que os recursos de segurança da
aplicación. informação sejam utilizados para restringir o
acesso aos sistemas de aplicação.
El acceso lógico al software de aplicación y a la
información se debería restringir a usuarios Convém que o acesso lógico à aplicação e
autorizados. informação seja restrito a usuários autorizados.
Los sistemas de aplicación deberían:

Convém que os sistemas de aplicação:
a) controlar el acceso de usuarios a la
información y a las funciones del sistema de a) controlem o acesso dos usuários à informação e
aplicación, de acuerdo con una política definida às funções dos sistemas de aplicação, de acordo
de control del acceso; com uma política de controle de acesso definida;
b) suministrar protección contra acceso no

autorizado por una utilidad, el software del b) proporcionem proteção contra acesso não
sistema operativo y software malicioso que pueda autorizado para qualquer software utilitário, sistema
anular o desviar los controles del sistema o de la operacional e software malicioso que seja capaz de
aplicación; sobrepor ou contornar os controles da aplicação ou
do sistema;
c) no poner en peligro otros sistemas con los que
se comparten los recursos de información. c) não comprometam outros sistemas com os quais
os recursos de informação são compartilhados.
11.6.1 Restricciones del acceso a la
información 11.6.1 Restrição de acesso à informação
116 10.09.2007
Control
El acceso a información y funciones de sistema Controle
de aplicación por parte de usuarios y personal de Convém que o acesso à informação e às funções
soporte debería estar restringido de acuerdo a la dos sistemas de aplicações por usuários e pessoal
política definida de control de acceso. de suporte seja restrito de acordo com o definido
na política de controle de acesso.
Las restricciones al acceso deberían estar Diretrizes para implementação
basadas en los requisitos de la aplicación de Convém que restrições para acesso sejam
negocios individual. La política de control de baseadas nos requisitos das aplicações individuais
acceso debería también ser consistente con la do negócio. Convém que a política de controle de
política de acceso organizacional (véase el acesso seja consistente com a política de acesso
Apartado 11.1). organizacional (ver 11.1).
Deberían considerarse las siguientes

recomendaciones para dar soporte a los Convém que a aplicação dos seguintes controles
requisitos de restricción de accesos: seja considerada de forma a suportar os requisitos
de restrição de acesso:
a) proveer menús para controlar los accesos a las
funciones del sistema de aplicaciones; a) fornecer menus para controlar o acesso às
funções dos sistemas de aplicação;
b) controlar los derechos de acceso de los
usuarios, por ejemplo lectura, grabación, borrado, b) controlar os direitos de acesso dos usuários, por
ejecución; exemplo, ler, escrever, excluir e executar;
c) controlar los derechos de acceso de otras

aplicaciones; c) controlar os direitos de acesso de outras
aplicações;
d) asegurarse que las salidas de los sistemas de
aplicación que procesan información sensible, d) assegurar que as saídas dos sistemas de
sólo contienen la información relevante para el aplicação que tratam informações sensíveis
uso de la salida y se envían, únicamente, a los contenham apenas a informação relevante ao uso
terminales y sitios autorizados; esto debería de tais saídas e são enviadas apenas para os
incluir la revisión periódica de dichas salidas para terminais e locais autorizados; convém incluir uma
garantizar la supresión de información análise crítica periódica de tais saídas, para
redundante. assegurar que informação redundante seja
removida.
11.6.2 Aislamiento de sistemas sensibles
11.6.2 Isolamento de sistemas sensíveis
Control
Los sistemas sensibles deberían tener entornos Controle
informáticos dedicados (aislados). Convém que sistemas sensíveis tenham um
ambiente computacional dedicado (isolado).
Los siguientes puntos deberían considerarse para Diretrizes para implementação
el aislamiento de sistemas sensibles: Convém que os seguintes pontos sejam
considerados para o isolamento de um sistema
sensível:
a) el propietario de la aplicación debería indicar
explícitamente y documentar la sensibilidad de a) a sensibilidade de um sistema de aplicação seja
ésta (véase el Apartado 7.1.2); explicitamente identificada e documentada pelo
proprietário da aplicação (ver 7.1.2);
b) cuando una aplicación sensible se ejecute en
un entorno compartido, se deberían identificar y b) quando uma aplicação sensível é executada em
acordar con su propietario los sistemas de um ambiente compartilhado, convém que se
aplicación con los que compartan recursos y identifiquem os sistemas de aplicação com os quais
deberían identificarse y ser aceptados por el ela compartilhará recursos e os correspondentes
propietario los correspondientes riesgos de la riscos, e que se obtenha a concordância do
117 10.09.2007
aplicación sensible. proprietário da aplicação sensível.
Algunos sistemas de aplicaciones son lo Informações adicionais
suficientemente sensibles a pérdida potencial por Alguns sistemas de aplicação são suficientemente
lo que ellos requieren un tratamiento especial. La sensíveis a perdas potenciais, requerendo
sensibilidad puede indicar que el sistema de tratamento especial. A sensibilidade pode indicar
aplicación: que o sistema de aplicação:
a) debería correr en una computadora dedicada;

o a) seja executado a partir de um computador
dedicado; ou
b) debería compartir recursos solo con sistemas
de aplicación confiables. b) compartilha recursos somente com sistemas de
aplicação confiáveis.
El aislamiento podría lograrse usando métodos
físicos o lógicos (véase también el Apartado O isolamento pode ser obtido utilizando-se
11.4.5). métodos físicos ou lógicos (ver 11.4.5).
11.7 Informática móvil y trabajo remoto

11.7 Computação móvel e trabalho remoto
OBJETIVO: Garantizar la seguridad de la
información cuando se usan dispositivos de Objetivo: Garantir a segurança da informação
informática móvil y trabajo remoto. quando se utilizam a computação móvel e recursos
de trabalho remoto.
La protección requerida debería ser proporcional
a los riesgos que causan estas formas Convém que a proteção requerida seja
específicas de trabajo. Deberían considerarse los proporcional com o risco desta forma específica de
riesgos de trabajar en un entorno desprotegido trabalho. Quando se utiliza a computação móvel,
cuando se usa informática móvil y aplicar la convém que os riscos de trabalhar em um ambiente
protección adecuada. En el caso del trabajo desprotegido sejam considerados e a proteção
remoto la organización debería implantar adequada seja aplicada. No caso de trabalho
protección en el lugar del trabajo remoto y remoto, convém que a organização aplique
asegurar que existen las disposiciones proteção ao local do trabalho remoto e assegure
adecuadas para este tipo de trabajo. que as providências adequadas estão
implementadas para este tipo de trabalho.
11.7.1 Informática y comunicaciones móviles
11.7.1 Computação e comunicação móvel
Control
Se debería adoptar una política formal, y medidas Controle
de seguridad apropiadas para la protección contra Convém que uma política formal seja estabelecida
los riesgos debidos al uso de recursos de e que medidas de segurança apropriadas sejam
informática y comunicaciones móviles. adotadas para a proteção contra os riscos do uso
de recursos de computação e comunicação
móveis.
Cuando se usan recursos de informática y de Diretrizes para implementação
comunicaciones móviles, como por ejemplo, Quando se utilizam recursos de computação e
notebooks, palmtops, laptops, smart cards, y comunicação móveis, como, por exemplo,
teléfonos móviles, debería tenerse especial notebooks, palmtops, laptops, cartões inteligentes
cuidado para asegurar que no sea comprometida (smart cards) e telefones celulares, convém que
la información del negocio. La política de cuidados especiais sejam tomados para assegurar
informática móvil debería tener en cuenta los que as informações do negócio não sejam
riesgos del trabajo con dispositivos móviles en comprometidas. A política de computação móvel
ambientes desprotegidos. deve levar em consideração os riscos de se
trabalhar com equipamentos de computação móvel
em ambientes desprotegidos.
La política de informática móvil debería incluir los
118 10.09.2007
requisitos de protección física, controles de Convém que a política de computação móvel inclua
acceso, técnicas de criptografía, respaldos, y os requisitos de proteção física, controles de
protección contra virus. Esta política debería acesso, técnicas criptográficas, cópias de
también incluir reglas y consejo sobre conexión segurança e proteção contra vírus. Convém que
de recursos móviles a redes y orientación sobre el esta política inclua também regras e
uso de estos recursos en lugares públicos. recomendações sobre a conexão de recursos
móveis à rede e diretrizes sobre o uso destes
recursos em locais públicos.
Debería tenerse cuidado cuando se usan recusos
de informática móvil en lugares públicos tales Convém que sejam tomadas certas precauções ao
como salas de reuniones y otras áreas se utilizarem os recursos de computação móvel em
desprotegidas fuera de las instalaciones de la locais públicos, salas de reuniões e outras áreas
organización. Debería adoptarse protección para desprotegidas fora dos limites da organização.
evitar el acceso no autorizado o la divulgación de Convém que sejam estabelecidas proteções para
la información almacenada y procesada por estos evitar o acesso não autorizado ou a divulgação de
dispositivos, por ejemplo, usando técnicas informações armazenadas e processadas nestes
criptográficas (véase el Apartado 12.3). recursos, por exemplo através da utilização de
técnicas de criptografia (ver 12.3).
Los usuarios de estos recursos de informática
móvil en lugares públicos deberían ser Convém que usuários de recursos de computação
cuidadosos para evitar el riesgo de ser móvel em locais públicos tomem cuidado para
observados por personas no autorizadas. Se evitar o risco de captação por pessoas não
deberían instalar y mantener al día autorizadas. Convém que procedimentos contra
procedimientos contra el software malicioso softwares maliciosos sejam estabelecidos e
(véase el Apartado 10.4). mantidos sempre atualizados (ver 10.4).
Deberían realizarse respaldos regulares de la

información crítica del negocio. Debería estar Convém que cópias de segurança das informações
disponible el equipamiento para realizar un críticas de negócio sejam feitas regularmente.
respaldo rápido y fácil de la información. Estos Convém que equipamentos estejam disponíveis
respaldos deben ser provistos de la adecuada para possibilitar a realização de cópias de
protección contra, por ejemplo, robo o pérdida de segurança das informações de forma rápida e fácil.
la información. Para essas cópias de segurança, convém que
sejam adotadas proteções adequadas contra, por
exemplo, furto ou roubo, ou perda de informação.
Se debería proteger debidamente el uso de
dispositivos de informática móvil conectados a las Convém que proteção adequada seja dada para o
redes. El acceso remoto a la información del uso dos recursos de computação móvel
negocio a través de redes públicas usando conectados em rede. Convém que o acesso remoto
dispositivos móviles sólo debería tener lugar às informações do negócio através de redes
luego de la identificación y autenticación exitosa, públicas, usando os recursos de computação
y con los mecanismos adecuados de control de móvel, ocorra apenas após o sucesso da
acceso (véase el Apartado 11.4). identificação e da autenticação, e com os
apropriados mecanismos de controle de acesso
implantados (ver 11.4).
Los recursos de informática móvil deberían
también estar físicamente protegidas contra robo Convém que os recursos de computação móvel
especialmente cuando se dejan, por ejemplo, en também estejam protegidos fisicamente contra furto
autos y otras formas de transporte, cuartos de ou roubo, especialmente quando deixados, por
hotel, centros de conferencia, y lugares de exemplo, em carros ou em outros meios de
reunión. Debería establecerse un procedimiento transporte, quartos de hotéis, centros de
específico teniendo en cuenta requisitos legales, conferência e locais de reunião. Convém que esteja
seguros y otros requisitos de seguridad de la estabelecido um procedimento específico que leve
organización para los casos de robo o pérdida de em consideração requisitos legais, securitários e
los dispositivos móviles. Equipos que contengan outros requisitos de segurança da organização
información del negocio importante, sensible, y/o para casos de roubo ou perda de recursos de
crítica no deberían dejarse sin vigilancia, y de ser computação móvel. Convém que os equipamentos
posible, deberían bloquearse físicamente, o que contêm informações importantes, sensíveis
deberían usarse trancas o cerrojos especiales e/ou críticas para o negócio não sejam deixados
119 10.09.2007
para asegurar el equipo (véase el Apartado sem observação e, quando possível, estejam
9.2.5). fisicamente trancados, ou convém que travas
especiais sejam utilizadas para proteger o
equipamento. (ver 9.2.5).
Debería organizarse entrenamiento para personal
que utiliza dispositivos móviles para cultivar su Convém que seja providenciado treinamento para
conciencia de los riesgos adicionales resultantes os usuários de computação móvel, para aumentar
de esta forma de trabajo y los controles que o nível de conscientização a respeito dos riscos
deberían implementarse. adicionais resultantes desta forma de trabalho e
dos controles que devem ser implementados.
Las conexiones inalámbricas a la red desde Informações adicionais
dispositivos móviles son similares a otros tipos de As redes de conexão sem fio são similares a outros
conexión de red, pero tiene diferencias tipos de redes, mas possuem diferenças
importantes que deberían ser consideradas importantes que convém que sejam consideradas
cuando se identifican los controles. Las quando da identificação de controles. As diferenças
diferencias típicas son: típicas são:
a) algunos protocolos de seguridad inalámbrica

no están maduros y tienen debilidades conocidas; a) alguns protocolos de segurança de redes sem fio
são imaturos e possuem fragilidades conhecidas;
b) la información almacenada en dispositivos
móviles pueden no ser respaldada debido al b) pode não ser possível efetuar cópias de
ancho de banda limitado de la red y/o porque el segurança das informações armazenadas em
equipo móvil puede no estar conectado cuando computadores móveis devido à largura de banda
están planificados los respaldos. limitada e/ou devido ao equipamento móvel não
estar conectado no momento em que as cópias de
segurança estão programadas.
11.7.2 Trabajo remoto
11.7.2 Trabalho remoto
Control
Debería desarrollarse e implementarse una Controle
política, planes operacionales y procedimientos Convém que uma política, planos operacionais e
para las actividades de trabajo remoto. procedimentos sejam desenvolvidos e
implementados para atividades de trabalho remoto.
Las organizaciones sólo deberían autorizar las Diretrizes para implementação
actividades de trabajo remoto si están satisfechas Convém que as organizações somente autorizem
de que las disposiciones de seguridad son atividades de trabalho remotas apenas se elas
apropiadas y que los controles están estiverem certas de que as providências
implementados, y que se cumple con la política apropriadas e controles de segurança estão
de seguridad de la organización. implementados e que estes estão de acordo com a
política de segurança da organização.
Debería establecerse protección adecuada del
sitio de trabajo remoto contra, por ejemplo, el Convém que a proteção apropriada ao local do
robo del equipo y la información, la divulgación no trabalho remoto seja implantada para evitar, por
autorizada de información, acceso remoto no exemplo, o furto ou roubo do equipamento e de
autorizado a los sistemas internos de la informações, a divulgação não autorizada de
organización o mal uso de instalaciones. Las informação, o acesso remoto não autorizado aos
actividades de trabajo remoto deberían ser tanto sistemas internos da organização ou mau uso de
autorizadas como controladas por la dirección, y recursos. Convém que o trabalho remoto seja
debería asegurarse que las disposiciones autorizado e controlado pelo gestor e convém que
adecuadas sean adoptadas para esta forma de sejam asseguradas as providências adequadas a
trabajo. esta forma de trabalho.
Deberían considerarse los siguientes puntos:

Convém que os seguintes pontos sejam
considerados:
a) la seguridad física existente en el sitio de
120 10.09.2007
trabajo remoto, teniendo en cuenta la seguridad a) a segurança física existente no local do trabalho
física del edificio y el ambiente local; remoto, levando-se em consideração a segurança
física do prédio e o ambiente local;
b) el ambiente físico de trabajo remoto propuesto;
b) o ambiente físico proposto para o trabalho
remoto;
c) los requisitos de seguridad de las
comunicaciones, teniendo en cuenta la necesidad c) os requisitos de segurança nas comunicações,
de acceso remoto a los sistemas internos de la levando em consideração a necessidade do acesso
organización, la sensibilidad de la información remoto aos sistemas internos da organização, a
que será accedida y el paso sobre el enlace de sensibilidade da informação que será acessada e
comunicación y la sensibilidad del sistema trafegada na linha de comunicação e a
interno; sensibilidade do sistema interno;
d) la amenaza de acceso no autorizado a

información o recursos por parte de otras d) a ameaça de acesso não autorizado à
personas que usen el alojamiento, por ejemplo informação ou aos recursos por outras pessoas
familia y amigos; que utilizam o local, por exemplo familiares e
amigos;
e) el uso de redes domesticas y los requisitos o
restricciones en la configuración de los servicios e) o uso de redes domésticas e requisitos ou
de red inalámbrica; restrições na configuração de serviços de rede sem
fio;
f) políticas y procedimientos para prevenir
disputas concernientes a derechos de propiedad f) políticas e procedimentos para evitar disputas
intelectual desarrollados en equipos de propiedad relativas a direitos de propriedade intelectual
privada; desenvolvidas em equipamentos de propriedade
particular;
g) acceso a equipos de propiedad privada (para
chequear la seguridad de la máquina o durante g) acesso a equipamentos de propriedade
una investigación), que puede ser impedida por la particular (para verificar a segurança da máquina
legislación; ou durante uma investigação), que pode ser
proibido legalmente;
h) acuerdos de licenciamiento de software que
son tales que la organización podría ser h) acordos de licenciamento de software que
responsable de licenciamiento de software de podem tornar as organizações responsáveis pelo
cliente en estaciones de trabajo pertenecientes en licenciamento do software cliente em estações de
forma privada a los empleados, contratista o trabalho particulares de propriedade de
usuarios de terceras partes; funcionários, fornecedores ou terceiros;
i) requisitos de protección anti-virus y cortafuegos

(firewalls). i) requisitos de proteção contra vírus e requisitos de
firewall.
Las orientaciones y disposiciones a ser
consideradas deberían incluir: Convém que as diretrizes e providências a serem
consideradas incluam:
a) la provisión del equipo y mobiliario de
almacenamiento adecuados para las actividades a) a provisão de equipamento e mobília
de trabajo remoto, donde el uso de equipo apropriados às atividades de trabalho remoto, onde
perteneciente en forma privada que no está bajo o uso de equipamentos de propriedade particular
control de la organización, no está permitido; que não esteja sob controle da organização não é
permitido;
b) la definición del trabajo permitido, las horas de
trabajo, la clasificación de la información que b) uma definição do trabalho permitido, o período
puede utilizar y los sistemas y servicios internos a de trabalho, a classificação da informação que
los que el trabajador remoto está autorizado a pode ser tratada e os sistemas internos e serviços
acceder; que o usuário do trabalho remoto está autorizado a
acessar;
c) el suministro del equipo de comunicación
121 10.09.2007
adecuado, incluidos los métodos para asegurar el a provisão de equipamento de comunicação c)

acceso remoto; apropriado, incluindo métodos para acesso remoto
seguro;
d) la seguridad física;
d) segurança física;
e) reglas y directrices sobre el acceso de
familiares y visitas al equipo y la información; e) regras e diretrizes sobre o acesso de familiares e
visitantes ao equipamento e à informação;
f) proporcionar el soporte y mantenimiento para el
hardware y el software; f) a provisão de suporte e manutenção de hardware
e software;
g) la provisión de seguro;
g) a provisão de seguro;
h) los procedimientos de respaldo y continuidad
del negocio; h) os procedimentos para cópias de segurança e
continuidade do negócio;
i) la auditoría y seguimiento de la seguridad;
i) auditoria e monitoramento da segurança;
j) la revocación de autorizaciones, derechos de
acceso y devolución del equipo cuando cesen las j) revogação de autoridade e direitos de acesso, e
actividades de trabajo remoto. devolução do equipamento quando as atividades
de trabalho remoto cessarem.
El trabajo remoto utiliza tecnología de Informações adicionais
comunicaciones para habilitar al personal trabajar As atividades de trabalho remoto utilizam
en forma remota desde una ubicación fija fuera de tecnologias de comunicação que permitem que as
la organización. pessoas trabalhem remotamente de uma localidade
fixa externa à sua organização.
12 Adquisición, desarrollo y
mantenimiento de los sistemas de 12 Aquisição, desenvolvimento e
información manutenção de sistemas de informação
12.1 Requisitos de seguridad de los sistemas

de información 12.1 Requisitos de segurança de sistemas de
informação
OBJETIVO: Asegurar que la seguridad es parte
integral de los sistemas de información. Objetivo: Garantir que segurança é parte integrante
de sistemas de informação.
Los sistemas de información incluyen: los
sistemas operativos, la infraestructura, las Sistemas de informação incluem sistemas
aplicaciones de negocio, los productos en stock, operacionais, infra-estrutura, aplicações de
los servicios y las aplicaciones desarrolladas por negócios, produtos de prateleira, serviços e
usuarios. El diseño e implantación del sistema de aplicações desenvolvidas pelo usuário. O projeto e
información que apoya los procesos del negocio a implementação de sistemas de informação
puede ser crucial para la seguridad. Los destinados a apoiar o processo de negócios podem
requisitos de seguridad deberían ser identificados ser cruciais para a segurança. Convém que os
y consensuados antes de desarrollar y/o requisitos de segurança sejam identificados e
implementar los sistemas de información. acordados antes do desenvolvimento e/ou
implementação de sistemas de informação.
Todos los requisitos de seguridad deberían ser
identificados y justificados en la fase de requisitos Convém que todos os requisitos de segurança
de un proyecto, consensuados y documentados sejam identificados na fase de definição de
como parte del proceso de negocio global para un requisitos de um projeto e justificados, acordados e
sistema de información. documentados como parte do caso geral de
negócios para um sistema de informações.
12.1.1 Análisis y especificación de los
requisitos de seguridad 12.1.1 Análise e especificação dos requisitos de
segurança
122 10.09.2007
Control
Las declaraciones de requisitos de negocio para Controle
nuevos sistemas de información, o mejoras a Convém que sejam especificados os requisitos
sistemas de información existentes deberían para controles de segurança nas especificações de
especificar los requisitos para controles de requisitos de negócios, para novos sistemas de
seguridad. informação ou melhorias em sistemas existentes.
Las especificaciones de los requisitos de control Diretrizes para implementação
deberían considerar los controles automatizados Convém que as especificações para os requisitos
a ser incorporados al sistema de información, y la de controles, nos sistemas de informação,
necesidad de controles manuales de apoyo. considerem os controles automáticos a serem
Consideraciones similares deberían ser aplicadas incorporados, assim como a necessidade de apoiar
evaluando paquetes de software, desarrollados o controles manuais. Convém que considerações
comprados, para aplicaciones de gestión. similares sejam aplicadas quando da avaliação de
pacotes de softwares, desenvolvidos internamente
ou comprados, para as aplicações de negócios.
Los requisitos de seguridad y control deberían
reflejar el valor de negocio del activo de la Convém que requisitos de segurança e controles
información involucrado (véase también el reflitam o valor para o negócio dos ativos de
Apartado 7.2), y el daño potencial de negocio, informação envolvidos (ver 7.2), e os danos
que podría ser resultado de una falla o ausencia potenciais ao negócio que poderiam resultar de
de seguridad. uma falha ou ausência de segurança.
Los requisitos del sistema para la seguridad de la

información y los procesos para poner en práctica Convém que os requisitos de sistemas para a
la seguridad deberían ser integrados en las segurança da informação, bem como os processos
etapas tempranas de proyectos de sistema de para implementá-la sejam integrados aos estágios
información. Los controles introducidos en la iniciais dos projetos dos sistemas de informação.
etapa de diseño son considerablemente más Controles introduzidos no estágio de projeto são
baratos de implementar y mantener que aquellos significativamente mais baratos para implementar e
incluidos durante o después de la manter do que aqueles incluídos durante ou após a
implementación. implementação.
Si los productos son comprados, un proceso

formal de pruebas y de adquisición debería ser Convém que, no caso de produtos comprados, um
seguido. Los contratos con el proveedor deberían processo formal de aquisição e testes seja seguido.
abordar los requisitos de seguridad identificados. Convém que contratos com fornecedores levem em
Cuando la funcionalidad de seguridad en un consideração os requisitos de segurança
producto propuesto no satisface el requisito identificados. Nas situações em que
especificado entonces el riesgo introducido y los funcionalidades de segurança de um produto
controles asociados deberían ser reconsiderados proposto não satisfaçam requisitos especificados,
antes de la compra del producto. Cuando una convém que o risco introduzido, assim como os
funcionalidad adicional es suministrada y causa controles associados, sejam reconsiderados antes
un riesgo de seguridad, esta debería ser da compra do produto. Nas situações em que as
deshabilitada o la estructura de control propuesta funcionalidades adicionais incorporadas acarretem
debería ser revisada para determinar si se puede riscos à segurança, convém que estas sejam
obtener ventaja de la funcionalidad mejorada desativadas ou a estrutura de controles proposta
disponible. seja analisada criticamente para determinar se há
vantagem na utilização das funcionalidades em
questão.
Si se considera apropiado, por ejemplo por Informações adicionais
motivos de costo, la dirección puede desear Se considerado apropriado, por exemplo, por
utilizar productos evaluados y certificados razões de custos, o gestor pode considerar o uso
independientemente. Información adicional sobre de produtos avaliados e certificados por entidade
criterios de evaluación para productos de independente. Informação adicional sobre critérios
seguridad de TI puede ser encontrada en la de avaliação de produtos pode ser encontrada na
norma ISO/IEC 15408 o en otras normas de ISO/IEC 15408 ou em outras normas de avaliação
123 10.09.2007
evaluación o de certificación, según sea ou certificação apropriadas.

apropiado.
La norma ISO/IEC TR 13335-3 proporciona guías

sobre el empleo de procesos de gestión de A ISO/IEC 13335-3 possui orientação sobre o uso
riesgos para identificar requisitos para controles de processos de gerenciamento de riscos para a
de seguridad. identificação de requisitos de controles de
segurança.
12.2 Procesamiento correcto en las
aplicaciones 12.2 Processamento correto nas aplicações
OBJETIVO: Prevenir errores, pérdida,

modificación no autorizada o mal uso de Objetivo: Prevenir a ocorrência de erros, perdas,
información en aplicaciones. modificação não autorizada ou mau uso de
informações em aplicações.
En las aplicaciones deberían ser diseñados
controles apropiados, incluyendo en las Convém que controles apropriados sejam
aplicaciones desarrolladas por usuarios para incorporados no projeto das aplicações, inclusive
asegurar el tratamiento correcto. Estos controles aquelas desenvolvidas pelos usuários, para
deberían incluir la validación de datos de entrada, assegurar o processamento correto. Convém que
el tratamiento interno y datos de salida. esses controles incluam a validação dos dados de
entrada, do processamento interno e dos dados de
saída.
Los sistemas que procesan, o tienen impacto
sobre, la información sensible, valiosa o crítica Controles adicionais podem ser necessários para
pueden requerir controles adicionales. Tales sistemas que processem informações sensíveis,
controles deberían ser determinados sobre la valiosas ou críticas, ou que nestas exerçam algum
base de requisitos de seguridad y evaluación del impacto. Convém que tais controles sejam
riesgo. determinados com base em requisitos de
segurança e a análise/avaliação de riscos.
12.2.1 Validación de datos de entrada
12.2.1 Validação dos dados de entrada
Control
Los datos de entrada a aplicaciones deberían ser Controle
validados para asegurar que estos datos son Convém que os dados de entrada de aplicações
correctos y apropiados. sejam validados para garantir que são corretos e
apropriados.
Deberían ser aplicadas comprobaciones a la Diretrizes para implementação
entrada de transacciones de negocio, datos Convém que sejam aplicadas checagens na
permanentes (por ejemplo nombres y direcciones, entrada de transações de negócios, em dados
límites de crédito, números de referencia de permanentes (por exemplo, nomes e endereços,
cliente), y mesas de parámetro (por ejemplo limites de crédito, números de referência de
precios de las ventas, tarifas monetarias de clientes) e em, parâmetros de tabelas (por
conversión, tarifas fiscales). Las directrices exemplo, preços de venda, taxas de conversão de
siguientes deberían ser consideradas: moedas, tarifas de impostos). Convém que as
seguintes diretrizes sejam consideradas:
a) entrada duplicada u otras comprobaciones de
entrada, como: a) entrada duplicada ou outros tipos de verificação,
tais como checagem de limites ou campos
limitando as faixas específicas de dados de
entrada, para detectar os seguintes erros:
1) valores fuera de rango;
1) valores fora de faixa;
2) caracteres inválidos en campos de datos;
2) caracteres inválidos em campos de dados;
3) pérdida o datos incompletos;
3) dados incompletos ou faltantes;
124 10.09.2007
4) exceder límites superiores e inferiores de

volumen de datos; 4) volumes de dados excedendo limites
superiores ou inferiores;
5) datos de control no autorizados o
incoherentes; 5) dados de controle inconsistentes ou não
autorizados;
b) la revisión periódica del contenido de campos
clave o archivos de datos para confirmar su b) verificação periódica do conteúdo de campos-
validez e integridad; chave ou arquivos de dados para confirmar a sua
validade e integridade;
c) la inspección de documentos físicos de entrada
por si introducen cualquier cambio no autorizado c) inspeção de cópias impressas de documentos de
(todos los cambios a documentos de entrada entrada para detectar quaisquer alterações não
deberían ser autorizados); autorizadas (convém que todas as mudanças em
documentos de entrada sejam autorizadas);
d) procedimientos para responder a errores de
validación; d) procedimentos para tratar erros de validação;
e) procedimientos para probar la plausibilidad de

los datos de entrada; e) procedimentos para testar a plausibilidade dos
dados de entrada;
f) definición de las responsabilidades de todo el
personal implicado en el proceso de entrada de f) definição da responsabilidade de todo o pessoal
datos; envolvido no processo de entrada de dados;
g) la creación de un registro de las actividades

implicadas en el proceso de entrada de datos g) criação de um registro de atividades envolvendo
(véase el Apartado 10.10.1). o processo de entrada de dados (ver 10.10.1).
La examinación automática y la validación de Informações adicionais
datos de entrada pueden ser considerados, como A verificação e validação automática de dados de
aplicables, para reducir el riesgo de errores y entrada podem ser consideradas, onde aplicáveis,
prevenir ataques estándar incluyendo para reduzir o risco de erros e prevenir ataques
desbordamiento de buffer (buffer overflow) e conhecidos como buffer overflow e injeção de
inyección de códigos (code injection). código.
12.2.2 Control de procesamiento interno

12.2.2 Controle do processamento interno
Control
Las comprobaciones de validación deberían ser Controle
incorporadas en las aplicaciones para descubrir Convém que sejam incorporadas, nas aplicações,
cualquier corrupción de información por errores checagens de validação com o objetivo de detectar
de procesamiento o actos deliberados. qualquer corrupção de informações, por erros ou
por ações deliberadas.
El diseño y la implementación de aplicaciones Diretrizes para implementação
deberían asegurar que los riesgos de procesar Convém que o projeto e a implementação das
errores que conducen a una pérdida de integridad aplicações garantam que os riscos de falhas de
son reducidos al mínimo. processamento que levem à perda de integridade
sejam minimizados.
Áreas específicas a considerar incluyen:
Áreas específicas a serem consideradas incluem:
a) el empleo de las funciones agregar, modificar,
y suprimir para implementar cambios a datos; a) o uso das funções, como incluir, modificar e
remover para implementação de alterações nos
dados;
b) procedimientos para prevenir programas que
corran en el orden incorrecto o luego del error de b) procedimentos para evitar que programas rodem
125 10.09.2007
un proceso previo (véase también el Apartado na ordem errada ou continuem rodando após uma
10.1.1); falha de processamento (ver 10.1.1);
c) el empleo de programas apropiados para

reponerse de errores y asegurar el tratamiento c) o uso de programas apropriados para
correcto de datos; recuperação de falhas, para assegurar o
processamento correto dos dados;
d) la protección contra ataques que usan el
desbordamiento / exceso en el buffer. d) proteção contra ataques usando buffer
overrun/overflow;
Se deberían elaborar listas de verificación
adecuadas, documentar las actividades y Convém que seja preparada uma lista de
mantener seguros los resultados. Ejemplos de las verificação apropriada, as atividades sejam
comprobaciones que pueden ser incorporadas documentadas e os resultados sejam mantidos em
incluyen lo siguiente: segurança. Exemplos de verificações que podem
ser incorporadas incluem:
a) controles de sesión o de lotes para conciliar
balances después de la actualización de a) controles de sessões ou de lotes, para
transacciones; reconciliar saldos de arquivos após as atualizações
de transações;
b) controles de balance para, para comprobar los
balances de apertura contra los balances b) controles de saldos, para verificação de saldos
anteriores de cierre, a saber: abertos comparando com saldos previamente
encerrados o batimento de saldos de abertura
contra saldos de fechamento, utilizando:
1) controles de ejecución a ejecución;
1) controles run-to-run;
2) totales de actualización de archivos;
2) totalizações na atualização de arquivos;
3) controles de programa a programa;
3) controles program-to-program;
c) la validación de datos de entrada generados
por el sistema (véase el Apartado 12.2.1); c) validação de dados de entrada gerados pelo
sistema (ver 12.2.1);
d) comprobar la integridad, la autenticidad o
cualquier otro rasgo de seguridad de datos o d) verificações de integridade, autenticidade ou
software transferido desde o hacia, entre qualquer outra característica de segurança, de
ordenadores centrales y remotos; dados ou softwares transferidos, ou atualizados
entre computadores centrais e remotos;
e) los totales de verificación (hash) de registros y
archivos; e) implementação de técnicas de consistência
(hash) para registros e arquivos;
f) comprobaciones para asegurar que los
programas de aplicación se ejecutan en el tiempo f) verificações para garantir que os programas
correcto; sejam rodados no tempo correto;
g) comprobaciones para asegurar que los

programas son ejecutados en el orden correcto, g) verificações para garantir que os programas
que se terminan en caso de una falla y que el sejam rodados na ordem correta e terminem em
tratamiento remoto es detenido hasta que el caso de falha, e que qualquer processamento
problema sea resuelto; adicional seja estancado, até que o problema seja
resolvido;
h) la creación de un registro de las actividades
implicadas en el tratamiento (véase el Apartado h) criação de um registro das atividades envolvidas
10.10.1). no processamento (ver 10.10.1).
Los datos que han sido ingresados correctamente Informações adicionais
pueden ser corrompidos por errores de hardware, Os dados que tenham sido corretamente
126 10.09.2007
errores de procesamiento o por actos alimentados podem ser corrompidos por falhas de
deliberados. Las comprobaciones de validación hardware, erros de processamento ou por atos
requeridas dependerán de la naturaleza de la deliberados. As verificações de validação
aplicación y el impacto al negocio de cualquier requeridas dependem da natureza das aplicações e
corrupción de datos. do impacto, no negócio, de qualquer corrupção de
dados.
12.2.3 Integridad del mensaje
12.2.3 Integridade de mensagens
Control
Deberían identificarse los requisitos para Controle
asegurar la autenticidad y proteger la integridad Convém que requisitos para garantir a
del mensaje en las aplicaciones, así como autenticidade e proteger a integridade das
identificar e implementar los controles apropiados. mensagens em aplicações sejam identificados e os
controles apropriados sejam identificados e
implementados.
Una evaluación de riesgos de seguridad debería Diretrizes para implementação
ser realizada para determinar si requiere la Convém que seja efetuada uma análise/avaliação
integridad del mensaje e identificar el método más dos riscos de segurança para determinar se a
apropiado de implementación. integridade das mensagens é requerida e para
identificar o método mais apropriado de
implementação.
Técnicas criptográficas (véase el Apartado 12.3) Informações adicionais
pueden ser utilizadas como un medio apropiado As técnicas criptográficas (ver 12.3) podem ser
de implementar la autenticación del mensaje. usadas como um meio apropriado para a
implementação da autenticação de mensagens.
12.2.4 Validación de los datos de salida
12.2.4 Validação de dados de saída
Control
La salida de datos de una aplicación debería ser Controle
validada para asegurar que el procesamiento de Convém que os dados de saída das aplicações
la información almacenada es correcto y sejam validados para assegurar que o
apropiado a las circunstancias. processamento das informações armazenadas está
correto e é apropriado às circunstâncias.
La validación de salida puede incluir: Diretrizes para implementação
A validação de dados de saída pode incluir:
a) validaciones de verosimilitud para comprobar si
los datos de salida son razonables; a) verificações de plausibilidade para testar se os
dados de saída são razoáveis;
b) cuentas de control de reconciliación para
asegurar el tratamiento de todos los datos; b) controles envolvendo contagens de reconciliação
para garantir o processamento de todos os dados;
c) suministro de información suficiente para un
lector o sistema de procesamiento subsecuente c) fornecimento de informação suficiente para que
para determinar la exactitud, entereza, precisión, um leitor ou um sistema de processamento
y clasificación de la información; subseqüente possa determinar a exatidão,
completeza, precisão e classificação das
informações;
d) procedimientos para responder a pruebas de
validación de salida; d) procedimentos para responder aos testes de
validação dos dados de saída;
e) definición de las responsabilidades de todo el
personal implicado en el proceso de salida de e) definição das responsabilidades de todo o
datos; pessoal envolvido no processo de dados de saída;
f) creación de un registro de actividades en el

proceso de validación de salida de datos. f) criação de um registro de atividades do processo
127 10.09.2007
de validação dos dados de saída.

Típicamente los sistemas y aplicaciones son Informações adicionais
construidos suponiendo que habiendo Tipicamente, sistemas e aplicações são
emprendido la validación apropiada, la construídos no pressuposto de que, tendo sido
verificación, y pruebas, la salida siempre es efetuadas as validações apropriadas, verificações e
correcta. Sin embargo, esta suposición no es testes, as saídas estarão sempre corretas.
siempre válida; es decir, sistemas que han sido Contudo, este pressuposto nem sempre é válido,
probados pueden producir todavía en algunas isto é, sistemas que tenham sido testados podem
circunstancias una salida incorrecta. ainda produzir dados de saída incorretos sob certas
circunstâncias.
12.3 Controles criptográficos
12.3 Controles criptográficos
OBJETIVO: Proteger la confidencialidad,
autenticidad o integridad de información por Objetivo: Proteger a confidencialidade, a
medios criptográficos. autenticidade ou a integridade das informações por
meios criptográficos.
Debería desarrollarse una política sobre el
empleo de controles criptográficos y establecerse Convém que uma política seja desenvolvida para o
una gestión de claves para dar soporte al empelo uso de controles criptográficos. Convém que o
de técnicas criptográficas. gerenciamento de chaves seja implementado para
apoiar o uso de técnicas criptográficas.
12.3.1 Política sobre el empleo de controles
criptográficos 12.3.1 Política para o uso de controles
criptográficos
Control
Debería ser desarrollada e implementada una Controle
política sobre el empleo de controles Convém que seja desenvolvida e implementada
criptográficos para la protección de información. uma política para o uso de controles criptográficos
para a proteção da informação.
Cuando se desarrolla una política sobre el empleo Diretrizes para implementação
de controles criptográficos lo siguiente debería Convém que, quando do desenvolvimento de uma
ser considerado: política para criptografia, sejam considerados:
a) el enfoque de la dirección hacia el empleo de

controles criptográficos a través de la a) a abordagem gerencial quanto ao uso de
organización, incluyendo los principios generales controles criptográficos em toda a organização,
bajo los cuales la información de negocio debería incluindo os princípios gerais sob os quais as
ser protegida (véase también el Apartado 5.1.1); informações de negócio sejam protegidas (ver
5.1.1);
b) basado en una evaluación de riesgo, el nivel
requerido de protección debería ser identificado b) a identificação do nível requerido de proteção
teniendo en cuenta el tipo, la fuerza, y la calidad com base em uma análise/avaliação de riscos,
del algoritmo de cifrado requerido; levando em consideração o tipo, a força e a
qualidade do algoritmo de criptografia requerido;
c) el empleo de cifrado para protección de
información sensible transportada por medios de c) o uso de criptografia para a proteção de
comunicación móviles o removibles, por informações sensíveis transportadas em celulares
dispositivos o a través de líneas de comunicación; e PDA, mídias removíveis ou móveis, dispositivos
ou linhas de comunicação;
d) un enfoque de gestión de claves, incluyendo
métodos para tratar la protección de claves d) a abordagem do gerenciamento de chaves,
criptográficas y la recuperación de información incluindo métodos para lidar com a proteção das
cifrada en el caso de claves perdidas, chaves criptográficas e a recuperação de
comprometidas o dañadas; informações cifradas, no caso de chaves perdidas,
comprometidas ou danificadas;
e) funciones y responsabilidades, por ejemplo
128 10.09.2007
quien es responsable de: e) papéis e responsabilidades, por exemplo, de

quem for responsável:
1) la implementación de la política;
1) pela implementação da política;
2) la gestión de la clave, incluyendo la
generación de la clave (véase también el 2) pelo gerenciamento de chaves, incluindo sua
Apartado 12.3.2); geração (ver 12.3.2);
f) las normas a ser adoptadas para la

implementación eficaz en todas partes de la f) os padrões a serem adotados para a efetiva
organización (que solución usar para que proceso implementação ao longo de toda a organização
de negocio); (qual solução é usada para quais processos de
negócios);
g) el impacto de usar información cifrada, sobre
los controles que confían en la inspección de g) o impacto do uso de informações cifradas em
contenido (por ejemplo la detección de virus). controles que dependem da inspeção de conteúdos
(por exemplo, detecção de vírus).
Al implementar la política criptográfica de la
organización, deberían considerarse las Convém que sejam consideradas, na
regulaciones y las restricciones nacionales que implementação da política criptográfica da
podrían aplicarse al empleo de técnicas organização, as leis ou regulamentações e
criptográficas en las diferentes partes del mundo restrições nacionais aplicáveis ao uso de técnicas
y las cuestiones de pasaje de frontera de criptográficas, nas diferentes partes do mundo, e
transacciones de información cifrada (véase das questões relativas ao fluxo transfronteiras de
también el Apartado 15.1.6). informações cifradas (ver 15.1.6).
Los controles criptográficos pueden ser usados

para alcanzar diferentes objetivos de seguridad, Controles criptográficos podem ser usados para
por ejemplo: alcançar diversos objetivos de segurança, como,
por exemplo:
a) confidencialidad: utilización de cifrado de
información para proteger información sensible o a) confidencialidade: usando a criptografia da
crítica, almacenada o transmitida; informação para proteger informações sensíveis ou
críticas, armazenadas ou transmitidas;
b) integridad/autenticidad: la utilización de firmas
digitales o códigos de autenticación de mensaje b) integridade/autenticidade: usando assinaturas
para proteger la autenticidad y la integridad de la digitais ou códigos de autenticação de mensagens
información sensible o crítica almacenada o (MAC) para proteger a autenticidade e integridade
transmitida; de informações sensíveis ou críticas, armazenadas
ou transmitidas;
c) no repudio: utilización de técnicas
criptográficas para obtener pruebas del suceso o c) não-repúdio: usando técnicas de criptografia
no de un acontecimiento o acción. para obter prova da ocorrência ou não ocorrência
de um evento ou ação.
La toma de una decisión en cuanto a si una Informações adicionais
solución criptográfica es apropiada debería ser Convém que a tomada de decisão para verificar se
vista como parte del proceso más amplio de uma solução de criptografia é apropriada seja vista
evaluación de riesgo y selección de control. Esta como parte de um processo de análise/avaliação
evaluación puede entonces ser usada para de riscos e seleção de controles mais amplos. Essa
determinar si un control criptográfico es avaliação pode, então, ser usada para determinar
apropiado, qué tipo del control debería ser se um controle criptográfico é apropriado, que tipo
aplicado y para que objetivo y proceso de de controle seja usado e para que propósito e
negocio. processos de negócios.
Una política sobre el empleo de controles

criptográficos es necesaria para maximizar las Uma política sobre o uso de controles criptográficos
ventajas y reducir al mínimo los riesgos de usar é necessária para maximizar os benefícios e
técnicas criptográficas, y evitar el empleo minimizar os riscos do uso de técnicas
129 10.09.2007
inadecuado o incorrecto. Usando firmas digitales, criptográficas para evitar o uso incorreto ou
deberían dar consideración a cualquier legislación inapropriado. Quanto ao uso de assinaturas
relevante, en particular la legislación que describe digitais, convém que seja considerada toda a
las condiciones en las cuales una firma digital legislação relevante, em particular aquela que
obliga legalmente (véase el Apartado 15.1). descreve as condições sob as quais uma
assinatura digital é legalmente aceita (ver 15.1).
Debería buscarse la asesoría de un especialista
para identificar el nivel apropiado de protección y Convém que seja buscada a opinião de um
definir las especificaciones convenientes que especialista para identificar o nível apropriado de
proporcionarán la protección requerida y proteção e definir as especificações aplicáveis que
apoyarán la implementación de un sistema de proporcionarão o nível requerido de proteção e o
gestión de clave seguro (véase también el apoio à implementação de um sistema seguro de
Apartado 12.3.2). gerenciamento de chaves (ver 12.3.2).
El comité conjunto ISO/IEC JTC1 SC27 ha

desarrollado varias normas relacionadas con O ISO/IEC JTC1 SC27 desenvolveu diversas
controles criptográficos. También puede ser normas relacionadas com controles criptográficos.
encontrada información adicional en la norma Informações adicionais podem também ser
IEEE P1363 y en las directrices OECD sobre encontradas na IEEE P1363 e no OECD Guidelines
criptografía. on Cryptography.
12.3.2 Gestión de claves

12.3.2 Gerenciamento de chaves
Control
Debería establecerse la gestión de claves para Controle
apoyar el uso de técnicas criptográficas en la Convém que um processo de gerenciamento de
organización. chaves seja implantado para apoiar o uso de
técnicas criptográficas pela organização.
Todas las claves criptográficas deberían ser Diretrizes para implementação
protegidas contra la modificación, la pérdida, y la Convém que todas as chaves criptográficas sejam
destrucción. Además, claves secretas y privadas protegidas contra modificação, perda e destruição.
necesitan la protección contra el descubrimiento Adicionalmente, chaves secretas e privadas
no autorizado. El equipo para generar, almacenar necessitam de proteção contra a divulgação não
y archivar claves debería ser protegido autorizada. Convém que os equipamentos
físicamente. utilizados para gerar, armazenar e guardar as
chaves sejam fisicamente protegidos.
Un sistema de gestión de claves debería estar
basado en un conjunto reconocido de normas, Convém que um sistema de gerenciamento de
procedimientos, y métodos seguros para: chaves seja baseado em um conjunto estabelecido
de normas, procedimentos e métodos de
segurança para:
a) generar claves para sistemas criptográficos
diferentes y aplicaciones diferentes; a) gerar chaves para diferentes sistemas
criptográficos e diferentes aplicações;
b) generar y obtener certificados de clave pública;
b) gerar e obter certificados de chaves públicas;
c) distribuir claves a los usuarios que
corresponda, incluyendo cómo deberían activarse c) distribuir chaves para os usuários devidos,
las claves al recibirse; incluindo a forma como as chaves devem ser
ativadas, quando recebidas;
d) almacenar claves, incluyendo cómo los
usuarios autorizados obtienen el acceso a las d) armazenar chaves, incluindo a forma como os
claves; usuários autorizados obtêm acesso a elas;
e) cambiar o actualizar claves , incluyendo reglas

sobre cuándo las claves deberían ser cambiadas e) mudar ou atualizar chaves, incluindo regras
y cómo esto debería hacerse; relativas a quando as chaves devem ser mudadas
e como isto será feito;
130 10.09.2007
f) tratar las claves comprometidas;

f) lidar com chaves comprometidas;
g) revocar claves incluyendo cómo deberían
retirarse o desactivarse las mismas, por ejemplo, g) revogar chaves, incluindo regras de como elas
cuando las claves están comprometidas o cuando devem ser retiradas ou desativadas, por exemplo
un usuario se desvincula de la organización (en quando chaves tiverem sido comprometidas ou
cuyo caso las claves también deberían quando um usuário deixa a organização (convém
archivarse); que, também neste caso, que as chaves sejam
guardadas);
h) recuperar claves que se han perdido o
corrompido como parte de la gestión de h) recuperar chaves perdidas ou corrompidas,
continuidad del negocio, por ejemplo, para como parte da gestão da continuidade do negócio,
recuperar la información cifrada; por exemplo para recuperação de informações
cifradas;
i) archivar claves, por ejemplo, para información
archivada o de respaldo; i) guardar chaves, por exemplo para informações
guardadas ou armazenadas em cópias de
segurança;
j) destruir claves;
j) destruir chaves;
k) registrar y auditar las actividades relacionadas
con la gestión de las claves. k) manter registro e auditoria das atividades
relacionadas com o gerenciamento de chaves.
Para reducir la probabilidad de compromiso, la
activación, y fechas de desactivación de claves Convém, para reduzir a possibilidade de
deberían ser definidos de modo que las claves comprometimento, que datas de ativação e
sólo puedan ser usadas durante un período desativação de chaves sejam definidas de forma
limitado de tiempo. Este período de tiempo que possam ser utilizadas apenas por um período
debería ser dependiente de las circunstancias en de tempo limitado. Convém que este período de
las cuales el control criptográfico es usado, y el tempo seja dependente das circunstâncias sob as
riesgo percibido. quais o controle criptográfico está sendo usado,
assim como do risco percebido.
Además de la gestión segura de claves públicas y
privadas, la protección de claves públicas también Além do gerenciamento seguro de chaves secretas
debería ser considerada. e privadas, convém que a autenticidade de chaves
públicas seja também considerada.
Este proceso de autenticación puede ser hecho
usando los certificados de clave pública que Este processo de autenticação pode ser conduzido
normalmente son emitidos por una autoridad de utilizando-se certificados de chaves públicas que
certificación, que debería ser una organización são normalmente emitidos por uma autoridade
aprobada con controles y procedimientos certificadora, a qual convém que seja uma
adecuados para proporcionar el grado de organização reconhecida, com controles
confiabilidad requerido. adequados e procedimentos implantados com o
objetivo de garantir o requerido nível de confiança.
El contenido de los acuerdos de nivel de servicio
o de los contratos con los proveedores de Convém que o conteúdo dos termos dos acordos
servicios criptográficos (por ejemplo una de nível de serviço ou contratos com fornecedores
autoridad certificadora) debería cubrir los externos de serviços criptográficos, por exemplo
aspectos de las obligaciones y responsabilidades, com uma autoridade certificadora, cubram aspectos
fiabilidad de los servicios y tiempos de respuesta como responsabilidades, confiabilidade dos
para su suministro (véase el Apartado 6.2.3). serviços e tempos de resposta para a execução
dos serviços contratados (ver 6.2.3).
La gestión de claves criptográficas es esencial Informações adicionais
para el empleo eficaz de técnicas criptográficas. O gerenciamento de chaves criptográficas é
ISO/IEC 11770 proporciona información adicional essencial para o uso efetivo de técnicas
sobre la gestión de clave. criptográficas.
Los dos tipos de técnicas criptográficas son:
131 10.09.2007
A ISO/IEC 11770 fornece informação adicional

sobre gerenciamento de chaves. Os dois tipos de
técnicas criptográficas são:
a) técnicas de claves secretas, donde dos o más
partes comparten la misma clave y esta clave es a) técnicas de chaves secretas, onde duas ou mais
usada tanto para cifrar como descifrar la partes compartilham a mesma chave, a qual é
información; esta clave debería mantenerse utilizado tanto para cifrar quanto para decifrar a
secreta puesto que cualquiera que tenga acceso informação; esta chave deve ser mantida secreta,
a ella puede descifrar toda la información cifrada uma vez que qualquer um que tenha acesso a ela
con dicha clave, o introducir información no será capaz de decifrar todas as informações que
autorizada con esa clave; tenham sido cifradas com essa chave ou dela se
utilizando para introduzir informação não
autorizada;
b) técnicas de clave pública, donde cada usuario
tiene un par de claves, una clave pública (que b) técnicas de chaves públicas, onde cada usuário
puede ser revelada a alguien) y una clave privada possui um par de chaves; uma chave pública
(que tiene que ser mantenida secreta); Las (que pode ser revelada para qualquer um) e uma
técnicas de clave pública pueden ser usadas para chave privada (que deve ser mantida secreta);
el cifrado y producir firmas digitales (véase técnicas de chaves públicas podem ser utilizadas
también las normas ISO/IEC 9796 e ISO/IEC para cifrar e para produzir assinaturas digitais
14888). (ver também ISO/IEC 9796 e ISO/IEC 14888).
Existe la amenaza de falsificar una firma digital

substituyendo la clave pública de un usuario. Este Existe a ameaça de que seja forjada uma
problema es manejado con el empleo de assinatura digital pela substituição da chave pública
certificado de clave publica. do usuário. Este problema é resolvido pelo uso de
um certificado de chave pública.
Las técnicas criptográficas también pueden ser
usadas para proteger claves criptográficas. Puede Técnicas criptográficas podem ser também
ser necesario considerar procedimientos para utilizadas para proteger chaves criptográficas. Pode
manejar demandas legales por el acceso a claves ser necessário o estabelecimento de
criptográficas, por ejemplo información cifrada procedimentos para a manipulação de solicitações
puede tener que estar disponible en forma no legais para acesso a chaves criptográficas, por
cifrada como prueba en un caso judicial. exemplo, informação cifrada pode ser requerida em
sua forma decifrada para uso como evidência em
um processo judicial.
12.4 Seguridad de los archivos del sistema
12.4 Segurança dos arquivos do sistema
OBJETIVO: Garantizar la seguridad de los
archivos del sistema. Objetivo: Garantir a segurança de arquivos de
sistema.
El acceso a archivos del sistema y el código
original de programa debería ser controlado, y los Convém que o acesso aos arquivos de sistema e
proyectos de tecnología de la información y las aos programas de código fonte seja controlado e
actividades de apoyo conducidas en una manera que atividades de projeto de tecnologia da
segura. Debería tomarse el cuidado para evitar la informação e de suporte sejam conduzidas de
exposición de datos sensibles en ambientes de forma segura. Convém que cuidados sejam
prueba. tomados para evitar a exposição de dados
sensíveis em ambientes de teste.
12.4.1 Control de software en producción
12.4.1 Controle de software operacional
Control
Deberían haber procedimientos para controlar la Controle
instalación de software sobre sistemas en Convém que procedimentos para controlar a
producción. instalação de software em sistemas operacionais
sejam implementados.
Para reducir al mínimo el riesgo de corrupción en Diretrizes para implementação
132 10.09.2007
sistemas en producción, las directrices siguientes, Para minimizar o risco de corrupção aos sistemas
deberían ser consideradas en el control de operacionais, convém que as seguintes diretrizes
cambio: sejam consideradas para controlar mudanças:
a) la actualización de software en producción,

aplicaciones, y bibliotecas de programa sólo a) a atualização do software operacional, de
debería ser realizada por administradores aplicativos e de bibliotecas de programas seja
entrenados con la apropiada autorización de la executada somente por administradores treinados
dirección (véase el Apartado 12.4.3); e com autorização gerencial (ver 12.4.3);
b) Los sistemas en producción deberían tener

sólo código ejecutable aprobado y no código de b) sistemas operacionais somente contenham
desarrollo o compiladores. código executável e aprovado, e não contenham
códigos em desenvolvimento ou compiladores;
c) el software de aplicaciones y el de sistemas
operativos deberían ser implementados sólo c) sistemas operacionais e aplicativos somente
después de pruebas extensas y acertadas; las sejam implementados após testes extensivos e
pruebas deberían incluir pruebas sobre la utilidad, bem-sucedidos; é recomendável que os testes
la seguridad, efectos sobre otros sistemas y incluam testes sobre uso, segurança, efeitos sobre
facilidades de usuario, y deberían ser realizadas outros sistemas, como também sobre uso
sobre sistemas separados (véase también el amigável, e sejam realizados em sistemas
Apartado 10.1.4); debería asegurarse que todas separados (ver 10.1.4); convém que seja
las bibliotecas de programas fuentes assegurado que todas as bibliotecas de programa-
correspondientes han sido actualizadas; fonte correspondentes tenham sido atualizadas;
d) debería utilizarse un sistema de control de

configuración para mantener el control de todo el d) um sistema de controle de configuração seja
software implementado así como la utilizado para manter controle da implementação do
documentación de sistema; software assim como da documentação do sistema;
e) debería existir una estrategia de “vuelta atrás”

antes de que los cambios sean implementados; e) uma estratégia de retorno às condições
anteriores seja disponibilizada antes que mudanças
sejam implementadas no sistema;
f) debería mantenerse un registro de auditoría de
todas las actualizaciones a las bibliotecas de f) um registro de auditoria seja mantido para todas
programa en producción; as atualizações das bibliotecas dos programas
operacionais;
g) debería conservarse la versión anterior de
software de aplicación como una medida de g) versões anteriores dos softwares aplicativos
contingencia; sejam mantidas como medida de contingência;
h) deberían archivarse las versiones viejas de

software, junto con toda la información requerida h) versões antigas de software sejam arquivadas,
y parámetros, procedimientos, detalles de junto com todas as informações e parâmetros
configuración, y el software de apoyo mientras los requeridos, procedimentos, detalhes de
datos son conservados en el archivo. configurações e software de suporte durante um
prazo igual ao prazo de retenção dos dados.
El software utilizado en producción suministrado
por vendedores debería mantener un nivel de Convém que software adquirido de fornecedores e
servicio apoyado por el proveedor. Con el tiempo, utilizado em sistemas operacionais seja mantido
los vendedores de software dejarán de dar num nível apoiado pelo fornecedor. Ao transcorrer
soporte a las versiones más viejas de software. do tempo, fornecedores de software cessam o
La organización debería considerar los riesgos de apoio às versões antigas do software. Convém que
confiar en el software sin soporte. a organização considere os riscos associados à
dependência de software sem suporte.
Cualquier decisión de cambio a una nueva
versión debería tener en cuenta para el cambio, Convém que qualquer decisão de atualização para
los requisitos del negocio y la seguridad de la uma nova versão considere os requisitos do
133 10.09.2007
nueva versión, por ejemplo la introducción de una negócio para a mudança e da segurança
nueva funcionalidad de seguridad o el número y associada, por exemplo, a introdução de uma nova
la severidad de problemas de seguridad que funcionalidade de segurança ou a quantidade e a
afectan esta versión. Los parches de software gravidade dos problemas de segurança associados
deberían aplicarse cuando puedan ayudar a a esta versão. Convém que pacotes de correções
quitar o reducir debilidades de seguridad (véase de software sejam aplicados quando puderem
también el Apartado 12.6.1). remover ou reduzir as vulnerabilidades de
segurança (ver 12.6.1).
El acceso físico o lógico únicamente se debería
dar a los proveedores para propósitos de soporte, Convém que acessos físicos e lógicos sejam
cuando sea necesario, y con aprobación de la concedidos a fornecedores, quando necessário,
dirección. Las actividades del proveedor deberían para a finalidade de suporte e com aprovação
ser supervisadas. gerencial. Convém que as atividades do fornecedor
sejam monitoradas.
El software de computador puede depender de
software y módulos suministrados externamente, Os softwares para computadores podem depender
lo cual se debería supervisar y controlar para de outros softwares e módulos fornecidos
evitar cambios no autorizados que puedan externamente, os quais convém ser monitorados e
introducir debilidades de seguridad. controlados para evitar mudanças não autorizadas,
que podem introduzir fragilidades na segurança.
Sólo deberían cambiarse los sistemas operativos Informações adicionais
cuando hay un requisito para hacer, por ejemplo, Convém que sistemas operacionais sejam
si la versión actual del sistema operativo no atualizados quando existir um requisito para tal, por
soporta las exigencias de negocio. Las mejoras exemplo, se a versão atual do sistema operacional
no deberían ocurrir solamente porque una nueva não suportar mais os requisitos do negócio.
versión del sistema operativo está disponible. Las Convém que as atualizações não sejam efetivadas
nuevas versiones de sistemas operativos pueden pela mera disponibilidade de uma versão nova do
ser menos seguras, menos estables, y menos sistema operacional. Novas versões de sistemas
entendidas que los sistemas actuales. operacionais podem ser menos seguras, com
menor estabilidade, e ser menos entendidas do que
os sistemas atuais.
12.4.2 Protección de datos de prueba del
sistema 12.4.2 Proteção dos dados para teste de
sistema
Control
Los datos de prueba deberían ser seleccionados Controle
cuidadosamente, protegidos y controlados. Convém que os dados de teste sejam selecionados
com cuidado, protegidos e controlados.
Para hacer pruebas debería ser evitado el empleo Diretrizes para implementação
de bases de datos de producción que contienen Para propósitos de teste, convém que seja evitado
información personal o cualquier otra información o uso de bancos de dados operacionais que
sensible. Si se utiliza información personal o contenham informações de natureza pessoal ou
cualquier otra información sensible para hacer qualquer outra informação considerada sensível.
pruebas, todos los detalles y el contenido sensible Se informação de natureza pessoal ou outras
deberían ser eliminados o modificados, más allá informações sensíveis forem utilizadas com o
del reconocimiento, antes del empleo. Las propósito de teste, convém que todos os detalhes e
directrices siguientes deberían ser aplicadas para conteúdo sensível sejam removidos ou modificados
proteger datos de producción cuando son de forma a evitar reconhecimento antes do seu
utilizados para hacer pruebas: uso. Convém que sejam aplicadas as seguintes
diretrizes para a proteção de dados operacionais,
quando utilizados para fins de teste:
a) los procedimientos de control de acceso, que
se aplican a sistemas de aplicaciones en a) os procedimentos de controle de acesso,
producción, deberían aplicarse también a los aplicáveis aos aplicativos de sistema em ambiente
sistemas de prueba de aplicaciones; operacional, sejam também aplicados aos
aplicativos de sistema em ambiente de teste;
b) debería autorizarse por separado, cada vez
134 10.09.2007
que se copie la información de producción a un b) seja obtida autorização cada vez que for
sistema de prueba de aplicación; utilizada uma cópia da informação operacional para
uso de um aplicativo em teste;
c) debería borrarse, la información de producción
de un sistema de prueba de aplicación c) a informação operacional seja apagada do
inmediatamente después de que las pruebas son aplicativo em teste imediatamente após completar
completadas; o teste;
d) debería registrarse, la copia y el empleo de

información de producción para proporcionar una d) a cópia e o uso de informação operacional sejam
pista de auditoría. registrados de forma a prover uma trilha para
auditoria.
Las pruebas de sistema y de aceptación Informações adicionais
requieren por lo general volúmenes sustanciales Testes de sistema e testes de aceitação requerem
de datos de prueba que sean tan cercanos como normalmente volumes significativos de dados de
sea posible a datos de producción. teste que sejam o mais próximo possível aos dados
utilizados no ambiente operacional.
12.4.3 Control de acceso al código de
programas fuente 12.4.3 Controle de acesso ao código-fonte de
programa
Control
El acceso al código de programas fuente debería Controle
ser restringido. Convém que o acesso ao código-fonte de
programa seja restrito.
El acceso al código de programas fuente y Diretrizes para implementação
artículos asociados (como diseños, datos Convém que o acesso ao código-fonte de
específicos, proyectos de verificación y proyectos programa e de itens associados (como desenhos,
de validación) debería ser estrictamente especificações, planos de verificação e de
controlado, para prevenir la introducción de validação) seja estritamente controlado, com a
funcionalidad no autorizada y evitar cambios finalidade de prevenir a introdução de
involuntarios. Para el código de programas funcionalidade não autorizada e para evitar
fuente, esto puede alcanzarse por el mudanças não intencionais. Para os códigos-fonte
almacenamiento centralizado, controlado de tal de programas, este controle pode ser obtido com a
código, preferentemente en bibliotecas de guarda centralizada do código, de preferência
programas fuente. Las directrices siguientes utilizando bibliotecas de programa-fonte. Convém
deberían ser consideradas (véase también la que as seguintes orientações sejam consideradas
Cláusula 11) para controlar el acceso a tales (ver Seção 11) para o controle de acesso às
bibliotecas de programas fuente y para reducir el bibliotecas de programa-fonte, com a finalidade de
potencial de corrupción de programas del reduzir o risco de corrupção de programas de
computador: computador:
a) de ser posible, las bibliotecas de programas

fuente no deberían ser soportadas en sistemas de a) quando possível, seja evitado manter as
producción; bibliotecas de programa-fonte no mesmo ambiente
dos sistemas operacionais;
b) el código de programas fuente y las bibliotecas
de programas fuente deberían gestionarse según b) seja implementado o controle do código-fonte de
procedimientos establecidos; programa e das bibliotecas de programa-fonte,
conforme procedimentos estabelecidos;
c) el personal de apoyo debería tener acceso
restringido a bibliotecas de programas fuente; c) o pessoal de suporte não tenha acesso irrestrito
às bibliotecas de programa-fonte;
d) la actualización de bibliotecas de programas
fuente y artículos asociados, y la entrega de d) a atualização das bibliotecas de programa-fonte
programas fuente a programadores sólo debería e itens associados e a entrega de fontes de
realizarse después de que la autorización programas a programadores seja apenas efetuada
apropiada ha sido recibida; após o recebimento da autorização pertinente;
135 10.09.2007
e) los listados de programas deberían

mantenerse en un ambiente seguro (véase el e) as listagens dos programas sejam mantidas num
Apartado 10.7.4); ambiente seguro (ver 10.7.4);
f) debería mantenerse un registro de auditoría de

todos los accesos a bibliotecas de programas f) seja mantido um registro de auditoria de todos os
fuente; acessos a código-fonte de programa;
g) el mantenimiento y la copia de bibliotecas de

programas fuente deberían estar sujetos a g) a manutenção e a cópia das bibliotecas de
procedimientos estrictos de control de cambio programa-fonte estejam sujeitas a procedimentos
(véase el Apartado 12.5.1). estritos de controles de mudanças (ver 12.5.1);
El código de programas fuente es el código Informações adicionais
escrito por programadores, que son compilados (y Os códigos-fonte de programas são códigos
enlazados) para crear ejecutables. Ciertos escritos por programadores, que são compilados (e
lenguajes de programación, como el ejecutable es ligados) para criar programas executáveis.
creado en el tiempo en que es activado no Algumas linguagens de programação não fazem
distinguen formalmente entre el código fuente y uma distinção formal entre código-fonte e
ejecutable. executável, pois os executáveis são criados no
momento da sua ativação.
Las normas ISO 10007 e ISO/IEC 12207
proporcionan información adicional sobre los As ISO 10007 e ISO/IEC 12207 possuem mais
procesos de gestión de configuración y el proceso informações sobre a gestão de configuração e o
de ciclo de vida del software. processo de ciclo de vida de software.
12.5 Seguridad en los procesos de desarrollo

y soporte 12.5 Segurança em processos de
desenvolvimento e de suporte
OBJETIVO: Mantener la seguridad del software
de aplicación e información. Objetivo: Manter a segurança de sistemas
aplicativos e da informação.
Los proyectos y ambientes de soporte deberían
controlarse estrictamente. Convém que os ambientes de projeto e de suporte
sejam estritamente controlados.
Los gerentes responsables de sistemas de
aplicación también deberían ser responsables de Convém que os gerentes responsáveis pelos
la seguridad del proyecto o ambiente de soporte. sistemas aplicativos sejam também responsáveis
Ellos deberían asegurar que todos los cambios pela segurança dos ambientes de projeto ou de
propuestos en el sistema se revisan para suporte. Convém que eles assegurem que
comprobar que no ponen en peligro la seguridad mudanças propostas sejam analisadas criticamente
del sistema ni del ambiente de producción. para verificar que não comprometam a segurança
do sistema ou do ambiente operacional.
12.5.1 Procedimientos de control de cambio
12.5.1 Procedimentos para controle de
mudanças
Control
La implementación de cambios debería Controle
controlarse mediante el empleo de Convém que a implementação de mudanças seja
procedimientos formales de control de cambio. controlada utilizando procedimentos formais de
controle de mudanças.
Para reducir al mínimo la corrupción de sistemas Diretrizes para implementação
de información, deberían documentarse y hacerse Convém que os procedimentos de controle de
cumplir procedimientos formales de control de mudanças sejam documentados e reforçados com
cambio. La introducción de nuevos sistemas y a finalidade de minimizar a corrupção dos sistemas
136 10.09.2007
cambios mayores a sistemas existentes debería da informação. Convém que a introdução de novos
seguir un proceso formal de documentación, sistemas e mudanças maiores em sistemas
especificación, pruebas, control de calidad, y existentes sigam um processo formal de
gestión de implementación. documentação, especificação, teste, controle da
qualidade e gestão da implementação.
Este proceso debería incluir una evaluación de
riesgo, el análisis de los impactos de cambios, y Convém que o processo inclua uma
la especificación de los controles de seguridad análise/avaliação de riscos, análise do impacto das
necesarios. Este proceso también debería mudanças e a especificação dos controles de
asegurar que los procedimientos existentes de segurança requeridos. Convém que o processo
seguridad y control no son comprometidos, que a garanta que a segurança e os procedimentos de
los programadores de apoyo se les da el acceso controle atuais não sejam comprometidos, que os
sólo a aquellas partes del sistema necesario para programadores de suporte tenham acesso somente
su trabajo, y que el acuerdo formal y la às partes do sistema necessárias para o
aprobación para cualquier cambio son obtenidos. cumprimento das tarefas e que sejam obtidas
concordância e aprovação formal para qualquer
mudança obtida.
De ser practicable, los procedimientos de control
de cambio de aplicación y operacionales deberían Convém que, quando praticável, os procedimentos
integrarse (véase también el Apartado 10.1.2). de controle de mudanças sejam integrados (ver
Los procedimientos de cambio deberían incluir: 10.1.2). Convém que os procedimentos de
mudanças incluam:
a) el mantenimiento de un registro de niveles de
autorización acordados; a) a manutenção de um registro dos níveis
acordados de autorização;
b) asegurar que los cambios son efectuados por
usuarios autorizados; b) a garantia de que as mudanças sejam
submetidas por usuários autorizados;
c) revisar los controles y procedimientos de
integridad para asegurar que no serán c) a análise crítica dos procedimentos de controle e
comprometidos por los cambios; integridade para assegurar que as mudanças não
os comprometam;
d) identificar todo el software, la información,
entidades de base de datos, y el hardware que d) a identificação de todo software, informação,
requieran enmienda; entidades em bancos de dados e hardware que
precisam de emendas;
e) obtener la aprobación formal para propuestas
detalladas antes de que comience el trabajo; e) a obtenção de aprovação formal para propostas
detalhadas antes da implementação;
f) asegurar que los usuarios autorizados acepten
los cambios antes de la implementación; f) a garantia da aceitação das mudanças por
usuários autorizados, antes da implementação;
g) asegurar que al terminar cada cambio la
documentación de sistema es actualizada y que g) a garantia da atualização da documentação do
la vieja documentación es archivada o eliminada; sistema após conclusão de cada mudança e de
que a documentação antiga seja arquivada ou
descartada;
h) el mantenimiento de una versión controlada de
todas las actualizaciones de software; h) a manutenção de um controle de versão de
todas as atualizações de softwares;
i) el mantenimiento de una pista de auditoría de
todo el cambio solicitado; i) a manutenção de uma trilha para auditoria de
todas as mudanças solicitadas;
j) asegurar que la documentación de operaciones
(véase el Apartado 10.1.1) y los procedimientos j) a garantia de que toda a documentação
de usuario son cambiados según es necesario operacional (ver 10.1.1) e procedimentos dos
para permanecer adecuada; usuários sejam alterados conforme necessário e
que se mantenham apropriados;
k) asegurar que la implementación de cambios
137 10.09.2007
ocurra en el momento adecuado y no interfiera los k) a garantia de que as mudanças sejam

procesos de negocio implicados. implementadas em horários apropriados, sem a
perturbação dos processos de negócios cabíveis.
El cambio del software puede afectar el ambiente Informações adicionais
de producción. A mudança de software pode ter impacto no
ambiente operacional.
Las buenas prácticas incluyen las pruebas del
software nuevo en un ambiente segregado tanto As boas práticas incluem o teste de novos
del ambiente de producción como del ambiente softwares em um ambiente segregado dos
de desarrollo (véase también el Apartado 10.1.4). ambientes de produção e de desenvolvimento (ver
Esto proporciona un medio para tener el control 10.1.4). Isto fornece um meio de controle sobre o
sobre el nuevo software y permitir protección novo software e permite uma proteção adicional à
adicional a la información de producción que es informação operacional que é utilizada para
utilizada para hacer pruebas. Esto debería incluir propósitos de teste. Aplica-se também às
parches, paquetes de servicio (service packs), y correções, pacotes de serviço e outras
otras actualizaciones. Las actualizaciones atualizações. Convém que atualizações
automatizadas no deberían ser usadas sobre automáticas não sejam utilizadas em sistemas
sistemas críticos ya que algunas actualizaciones críticos, pois algumas atualizações podem causar
pueden hacer que fallen aplicaciones críticas falhas em aplicações críticas
(véase el Apartado 12.6). (ver 12.6).
12.5.2 Revisión técnica de aplicaciones

después de cambios del sistema operativo 12.5.2 Análise crítica técnica das aplicações
após mudanças no sistema operacional
Control
Cuando los sistemas operativos son cambiados, Controle
las aplicaciones críticas del negocio deberían ser Convém que aplicações críticas de negócios sejam
revisadas y probadas para asegurar que no hay analisadas criticamente e testadas quando
ningún impacto adverso sobre las operaciones o sistemas operacionais são mudados, para garantir
seguridad de la organización. que não haverá nenhum impacto adverso na
operação da organização ou na segurança.
Este proceso debería cubrir: Diretrizes para implementação
Convém que o processo compreenda:
a) la revisión de los controles de aplicación y
procedimientos de integridad para asegurar que a) uma análise crítica dos procedimentos de
ellos no han sido comprometidos por los cambios controle e integridade dos controles para assegurar
de sistema operativo; que não foram comprometidos pelas mudanças no
sistema operacional;
b) asegurar que el plan de apoyo anual y el
presupuesto cubrirán pruebas y revisiones de b) a garantia de que o plano anual de suporte e o
sistema resultantes de los cambios de sistema orçamento irão cobrir as análises e testes do
operativo; sistema devido às mudanças no sistema
operacional;
c) asegurar que la notificación de cambios al
sistema operativo es proporcionada a tiempo para c) a garantia de que as mudanças pretendidas
permitir que ocurran pruebas y revisiones sejam comunicadas em tempo hábil para permitir
apropiadas antes de la puesta en producción; os testes e análises críticas antes da
implementação das mudanças;
d) asegurar que los cambios apropiados son
hechos en los planes de continuidad de negocio d) a garantia de que as mudanças necessárias
(véase la Cláusula 14). sejam executadas nos planos de continuidade de
negócios (ver Seção 14).
Debería darse a un grupo o individuo específico la
responsabilidad de supervisar vulnerabilidades y Convém que seja dada responsabilidade a um
las liberaciones de parches y actualizaciones de grupo específico ou a um indivíduo para
los vendedores (véase el Apartado 12.6). monitoramento das vulnerabilidades e divulgação
de emendas e correções dos fornecedores de
138 10.09.2007
software (ver 12.6).

12.5.3 Restricciones sobre cambios a
paquetes de software 12.5.3 Restrições sobre mudanças em pacotes
de software
Control
Las modificaciones a paquetes de software Controle
deberían ser desalentadas, limitadas a cambios Convém que modificações em pacotes de software
necesarios, y todos los cambios deberían ser sejam desencorajadas e limitadas às mudanças
estrictamente controlados. necessárias e que todas as mudanças sejam
estritamente controladas.
En la medida de lo posible, y practicable, los Diretrizes para implementação
paquetes de software, suministrados por Quando possível e praticável, convém que pacotes
vendedores deberían ser utilizados sin de softwares providos pelos fornecedores sejam
modificación. Cuando un paquete de software utilizados sem modificações. Quando um pacote de
necesite ser modificado los siguientes puntos software requer modificação, convém que sejam
deberían ser considerados: considerados os seguintes itens:
a) el riesgo de comprometer los procesos de

control y de integridad existentes; a) o risco de que controles e processos de
integridade embutidos no software sejam
comprometidos;
b) si el consentimiento del vendedor debería ser
obtenido; b) a obtenção do consentimento do fornecedor;
c) la posibilidad de obtener los cambios

requeridos del vendedor como actualizaciones c) a possibilidade de obtenção junto ao fornecedor
normales de programa estándar; das mudanças necessárias como atualização
padrão do programa;
d) el impacto ocasionado, si la organización se
hace responsable por el futuro mantenimiento del d) o impacto resultante quando a organização
software como consecuencia de los cambios. passa a ser responsável para a manutenção futura
do software como resultado das mudanças.
Si los cambios son necesarios el software original
sería conservado y los cambios aplicados a una Se mudanças forem necessárias, convém que o
copia claramente identificada. Un proceso de software original seja mantido e as mudanças
gestión de actualización de software debería ser aplicadas numa cópia claramente identificada.
puesto en práctica para asegurar que los parches Convém que um processo de gestão de
más actualizados aprobados y actualizaciones de atualizações seja implementado para assegurar a
aplicación son instaladas para todo el software instalação das mais recentes correções e
autorizado (véase el Apartado 12.6). Todos los atualizações para todos os softwares autorizados
cambios totalmente deberían ser probados y (ver 12.6). Convém que todas as mudanças sejam
documentados, de modo que ellos puedan ser completamente testadas e documentadas para que
vueltos a aplicar si fuera necesario a futuras possam ser reaplicadas, se necessário, em
mejoras de software. De ser requerido, las atualizações futuras do software. Se requerido,
modificaciones deberían ser probadas y validadas convém que as modificações sejam testadas e
por un equipo de evaluación independiente. validadas por um grupo de avaliação independente.
12.5.4 Fuga de Información

12.5.4 Vazamento de informações
Control
Deberían prevenirse las oportunidades para la Controle
fuga de la información. Convém que oportunidades para vazamento de
informações sejam prevenidas.
Para limitar el riesgo de fugas de información, por Diretrizes para implementação
ejemplo, por el empleo y la explotación de Convém que os seguintes itens sejam
canales encubiertos, debería considerarse lo considerados, para limitar o risco de vazamento de
siguiente: informações, por exemplo através do uso e
139 10.09.2007
exploração de covert channels:

a) explorar los medios de comunicación de salida
y comunicaciones de información oculta; a) a varredura do envio de mídia e comunicações
para verificar a presença de informação oculta;
b) enmascaramiento y modulación de sistemas y
comportamiento de comunicaciones para reducir b) o mascaramento e a modulação do
la probabilidad de que un tercero sea capaz de comportamento dos sistemas e das comunicações
deducir información de tal comportamiento; para reduzir a possibilidade de terceiros deduzirem
informações a partir do comportamento dos
sistemas;
c) aprovechando sistemas y software que son
considerados, de alta integridad, por ejemplo c) a utilização de sistemas e software reconhecidos
usando productos evaluados (véase la norma como de alta integridade, por exemplo utilizando
ISO/IEC 15408); produtos avaliados (ver ISO/IEC 15408);
d) donde sea permitido, supervisión regular de

personal y actividades de sistema, conforme a d) o monitoramento regular das atividades do
legislación o regulación existente; pessoal e do sistema, quando permitido pela
legislação ou regulamentação vigente;
e) supervisión de uso de recurso en sistemas de
computador. e) o monitoramento do uso de recursos de
sistemas de computação.
Los canales encubiertos son los caminos que no Informações adicionais
son queridos para conducir flujos de la Os covert channels são caminhos não previstos
información, pero que sin embargo pueden existir para conduzir fluxo de informações, mas que no
en un sistema o la red. Por ejemplo, manipular entanto podem existir num sistema ou rede. Por
bits en protocolos de comunicación de paquetes exemplo, a manipulação de bits no protocolo de
podría ser usado como un método oculto de pacotes de comunicação poderia ser utilizada como
señalización. Por naturaleza, prevenir la um método oculto de sinalização. Devido à sua
existencia de todos los posibles canales natureza, seria difícil, se não impossível, precaver-
encubiertos sería difícil, si no imposible. Sin se contra a existência de todos os possíveis covert
embargo, la explotación de tales canales es a channels. No entanto, a exploração destes canais
menudo realizada por el código troyano (véase freqüentemente é realizada por código troiano (ver
también el Apartado 10.4.1). Por lo tanto la toma 10.4.1). A adoção de medidas de proteção contra
de medidas para proteger contra el código código troiano reduz, conseqüentemente, o risco de
troyano reduce el riesgo de explotación de canal exploração de covert channels.
encubierto.
La prevención acerca de accesos de red no

autorizados (11.4), así como la política y los A precaução contra acesso não autorizado à rede
procedimientos para desalentar el mal uso de (ver 11.4), como também políticas e procedimentos
servicios de la información por el personal para dissuadir o mau uso de serviços de
(15.1.5), ayudará a protegerse contra canales informação pelo pessoal (ver 15.1.5), pode ajudar a
encubiertos. proteger contra covert channels.
12.5.5 Desarrollo externo de software

12.5.5 Desenvolvimento terceirizado de
software
Control
El desarrollo externo de software debería ser Controle
supervisado y seguido por la organización. Convém que a organização supervisione e
monitore o desenvolvimento terceirizado de
software.
Cuando el desarrollo de software sea externo, los Diretrizes para implementação
siguientes puntos deberían considerarse: Convém que sejam considerados os seguintes
itens quando do desenvolvimento de software
terceirizado:
140 10.09.2007
a) acuerdos de licencias, la propiedad del código,

y derechos de propiedad intelectual (véase el a) acordos de licenciamento, propriedade do código
Apartado 15.1.2); e direitos de propriedade intelectual (ver 15.1.2);
b) certificación de la calidad y exactitud del

trabajo realizado; b) certificação da qualidade e exatidão do serviço
realizado;
c) acuerdos de custodia (escrow) en caso de
fracaso del proveedor externo; c) provisões para custódia no caso de falha da
terceira parte;
d) los derechos de acceso para la revisión de la
calidad y exactitud de trabajo realizado; d) direitos de acesso para auditorias de qualidade e
exatidão do serviço realizado;
e) exigencias contractuales sobre la calidad y
seguridad de la funcionalidad del código; e) requisitos contratuais para a qualidade e
funcionalidade da segurança do código;
f) pruebas antes de la instalación para descubrir
código malicioso y troyano. f) testes antes da instalação para detectar a
presença de código malicioso e troiano.
12.6 Gestión de vulnerabilidad técnica
12.6 Gestão de vulnerabilidades técnicas
OBJETIVO: Reducir los riesgos resultantes de la
explotación de vulnerabilidades técnicas Objetivo: Reduzir riscos resultantes da exploração
publicadas. de vulnerabilidades técnicas conhecidas.
La gestión de vulnerabilidades técnicas debería

implementarse como un camino eficaz, Convém que a implementação da gestão de
sistemático, y repetible con toma de mediciones vulnerabilidades técnicas seja implementada de
para confirmar su eficacia. Estas consideraciones forma efetiva, sistemática e de forma repetível com
deberían incluir los sistemas operativos, y medições de confirmação da efetividade. Convém
cualquier otra aplicación en uso. que estas considerações incluam sistemas
operacionais e quaisquer outras aplicações em
uso.
12.6.1 Control de vulnerabilidades técnicas
12.6.1 Controle de vulnerabilidades técnicas
Control
Debería obtenerse información oportuna sobre las Controle
vulnerabilidades técnicas de los sistemas de Convém que seja obtida informação em tempo
información en uso, evaluarse la exposición de la hábil sobre vulnerabilidades técnicas dos sistemas
organización a tales vulnerabilidades, y tomar de informação em uso, avaliada a exposição da
medidas apropiadas para gestionar el riesgo organização a estas vulnerabilidades e tomadas as
asociado. medidas apropriadas para lidar com os riscos
associados.
Un requisito previo para la gestión eficaz de Diretrizes para implementação
vulnerabilidades técnicas es un inventario actual y Um inventário completo e atualizado dos ativos de
completo de activos (véase el Apartado 7.1). informação (ver 7.1) é um pré-requisito para uma
Información específica necesaria para apoyar la gestão efetiva de vulnerabilidade técnica.
gestión de vulnerabilidades técnicas, incluye al Informação específica para o apoio à gestão de
vendedor de software, números de versión, el vulnerabilidade técnica inclui o fornecedor de
estado actual de despliegue (por ejemplo que software, o número de versão, o status atual de uso
software esta instalado sobre que sistemas), y e distribuição (por exemplo, que softwares estão
la(s) persona(s) responsable(s) dentro de la instalados e em quais sistemas) e a(s) pessoa(s)
organización del software. na organização responsável(is) pelos softwares.
Apropiadamente, la acción oportuna debería

tomarse en respuesta a la identificación de Convém que a ação apropriada seja tomada, no
potenciales vulnerabilidades técnicas. Las devido tempo, como resposta às potenciais
141 10.09.2007
siguientes recomendaciones deberían seguirse vulnerabilidades técnicas identificadas. Convém

para establecer un proceso eficaz de gestión de que as seguintes diretrizes sejam seguidas para o
vulnerabilidades técnicas: estabelecimento de um processo de gestão efetivo
de vulnerabilidades técnicas:
a) la organización debería definir y establecer los
roles y responsabilidades asociados con la a) a organização defina e estabeleça as funções e
gestión de vulnerabilidades técnicas, incluyendo responsabilidades associadas na gestão de
la supervisión de la vulnerabilidad, la evaluación vulnerabilidades técnicas, incluindo o
de riesgo de la vulnerabilidad, la aplicación de monitoramento de vulnerabilidades, a
parches (patchs), el seguimiento de activo, y análise/avaliação de riscos de vulnerabilidades,
cualquier responsabilidad de coordinación patches, acompanhamento dos ativos e qualquer
requerida; coordenação de responsabilidades requerida;
b) deberían identificarse los recursos de

información que se van a utilizar para identificar b) os recursos de informação a serem usados para
las vulnerabilidades técnicas pertinentes y para a identificar vulnerabilidades técnicas relevantes e
mantener la concientización sobre ellas para el para manter a conscientização sobre eles sejam
software y otra tecnología (basado a la lista de identificados para softwares e outras tecnologias
inventario de activos, véase el Apartado 7.1.1), (com base na lista de inventário dos ativos, ver
estos recursos de la información deberían ser 7.1.1); convém que esses recursos de informação
actualizados basándose en cambios del sejam mantidos atualizados com base nas
inventario, o cuando son encontrados otros mudanças no inventário de ativos, ou quando
recursos nuevos o útiles; outros recursos novos ou úteis forem encontrados;
c) un cronograma para reaccionar a las

notificaciones de vulnerabilidades técnicas c) seja definido um prazo para a reação a
potencialmente relevantes; notificações de potenciais vulnerabilidades técnicas
relevantes;
d) una vez que ha sido detectada una potencial
vulnerabilidad técnica, la organización debería d) uma vez que uma vulnerabilidade técnica
identificar los riesgos asociados y las acciones a potencial tenha sido identificada, convém que a
ser tomadas; tal acción podría implicar el instalar organização avalie os riscos associados e as ações
el parche (patch) a sistemas vulnerables y/o la a serem tomadas; tais ações podem requerer o uso
aplicación de otros controles; de patches nos sistemas vulneráveis e/ou a
aplicação de outros controles;
e) según cuan urgentemente tiene que ser
gestionada una vulnerabilidad técnica, la acción a e) dependendo da urgência exigida para tratar uma
tomar debería ser realizada según controles vulnerabilidade técnica, convém que a ação
relacionados a la gestión de cambio (véase el tomada esteja de acordo com os controles
Apartado 12.5.1) o según procedimientos de relacionados com a gestão de mudanças (ver
gestión de incidentes de seguridad de la 12.5.1) ou que sejam seguidos os procedimentos
información (véase el Apartado 13.2); de resposta a incidentes de segurança da
informação (ver 13.2);
f) si esta disponible un parche (patch), los riesgos
asociados con la instalación del parche (patch) f) se um patch for disponibilizado, convém que
deberían ser evaluados (los riesgos planteados sejam avaliados os riscos associados à sua
por la vulnerabilidad deberían ser comparados instalação (convém que os riscos associados à
con el riesgo de instalar el parche); vulnerabilidade sejam comparados com os riscos
de instalação do patch);
g) los parches (patches) deberían probarse y
evaluarse antes de ser instalados para g) patches sejam testados e avaliados antes de
asegurarse que son eficaces y no causan efectos serem instaladas para assegurar a efetividade e
secundarios que no pueden ser tolerados; si no que não tragam efeitos que não possam ser
está disponible ningún parche, deberían tolerados; quando não existir a disponibilidade de
considerarse otros controles, como: um patch, convém considerar o uso de outros
controles, tais como:
1) bajar servicios o funcionalidades
relacionadas con la vulnerabilidad; 1) a desativação de serviços ou potencialidades
relacionadas à vulnerabilidade;
142 10.09.2007
2) adaptar o agregar controles de acceso, por

ejemplo: cortafuegos (firewalls), en los 2) a adaptação ou agregação de controles de
bordes de la red (véase el Apartado acesso, por exemplo firewalls nas fronteiras
11.4.5); da rede (ver 11.4.5);
3) aumentar el seguimiento para descubrir o

prevenir ataques reales; 3) o aumento do monitoramento para detectar
ou prevenir ataques reais;
4) fomentar conciencia de la vulnerabilidad;
4) o aumento da conscientização sobre a
vulnerabilidade;
h) debería mantenerse un registro de auditoría
para todos los procedimientos emprendidos; h) seja mantido um registro de auditoria de todos
os procedimentos realizados;
i) debería supervisarse y evaluarse con
regularidad el proceso de gestión de i) com a finalidade de assegurar a eficácia e a
vulnerabilidades técnicas para asegurar su eficiência, convém que seja monitorado e avaliado
eficacia y eficacia; regularmente o processo de gestão de
vulnerabilidades técnicas;
j) deberían gestionarse primero los sistemas en
alto riesgo. j) convém abordar em primeiro lugar os sistemas
com altos riscos.
El correcto funcionamiento del proceso de gestión Informações adicionais
de vulnerabilidades técnicas de una organización O correto funcionamento do processo de gestão de
es crítico en muchas organizaciones y por lo tanto vulnerabilidades técnicas é crítico para muitas
debería ser supervisado con regularidad. Un organizações e, portanto, convém que seja
inventario exacto es esencial para asegurar que monitorado regularmente. Um inventário de ativos
son identificadas vulnerabilidades técnicas preciso é essencial para assegurar que
potencialmente relevantes. vulnerabilidades potenciais relevantes sejam
identificadas.
La gestión de vulnerabilidades técnicas puede ser
vista como una sub-función de la gestión de A gestão de vulnerabilidades técnicas pode ser
cambio y como tal puede aprovechar los procesos vista como uma subfunção da gestão de mudanças
y procedimientos de gestión de cambio (véase los e, como tal, pode aproveitar os procedimentos e
Apartados 10.1.2 y 12.5.1). processos da gestão de mudanças (ver 10.1.2 e
12.5.1).
Los vendedores están a menudo bajo la presión
significativa de liberar parches (patches) cuanto Os fornecedores estão sempre sob grande pressão
antes. Por lo tanto, un parche (patch) puede no para liberar patches tão logo quanto possível.
gestionar el problema adecuadamente y puede Portanto, um patch pode não abordar o problema
tener efectos secundarios negativos. También, en adequadamente e pode causar efeitos colaterais
algunos casos, una vez que el parche (patch) es negativos. Também, em alguns casos, a
aplicado, puede no ser fácilmente efectuada la desinstalação de um patch pode não ser facilmente
desinstalación del mismo. realizável após sua instalação.
Si no son posibles las pruebas adecuadas de los

parches, por ejemplo debido a gastos o carencia Quando testes adequados de patch não forem
de recursos, puede considerarse, una demora en possíveis, por exemplo, devido a custos ou falta de
aplicar el parche (patch), para evaluar los riesgos recursos, um atraso no uso do patch pode ser
asociados, basados en la experiencia reportada considerado para avaliar os riscos associados,
por otros usuarios. baseado nas experiências relatadas por outros
usuários.
13 Gestión de incidentes de la Seguridad
de la Información 13 Gestão de incidentes de segurança da
informação
13.1 Reporte de debilidades y eventos de
seguridad de la información 13.1 Notificação de fragilidades e eventos de
143 10.09.2007
OBJETIVO: Asegurar que las debilidades y
eventos de seguridad de la información asociados Objetivo: Assegurar que fragilidades e eventos de
a sistemas de información son comunicados de segurança da informação associados com sistemas
manera de permitir tomar acciones correctivas a de informação sejam comunicados, permitindo a
tiempo. tomada de ação corretiva em tempo hábil.
Deberían establecerse procedimientos formales

de reporte y escalamiento de eventos. Todos los Convém que sejam estabelecidos procedimentos
empleados, contratistas y usuarios de terceras formais de registro e escalonamento. Convém que
partes deberían ser puestos al tanto de los todos os funcionários, fornecedores e terceiros
procedimientos para reportar los diversos tipos de estejam conscientes sobre os procedimentos para
acontecimientos y debilidades que puedan tener notificação dos diferentes tipos de eventos e
un impacto en la seguridad de activos de la fragilidades que possam ter impactos na segurança
organización. A ellos se les debería exigir reportar dos ativos da organização. Convém que seja
cualquier evento o debilidad de seguridad de la requerido que os eventos de segurança da
información lo más rápidamente posible al punto informação e fragilidades sejam notificados, tão
designado de contacto. logo quanto possível, ao ponto de contato
designado.
13.1.1 Reportando eventos de seguridad de la
información 13.1.1 Notificação de eventos de segurança da
informação
Control
Los eventos de seguridad de la información Controle
deberían ser reportados a través de los canales Convém que os eventos de segurança da
apropiados de gestión tan pronto como sea informação sejam relatados através dos canais
posible. apropriados da direção, o mais rapidamente
possível.
Debería establecerse un procedimiento formal Diretrizes para Implementação
para el reporte de eventos de seguridad de la Convém que um procedimento de notificação
información, junto con una respuesta al incidente formal seja estabelecido para relatar os eventos de
y un procedimiento de escalamiento, precisando segurança da informação, junto com um
la acción que se tomará al momento de recibir un procedimento de resposta a incidente e
informe de un evento de seguridad de la escalonamento, estabelecendo a ação a ser
información. Debería establecerse un punto de tomada ao se receber a notificação de um evento
contacto para el reporte de los eventos de de segurança da informação. Convém que um
seguridad de la información. Debería asegurarse ponto de contato seja estabelecido para receber as
que este punto de contacto se conoce en toda la notificações dos eventos de segurança da
organización, está siempre disponible y puede informação. Convém que este ponto de contato
proporcionar respuesta adecuada y oportuna. seja de conhecimento de toda a organização e
esteja sempre disponível e em condições de
assegurar uma resposta adequada e oportuna.
Todos los empleados, contratistas y usuarios de
terceros deberían ser advertidos de su Convém que todos os funcionários, fornecedores e
responsabilidad de reportar cualquier evento de terceiros sejam alertados sobre sua
seguridad de la información lo más rápidamente responsabilidade de notificar qualquer evento de
posible. Deberían también conocer el segurança da informação o mais rapidamente
procedimiento para reportar los eventos de possível. Convém que eles também estejam
seguridad de la información y el punto de cientes do procedimento para notificar os eventos
contacto. Los procedimientos de reporte deberían de segurança da informação e do ponto de contato
incluir: designado para este fim. Convém que os
procedimentos incluam:
a) procesos adecuados de realimentación para
asegurarse de aquellos que reportan eventos de a) processos adequados de realimentação para
seguridad de la información están siendo assegurar que os eventos de segurança da
notificados de los resultados después que el informação relatados sejam notificados dos
reporte se haya tratado y haya sido cerrado; resultados após a questão ter sido conduzida e
144 10.09.2007
concluída;
b) formatos para el reporte de eventos de
seguridad de la información como forma de b) formulário para apoiar a ação de notificar um
soporte a la acción de generación de reportes, y evento de segurança da informação e ajudar as
para ayudar a la persona que reporta a recordar pessoas a lembrar as ações necessárias para a
todas las acciones necesarias en caso de un notificação do evento;
evento de seguridad de la información;
c) el comportamiento correcto que se emprenderá

en caso de un evento de seguridad de la c) o comportamento correto a ser tomado no caso
información, es decir: de um evento de segurança da informação, como,
por exemplo:
1) observando todos los detalles importantes
(por ejemplo, tipo del incumplimiento o 1) anotar todos os detalhes importantes
violación, mal funcionamiento que se imediatamente (por exemplo, tipo de não-
presenta, mensajes en la pantalla, conformidade ou violação, mau
comportamiento extraño) inmediatamente; funcionamento, mensagens na tela,
comportamento estranho);
2) no realizando ninguna acción propia, pero
inmediatamente reportar al punto de 2) não tomar nenhuma ação própria, mas
contacto; informar imediatamente o evento ao ponto de
contato;
d) referencia a un proceso disciplinario formal
establecido para tratar con empleados, d) referência para um processo disciplinar formal
contratistas o usuarios de terceros que cometen estabelecido para lidar com funcionários,
eventos de seguridad. fornecedores ou terceiros que cometam violações
de segurança da informação.
En ambientes de alto riesgo, una alarma de
coerción1) puede ser proporcionada mediante la Em ambientes de alto risco, podem ser fornecidos
cual una persona bajo coerción pueda indicar alarmes de coação1) através do qual a pessoa que
tales problemas. Los procedimientos para está sendo coagida possa sinalizar o que está
responder a las alarmas de coerción deberían ocorrendo. Convém que os procedimentos para
reflejar la situación de alto riesgo que tales responder a alarmes de coação reflitam o alto risco
alarmas están indicando. que a situação exige.
_______________
1)
Una alarma de coerción es un método para secretamente _______________
indicar que una acción está ocurriendo bajo coerción. 1)
Alarme de coação é um método usado para indicar, de forma
secreta, que uma ação está acontecendo sob coação.
Ejemplos de eventos e incidentes de seguridad Informações adicionais
de la información son: Exemplos de eventos e incidentes de segurança da
informação são:
a) pérdida de servicio, de equipos o de
instalaciones; a) perda de serviço, equipamento ou recursos;
b) mal funcionamiento o sobrecargas del sistema;

b) mau funcionamento ou sobrecarga de sistema;
c) errores humanos;
c) erros humanos;
d) no cumplimiento con políticas o pautas;
d) não-conformidade com políticas ou diretrizes;
e) violaciones de las disposiciones de seguridad
física; e) violações de procedimentos de segurança física;
f) cambios de sistema no controlados;

f) mudanças descontroladas de sistemas;
g) mal funcionamiento de software o hardware;
g) mau funcionamento de software ou hardware;
145 10.09.2007
h) violaciones de acceso.
h) violação de acesso.
Con el debido cuidado de los aspectos de
confidencialidad, los incidentes de seguridad de la Considerando os cuidados com os aspectos de
información se pueden utilizar en la formación de confidencialidade, os incidentes de segurança da
conciencia del usuario (véase el Apartado 8.2.2) informação podem ser utilizados em treinamento de
como ejemplos de lo que podría suceder, cómo conscientização (ver 8.2.2) como exemplos do que
responder a tales incidentes, y cómo evitarlos en poderia ocorrer, como responder a tais incidentes e
el futuro. Para poder atender eventos e incidentes como evitá-los futuramente. Para ser capaz de
de seguridad de la información podría ser destinar os eventos e incidentes de segurança da
necesario recoger evidencia cuanto antes informação adequadamente, pode ser necessário
después de la ocurrencia (véase el Apartado coletar evidências tão logo quanto possível depois
13.2.3). da ocorrência (ver 13.2.3).
Los desperfectos u otros comportamientos

anómalos del sistema pueden ser un indicador de Um mau funcionamento ou outras anomalias de
un ataque a la seguridad o de una violación real a comportamento de sistemas podem ser um
la seguridad y por lo tanto debería siempre indicador de um ataque de segurança ou violação
reportarse como un evento de seguridad de la de segurança e, portanto, convém que sempre
información. sejam notificados como um evento de segurança
da informação.
Más información sobre el reporte de eventos de
seguridad de la información y gestión de los Mais informações sobre notificação de eventos de
incidentes de seguridad de la información se segurança da informação e gestão de incidentes de
puede encontrar en la norma ISO/IEC TR 18044. segurança da informação podem ser encontradas
na ISO/IEC TR 18044.
13.1.2 Reportando debilidades de seguridad
13.1.2 Notificando fragilidades de segurança da
informação
Control
A todos los empleados, contratistas y usuarios de Controle
terceros de sistemas y de los servicios de Convém que os funcionários, fornecedores e
información se les debería exigir observar y terceiros de sistemas e serviços de informação
reportar cualquier debilidad de seguridad vista o sejam instruídos a registrar e notificar qualquer
sospechada en sistemas o servicios. observação ou suspeita de fragilidade em sistemas
ou serviços.
Todos los empleados, contratistas y usuarios de Diretrizes para implementação
terceros deberían reportar estos asuntos ya sea a Convém que os funcionários, fornecedores e
su gerencia o directamente a su proveedor de terceiros notifiquem esse assunto o mais rápido
servicios lo más rápidamente posible para possível para sua direção ou diretamente ao seu
prevenir incidentes de seguridad de la provedor de serviços, de forma a prevenir
información. El mecanismo de reporte debería ser incidentes de segurança da informação. Convém
sencillo, accesible, y disponible según sea que o mecanismo de notificação seja fácil,
posible. Se les debería informar a ellos que, en acessível e disponível sempre que possível.
ninguna circunstancia, deberían intentar probar Convém que os usuários sejam informados que
una debilidad sospechada. não podem, sob nenhuma circunstância, tentar
averiguar fragilidade suspeita.
Los empleados, los contratistas y los usuarios de Informações adicionais
terceros deberían ser aconsejados de no procurar Convém que os funcionários, fornecedores e
probar debilidades sospechadas de seguridad. terceiros sejam alertados para não tentarem
Pruebas de debilidades pueden ser interpretadas averiguar uma fragilidade de segurança da
como un potencial uso erróneo del sistema y informação suspeita. Testar fragilidades pode ser
podrían también causar daño al sistema de interpretado como um uso impróprio potencial do
información o al servicio y resultar en una sistema e também pode causar danos ao sistema
responsabilidad legal para el individuo que ou serviço de informação, resultando em
realizaba la prueba. responsabilidade legal ao indivíduo que efetuar o
teste.
146 10.09.2007
13.2 Gestión de incidentes y mejoras de

seguridad de la información 13.2 Gestão de incidentes de segurança da
informação e melhorias
OBJETIVO: Asegurar que un enfoque constante y
eficaz se aplica a la gestión de los incidentes de Objetivo: Assegurar que um enfoque consistente e
seguridad de la información. efetivo seja aplicado à gestão de incidentes de
deberían establecerse responsabilidades y
procedimientos para manejar eventos y Convém que responsabilidades e procedimentos
debilidades de seguridad de la información con estejam definidos para o manuseio efetivo de
eficacia una vez que se hayan reportado. Un eventos de segurança da informação e fragilidades,
proceso de mejora continua debería aplicarse a la uma vez que estes tenham sido notificados.
respuesta para la supervisión, evaluación, y Convém que um processo de melhoria contínua
gestión general de incidentes de seguridad de la seja aplicado às respostas, monitoramento,
información. avaliação e gestão total de incidentes de segurança
da informação.
Cuando se requiera evidencia, la misma debería
ser recogida asegurando conformidad con Convém que onde evidências sejam exigidas, estas
requisitos legales. sejam coletadas para assegurar a conformidade
com as exigências legais.
13.2.1 Responsabilidades y procedimientos
13.2.1 Responsabilidades e procedimentos
Control
Deberían establecerse las responsabilidades y los Controle
procedimientos de gestión para asegurar una Convém que responsabilidades e procedimentos
respuesta rápida, eficaz, y ordenada a los de gestão sejam estabelecidos para assegurar
incidentes de seguridad de la información. respostas rápidas, efetivas e ordenadas a
incidentes de segurança da informação.
Además del reporte de los eventos y de las Diretrizes para implementação
debilidades de seguridad de la información (véase Convém que, adicionalmente à notificação de
también el Apartado 13.1), la supervisión de eventos de segurança da informação e fragilidades
sistemas, alarmas, y vulnerabilidades (10.10.2) (ver 13.1), o monitoramento de sistemas, alertas e
debería utilizarse para detectar incidentes de vulnerabilidades (10.10.2) seja utilizado para a
seguridad de la información. Las siguientes detecção de incidentes de segurança da
recomendaciones para procedimientos de gestión informação. Convém que as seguintes diretrizes
de incidentes de seguridad de la información para procedimentos de gestão de incidentes de
deberían ser consideradas: segurança da informação sejam consideradas:
a) deberían establecerse procedimientos para

manejar diversos tipos de incidente de seguridad a) procedimentos sejam estabelecidos para
de la información, incluyendo: manusear diferentes tipos de incidentes de
segurança da informação, incluindo:
1) fallos del sistema de información y pérdida
de servicio; 1) falhas de sistemas de informações e perda
de serviços;
2) código malicioso (véase el Apartado 10.4.1);
2) código malicioso (ver 10.4.1);
3) negación de servicio;
3) denial of service (negação de serviço);
4) errores producidos por datos de negocio
incompletos o inexactos; 4) erros resultantes de dados incompletos ou
inconsistentes;
5) violaciones de la confidencialidad e
integridad; 5) violações de confidencialidade e integridade;
6) uso erróneo de los sistemas de información;

6) uso impróprio de sistemas de informação;
147 10.09.2007
b) además de planes de contingencia normales

(véase el Apartado 14.1.3), los procedimientos b) além dos planos de contingência (ver 14.1.3),
deberían también cubrir (véase también el convém que os procedimentos também considerem
Apartado 13.2.2): (ver 13.2.2):
1) análisis e identificación de la causa del

incidente; 1) análise e identificação da causa do incidente;
2) contención;
2) retenção;
3) la planificación e implementación de la
acción correctiva para prevenir la 3) planejamento e implementação de ação
repetición, en caso de necesidad; corretiva para prevenir a sua repetição, se
necessário;
4) comunicación con aquellos afectados por o
implicados en la recuperación del incidente; 4) comunicação com aqueles afetados ou
envolvidos com a recuperação do incidente;
5) reporte del evento a la autoridad apropiada;
5) notificação da ação para a autoridade
apropriada;
c) pistas de auditoría y evidencia similar deberían
recogerse (véase el Apartado 13.2.3) y c) convém que trilhas de auditoria e evidências
asegurarse, como sea apropiado, para: similares sejam coletadas (ver 13.2.3) e protegidas,
como apropriado, para:
1) análisis interno del problema;
1) análise de problemas internos;
2) uso como evidencia forense en lo referente
a una violación potencial de un contrato o 2) uso como evidência forense para o caso de
de un requisito regulador o en la uma potencial violação de contrato ou de
eventualidad de procesos civiles o normas
criminales, por ejemplo, bajo legislación de reguladoras ou em caso de delitos civis ou
abuso de sistemas o de protección de los criminais, por exemplo relacionados ao uso
datos; impróprio de computadores ou legislação de
proteção dos dados;
3) negociar una compensación por parte de
proveedores de software y de servicio; 3) negociação para compensação ou
ressarcimento por parte de fornecedores de
software e
serviços;
d) la acción para la recuperación de las
violaciones de la seguridad y la corrección de las d) convém que as ações para recuperação de
fallas del sistema debería estar cuidadosa y violações de segurança e correção de falhas do
formalmente controlada; los procedimientos sistema sejam cuidadosa e formalmente
deberían asegurar que: controladas; convém que os procedimentos
assegurem que:
1) solamente al personal claramente
identificado y autorizado se le permite el 1) apenas funcionários explicitamente
acceso a los sistemas en producción y a identificados e autorizados estejam liberados
sus datos (véase también el Apartado 6.2 para acessar sistemas e dados em produção
para el acceso externo); (ver 6.2 para acesso externo);
2) todas las medidas de urgencia tomadas se

documentan detalladamente; 2) todas as ações de emergência sejam
documentadas em detalhe;
3) las medidas de urgencia se reportan a la
dirección y se repasan de una manera 3) as ações de emergência sejam relatadas
ordenada; para a direção e analisadas criticamente de
maneira ordenada;
4) la integridad de los sistemas y de los
148 10.09.2007
controles del negocio se confirma con un 4) a integridade dos sistemas do negócio e

retraso mínimo. seus controles sejam validados na maior
brevidade.
Los objetivos para la gestión de incidentes de
seguridad de la información se deberían acordar Convém que os objetivos da gestão de incidentes
con la dirección, y debería asegurarse que de segurança da informação estejam em
aquellos responsables de esta gestión entienden concordância com a direção e que seja assegurado
las prioridades de la organización para manejar que os responsáveis pela gestão de incidentes de
incidentes de seguridad de la información. segurança da informação entendem as prioridades
da organização no manuseio de incidentes de
Los incidentes de seguridad de la información Informações adicionais
pueden superar los límites de la organización y Os incidentes de segurança da informação podem
los nacionales. Para responder a tales incidentes transcender fronteiras organizacionais e nacionais.
existe una necesidad en aumento de coordinar Para responder a estes incidentes, cada vez mais
respuesta y compartir la información sobre estos há a necessidade de resposta coordenada e troca
incidentes con organizaciones externas como sea de informações sobre eles com organizações
apropiado. externas, quando apropriado.
13.2.2 Aprendiendo de los incidentes de

seguridad de la información 13.2.2 Aprendendo com os incidentes de
Control
Deberían existir mecanismos establecidos para Controle
permitir que los tipos, volúmenes y costos de los Convém que sejam estabelecidos mecanismos
incidentes de seguridad de la información sean para permitir que tipos, quantidades e custos dos
cuantificados y supervisados. incidentes de segurança da informação sejam
quantificados e monitorados.
La información obtenida de la evaluación de Diretrizes para implementação
incidentes de seguridad de la información debería Convém que a informação resultante da análise de
ser usada para identificar incidentes recurrentes o incidentes de segurança da informação seja usada
de alto impacto. para identificar incidentes recorrentes ou de alto
impacto.
La evaluación de incidentes de seguridad de la Informações adicionais
información puede indicar la necesidad de A análise de incidentes de segurança da
mejorar o agregar controles para limitar la informação pode indicar a necessidade de
frecuencia, daño y costo de futuras ocurrencias, o melhorias ou controles adicionais para limitar a
para ser tomada en cuenta en el proceso de freqüência, danos e custos de ocorrências futuras
revisión de la política de seguridad (véase el ou para ser levada em conta quando for realizado o
Apartado 5.1.2). processo de análise crítica da política de segurança
da informação (ver 5.1.2).
13.2.3 Recolección de evidencia
13.2.3 Coleta de evidências
Control
Cuando una acción de seguimiento contra una Controle
persona u organización, después de un incidente Nos casos em que uma ação de acompanhamento
de seguridad de la información, implica una contra uma pessoa ou organização, após um
acción legal (civil o criminal), se debería incidente de segurança da informação, envolver
recolectar, retener y presentar evidencia para uma ação legal (civil ou criminal), convém que
cumplir con las reglas de presentación de evidências sejam coletadas, armazenadas e
evidencia en la(s) jurisdicción(es) relevante(s). apresentadas em conformidade com as normas de
armazenamento de evidências da jurisdição(ões)
pertinente(s).
Deberían desarrollarse y seguirse procedimientos Diretrizes para implementação
internos al recoger y presentar la evidencia para Convém que procedimentos internos sejam
149 10.09.2007
los propósitos de acción disciplinaria manejados elaborados e respeitados para as atividades de

dentro de una organización. coleta e apresentação de evidências com o
propósito de ação disciplinar movida em uma
organização.
En general, las reglas para manejo de evidencias
cubren: Em geral, as normas para evidências abrangem:
a) admisibilidad de la evidencia: si la evidencia se

puede utilizar o no en la corte; a) admissibilidade da evidência: se a evidência
pode ser ou não utilizada na corte;
b) peso de evidencia: la calidad y lo completitud
de la evidencia. b) importância da evidência: qualidade e inteireza
da evidência.
Para alcanzar la admisibilidad de la evidencia, la
organización debería asegurarse de que sus Para obter a admissibilidade da evidência, convém
sistemas de información cumplen con cualquier que a organização assegure que seus sistemas de
norma o código de práctica publicado para la informação estejam de acordo com qualquer norma
producción de evidencia admisible. ou código de prática publicado para produção de
evidência admissível.
El peso de la evidencia proporcionado debería
estar de acuerdo con cualquier requisito aplicable. Convém que o valor da evidência esteja de acordo
Para lograr el peso de la evidencia, se debería com algum requisito aplicável. Para obter o valor da
demostrar la calidad y cabalidad de los controles evidência, convém que a qualidade e a inteireza
empleados para proteger correcta y dos controles usados para proteger as evidências
consistentemente la evidencia (es decir, evidencia de forma correta e consistente (ou seja, o processo
del control del proceso) en todo el periodo en el de controle de evidências) durante todo o período
cual la evidencia por recuperar se almacenó y de armazenamento e processamento da evidência
procesó, mediante una pista sólida de la sejam demonstradas por uma trilha forte de
evidencia. En general, dicha pista sólida se puede evidência. Em geral, essa trilha forte de evidência
establecer bajo las siguientes condiciones: pode ser estabelecida sob as seguintes condições:
a) para los documentos en papel: el original se

guarda de manera segura con un registro de el a) para documentos em papel: o original é mantido
individuo que encontró el documento, donde fue de forma segura, com um registro da pessoa que o
encontrado el documento, cuando el documento encontrou, do local e data em que foi encontrado e
fue encontrado y quién fue testigo del quem testemunhou a descoberta; convém que
descubrimiento; cualquier investigación debería qualquer investigação assegure que os originais
asegurarse de que las originales no sean não foram adulterados;
alterados;
b) para la información sobre medios de

computadora: las imágenes o las copias espejo b) para informação em mídia eletrônica: convém
(dependiendo de requisitos aplicables) de que imagens espelho ou cópias (dependendo de
cualquier medio removible, información en discos requisitos aplicáveis) de quaisquer mídias
duros o en memoria deberían ser tomadas para removíveis, discos rígidos ou em memórias sejam
asegurar su disponibilidad; el registro de todas las providenciadas para assegurar disponibilidade;
acciones durante el proceso de copiado debería convém que o registro de todas as ações tomadas
guardarse y el proceso debería efectuarse ante durante o processo de cópia seja guardado e que o
testigos; los medios originales y el registro (si este processo seja testemunhado; convém que a mídia
no es posible, por lo menos una imagen espejo o original que contém a informação e o registro (ou,
copia) deberían guardarse de manera segura e caso isso não seja possível, pelo menos uma
intactos. imagem espelho ou cópia) seja mantido de forma
segura e intocável.
Cualquier trabajo forense debería realizarse
solamente sobre copias del material de evidencia. Convém que qualquer trabalho forense seja
somente realizado em cópias do material de
evidência.
La integridad de todo el material de evidencia
debería ser protegida. La copia de material de Convém que a integridade de todo material de
150 10.09.2007
evidencia debería supervisarse por personal evidência seja preservada. Convém que o processo
digno de confianza y debería registrarse de cópia de todo material de evidência seja
información sobre cuándo y dónde el proceso de supervisionado por pessoas confiáveis e que as
copiado fue ejecutado, quién realizó las informações sobre a data, local, pessoas,
actividades de copiado y qué herramientas y ferramentas e programas envolvidos no processo
programas se han utilizado. de cópia sejam registradas.
Cuando un acontecimiento de seguridad de la Informações adicionais
información se detecta por primera vez, puede no Quando um evento de segurança da informação é
ser obvio si el acontecimiento dará lugar a una detectado, pode não ser óbvio que ele resultará
acción legal o no. Por lo tanto, existe el peligro num possível processo jurídico. Entretanto, existe o
que evidencia necesaria sea destruida perigo de que a evidência seja destruída
intencionalmente o accidentalmente antes que la intencional ou acidentalmente antes que seja
seriedad del incidente se observe. Es percebida a seriedade do incidente. É conveniente
recomendable implicar a un abogado o a la envolver um advogado ou a polícia tão logo seja
policía temprano en cualquier demanda legal constatada a possibilidade de processo jurídico e
contemplada y asesorarse sobre la evidencia obter consultoria sobre as evidências necessárias.
requerida.
La evidencia puede superar límites de la

organización y/o jurisdiccionales. En tales casos, As evidências podem ultrapassar limites
se debería asegurar que la organización tiene organizacionais e/ou de jurisdições. Nesses casos,
derecho a recoger la información requerida como convém assegurar que a organização seja
evidencia. Los requisitos de diversas devidamente autorizada para coletar as
jurisdicciones deberían también considerarse informações requeridas como evidências. Convém
para maximizar la posibilidad de admisión de la que os requisitos de diferentes jurisdições sejam
misma a través de las jurisdicciones relevantes. também considerados para maximizar as
possibilidades de admissão da evidência em todas
as jurisdições relevantes.
14 Gestión de la continuidad del negocio
14 Gestão da continuidade do negócio
14.1 Aspectos de seguridad de la información
en la gestión de la continuidad del negocio 14.1 Aspectos da gestão da continuidade do
negócio, relativos à segurança da informação
OBJETIVO: Contrarrestar interrupciones a las
actividades del negocio y proteger los procesos Objetivo: Não permitir a interrupção das atividades
críticos del negocio contra los efectos de fallas do negócio e proteger os processos críticos contra
importantes en los sistemas de información o efeitos de falhas ou desastres significativos, e
contra desastres, y asegurar su restauración assegurar a sua retomada em tempo hábil, se for o
oportuna. caso.
Se debería implementar un proceso de gestión de

la continuidad del negocio para minimizar el Convém que o processo de gestão da continuidade
impacto y la recuperación por la pérdida de do negócio seja implementado para minimizar um
activos de información en la organización (la cual impacto sobre a organização e recuperar perdas de
puede ser el resultado de, por ejemplo, desastres ativos da informação (que pode ser resultante de,
naturales, accidentes, fallas del equipo y acciones por exemplo, desastres naturais, acidentes, falhas
deliberadas) hasta un nivel aceptable mediante la de equipamentos e ações intencionais) a um nível
combinación de controles preventivos y de aceitável através da combinação de ações de
recuperación. En este proceso es conveniente prevenção e recuperação. Convém que este
identificar los procesos críticos para el negocio e processo identifique os processos críticos e integre
integrar los requisitos de la gestión de la a gestão da segurança da informação com as
seguridad de la información de la continuidad del exigências da gestão da continuidade do negócio
negocio con otros requisitos de continuidad com outros requisitos de continuidade relativo a tais
relacionados con aspectos tales como aspectos como operações, funcionários, materiais,
operaciones, personal, materiales, transporte e transporte e instalações.
instalaciones.
151 10.09.2007
Las consecuencias de desastres, fallas de

seguridad, pérdida del servicio y disponibilidad del Convém que as conseqüências de desastres,
servicio se deberían someter a un análisis del falhas de segurança, perda de serviços e
impacto en el negocio. Se deberían desarrollar e disponibilidade de serviços estejam sujeitas a uma
implementar planes de continuidad del negocio análise de impacto nos negócios. Convém que os
para garantizar la restauración oportuna de las planos de continuidade do negócio sejam
operaciones esenciales. La seguridad de la desenvolvidos e implementados para assegurar
información debería ser una parte integral de todo que as operações essenciais sejam recuperadas
el proceso de continuidad del negocio y de otros dentro da requerida escala de tempo. Convém que
procesos de gestión en la organización. a segurança da informação seja uma parte
integrante do processo global de continuidade de
negócios e a gestão de outros processos dentro da
organização.
La gestión de la continuidad del negocio debería
incluir controles para la identificación y reducción Convém que a gestão da continuidade do negócio
de riesgos, además del proceso general de inclua controles para identificar e reduzir riscos, em
evaluación de riesgos, limitar las consecuencias complementação ao processo de análise/avaliação
de los incidentes dañinos y garantizar la de riscos global, limite as conseqüências aos danos
disponibilidad de la información requerida para los do incidente e garanta que as informações
procesos del negocio. requeridas para os processos do negócio estejam
prontamente disponíveis.
14.1.1 Inclusión de la seguridad de la
información en el proceso de gestión de la 14.1.1 Incluindo segurança da informação no
continuidad del negocio processo de gestão da continuidade de negócio
Control
Se debería desarrollar y mantener un proceso de Controle
gestión para la continuidad del negocio en toda la Convém que um processo de gestão seja
organización el cual trate los requisitos de desenvolvido e mantido para assegurar a
seguridad de la información necesarios para la continuidade do negócio por toda a organização e
continuidad del negocio de la organización. que contemple os requisitos de segurança da
informação necessários para a continuidade do
negócio da organização.
El proceso debería reunir los siguientes Diretrizes para implementação
elementos clave para la gestión de la continuidad Convém que este processo agregue os seguintes
del negocio: elementos-chave da gestão da continuidade do
negócio:
a) comprensión de los riesgos que enfrenta la
organización en términos de la probabilidad y el a) entendimento dos riscos a que a organização
impacto en el tiempo, incluyendo la identificación está exposta, no que diz respeito à sua
y la determinación de la prioridad de los procesos probabilidade e impacto no tempo, incluindo a
críticos del negocio (véase el Apartado 14.1.2); identificação e priorização dos processos críticos
do negócio (ver 14.1.2);
b) identificación de todos los activos involucrados
en los procesos críticos del negocio (véase el b) identificação de todos os ativos envolvidos em
Apartado 7.1.1); processos críticos de negócio (ver 7.1.1);
c) comprensión del impacto que puedan tener las

interrupciones causadas por incidentes de c) entendimento do impacto que incidentes de
seguridad de la información (es importante segurança da informação provavelmente terão
encontrar soluciones para manejar los incidentes sobre os negócios (é importante que as soluções
que producen impactos menores, así como los encontradas possam tratar tanto os pequenos
incidentes graves que puedan amenazar la incidentes, como os mais sérios, que poderiam
viabilidad de la organización), y establecer los colocar em risco a continuidade da organização) e
objetivos del negocio para los servicios de estabelecimento dos objetivos do negócio dos
procesamiento de información; recursos de processamento da informação;
152 10.09.2007
d) consideración de la adquisición de pólizas de

seguros adecuadas que puedan formar parte de d) consideração de contratação de seguro
todo el proceso de continuidad del negocio y de la compatível que possa ser parte integrante do
gestión de riesgos operativos; processo de continuidade do negócio, bem como a
parte de gestão de risco operacional;
e) identificación y consideración de la
implementación de controles preventivos y e) identificação e consideração da implementação
mitigantes adicionales; de controles preventivos e de mitigação;
f) identificación de recursos financieros,

organizacionales, técnicos y ambientales f) identificação de recursos financeiros,
suficientes para tratar los requisitos identificados organizacionais, técnicos e ambientais suficientes
de la seguridad de la información; para identificar os requisitos de segurança da
informação;
g) garantizar la seguridad del personal y la
protección de los servicios de procesamiento de g) garantia da segurança de pessoal e proteção de
información y de la propiedad de la organización; recursos de processamento das informações e
bens organizacionais;
h) formulación y documentación de los planes de
continuidad del negocio que abordan los h) detalhamento e documentação de planos de
requisitos de seguridad de la información acorde continuidade de negócio que contemplem os
con la estrategia acordada de continuidad del requisitos de segurança da informação alinhados
negocio (véase el Apartado 14.1.3); com a estratégia da continuidade do negócio
estabelecida (ver 14.1.3);
i) prueba y actualización regular de los planes y
procesos establecidos (véase el Apartado 14.1.5); i) testes e atualizações regulares dos planos e
processos implantados (ver 14.1.5);
j) garantizar que la gestión de la continuidad del
negocio está incorporada en los procesos y la j) garantia de que a gestão da continuidade do
estructura de la organización; la responsabilidad negócio esteja incorporada aos processos e
por el proceso de gestión de la continuidad del estrutura da organização. Convém que a
negocio se debería asignar en un nivel apropiado responsabilidade pela coordenação do processo de
en la organización (véase el Apartado 6.1.1). gestão de continuidade de negócios seja atribuída
a um nível adequado dentro da organização (ver
6.1.1).
14.1.2 Continuidad del negocio y evaluación
de riesgos 14.1.2 Continuidade de negócios e
análise/avaliação de riscos
Control
Se deberían identificar los eventos que pueden Controle
ocasionar interrupciones en los procesos del Convém identificar os eventos que podem causar
negocio junto con la probabilidad y el impacto de interrupções aos processos de negócio, junto a
dichas interrupciones, así como sus probabilidade e impacto de tais interrupções e as
consecuencias para la seguridad de la conseqüências para a segurança de informação.
información.
Los aspectos de seguridad de la información en la Diretrizes para implementação
continuidad del negocio se deberían basar en la Convém que os aspectos da continuidade do
identificación de los eventos (o secuencia de negócios relativos à segurança da informação
eventos) que pueden causar interrupciones en los sejam baseados na identificação de eventos (ou
procesos del negocio de la organización, por sucessão de eventos) que possam causar
ejemplo fallas de los equipos, errores humanos, interrupções aos processos de negócios das
robo, desastres naturales y actos terroristas. Se organizações, por exemplo, falha de equipamento,
debería continuar con una evaluación de riesgos erros humanos, furto ou roubo, incêndio, desastres
para determinar la probabilidad y el impacto de naturais e atos terroristas. Em seguida, convém
tales interrupciones, en términos de tiempo, que seja feita uma análise/avaliação de riscos para
escala de daño y periodo de recuperación. a determinação da probabilidade e impacto de tais
interrupções, tanto em termos de escala de dano
153 10.09.2007
quanto em relação ao período de recuperação.

Las evaluaciones de riesgos para la continuidad
del negocio se deberían efectuar con la plena Convém que as análises/avaliações de riscos da
participación de los dueños de los recursos y los continuidade do negócio sejam realizadas com total
procesos del negocio. Estas evaluaciones envolvimento dos responsáveis pelos processos e
deberían considerar todos los procesos del recursos do negócio. Convém que a
negocio sin limitarse a los servicios de análise/avaliação considere todos os processos do
procesamiento de información, sino incluir los negócio e não esteja limitada aos recursos de
resultados específicos para la seguridad de la processamento das informações, mas inclua os
información. Es importante vincular en conjunto resultados específicos da segurança da
todos los aspectos del riesgo para obtener un informação. É importante a junção de aspectos de
panorama completo de los requisitos de riscos diferentes, para obter um quadro completo
continuidad del negocio de la organización. La dos requisitos de continuidade de negócios da
evaluación debería identificar, cuantificar y organização. Convém que a análise/avaliação
priorizar los riesgos frente a los criterios y los identifique, quantifique e priorize os critérios
objetivos pertinentes para la organización, baseados nos riscos e os objetivos pertinentes à
incluyendo los recursos críticos, impactos de las organização, incluindo recursos críticos, impactos
interrupciones, duración permitida de corte y de interrupção, possibilidade de ausência de tempo
prioridades de recuperación. e prioridades de recuperação.
Dependiendo de los resultados de la evaluación

de riesgos, se debería desarrollar una estrategia Em função dos resultados da análise/avaliação de
de continuidad del negocio para determinar el riscos, convém que um plano estratégico seja
enfoque global para la continuidad del negocio. desenvolvido para se determinar a abordagem
Una vez se ha creado esta estrategia, la dirección mais abrangente a ser adotada para a continuidade
debería aprobarla y se debería crear y respaldar dos negócios. Uma vez criada a estratégia, convém
un plan para la implementación de esta que ela seja validada pela direção e que um plano
estrategia. seja elaborado e validado para implementar tal
estratégia.
14.1.3 Desarrollo e implementación de planes
de continuidad que incluyan la seguridad de la 14.1.3 Desenvolvimento e implementação de
información planos de continuidade relativos à segurança
da informação
Control
Se deberían desarrollar e implementar planes Controle
para mantener o restaurar las operaciones y Convém que os planos sejam desenvolvidos e
asegurar la disponibilidad de la información en el implementados para a manutenção ou recuperação
grado y la escala de tiempo requeridos, después das operações e para assegurar a disponibilidade
de la interrupción o la falla de los procesos da informação no nível requerido e na escala de
críticos para el negocio. tempo requerida, após a ocorrência de interrupções
ou falhas dos processos críticos do negócio.
En el proceso de planificación de la continuidad Diretrizes para implementação
del negocio se deberían considerar los siguientes Convém que o processo de planejamento da
aspectos: continuidade de negócios considere os seguintes
itens:
a) identificar y acordar todas las
responsabilidades y los procedimientos para la a) identificação e concordância de todas as
continuidad del negocio; responsabilidades e procedimentos da
continuidade do negócio;
b) identificar la pérdida aceptable de información
y servicios; b) identificação da perda aceitável de informações
e serviços;
c) implementar los procedimientos que permitan
recuperar y restaurar las operaciones del negocio c) implementação dos procedimentos que permitam
y la disponibilidad de la información en las a recuperação e restauração das operações do
escalas de tiempo requeridas; es necesario negócio e da disponibilidade da informação nos
atender la evaluación de las dependencias prazos necessários; atenção especial precisa ser
internas y externas del negocio y de los contratos dada à avaliação de dependências externas ao
154 10.09.2007
establecidos; negócio e de contratos existentes;
d) procedimientos operativos que se han de

seguir en espera de la terminación de la d) procedimentos operacionais que permitam a
recuperación y restauración; conclusão de restauração e recuperação que
estejam pendentes;
e) documentación de procedimientos y procesos
acordados; e) documentação dos processos e procedimentos
acordados;
f) formación apropiada del personal en los
procedimientos y procesos acordados, incluyendo f) educação adequada de pessoas nos
el manejo de las crisis; procedimentos e processos definidos, incluindo o
gerenciamento de crise;
g) pruebas y actualización de los planes.
g) teste e atualização dos planos.
El proceso de planificación se debería centrar en
los objetivos requeridos del negocio, por ejemplo Convém que o processo de planejamento foque os
la restauración de servicios de comunicación objetivos requeridos do negócio, por exemplo
específicos para los clientes en un lapso de recuperação de determinados serviços específicos
tiempo aceptable. Los servicios y recursos que lo para os clientes, em um período de tempo
facilitan deberían identificarse, incluyendo el aceitável. Convém identificar os serviços e recursos
personal, los recursos no relacionados con el que facilitam isso, prevendo a contemplação de
procesamiento de información, al igual que las pessoal e recursos em geral, além da tecnologia de
disposiciones de respaldo para los servicios de informação, assim como o procedimento de
procesamiento de información. Estas recuperação dos recursos de processamento das
disposiciones de respaldo pueden incluir arreglos informações. Tais procedimentos de recuperação
con terceras partes en forma de acuerdos podem incluir procedimentos com terceiros na
recíprocos o servicios de suscripción comercial. forma de um acordo de reciprocidade, ou um
contrato de prestação de serviços.
Los planes de continuidad del negocio deberían
afrontar las vulnerabilidades de la organización y, Convém que o plano de continuidade do negócio
por lo tanto, pueden contener información trate as vulnerabilidades da organização, que pode
sensible que es necesario proteger conter informações sensíveis e que necessitem de
adecuadamente. Las copias de los planes de la proteção adequada. Convém que cópias do plano
continuidad del negocio se deberían almacenar de continuidade do negócio sejam guardadas em
en un lugar lejano, a suficiente distancia para um ambiente remoto, a uma distância suficiente
escapar a cualquier daño por algún desastre en la para escapar de qualquer dano de um desastre no
sede principal. La dirección debería garantizar local principal. Convém que o gestor garanta que
que las copias de los planes de continuidad del as cópias dos planos de continuidade do negócio
negocio están actualizadas y protegidas con el estejam atualizadas e protegidas no mesmo nível
mismo nivel de seguridad que se aplica en la de segurança como aplicado no ambiente principal.
sede principal. De igual modo, el otro material Convém que outros materiais necessários para a
necesario para ejecutar los planes de continuidad execução do plano de continuidade do negócio
se debería almacenar en un sitio lejano. também sejam armazenados em local remoto.
Si se utilizan lugares alternos temporales, el nivel

de los controles de seguridad implementados en Convém que, se os ambientes alternativos
estos lugares debería ser equivalente al de la temporários forem usados, o nível de controles de
sede principal. segurança implementados nestes locais seja
equivalente ao ambiente principal.
Es conveniente observar que los planes y las Informações adicionais
actividades de la gestión de crisis (véase el Convém que seja destacado que as atividades e os
Apartado 14.1.3.f)) pueden ser diferentes de la planos de gerenciamento de crise (ver 14.1.3 f))
gestión de la continuidad del negocio; es decir, se possam ser diferentes de gestão de continuidade
puede presentar una crisis que se pueda adaptar de negócios, isto é, uma crise pode acontecer e ser
con procedimientos de gestión normales. suprida através dos procedimentos normais de
gestão.
14.1.4 Estructura para la planificación de la
155 10.09.2007
continuidad del negocio 14.1.4 Estrutura do plano de continuidade do

negócio
Control
Se debería mantener una sola estructura de los Controle
planes de continuidad del negocio, para asegurar Convém que uma estrutura básica dos planos de
que todos los planes son consistentes, y tratar de continuidade do negócio seja mantida para
forma consistente los requisitos de la seguridad assegurar que todos os planos são consistentes,
de la información, así como identificar las para contemplar os requisitos de segurança da
prioridades para pruebas y mantenimiento. informação e para identificar prioridades para
testes e manutenção.
Cada plan de continuidad del negocio debería Diretrizes para implementação
describir el enfoque para la continuidad, por Convém que cada plano de continuidade do
ejemplo el enfoque para garantizar la negócio descreva o enfoque para continuidade, por
disponibilidad y seguridad de la información o del exemplo, o enfoque para assegurar a
sistema de información. Igualmente, cada plan disponibilidade e segurança do sistema de
debería especificar el plan de escalada y las informação ou da informação. Convém que cada
condiciones para su activación, así como las plano também especifique o plano de
personas responsables de ejecutar cada escalonamento e as condições para sua ativação,
componente del pan. Cuando se identifican assim como as responsabilidades individuais para
nuevos requisitos, todos los procedimientos de execução de cada uma das atividades do plano.
emergencia existentes, por ejemplo planes de Quando novos requisitos são identificados, é
evacuación o disposiciones de respaldo, se importante que os procedimentos de emergência
deberían modificar apropiadamente. Los relacionados sejam ajustados de forma apropriada,
procedimientos se deberían incluir en el programa por exemplo o plano de abandono ou o
de gestión de cambios de la organización para procedimento de recuperação. Convém que os
garantizar el tratamiento adecuado de los procedimentos do programa de gestão de mudança
aspectos de la continuidad el negocio. da organização sejam incluídos para assegurar que
os assuntos de continuidade de negócios estejam
sempre direcionados adequadamente.
Cada plan debería tener un dueño específico. Los
procedimientos de emergencia, los planes de Convém que cada plano tenha um gestor
recursos de emergencia manuales y de específico. Convém que procedimentos de
reanudación deberían ser responsabilidad de los emergência, de recuperação, manual de
dueños de los recursos o procesos apropiados planejamento e planos de reativação sejam de
del negocio involucrados. Las disposiciones de responsabilidade dos gestores dos recursos de
respaldo para los servicios técnicos alternos, negócios ou dos processos envolvidos. Convém
como servicios de procesamiento de información que procedimentos de recuperação para serviços
y comunicaciones, usualmente deberían ser técnicos alternativos, como processamento de
responsabilidad de los proveedores del servicio. informação e meios de comunicação, sejam
normalmente de responsabilidade dos provedores
de serviços.
Una estructura para la planificación de la
continuidad del negocio debería abordar los Convém que uma estrutura de planejamento para
requisitos de seguridad de la información continuidade de negócios contemple os requisitos
identificados y considera los siguientes aspectos: de segurança da informação identificados e
considere os seguintes itens:
a) las condiciones para la activación de los planes
que describen el proceso a seguir (por ejemplo, la a) condições para ativação dos planos, os quais
forma de evaluar la situación y quién se va a descrevem os processos a serem seguidos (como
involucrar) antes de activar cada plan; se avaliar a situação, quem deve ser acionado etc.)
antes de cada plano ser ativado;
b) los procedimientos de emergencia que
describen las acciones por realizar tras un b) procedimentos de emergência que descrevam
incidente que ponga en peligro las operaciones as ações a serem tomadas após a ocorrência de
del negocio; um incidente que coloque em risco as operações
do negócio;
c) los procedimientos de respaldo que describen
las acciones por realizar para desplazar las c) procedimentos de recuperação que descrevam
156 10.09.2007
actividades esenciales del negocio o los servicios as ações necessárias para a transferência das
de soporte a lugares temporales alternos y para atividades essenciais do negócio ou os serviços de
devolver la operatividad de los procesos del infra-estrutura para localidades alternativas
negocio en los plazos requeridos; temporárias e para a reativação dos processos do
negócio no prazo necessário;
d) los procedimientos operativos temporales por
seguir mientras se terminan la recuperación y la d) procedimentos operacionais temporários para
restauración; seguir durante a conclusão de recuperação e
restauração;
e) los procedimientos de reanudación que
describen las acciones por realizar para que las e) procedimentos de recuperação que descrevam
operaciones del negocio vuelvan a la normalidad; as ações a serem adotadas quando do
restabelecimento das operações;
f) una programación de mantenimiento que
especifique cómo y cuándo se realizarán pruebas f) uma programação de manutenção que
al plan y el proceso para el mantenimiento del especifique quando e como o plano deverá ser
plan; testado e a forma de se proceder à manutenção
deste plano;
g) actividades de concientización, educación y
formación diseñadas para comprender los g) atividades de treinamento, conscientização e
procesos de continuidad del negocio y garantizar educação com o propósito de criar o entendimento
que los procesos siguen siendo eficaces; do processo de continuidade de negócios e de
assegurar que os processos continuem a ser
efetivo;
h) las responsabilidades de las personas, que
describan quién es responsable de la ejecución h) designação das responsabilidades individuais,
de cada componente del plan. Si se requiere, se descrevendo quem é responsável pela execução
deberían nombrar suplentes; de que item do plano. Convém que suplentes
sejam definidos quando necessário;
i) los activos y recursos críticos necesarios para
ejecutar los procedimientos de emergencia, i) os ativos e recursos críticos precisam estar aptos
respaldo y reanudación. a desempenhar os procedimentos de emergência,
recuperação e reativação.
14.1.5 Pruebas, mantenimiento y
reevaluación de los planes de continuidad del 14.1.5 Testes, manutenção e reavaliação dos
negocio planos de continuidade do negócio
Control
Los planes de continuidad del negocio se Controle
deberían someter a pruebas y actualizar Convém que os planos de continuidade do negócio
regularmente para asegurar su actualización y su sejam testados e atualizados regularmente, de
eficacia. forma a assegurar sua permanente atualização e
efetividade.
Las pruebas del plan de continuidad del negocio Diretrizes para implementação
deberían asegurar que todos los miembros del Convém que os testes do plano de continuidade do
equipo de recuperación y otro personal pertinente negócio assegurem que todos os membros da
son conscientes de los planes y sus equipe de recuperação e outras pessoas relevantes
responsabilidades para la continuidad del negocio estejam conscientes dos planos e de suas
y la seguridad de la información, y conocen su responsabilidades para a continuidade do negócio
función cuando se ejecuta un plan. e a segurança da informação, e conheçam as suas
atividades quando um plano for acionado.
La programación de las pruebas para los planes
de continuidad del negocio debería indicar cómo y Convém que o planejamento e a programação dos
cuándo se va a probar cada elemento del plan. testes do(s) plano(s) de continuidade de negócios
Cada uno de los elementos se debería probar con indiquem como e quando cada elemento do plano
frecuencia. seja testado. Convém que os componentes
isolados do(s) plano(s) sejam freqüentemente
testados.
157 10.09.2007
Es conveniente utilizar una variedad de técnicas

para garantizar que los planes funcionarán en Convém que várias técnicas sejam utilizadas, de
condiciones reales. Éstas incluirían: modo a assegurar a confiança de que o(s) plano(s)
irá(ão) operar consistentemente em casos reais.
Convém que sejam considerados:
a) la prueba sobre papel de varios escenarios
(analizando las disposiciones de recuperación a) testes de mesa simulando diferentes cenários
con ayuda de ejemplos de interrupciones); (verbalizando os procedimentos de recuperação
para diferentes formas de interrupção);
b) las simulaciones (particularmente para la
formación del personal en sus funciones de b) simulações (particularmente útil para o
gestión de crisis / post-incidentes); treinamento do pessoal nas suas atividades
gerenciais após o incidente);
c) las pruebas de recuperación técnica
(garantizando que los sistemas de información se c) testes de recuperação técnica (garantindo que
pueden restaurar eficazmente); os sistemas de informação possam ser
efetivamente recuperados);
d) las pruebas de recuperación en un lugar
alterno (ejecutando procesos del negocio en d) testes de recuperação em um local alternativo
paralelo con las operaciones de recuperación (executando os processos de negócios em paralelo
fuera de la sede principal); com a recuperação das operações distantes do
local principal);
e) las pruebas de los recursos y servicios del
proveedor (asegurando que los servicios y e) testes dos recursos, serviços e instalações de
productos proporcionados externamente fornecedores (assegurando que os serviços e
cumplirán el compromiso contraído); produtos fornecidos por terceiros atendem aos
requisitos contratados);
f) los ensayos completos (probando que la
organización, el personal, el equipo, las f) ensaio geral (testando se a organização, o
instalaciones y los procesos pueden hacer frente pessoal, os equipamentos, os recursos e os
a las interrupciones). processos podem enfrentar interrupções).
Cualquier organización puede utilizar estas

técnicas. Éstas se deberían aplicar de forma Estas técnicas podem ser utilizadas por qualquer
pertinente para el plan específico de organização. Convém que elas reflitam a natureza
recuperación. Se deberían registrar los resultados do plano de recuperação específico. Convém que
de las pruebas y, cuando sea necesario, tomar os resultados dos testes sejam registrados e ações
las acciones para mejorar los planes. tomadas para a melhoria dos planos, onde
necessário.
Se debería asignar responsabilidad para las
revisiones regulares de cada plan de continuidad Convém que a responsabilidade pelas análises
del negocio. La identificación de los cambios en críticas periódicas de cada parte do plano seja
las disposiciones del negocio que aún no se definida e estabelecida. Convém que a
reflejan en los planes de continuidad del negocio identificação de mudanças nas atividades do
debería ir seguida de una actualización adecuada negócio que ainda não tenham sido contempladas
del plan. Este proceso formal de control de nos planos de continuidade de negócio seja
cambios debería garantizar la distribución y el seguida por uma apropriada atualização do plano.
refuerzo de los planes actualizados mediante Convém que um controle formal de mudanças
revisiones regulares del plan completo. assegure que os planos atualizados são
distribuídos e reforçados por análises críticas
periódicas do plano como um todo.
Los ejemplos de los cambios en donde se debería
considerar la actualización de los planes de Os exemplos de mudanças onde convém que a
continuidad el negocio incluyen la adquisición de atualização dos planos de continuidade do negócio
equipos nuevos, la mejora de los sistemas y seja considerada são a aquisição de novos
cambios en: equipamentos, atualização de sistemas e
mudanças de:
a) el personal;
a) pessoal;
158 10.09.2007
b) las direcciones o los números telefónicos;

b) endereços ou números telefônicos;
c) la estrategia del negocio;
c) estratégia de negócio;
d) los lugares, dispositivos y recursos;
d) localização, instalações e recursos;
e) la legislación;
e) legislação;
f) los contratistas, proveedores y clientes
principales; f) prestadores de serviços, fornecedores e clientes-
chave;
g) los procesos existentes, nuevos o retirados;
g) processos (inclusões e exclusões);
h) los riesgos (operativos y financieros).
h) risco (operacional e financeiro).
15 Cumplimiento
15 Conformidade
15.1 Cumplimiento de los requisitos legales
15.1 Conformidade com requisitos legais
OBJETIVO: Evitar los incumplimientos de
cualquier ley, estatuto, regulación u obligación Objetivo: Evitar violações de quaisquer obrigações
contractual, y de cualquier requisito de seguridad. legais, estatutárias, regulamentares ou contratuais,
e de quaisquer requisitos de segurança da
informação.
El diseño, operación, uso y gestión de los
sistemas de información puede estar sujeto a O projeto, a operação, o uso e a gestão de
requisitos de seguridad estatutarios, reguladores sistemas de informação podem estar sujeitos a
y contractuales. requisitos de segurança contratuais,
regulamentares ou estatutários.
Debería buscarse asesoramiento sobre requisitos
legales específicos de los asesores jurídicos de la Convém que consultoria em requisitos legais
organización, o de profesionales del derecho específicos seja procurada em organizações de
cualificados. Los requisitos legales varían de un consultoria jurídica ou em profissionais liberais,
país a otro y pueden variar para la información adequadamente qualificados nos aspectos legais.
creada en un país y que se transmite a otro (es Os requisitos legislativos variam de país para país
decir, el flujo de datos trans-fronterizo). e também para a informação criada em um país e
transmitida para outro (isto é, fluxo de dados
transfronteira).
15.1.1 Identificación de la legislación aplicable
15.1.1 Identificação da legislação aplicável
Control
Todos los requisitos estatutarios, reguladores, y Controle
contractuales relevantes y el enfoque de la Convém que todos os requisitos estatutários,
organización para cumplir estos requisitos regulamentares e contratuais pertinentes, e o
deberían ser definidos explícitamente, enfoque da organização para atender a esses
documentados, y mantenidos al día para cada requisitos, sejam explicitamente definidos,
sistema de información y para la organización. documentados e mantidos atualizados para cada
sistema de informação da organização.
Los controles específicos y responsabilidades Diretrizes para implementação
individuales para cumplir con los requisitos Convém que os controles específicos e as
anteriores deberían ser definidos y documentados responsabilidades individuais para atender a estes
de manera similar. requisitos sejam definidos e documentados de
forma similar.
15.1.2 Derechos de propiedad intelectual (IPR)
15.1.2 Direitos de propriedade intelectual
Control
Deberían implementarse los procedimientos Controle
159 10.09.2007
apropiados para asegurar el cumplimiento de los Convém que procedimentos apropriados sejam
requisitos legales, reguladores y contractuales implementados para garantir a conformidade com
sobre el uso del material protegido por derechos os requisitos legislativos, regulamentares e
de propiedad intelectual, y sobre el uso de los contratuais no uso de material, em relação aos
productos de software propietario. quais pode haver direitos de propriedade intelectual
e sobre o uso de produtos de software
proprietários.
Deberían considerarse las siguientes Diretrizes para implementação
recomendaciones para proteger cualquier Convém que as seguintes diretrizes sejam
material que pueda ser considerado propiedad consideradas para proteger qualquer material que
intelectual: possa ser considerado como propriedade
intelectual:
a) publicar una política de cumplimiento de los
derechos de propiedad intelectual que defina el a) divulgar uma política de conformidade com os
uso legal de los productos de software e direitos de propriedade intelectual que defina o uso
información; legal de produtos de software e de informação;
b) adquirir software sólo de fuentes conocidas y

de buena reputación, para asegurar que los b) adquirir software somente por meio de fontes
derechos de copia del software no han sido conhecidas e de reputação, para assegurar que o
violados; direito autoral não está sendo violado;
c) mantener la concientización sobre los derechos

de copia del software y la política de c) manter conscientização das políticas para
adquisiciones, publicando la intención de adoptar proteger os direitos de propriedade intelectual e
medidas disciplinarias para el personal que los notificar a intenção de tomar ações disciplinares
viole; contra pessoas que violarem essas políticas;
d) mantener un registro apropiado de activos, e

identificar todos aquellos protegido por derecho d) manter de forma adequada os registros de ativos
de propiedad intelectual; e identificar todos os ativos com requisitos para
proteger os direitos de propriedade intelectual;
e) mantener los documentos que acrediten la
propiedad de licencias, discos originales, e) manter provas e evidências da propriedade de
manuales, etc.; licenças, discos-mestre, manuais etc.;
f) implantar controles para asegurar que no se

sobrepasa el número máximo de usuarios f) implementar controles para assegurar que o
permitidos; número máximo de usuários permitidos não excede
o número de licenças adquiridas;
g) comprobar que sólo se instala software
autorizado y productos bajo licencia; g) conduzir verificações para que somente produtos
de software autorizados e licenciados sejam
instalados;
h) establecer una política de mantenimiento de
las condiciones adecuadas de licencia; h) estabelecer uma política para a manutenção das
condições adequadas de licenças;
i) establecer una política de eliminación de
software o de su transferencia a terceros; i) estabelecer uma política para disposição ou
transferência de software para outros;
j) usar herramientas adecuadas de auditoría;
j) utilizar ferramentas de auditoria apropriadas;
k) cumplir con los términos y condiciones de uso
del software y de la información obtenidos de k) cumprir termos e condições para software e
redes públicas; informação obtidos a partir de redes públicas;
l) no duplicar, ni convertir a otro formato o extraer

información de las grabaciones comerciales l) não duplicar, converter para outro formato ou
160 10.09.2007
(película, audio) con excepción de lo permitido extrair de registros comerciais (filme, áudio) outros
por los derechos de copia; que não os permitidos pela lei de direito autoral;
m) no copiar total o parcialmente, libros, artículos,

informes u otros documentos, con excepción de lo m) não copiar, no todo ou em partes, livros, artigos,
permitido por los derechos de copia. relatórios ou outros documentos, além daqueles
permitidos pela lei de direito autoral.
Los derechos de propiedad intelectual incluyen Informações adicionais
software o documentos con derecho de copia, Direitos de propriedade intelectual incluem direitos
derechos de diseño, marcas registradas, patentes de software ou documento, direitos de projeto,
y código fuente licenciado. marcas, patentes e licenças de códigos-fonte.
Los productos de software propietario se suelen

entregar con un contrato de licencia que Produtos de software proprietários são
especifica términos y condiciones del normalmente fornecidos sob um contrato de
licenciamiento, por ejemplo, limitar el uso de los licenciamento que especifica os termos e
productos a máquinas específicas o limitar la condições da licença, por exemplo, restringe o uso
generación de copias únicamente a finalidades de dos produtos em máquinas especificadas ou limita
respaldo. La situación para el software a cópia apenas para criação de uma cópia de
desarrollado por la organización en materia de segurança. A questão relativa aos direitos de
derechos de propiedad intelectual debería ser propriedade intelectual de software desenvolvido
clarificada con el personal. pela organização precisa ser esclarecida com as
pessoas.
Los requisitos legales, normativos y contractuales
pueden plantear restricciones a la copia de Legislação, regulamentação e requisitos
material propietario. En particular pueden requerir contratuais podem estabelecer restrições para
que sólo pueda utilizarse material desarrollado cópia de material que tenha direitos autorais. Em
por la organización o bien proporcionado por el particular, pode ser requerido que somente material
proveedor y bajo su licencia para la organización. que seja desenvolvido pela organização ou que foi
La infracción de derechos de copia puede licenciado ou fornecido pelos desenvolvedores para
conducir a acciones legales que impliquen a organização seja utilizado. Violações aos direitos
procedimientos judiciales. de propriedade intelectual podem conduzir a ações
legais, que podem envolver processos criminais.
15.1.3 Protección de los registros de la
organización 15.1.3 Proteção de registros organizacionais
Control
Se deberían proteger los registros importantes de Controle
la organización frente a su pérdida, destrucción y Convém que registros importantes sejam
falsificación en acuerdo con los requisitos protegidos contra perda, destruição e falsificação,
estatutarios, reguladores, contractuales y del de acordo com os requisitos regulamentares,
negocio. estatutários, contratuais e do negócio.
Los registros se deberían categorizar según el Diretrizes para implementação
tipo, como por ejemplo: registros contables, Convém que registros sejam categorizados em
registros de bases de datos, registros de tipos de registros, tais como registros contábeis,
transacciones, registros de auditoría y registros de base de dados, registros de
procedimientos operativos, cada uno de los transações, registros de auditoria e procedimentos
cuales con los detalles de plazos de retención y operacionais, cada qual com detalhes do período
medios de almacenamiento como papel, de retenção e do tipo de mídia de armazenamento,
microfichas, medios magnéticos u ópticos). como, por exemplo, papel, microficha, meio
Cualquier material relacionado con claves magnético ou ótico. Convém que quaisquer chaves
criptográficas y programas asociados con de criptografia relacionadas com arquivos cifrados
archivos cifrados o firmas digitales (véase el ou assinaturas digitais (ver 12.3) sejam também
Apartado 12.3), se debería guardar para permitir armazenadas para permitir a decifração de
el descifrado de los registros durante el tiempo registros pelo período de tempo que os registros
que los mismos son retenidos. são mantidos.
161 10.09.2007
Se debería considerar la posibilidad de deterioro

de los medios utilizados para almacenar los Convém que cuidados sejam tomados a respeito
registros. Se deberían implantar procedimientos da possibilidade de deterioração das mídias usadas
para su almacenamiento y utilización de acuerdo no armazenamento dos registros. Convém que os
con las recomendaciones del fabricante. Para el procedimentos de armazenamento e manuseio
almacenamiento de larga duración, el uso del sejam implementados de acordo com as
papel y la microficha deberían ser considerados. recomendações dos fabricantes. Convém que, para
o armazenamento de longo tempo, o uso de papel
e microficha seja considerado.
Donde se utilicen medios de almacenamiento
electrónico, se deberían incluir procedimientos Onde mídias eletrônicas armazenadas forem
para asegurar la habilidad para acceder a los escolhidas, convém que sejam incluídos
datos (tanto al medio como a la lectura de los procedimentos para assegurar a capacidade de
formatos en sí) a través de todo el período de acesso aos dados (leitura tanto na mídia como no
retención, para salvaguardarlos contra su pérdida formato utilizado) durante o período de retenção,
debida a un cambio futuro de tecnología. para proteger contra perdas ocasionadas pelas
futuras mudanças na tecnologia.
Se deberían elegir los sistemas de
almacenamiento tal que los datos requeridos Convém que sistemas de armazenamento de
puedan recuperarse de manera aceptable en dados sejam escolhidos de modo que o dado
tiempo y forma, dependiendo de los requisitos a solicitado possa ser recuperado de forma aceitável,
satisfacer. dependendo dos requisitos a serem atendidos.
El sistema de almacenamiento y utilización

debería asegurar una identificación clara de los Convém que o sistema de armazenamento e
registros y de su periodo de retención según lo manuseio assegure a clara identificação dos
definido por la legislación o las regulaciones registros e dos seus períodos de retenção,
nacionales o regionales, si es aplicable. Este conforme definido pela legislação nacional ou
debería permitir la destrucción apropiada de los regional ou por regulamentações, se aplicável.
registros tras dicho periodo cuando ya no los Convém que seja permitida a destruição apropriada
necesite la organización. dos registros após esse período, caso não sejam
mais necessários à organização.
Para alcanzar los objetivos de salvaguardar los
registros, se deberían tomar las siguientes Para atender aos objetivos de proteção dos
medidas dentro de una organización: registros, convém que os seguintes passos sejam
tomados dentro da organização:
a) deberían publicarse directrices sobre la
retención, almacenamiento, tratamiento y a) emitir diretrizes gerais para retenção,
eliminación de los registros y la información; armazenamento, tratamento e disposição de
registros e informações;
b) debería establecerse un calendario de
retenciones que identifique los tipos esenciales de b) elaborar uma programação para retenção,
registros y los períodos de tiempo que deberían identificando os registros essenciais e o período
retenerse; que cada um deve ser mantido;
c) debería mantenerse un inventario de las

fuentes de información clave; c) manter um inventário das fontes de informações-
chave;
d) deberían implantarse los controles y medidas
apropiados para la protección de los registros y la d) implementar controles apropriados para proteger
información contra su pérdida, destrucción o registros e informações contra perda, destruição e
falsificación. falsificação.
Algunos registros podrían requerir ser Informações adicionais
almacenados de manera segura tanto para Alguns registros podem precisar ser retidos de
cumplir con requisitos estatutarios, reguladores o forma segura para atender a requisitos estatutários,
contractuales, como para soportar actividades contratuais ou regulamentares, assim como para
162 10.09.2007
esenciales del negocio. Por ejemplo, los registros apoiar as atividades essenciais do negócio.
que puedan requerirse para acreditar que la Exemplo disso são os registros que podem ser
organización opera dentro de las reglas exigidos como evidência de que uma organização
estatutarias o reguladoras, para asegurar una opera de acordo com as regras estatutárias e
defensa adecuada contra una posible acción civil regulamentares, para assegurar a defesa
o penal, o bien para confirmar el estado financiero adequada contra potenciais processos civis ou
de la organización respecto a los accionistas, criminais ou confirmar a situação financeira de uma
partes externas y auditores. La legislación organização perante os acionistas, partes externas
nacional u otras regulaciones podrían establecer e auditores. O período de tempo e o conteúdo da
el plazo y contenido de la información a retener. informação retida podem estar definidos através de
leis ou regulamentações nacionais.
Información adicional sobre la gestión de registros
de una organización se puede encontrar en la Outras informações sobre como gerenciar os
norma ISO 15489-1. registros organizacionais, podem ser encontradas
na ISO 15489-1.
15.1.4 Protección de los datos y privacidad de
la información personal 15.1.4 Proteção de dados e privacidade de
informações pessoais
Control
Debería asegurarse la protección y la privacidad Controle
de los datos, de acuerdo con la legislación y las Convém que a privacidade e a proteção de dados
regulaciones pertinentes, y si es aplicables, con sejam asseguradas conforme exigido nas
las Cláusulas contractuales. legislações, regulamentações e, se aplicável, nas
Cláusulas contratuais pertinentes.
Una política de protección y de privacidad de los Diretrizes para implementação
datos de la organización debería ser desarrollada Convém que uma política de privacidade e
e implementada. Esta política se debería proteção de dados da organização seja
comunicar a todas las personas implicadas en el desenvolvida e implementada. Convém que esta
procesamiento de información personal. política seja comunicada a todas as pessoas
envolvidas no processamento de informações
pessoais.
El cumplimiento de esta política y de toda la
legislación y regulaciones relevantes a la A conformidade com esta política e todas as
protección de los datos requiere una apropiada legislações e regulamentações relevantes de
estructura de gestión y control. Este objetivo proteção de dados necessita de uma estrutura de
suele alcanzarse con mayor facilidad designando gestão e de controles apropriados. Geralmente isto
una persona responsable, por ejemplo un oficial é melhor alcançado através de uma pessoa
de protección de datos, que oriente a los responsável, como, por exemplo, um gestor de
directores, usuarios y proveedores de servicios proteção de dados, que deve fornecer orientações
sobre sus responsabilidades individuales y sobre gerais para gerentes, usuários e provedores de
los procedimientos específicos que deberían serviço sobre as responsabilidades de cada um e
seguirse. La responsabilidad de manejar la sobre quais procedimentos específicos recomenda-
información personal y de asegurar el se seguir. Convém que a responsabilidade pelo
conocimiento de los principios de la protección de tratamento das informações pessoais e a garantia
los datos se debería establecer de acuerdo con la da conscientização dos princípios de proteção dos
legislación y las regulaciones relevantes. Se dados sejam tratadas de acordo com as legislações
deberían implementar medidas técnicas y e regulamentações relevantes. Convém que
organizacionales apropiadas para proteger la medidas organizacionais e técnicas apropriadas
información personal. para proteger as informações pessoais sejam
implementadas.
Cierto número de países han introducido Informações adicionais
legislación colocando controles en la recolección, Alguns países têm promulgado leis que
el procesamiento y transmisión de datos estabelecem controles na coleta, no
personales (en general información de personas processamento e na transmissão de dados
vivas que pueden ser identificadas a raíz de dicha pessoais (geralmente informação sobre indivíduos
información). Dependiendo de la respectiva vivos que podem ser identificados a partir de tais
legislación nacional, estos controles pueden informações). Dependendo da respectiva legislação
163 10.09.2007
imponer obligaciones a quien recoja, procese y nacional, tais controles podem impor
transmita información personal, y pueden responsabilidades sobre aqueles que coletam,
restringir la posibilidad de transferir estos datos a processam e disseminam informação pessoal, e
otros países. podem restringir a capacidade de transferência
desses dados para outros países.
15.1.5 Prevención del uso inadecuado de las
instalaciones de procesamiento de la 15.1.5 Prevenção de mau uso de recursos de
información processamento da informação
Control
Los usuarios deberían ser disuadidos de usar las Controle
instalaciones de procesamiento de la información Convém que os usuários sejam dissuadidos de
para propósitos no autorizados. usar os recursos de processamento da informação
para propósitos não autorizados.
La dirección debería aprobar el uso de Diretrizes para implementação
instalaciones de procesamiento de la información. Convém que a direção aprove o uso de recursos de
Cualquier uso de estas instalaciones para processamento da informação. Convém que
propósitos ajenos al negocio o no autorizados, sin qualquer uso destes recursos para propósitos não
la aprobación de la dirección (véase el Apartado relacionados ao negócio ou não autorizados, sem a
6.1.4), debería ser visto como uso impropio de los aprovação da direção (ver 6.1.4), ou para
recursos. Si cualquier actividad no autorizada se quaisquer propósitos não autorizados, seja
identifica mediante supervisión u otros medios, se considerado como uso impróprio desses recursos.
debería poner en conocimiento del director Se qualquer atividade não autorizada for
responsable para la consideración de la acción identificada por processo de monitoração ou outros
disciplinaria y/o legal apropiada. meios, convém que esta atividade seja levada ao
conhecimento do gestor responsável para que
sejam aplicadas as ações disciplinares e/ou legais
pertinentes.
Debería solicitarse asesoría legal antes de la
implantación de procedimientos de supervisión. Convém que se busque uma assessoria legal antes
da implementação dos procedimentos de
monitoração.
Todos los usuarios deberían conocer el alcance
preciso de su acceso permitido y de los lugares Convém que todos os usuários estejam
que son supervisados para detectar usos no conscientes do escopo preciso de suas permissões
autorizados. Esto puede conseguirse mediante la de acesso e da monitoração realizada para
entrega a los usuarios de una autorización escrita detectar o uso não autorizado. Isto pode ser
cuya copia debería firmar el usuario y ser retenida alcançado pelo registro das autorizações dos
en forma segura por parte de la organización. usuários por escrito, convém que a cópia seja
Debería informarse a los empleados de la assinada pelo usuário e armazenada de forma
organización, a los contratistas y a los usuarios segura pela organização. Convém que os
de terceras partes que no se permitirá otro funcionários de uma organização, fornecedores e
acceso que no sea el autorizado. terceiros sejam informados de que nenhum acesso
é permitido com exceção daqueles que foram
autorizados.
Al conectarse (log-on) en su puesto de trabajo, un
mensaje de advertencia debería indicar en la No momento da conexão inicial, convém que seja
pantalla que el sistema al que se entra es privado apresentada uma mensagem de advertência para
y que no se permite el acceso no autorizado. El indicar que o recurso de processamento da
usuario tiene que darse por enterado y reaccionar informação que está sendo usado é de propriedade
de forma apropiada al mensaje para poder da organização e que não são permitidos acessos
continuar el proceso de conexión (véase el não autorizados. O usuário tem que confirmar e
Apartado 11.5.1). reagir adequadamente à mensagem na tela para
continuar com o processo de conexão (ver 11.5.1).
Las instalaciones de procesamiento de la Informações adicionais
información de una organización son Os recursos de processamento da informação de
consideradas principalmente o exclusivamente uma organização são destinados básica ou
164 10.09.2007
para los propósitos del negocio. exclusivamente para atender aos propósitos do
negócio.
La detección de intrusos, la inspección de
contenidos, y otras herramientas de supervisión Ferramentas do tipo detecção de intrusos, inspeção
pueden ayudar a prevenir y a detectar el uso de conteúdo e outras formas de monitoração
inadecuado de las instalaciones de podem ajudar a prevenir e detectar o mau uso dos
procesamiento de la información. recursos de processamento da informação.
Muchos países ya tienen legislación de protección

contra el mal uso de los recursos informáticos. El Muitos países têm legislação para proteger contra o
uso de los mismos con fines no autorizados mau uso do computador. Pode ser crime usar um
puede constituir un delito penal. computador para propósitos não autorizados.
La legalidad de la supervisión y el control del uso

de los recursos varía de un país a otro y puede A legalidade do processo de monitoração do uso
requerir que se avise de su existencia a los do computador varia de país para país e pode
empleados y/o que se requiera su requerer que a direção avise a todos os usuários
consentimiento. Cuando el sistema que es dessa monitoração e/ou que concordem
accedido se utiliza para el acceso público (por formalmente com este processo. Quando o sistema
ejemplo, un servidor web público) y está sujeto a estiver sendo usado para acesso público (por
supervisiones de seguridad, un mensaje debería exemplo, um servidor público web) e sujeito a uma
ser exhibido advirtiendo esto. monitoração de segurança, convém que uma
mensagem seja exibida na tela informando deste
processo.
15.1.6 Regulación de los controles
criptográficos 15.1.6 Regulamentação de controles de
criptografia
Control
Deberían utilizarse controles criptográficos que Controle
cumplan con todos los acuerdos, leyes, y Convém que controles de criptografia sejam
regulaciones relevantes. usados em conformidade com todas as leis,
acordos e regulamentações pertinentes.
Los siguientes puntos deberían considerarse para Diretrizes para implementação
el cumplimiento de los acuerdos, las leyes, y las Convém que os seguintes itens sejam
regulaciones relevantes: considerados para conformidade com leis, acordos
e regulamentações pertinentes:
a) restricciones en la importación y/o en la
exportación de hardware y de software para a) restrições à importação e/ou exportação de
realizar funciones criptográficas; hardware e software de computador para execução
de funções criptográficas;
b) restricciones en la importación y/o en la
exportación de hardware y de software que se b) restrições à importação e/ou exportação de
diseña para tener funciones criptográficas hardware e software de computador que foi
incluidas en él; projetado para ter funções criptográficas
embutidas;
c) restricciones en el uso de cifrado;
c) restrições no uso de criptografia;
d) métodos obligatorios o fijados a discreción de
acceso por parte de las autoridades de los países d) métodos mandatários ou discricionários de
a la información cifrada mediante hardware o acesso pelas autoridades dos países à informação
software para proporcionar la confidencialidad del cifrada por hardware ou software para fornecer
contenido. confidencialidade ao conteúdo.
Mediante el asesoramiento jurídico se debería

intentar asegurar el cumplimiento de leyes y Convém que assessoria jurídica seja obtida para
regulaciones nacionales. Antes que información garantir a conformidade com as legislações e leis
cifrada o controles criptográficos sean trasladados nacionais vigentes. Também convém que seja
a otro país, también debería tenerse en cuenta el obtida assessoria jurídica antes de se transferirem
165 10.09.2007
asesoramiento jurídico. informações cifradas ou controles de criptografia

para outros países.
15.2 Cumplimiento de la política y las normas
de seguridad, y cumplimiento técnico 15.2 Conformidade com normas e políticas de
segurança da informação e conformidade
técnica
OBJETIVO: Asegurar que los sistemas cumplen
con las normas y políticas de seguridad de la Objetivo: Garantir conformidade dos sistemas com
organización. as políticas e normas organizacionais de segurança
da informação.
La seguridad de los sistemas de información
debería ser revisada regularmente. Tales Convém que a segurança dos sistemas de
revisiones se deberían realizar contra las políticas informação seja analisada criticamente a intervalos
de seguridad y las plataformas técnicas regulares. Convém que tais análises críticas sejam
apropiadas, los sistemas de información se executadas com base nas políticas de segurança
deberían auditar para cumplir con normas da informação apropriadas e que as plataformas
aplicables de implantación de la seguridad y técnicas e sistemas de informação sejam auditados
controles documentados de la seguridad. em conformidade com as normas de segurança da
informação implementadas pertinentes e com os
controles de segurança documentados.
15.2.1 Cumplimiento de las políticas y normas
de seguridad 15.2.1 Conformidade com as políticas e normas
de segurança da informação
Control
Los directores deberían asegurarse que se Controle
cumplen correctamente todos los procedimientos Convém que gestores garantam que todos os
de seguridad dentro de su área de procedimentos de segurança da informação dentro
responsabilidad para lograr el cumplimiento de da sua área de responsabilidade estão sendo
políticas y normas de seguridad. executados corretamente para atender à
conformidade com as normas e políticas de
Los directores deberían revisar regularmente el Diretrizes para implementação
cumplimiento del procesamiento de la información Convém que os gestores analisem criticamente, a
dentro de su área de responsabilidad con las intervalos regulares, a conformidade do
políticas de seguridad apropiadas, las normas, y processamento da informação dentro da sua área
cualquier otro requisito de seguridad. de responsabilidade com as políticas de segurança
da informação, normas e quaisquer outros
requisitos de segurança.
Si algún incumplimiento se encuentra como
resultado de la revisión, los directores deberían: Se qualquer não-conformidade for encontrada
como um resultado da análise crítica, convém que
os gestores:
a) determinar las causas del incumplimiento;
a) determinem as causas da não-conformidade;
b) evaluar la necesidad de acciones para
asegurar que no se repita el incumplimiento; b) avaliem a necessidade de ações para assegurar
que a não-conformidade não se repita;
c) determinar e implementar las acciones
correctivas apropiadas; c) determinem e implementem ação corretiva
apropriada;
d) revisar la acción correctiva tomada.
d) analisem criticamente a ação corretiva tomada.
Los resultados de las revisiones y de las acciones
correctivas realizadas por los directores deberían Convém que os resultados das análises críticas e
ser registrados y estos expedientes deberían ser das ações corretivas realizadas pelos gestores
mantenidos. Los directores deberían reportar los sejam registrados e que esses registros sejam
resultados a las personas que realizan las mantidos. Convém que os gestores relatem os
166 10.09.2007
revisiones independientes (véase el Apartado resultados para as pessoas que estão realizando a
6.1.8), cuando la revisión independiente se realice análise crítica independente (ver 6.1.8), quando a
en el área de su responsabilidad. análise crítica independente for realizada na área
de sua responsabilidade.
El seguimiento operacional del uso del sistema se Informações adicionais
cubre en el Apartado 10.10. A monitoração operacional de sistemas em uso é
apresentada em 10.10.
15.2.2 Verificación del cumplimiento técnico
15.2.2 Verificação da conformidade técnica
Control
Los sistemas de información deberían ser Controle
revisados regularmente para verificar el Convém que sistemas de informação sejam
cumplimiento con las normas de implementación periodicamente verificados em sua conformidade
de la seguridad. com as normas de segurança da informação
implementadas.
La verificación del cumplimiento técnico debería Diretrizes para implementação
realizarse manualmente por un ingeniero de Convém que a verificação de conformidade técnica
sistemas experimentado (con apoyo de seja executada manualmente (auxiliada por
herramientas de software apropiadas si es ferramentas de software apropriadas, se
necesario), y/o con la ayuda de herramientas necessário) por um engenheiro de sistemas
automatizadas que generen un informe técnico experiente, e/ou com a assistência de ferramentas
para su posterior interpretación por parte de un automatizadas que gerem relatório técnico para
especialista técnico. interpretação subseqüente por um técnico
especialista.
Si se utilizan pruebas de intrusión o evaluaciones
de vulnerabilidad, se debería tener cuidado pues Se o teste de invasão ou avaliações de
estas actividades podrían comprometer la vulnerabilidades forem usados, convém que sejam
seguridad del sistema. Tales pruebas deberían tomadas precauções, uma vez que tais atividades
ser planificadas, documentadas y repetibles. podem conduzir a um comprometimento da
segurança do sistema. Convém que tais testes
sejam planejados, documentados e repetidos.
Cualquier verificación del cumplimiento técnico
debería realizarse solamente por las personas Convém que qualquer verificação de conformidade
competentes, autorizadas, o bajo supervisión de técnica somente seja executada por pessoas
tales personas. autorizadas e competentes, ou sob a supervisão de
tais pessoas.
La verificación del cumplimiento técnico Informações adicionais
comprende la revisión de los sistemas A verificação da conformidade técnica envolve a
operacionales a fin de garantizar que los análise dos sistemas operacionais para garantir
controles de hardware y software hayan sido que controles de hardware e software foram
correctamente implementados. Este tipo de corretamente implementados. Este tipo de
verificación de la conformidad requiere asistencia verificação de conformidade requer a assistência
técnica especializada. de técnicos especializados.
La verificación del cumplimiento también

comprende, por ejemplo, pruebas de intrusión y A verificação de conformidade também engloba,
evaluación de vulnerabilidades, las cuales por exemplo, testes de invasão e avaliações de
podrían ser realizadas por expertos vulnerabilidades, que podem ser executados por
independientes contratados específicamente con especialistas independentes contratados
este propósito. Esto puede resultar útil para la especificamente para este fim. Isto pode ser útil na
detección de vulnerabilidades en el sistema y detecção de vulnerabilidades do sistema e na
para verificar la eficacia de los controles con verificação do quanto os controles são eficientes na
relación a la prevención de accesos no prevenção de acessos não autorizados devido a
autorizados posibilitados por las mismas. estas vulnerabilidades.
Las pruebas de intrusión y la evaluación de
167 10.09.2007
vulnerabilidades proporcionan una muestra de un Teste de invasão e avaliação de vulnerabilidades

sistema en un estado y momento específico. La fornece um snapshot de um sistema em um estágio
muestra se limita a esas porciones del sistema específico para um tempo específico. O snapshot
probado realmente durante el o los intentos de está limitado para aquelas partes do sistema
penetración. Las pruebas de intrusión y la realmente testadas durante a etapa da invasão. O
evaluación de vulnerabilidades no son un teste de invasão e as avaliações de
substituto para la evaluación de riesgo. vulnerabilidades não são um substituto da
análise/avaliação de riscos.
15.3 Consideraciones sobre la auditoría de
sistemas de información 15.3 Considerações quanto à auditoria de
sistemas de informação
OBJETIVO: Maximizar la efectividad de, y reducir
al mínimo la interferencia desde o hacia, el Objetivo: Maximizar a eficácia e minimizar a
proceso de auditoría del sistema de información. interferência no processo de auditoria dos sistemas
de informação.
Se deberían establecer controles para
salvaguardar los sistemas en producción y las Convém que existam controles para a proteção dos
herramientas de auditoría durante las auditorías sistemas operacionais e ferramentas de auditoria
del sistema de información. durante as auditorias de sistema de informação.
También se requiere protección para

salvaguardar la integridad y evitar el mal uso de Proteção também é necessária para proteger a
las herramientas de auditoría. integridade e prevenir o uso indevido das
ferramentas de auditoria.
15.3.1 Controles de auditoría de sistemas de
información 15.3.1 Controles de auditoria de sistemas de
informação
Control
Deberían planificarse cuidadosamente y Controle
acordarse los requisitos y actividades de auditoría Convém que requisitos e atividades de auditoria
que impliquen verificaciones en los sistemas en envolvendo verificação nos sistemas operacionais
producción, para minimizar el riesgo de sejam cuidadosamente planejados e acordados
interrupción de los procesos de negocio. para minimizar os riscos de interrupção dos
processos do negócio.
Las siguientes recomendaciones deberían Diretrizes para implementação
tenerse en cuenta: Convém que as seguintes diretrizes sejam
observadas:
a) deberían acordarse los requisitos de auditoría
con la dirección apropiada; a) requisitos de auditoria sejam acordados com o
nível apropriado da administração;
b) debería acordarse y controlarse el alcance de
las verificaciones; b) escopo da verificação seja acordado e
controlado;
c) las verificaciones se deberían limitar a accesos
de sólo lectura al software y a los datos; c) a verificação esteja limitada ao acesso somente
para leitura de software e dados;
d) otro acceso distinto a solo lectura, solamente
se debería permitir para copias aisladas de d) outros acessos diferentes de apenas leitura
archivos del sistema, que se deberían borrar sejam permitidos somente através de cópias
cuando se complete la auditoría, o bien brindar la isoladas dos arquivos do sistema, e sejam
adecuada protección si hay obligación de apagados ao final da auditoria, ou dada proteção
mantener tales archivos como requisito de apropriada quando existir uma obrigação para
documentación de la auditoría; guardar tais arquivos como requisitos da
documentação da auditoria;
e) los recursos para realizar comprobaciones
deberían ser explícitamente identificados y e) recursos para execução da verificação sejam
puestos a disposición; identificados explicitamente e tornados disponíveis;
168 10.09.2007
requisitos para processamento adicional ou

especial sejam identificados e acordados;
f) los requisitos para procesos especiales o
adicionales deberían ser identificados y
acordados;
g) todo acceso se debería supervisar y registrar

para producir un histórico para referencia; se f) todo acesso seja monitorado e registrado de
debería considerar el uso de las pistas con forma a produzir uma trilha de referência; convém
impresión horaria (time-stamped) en el histórico que o uso de trilhas de referência (time stamped)
para los datos o los sistemas críticos; seja considerado para os sistemas ou dados
críticos;
h) todos los procedimientos, requisitos y
responsabilidades deberían estar documentados; g) todos os procedimentos, requisitos e
responsabilidades sejam documentados;
i) la o las personas encargadas de la auditoría
deberían ser independientes de las actividades h) as pessoas que executem a auditoria sejam
auditadas. independentes das atividades auditadas.
15.3.2 Protección de las herramientas de

auditoría de sistemas de información 15.3.2 Proteção de ferramentas de auditoria de
sistemas de informação
Control
Deberían protegerse los accesos a las Controle
herramientas de auditoría de sistemas de Convém que o acesso às ferramentas de auditoria
información para evitar cualquier posible mal uso de sistema de informação seja protegido, para
o el compromiso de las mismas. prevenir qualquer possibilidade de uso impróprio ou
comprometimento.
Las herramientas de auditoría de sistemas de Diretrizes para implementação
información, por ejemplo, archivos de datos o Convém que acessos às ferramentas de auditoria
software, deberían estar separadas de los de sistemas de informação, por exemplo, software
sistemas en producción y de desarrollo y no se ou arquivos de dados, sejam separados de
mantendrán en bibliotecas de cintas o en áreas sistemas em desenvolvimento e em operação e
de los usuarios, salvo que se les proporcione un não sejam mantidos em fitas de biblioteca ou áreas
nivel apropiado de protección adicional. de usuários, a menos que seja dado um nível
apropriado de proteção adicional.
Si terceras partes están involucradas en una Informações adicionais
auditoría, pudo haber un riesgo de mal uso de las Quando terceiros estão envolvidos em uma
herramientas de auditoría, y de la información auditoria, existe um risco de mau uso de
accedida por esta organización externa. Los ferramentas de auditoria por esses terceiros e da
controles tales como los descritos en 6.2.1 informação que está sendo acessada por este
(identificar los riesgos) y en 9.1.2 (restringir el terceiro. Controles, tais como em 6.2.1 (para avaliar
acceso físico) se pueden considerar para tratar os riscos) e 9.1.2 (para restringir o acesso físico),
este riesgo, debería ser tomada en cuenta podem ser considerados para contemplar este
cualquier consecuencia, como ser el cambio risco, e convém que quaisquer conseqüências, tais
inmediato de contraseñas que hayan sido como trocar imediatamente as senhas reveladas
divulgadas a los auditores. para os auditores, sejam tomadas.
Anexo A
169 10.09.2007
(informativo)
Glosario en español / Glossário em espanhol
El glosario a seguir es pertinente solamente a la O glossário a seguir é pertinente somente à adoção

adopción de la Norma ISO/IEC 27002:2005 para da Norma ISO/IEC 27002:2005 para a língua
el idioma español. espanhola.
Batch - Un conjunto de datos o tareas ha ser procesadas en una única ejecución de un programa.
Bombas lógicas - Programas que provocan la ejecución de una serie de acciones, por lo general malignas,
cuando se cumple una determinada condición. Una fecha determinada, la pulsación de una serie de teclas o
un contador interno, son algunos de los disparadores más utilizados en este tipo de programas.
Buffer overflow - Un desbordamiento de búfer (buffer overflow) es un error de software que se produce
cuando se copia una cantidad más grande de datos sobre un área más pequeña sin interrumpir la operación,
sobreescribiendo otras zonas de memoria.
Caballos de Troya - Los caballos de Troya o troyanos son programas que, bajo una apariencia inofensiva,
esconden una acción dañina, como la destrucción de la información del computador atacado; el cambio de
permisos o derechos, y el robo de todo tipo de información (como direcciones de correo electrónico, claves,
etc.)
Code injection - Técnica mediante la cual se introduce código arbitrariamente en un proceso computacional
en ejecución.
Contrato o arreglo de escrow - Es aquel por el cual una empresa desarrolladora de software se
compromete a entregar el código fuente de un programa informático a un tercero, que se constituye en
depositario, que se obliga a conservarlo y proporcionárselo al contratista del programa solo en el caso de
que se den determinadas circunstancias.
EDI - Intercambio Electrónico de Datos (Electronic Data Interchange, EDI).
e-business - Negocio electrónico, (e-negocio), es cualquier proceso del negocio que sea brindado por un
sistema de información.
e-government - Gobierno electrónico (e-government), es el uso de las tecnologías de la información y el

conocimiento en los procesos internos de gobierno y en la entrega de los productos y servicios del gobierno
tanto a los ciudadanos como a la industria.
Fallback - Metodología de emergencia ante fallas que posibilitan la recuperación de información perdida.
Firewall - Dispositivo que se coloca entre dos redes. Controla todas las conexiones de entrada y salida,
evitando transmisiones no deseadas.
Flash disks - Módulos de almacenamiento constituidos por chips de memoria volátil.
Función hash o algoritmo hash - En informática, una función hash o algoritmo hash es una función o
método para generar claves o llaves que representen de manera unívoca a un documento, registro, archivo,
etc.
Gateway - Punto de una red que actúa como punto de entrada a otra red.
Gusanos (worms) - Los gusanos son programas que tienen como fin último propagarse mediante la
replicación de sí mismos, bien en la memoria de los sistemas o bien de computador en computador a través
de redes como Internet.
170 10.09.2007
Hand-held device - Un dispositivo informático que se puede mantener fácilmente en una mano mientras
que la otra mano se utiliza para operarlo. Los dispositivos Palm son un ejemplo popular.
Host - Equipo conectado a una red de computadoras.
IDs - Nombre o identificación de usuario.
Log off - Procedimiento de desconexión o salida del sistema por parte de un usuario.
Log on - Procedimiento de conexión o entrada al sistema por parte de un usuario.
Logging - Registro de actividades en un archivo informático, de diferentes situaciones, se utiliza

normalmente como evidencia de auditoria.
Middleware - En sistemas computacionales distribuidos, middleware se define como la capa del software
entre el sistema operacional y las aplicaciones.
PIN - Número de identificación personal (Personal Identification Number). Número secreto asociado a una
persona o usuario de un servicio mediante el cual se accede al mismo.
Router - Dispositivo físico o lógico que garantiza la conexión entre redes.
Service packs - Parche (patch) o actualización de un programa cuyo fin es solucionar problemas o mejorar
la usabilidad de una versión previa de la aplicación.
Smart card - Una tarjeta inteligente (smart card), o tarjeta con circuito integrado (TCI), se define a cualquier
tarjeta del tamaño de un bolsillo con circuitos integrados incluidos. Aunque existe un diverso rango de
aplicaciones, hay dos categorías principales de TCI, las tarjetas de memoria que contienen sólo
componentes de memoria no volátil y posiblemente alguna lógica de seguridad; y las tarjetas
microprocesadoras que contienen memoria y microprocesadores.
Sniffer - Un packet sniffer es un programa de captura de las tramas de red .Generalmente se usa para
gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos.
Stakeholder - Un stakeholder hace referencia a los involucrados en un proyecto de alguna forma. Por
ejemplo: cliente, equipo de proyecto, accionistas, funcionarios, etc. Se utiliza también para referirse a la
"parte interesada".
Tokens - Dispositivos de hardware que posibilitan la generación aleatoria de claves de acceso.
UTC - Tiempo Universal Coordinado (Universal Time Co-ordinated)
UPS - Suministro de energía ininterrumpible.(Uninterruptable Power Supply)
Virus - Programas capaces de autoreproducirse copiándose en otro programa al que infectan, todo ello sin
conocimiento del usuario. Tienen la misión que les ha encomendado su programador, con lo que seria difícil
decir que los virus tienen una misión común. Lo único que tienen de parecido es que deben pasar
desapercibidos el máximo tiempo posible para poder cumplir su misión. Si es detectado, el usuario puede
eliminar el virus y controlar el contagio.
VPN - Red privada virtual, una tecnología de red que permite una extensión de la red local sobre una red
pública o no controlada, como por ejemplo Internet. (Virtual Private Networks).
171 10.09.2007
Anexo B
(informativo)
Glosario en portugués / Glossário em português
El glosario a seguir es pertinente solamente a la O glossário a seguir é pertinente somente à adoção

adopción de la Norma ISO/IEC 27002:2005 para da Norma ISO/IEC 27002:2005 para a língua
el idioma portugués. portuguesa.
Os termos relacionados a seguir, com a respectiva descrição, foram mantidos na língua inglesa, por não
possuírem tradução equivalente para a língua portuguesa:
Back-up – cópias de segurança de arquivos.
BBS (Bulletin Board System) – sistema no qual um computador pode se comunicar com outros
computadores por meio de linha telefônica, como na Internet.
Buffer overflow/overrun – transbordamento de dados. Situação que ocorre quando dados em demasia são
aceitos na entrada de uma aplicação ou durante o processamento interno do sistema, ultrapassando a sua
capacidade de armazenamento.
Call back – retorno de chamada.
Call center – central de atendimento.
Call forwarding – encaminhamento de chamada.
Covert channel – canal de comunicações que permite o fluxo de informações de uma maneira que viole a
política de segurança do sistema.
Denial of service (negação do serviço) – impedimento do acesso autorizado aos recursos ou retardamento
de operações críticas por um certo período de tempo.
Dial up – serviço por meio do qual um computador pode usar a linha telefônica para iniciar e efetuar uma
comunicação com outro computador.
Display – dispositivo de apresentação de dados.
Download – descarregamento, transferência de arquivos entre computadores por meio de uma rede.
E-business – modalidade eletrônica de realização de transações de negócios.
EDI – Eletronic Data Interchange – intercâmbio eletrônico de dados.
E-government – modalidade eletrônica de realização de transações de negócios e prestação de serviços por

entidades governamentais.
Firewall – sistema ou combinação de sistemas que protege a fronteira entre duas ou mais redes.
Flash Disks – dispositivos de armazenamento de dados que utiliza circuitos integrados de memória não
volátil.
Gateway – equipamento que funciona como ponto de conexão entre duas redes.
Hacker – pessoa que tenta acessar sistemas sem autorização, usando técnicas próprias ou não, no intuito
de ter acesso a determinado ambiente para proveito próprio ou de terceiros. Dependendo dos objetivos da
ação, podem ser chamados de Cracker, Lammer ou BlackHat.
172 10.09.2007
Hash – representação matemática única de um conjunto de dados (resumo de mensagem).
Help desk – fonte de suporte técnico aos usuários.
ISP – provedores de serviços de Internet.
Log-On – processo de identificação e autenticação de um usuário para permitir o seu acesso a um sistema.
Logging – registro do histórico de atividades realizadas ou de eventos ocorridos em um determinado sistema

ou processo.
Middleware – personalização de software; software de sistema que foi personalizado por um vendedor para
um usuário particular.
Need to know – conceito que define que uma só pessoa precisa acessar os sistemas necessários para
realizar a sua atividade.
Network worms (vermes de rede) – código malicioso autopropagável que pode ser distribuído
automaticamente de um computador para outro por meio de conexões de rede local ou pela Internet.
Um worm pode realizar ações perigosas, como consumir banda de rede e recursos locais.
Patch – correção temporária efetuada em um programa; pequena correção executada pelo usuário no
software, com as instruções do fabricante do software.
PDA – assistente digital pessoal.
PIN (Personal Identification Number) – número de identificação pessoal.
Program-to-program controls – controles entre programas.
Root – usuário administrador com privilégios irrestritos no sistema.
Run-to-run controls – controles entre execuções.
Scanners – periférico de digitalização de imagens e documentos.
Snapshot – retrato do estado de um sistema em um estágio específico.
Sniffer – um software ou dispositivo especializado que captura pacotes na rede.
Timestamp (carimbo de tempo) – registro temporal de um evento.
Tokens – Dispositivo físico para autenticação. Exemplos: token criptográfico, token de senha dinâmica,
token de memória, entre outros.
UTC – Coordinated Universal Time – Tempo Universal Coordenado.
Wireless – sistema de comunicação que não requer fios para transportar sinais.
173 10.09.2007
Bibliografía / Bibliografia
ISO/IEC Guide 2: 1996, Standardization and Related Activities - General Vocabulary
ISO/IEC Guide 73:2002, Risk Management - Vocabulary - Guidance for Use in Standards
ISO/IEC 13335-1:2004, Information Technology - Security Techniques - Management of Information And

Communications Technology Security - Part 1: Concepts and Models for Information and Communications
Technology Security Management
ISO/IEC TR 13335-3:1998, Information Technology Guidelines for the Management of IT Security - Part 3:
Techniques for the Management of IT security
ISO/IEC 13888-1:1997, Information Technology - Security Techniques - Non-repudiation - Part 1: General
ISO/IEC 11770-1:1996, Information Technology - Security Techniques - Key Management - Part 1:

Framework
ISO/IEC 9796-2:2002, Information Technology - Security techniques - Digital Signatures Schemes Giving
Message Recovery - Part 2: Integer Factorization Based Mechanisms
ISO/IEC 9796-3:2000, Information Technology - Security Techniques - Digital Signatures Schemes Giving
Message Recovery - Part 3: Discrete Logarithm Based Mechanisms
ISO/IEC 14888-1:1998, Information technology - Security Techniques - Digital Signatures with Appendix -
Part 1: General
ISO/IEC 15408-1:1999, Information Technology - Security Techniques - Evaluation Criteria for IT Security -
Part 1: Introduction and General Model
ISO/IEC 14516:2002, Information Technology - Security Techniques - Guidelines for the use and
Management of Trusted Third Party Services
ISO 15489-1:2001, Information and Documentation - Records Management - Part 1: General
ISO 10007:2003, Quality Management Systems - Guidelines for Configuration Management
ISO/IEC 12207:1995, Information Technology - Software Life Cycle Processes
ISO 19011:2002, Guidelines for Quality and/or Environmental Management System Auditing
OECD Guidelines for the Security of Information Systems and Networks: "Towards a Culture of Security",
2002
OECD Guidelines for Cryptography Policy, 1997
IEEE P1363:2000 Standard Specifications for Public-Key Cryptography
ISO/IEC 18028-4, Information Technology - Security Techniques - IT Network Security - Part 4: Securing
Remote Access
ISO/IEC TR 18044, Information Technology - Security Techniques - Information Security Incident

Management
174 10.09.2007
ICS 35.040
Descriptores:
Palavras chave:
Número de páginas: 173
175 10.09.2007

Auditoria - Normas - Isoiec 27002 Castellano Versión Mercosur

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Auditoria - Normas - Isoiec 27002 Castellano Versión Mercosur

Diunggah oleh

Hak Cipta:

Format Tersedia

Proyecto de Norma MERCOSUR

Projeto de Norma MERCOSUL

Tecnología de la información - Código de buenas

Tecnologia de informação - Código de boas práticas para

2 Términos y definiciones 2 Termos e definições

3 Estructura de esta Norma 3 Estrutura desta Norma

4 Evaluación y tratamiento de riesgos 4 Análise/avaliação e tratamento de riscos

5 Política de seguridad 5 Política de segurança da informação

6 Organización de la seguridad de la información 6 Organizando a segurança da informação

7 Gestión de activos 7 Gestão de ativos

8 Seguridad ligada a los recursos humanos 8 Segurança em recursos humanos

9 Seguridad física y del ambiente 9 Segurança física e do ambiente

10 Gestión de comunicaciones y operaciones 10 Gerenciamento das operações e comunicações

11 Control de acceso 11 Controle de acessos

12 Adquisición, desarrollo y mantenimiento de los 12 Aquisição, desenvolvimento e manutenção de

13 Gestión de incidentes de la seguridad de la 13 Gestão de incidentes de segurança da

14 Gestión de la continuidad del negocio 14 Gestão da continuidade do negócio

Anexo A (normativo) Glosario Anexo A (normativo) Glossário

La AMN - Asociación MERCOSUR de A AMN - Asociación MERCOSUR de Normalización

La AMN desarrolla su actividad de normalización A AMN desenvolve sua atividade de normalização

Los proyectos de Norma MERCOSUR, Os projetos de Norma MERCOSUL, elaborados no

0.1 ¿Qué es la Seguridad de la Información? 0.1 O que é segurança da informação?

La seguridad de la información es la protección Segurança da informação é a proteção da

La seguridad de la información se consigue A segurança da informação é obtida a partir da

Las organizaciones y sus sistemas y redes de As organizações, seus sistemas de informação e

información se enfrentan con amenazas de redes de computadores são expostos a diversos

La seguridad de la Información es importante A segurança da informação é importante para os

Muchos sistemas de información no se han Muitos sistemas de informação não foram

1. La primera fuente procede de la valoración de 1. Uma fonte é obtida a partir da análise/avaliação

2. La segunda fuente es el conjunto de requisitos 2. Uma outra fonte é a legislação vigente, os

0.4 Evaluación de los riesgos de seguridad 0.4 Analisando/avaliando os riscos de

Los requisitos de seguridad se identifican Os requisitos de segurança da informação são

Los resultados de esta evaluación ayudarán a Os resultados da análise/avaliação de riscos

Se puede encontrar más información sobre Informações adicionais sobre a análise/avaliação

0.5 Selección de controles 0.5 Seleção de controles

0.6 Punto de partida de la seguridad de la 0.6 Ponto de partida para a segurança da

a) la protección de los datos y la privacidad de la a) proteção de dados e privacidade de informações

b) la protección de los registros de la organización b) proteção de registros organizacionais (ver

a) la documentación de la política de seguridad a) documento da política de segurança da

b) la asignación de responsabilidades de b) atribuição de responsabilidades para a

c) la concienciación, formación y capacitación en c) conscientização, educação e treinamento em

d) el correcto procesamiento de las aplicaciones d) processamento correto nas aplicações (ver

e) la gestión de la vulnerabilidad técnica (véase el e) gestão de vulnerabilidades técnicas (ver 12.6);

g) la gestión de incidentes de seguridad de la g) gestão de incidentes de segurança da

las organizaciones y en la mayoría de los organizações e na maioria dos ambientes.

0.7 Factores críticos de éxito 0.7 Fatores críticos de sucesso

a) una política de seguridad, objetivos y a) política de segurança da informação, objetivos e

c) el apoyo visible y el compromiso de la alta c) comprometimento e apoio visível de todos os

d) una buena comprensión de los requisitos de la d) um bom entendimento dos requisitos de

e) la comunicación eficaz de la necesidad de la e) divulgação eficiente da segurança da informação

f) la distribución de directrices sobre la política de f) distribuição de diretrizes e normas sobre a

g) proveer recursos para las actividades de g) provisão de recursos financeiros para as

h) proveer concientización, formación y educación h) provisão de conscientização, treinamento e

i) un proceso efectivo de gestión de incidentes de i) estabelecimento de um eficiente processo de

j) implementación de un sistema de medición1) j) implementação de um sistema de medição1), que

0.8 Desarrollo de directrices propias 0.8 Desenvolvendo suas próprias diretrizes

Esta Norma establece recomendaciones y Esta Norma estabelece diretrizes e princípios

2 Términos y definiciones 2 Termos e definições

todo sistema de procesamiento de la información, qualquer sistema de processamento da informação,

proceso de comparación de riesgos estimados processo de comparar o risco estimado com

[Guía ISO/IEC 73:2002] [ISO/IEC Guia 73:2005]

3 Estructura de esta norma 3 Estrutura desta Norma

3.1 Cláusulas 3.1 Seções