NORMA TECNICA COLOMBIANA

NTC-ISO/IEC

27002
2007-11-16

TECNOLOGiA DE LA INFORMACION. TECNICAS DE SEGURIDAD. CODIGO DE pRACTICA PARA LA GESTION DE LA EGURIDAD DE LA FORMACION

ITY TECHNIQUES. TION SECURITY

ICONTEC
adopclon identica DT), respecto a su ferencia, ta norma

DESCRIPTORES:

I.C.S.: 35.040.00
Editada par el Instituto Colombiano de Normas Teenicas y Certiflcaci6n (ICONTEC) Apartado 14237 Bogota, D.C. - Tel. (571) 6078888 - Fa)l (571) 2221435

Prohibida su reproducci6n

Editada 2007-11-27

NORMA TECNICA COLOMBIANA

NTC ..ISOIIEC 27002

CONTENIDO Pagina O. 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 1. 2. 3. 3.1 3.2 4. 4.1 INTRODUCCION l,QUE ES LA SEGURIDAD DE LA INFORMACION? ,-POR QUE ES NECESARIA LA SEGURJDADDE LA INFORMACION? i.COMO ESTABLECER LOS REQUISITOS DE SEGURIDAD? EVALUACION DE LOS RIESGOS DE SEGURIDAD SELECCION DE CONTROLES PUNTO DE PARTIDA PARA LA SEGURIDAD DE LA INFORMACION FACTORES CRiTICOS PARA EL EXITO DESARROLLO DE DIRECTRICES PROPIAS OBJETO TERMINOS Y DEFINICIONES ESTRUCTURA DE ESTA NORMA cLAUSULAS CATEGORiAS PRINCIPALES DE SEGURIDAD EVALUACION Y TRATAMIENTO DEL RIESGO EVALUACION DE LOS RIESGOS DE SEGURJDAD 1 1 3 3 3 .4 4

NORMA TECNICA COLOMBIANA

NTC·ISO/IEC 27002

Pagina

4.2

TRATAMIENTO

DE LOS RIESGOS DE SEGURIDAD

5.

POLi'TICA DE SEGURIDAD

, DE LA INFORMACION .......

5.1

.
•

6
,.8

6. 6.1 6.2 7. 7.1 7.2

8. 8.1
C

............................ 8
~ •• ,M , ,

15
"' ..22

.......................... 22
.................... 24

...."'

"'

26

.......................... 26 ......................... 29

8.2 8.3
9. 9.1 9.2 SEGURIDAD FislCA Y DEL ENTORNO AREAS SEGURAS SEGURIDAD DE LOS EQUIPOS

................................ 31
33 33 37

10. 10.1 10.2 10.3

GESTION DE COMUNICACIONES PROCEDIMIENTOS

Y OPERACIONES Y RESPONSABILIDADES

42 42 .46 48

OPERACIONALES

GESTION DE LA PRESTACION DEL SERVICIO POR TERCERAS PARTES PLANIFICACION Y ACEPTACION DEL SISTEMA

NORMA TECNICA COLOMBIANA

NTC~ISO/IEC 27002

Pagina 10.4 10.5 10.6 10.7 10.8 10.9

PROTECCI6N RESPALDO GESTION DE LA SEGURIDAD DE LAS REDES MANEJO DE LOS MEDIOS INTERCAMBIO DE LA INFORMACION CONTRA CODIGOS MALICIOSOS Y MOVILES ......................•....... 50

52 54 55 58 64 67 72 72 74 77 80 85 90 92
DE SISTEMAS 95 95

SERVICIOS DE COMERCIO ELECTR6NICO

10.10 MONITOREO 11. 11.1 11.2 11.3 11.4 11.5 11.6 11.7 12. 12.1 12.2 12.3 12.4 12.5 12.6
CONTROL DEL ACCESO REQUISITOS DEL NEGOCIO PARA EL CONTROL DEL ACCESO GEST10N DEL ACCESO DE USUARIOS RESPONSABIUDAD.ES DE LOS USUARIOS

CONTROL DEL ACCESO A LAS REDES CONTROL DE ACCESO AL SISTEMA OPERA TIVO CONTROL DE ACCESO A LAS APLICACIONES COMPUTACION M6vIL Y TRABAJO REMOTO

Y A LA INFORMACION

ADQUISICION, DESARROLLO D,EINFORMACION

Y MANTENIMIENTO

REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION PROCESAMIENTO CORRECTO EN LAS APLICACIONES

96 99 103

CONTROLES CRIPTOGRAFICOS SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA SEGURIDAD EN LOS PROCESOS DE DESARROLLO GESTION DE LA VU LNERABILIDAD TECNICA

Y SOPORTE

106 109

NORMA TECNICA COLOMBIANA

NTC-ISO/IEC 27002

Pagina

13. 13.1

GESTION DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACION ....111 REPORTE SOBRE LOS EVENTOS YLAS DEBILIDADES DE LA INFORMACION DE LA SEGURIDAD 111

.....

~ ••••

iIj .. ~ .....

, ......

~ ••

114
117

14. 14.1

DEL NEGOCIO

..

..

....................... 117

6N

15. 15.1 15.2

15.3

CUMPLIMIE

........................ 123 ..................... 123

........................ 129
BIBLIOGRAFiA ......

..

131 133

DOCUMENTO DE

.......

, ••••

~, ••

1I1II ••••••

,110 ••

NORMA TECNICA COLOMBIANA

NTC·ISO/IEe 27002

o.
0.1

INTRODUCCI6N LQUE ES LA SEGURIDAD DE LA INFORMACI6N?

La informacion es un activo que, como otros actives importantes del negocio, es esenclal para las actividades de la orqanizaclcn y, en consecuencia, necesita una proteccion adecuada. Esto es especlalmente importante en elentorno de negocios cada vez mas interconectado. Como resultado de esta lnterconexlon creciente, la informacion se expone a un gran nurnero y variedad de amenazas y vulnerabilidades (vease tam bien OECD Guia para la seguridad de redes y sistemas de informacion). La informacion puede ex.istir en diversas formas. Se puede imprimir 0 escribir en papel, almaceoarelectronlcamente, transmltir par correa a par medias electroniccs, presentar en pellculas, 0 expresarse en la conversaclon .. Cualquiera sea su forma 0 medio por el cual se com parte 0 almacena, siempre deberia tener protsccion adecuada .. La. seguridad de la informacion es la protecclcn de la informacion contra una gran varied ad de arnenazas can el fin de asegurar la continuldad del negocio, rninimizar el riesgo para el negocio y maximizar el retorno de inversiones y oportunidades de negoclo. La seguridad de la informacion se logra implementando un conjunto aproplado de controles, incluyendo poHticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Los controles necesltan ser establecidos, implementados, monitoreados, revisados y mejorados, donde sea necesario, para asegurar que se cumplen los objetlvos especificos de seguridad y del negocio de la orqaniaaclon. Esto dsbsrla hacerse en conjunto can otros procesos de gestion de negoclo.

0.2

l..POR QUE E.SNECES.ARJA LA SEGURIDADDE

LA INFO.RMACI6N?

La informacion y los procesos, sistemas y redes que la soportan son activos importantes de negocio. La definicion, et lcqro, el mantenimiento y la mejora de la seguridad de la informaci6n pueden ser esenciales para mantener su cornpetitlvidad, el f1ujo de caja, la rentabilidad, el cumplimiento legal y la imagen comercial. Las organizaciones y sus sistemas y redes de .informaci6n enfrentan amenazas de seguridad procedentes de una gran variedad de fuentes, inc.luyendo fraudes aslstidos por computador, espionaje, sabotaje, vandalismo, incendios 0 inundaciones. Las causas de dana tales como codrqos rnaliciosos y ata.ques de piraterta por computador y neqacion del servicio se han vuelto mas comunes, mas ambiciosos y cada vez mas sofisticados. La seguridad de la informacion es importante tanto para los negocios del sector publico como del privado y para proteger 18 infraestructura critlca. En ambos sectores,la seguridad de la informacion actuara como un elemento facilitador para loqrar, por ejemplo, gobierno en linea (egovernment) 0 negados e.lectronicos(e-business) y evitar 0 reducir los rissqos pertinentes. La interconexon de las redes publicas y privadas y compartir los recursos de informacion incrementan la dificultad para lograr el control del acceso. La tendencia hacia la cornputacion dlstributda tarnbien ha debilitado la eficacia del control central yespecializado ..

NORMA TECNICA COLOMBIANA

NTC-ISO/IEC 27002

Muchos sistemas de informaci6n no se han dlseriado para ser seguros. La seguridad que se puede lograr a travss de los medios tecnicos es limitada y deberia estar soportada par una buena gestion y par procedimientos apropiados. La ldentlticacion de los controles que se deberfan establecer requiere plarntlcacion y atencion cuidadosa a los detalles. La gestion de la seguridad de la informacion requiere, como minima, la parttcipaclon de todos los empleados de la orqanizaclon. Tamblen puede requerir la participaci6n de accionistas, proveedores, terceras partes, clientes u otras partes extemas. De igual modo puede ser necesaria la asesoria especializada de organizaciones extemas.

0.3

l.COMO ESTABLECER

LOS REQUISfTOS DE SEGURIDAD? identifique sus requisitos de seguridad. Existen tres fuentes

Es esencial que la orqanizacion principales de requisitos 1) cuenta la riesgos. se id prebabilidad

evaluacion de los riesgos para globales del negocio. para los actlvos, se el impacto potencial.

nizacicn, teniendo en de la evaluacon de la vulnerabilidad y la

2)

Otra fuente debe cumplir I de servicios.

y contractuales que s y los proveedores

vos y requisitos del ha desarrollado

3)

se identifican controles se deben fallas en la seguridad. Los resultados de la adecuada y las como para implementar de riesgos ayudaran a gu la gestion de los riesgos de seleccionados para la p

de los riesgos de lidad de dalio para

r la acclon de gestion de la informacion, asi contra estos riesgos.

La evaluaclon de riesgos se deberia repetir perlodicarnente para tratar cualquier cambio que pueda influir en los resultados de la evaluaclon de riesgos. Informaci6n adicional sobre la evaluacion de los riesgos de seguridad se puede encontrar en el numeral 4.1. "Evaluaclon de los riesgos de seguridad".

0.5

SELECCION DE CONTROLES

Una vez se han identificado los requisitos y los riesgos de seguridad y se han tomado las decisiones para el tratamiento de los riesgos, es conveniente seleccionar e implementar los controles para garantizar la reduccion de los riesgos hasta un nivel aceptable. Los controles se pueden seleccionar a partir de este documenta, de otros grupos de cornroles a se pueden disertar controles nuevos para satisfacer necesidades especificas. sequn sea adecuado. La seleccion de los controles de seguridad depende de las decisiones de la orqanizacion basadas

NORMA TECNICA COLOMBIANA

NTC-ISOIIEC 27002

en los criterios para la aceptacion del riesgo, el tratamiento del riesgo y el enfoque general para la qestlon del riesgo aplicado en la crqamzacion, y deberia estar sujeta a toda la leqislacion y todos los reglamentos nacionales e intemacionales pertinentes. Algunos de los controles en esta norma se pueden considerar como principios guia para la gestion de la seguridad de la informacion y aplicables a la maya ria de las organizaciones. Estos se explican con mas detalle bajo el encabezado "Punto de partida para la seguridad de la informacion" . Informacion adicional sobre la selecci6n de controles y otras opciones de tratamiento riesgos se puede encontrar en el numeral 4.2 "Tratamiento de los riesgos de seguridad". de

0.6

PUNTO DE PARTIDA PARA LA SEGURIDAD DE LA INFORMACI6N

Algunos controles se pueden considerar un buen punto de partida para la implernentacion de la seguridad de la informacion. Ellos se basan en requisitos legales esenciales 0 se consideran una practlca cornun para la seguridad de la informaci6n. Los controles considerados esenciales para una orqanizacion desde el punto de vista legislativo incluyen, dependiendo de la leqistacion que se aplique, los siguientes: a) b) c} protecclcn de datos y privacidad de la informacion personal (vease el numeral 15.1.4); protecclon de los registros de la orqaruzaclon (vease el numeral 15.1.3); derechos de propiedad intelectual (vease el numeral 15.1.2}. una practica cornun para la seguridad de la informacion

Los controles que se consideran incluyen los siguientes: a) b)

documento de la polltica de seguridad de la informacion (vease el numeral 5.1.1); asignaci6n de responsabilidades numeral 6.1.3); para la seguridad de la informacion (vease el

c)

ecucaclcn, formacion y concientizacion numeral 8.2.2);

sobre la seguridad de la informaci6n (vease el

d) e) f) g)

procesamiento correcto en las aplicaciones (vease eJnumeral 12.2); gestion de la vulnerabilidad tacnica (vease el numeral 12.6); gestion de la continuidad del negocio (vease el numeral 14); qestion de los incidentes numeral 13.2.). de seguridad de la informacion y las mejoras (vaase el

Estos controles se aplican a la mayorfa de las organizaciones y en la mayoria de los entornos. Es conveniente observar que aunque todos los controles en esta norma son importantes y se deberian tener presentes, la pertinencia de cualquier control se deberia determinar a la luz de los riesgos especificos que enfrenta la orqanizacion. Par 10 tanto aunque el enfoque anterior se

NORMA TeCNICA COLOMBIANA

NTC-ISOIIEC 27002

considera un buen punto de partida, no reemplaza la seleccion de controles con base en una evaluacion de riesgos.

0.7

FACTORES CRiTICOS PARA EL EXITO

La experiencia ha demostrado que los siguientes factores son criticos para la lrnpternentaclcn exitosa de la seguridad de la informacion dentro de la orqanizacion: a) politicas, objetivos y actividades objetivos del negocio; de seguridad de la informacion que reflejen los

b)

un enfoque y un marco de trabajo para implementar, mantener, monitorear y mejorar la seguridad de la i ci6n, que sean consistentes con la ra de la orqanizacicn:

c)

g) h) i)

provision de

de la seguridad

j)

implementaci en la gesti6n mejora.

uar el desernpeno sugerencias para la

0.8

DESARROLLO 0

RECTRICES PROPIAS

Este codlqo de practice se puede considerar como un punto de partida para el desarrollo de directrices especlficas de la orqanizacion. No todos los contreles ni directrices en este codiqo de practice se pueden aplicar. Adernas, se pueden requerir controles y directrices adicionales que no se incluyen en esta norma. Cuando se desarrollan documentos que contienen directrices 0 controles adicionales puede ser ufil incluir referencias cruzadas a numerales de esta norma que faciliten la veriflcaclon del cumplimiento por parte de auditores y socias de negocios.

11

Observe que las medici ones de 18seguridad de la informacion estan fuera del alcance de asia norma.

NORMA TECNICA COLOMBIANA

NTC·ISO/IEC 27002

TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. CODIGO DE pRACTICA PARA LA GESTI6N DE LA SEGURIDAD DE LA INFORMACI6N

1.

OBJETO

Esta norma establece directrices y principies generales para iniciar, Implementar, mantener y mejorar la gestion de la seguridad de la informaci6n en una orqanlzacion. Los objetivos indicados en esta norma brindan una guia general sobre las metas aceptadas comunrnente para la gesti6n de la seguridad de la informaci6n. Los objetivos de control y los contreles de esta norma estan destinados a ser implementados para satisfacer los requisitos identlficados por la evaluaci6n de ries90s. Esta norma puede servir como guia practlca para el desarrollo de normas de seguridad de la organizacl6n y para las practicas eficaces de gesti6n de la seguridad, as! como para crear confianza en las actividades entre las organizaciones.

2.

TERMINOS Y DEFINICIONES

Para los propcsitos de este documento se aplican los siguientes terrnlnos y definiciones:

2.1 Activo. Cualquier cosa que tenga valor para la organizaci6n.

[NTC 5411-1 :2006] 2.2 Control. Medias para gestionar el rlesgo, incluyendo politicas, procedimientos, directrices, practices 0 estructuras de la orqaruzacion que pueden ser de naturaleza administrativa, tecnica, de gesti6n 0 legal.
NOTA Control tambien se usa como sin6nimo de salvaguarda 0 contramedida.

2.3 Directriz. Descrtpcion que aclara 10 que se deber!a hacer y c6mo hacerlo, para alcanzar los objetivos establecidos en las polltlcas. [NTC 5411-1 :20061 2.4 Servicios de procesamiento de informacion. Cualquier servicio, infraestructura a sistema de procesamiento de informaci6n 0 los sitios fisicos que los albergan.

1 de 133

NORMA TECNICA COLOMBIANA

NTC-ISOIIEC 27002
integridad y autenticidad,

2.5 Seguridad de la informacion. Preservaci6n de la confidencialidad. disponibilidad de la informacion, adernas, otras propiedades tales como responsabilidad, no-repudio y confiabilidad pueden estar involucradas. 2.6 Evento de seguridad

de la informacion. Un evento de seguridad de la informaci6n es la presencia identificada de un estado del sistema, del servicio 0 de la red que indica un posible incumplimiento de la politics de seguridad de la informaci6n. una falla de controles, 0 una situaci6n previamente desconocida que puede ser pertinente para la seguridad. [ISO/lEG TR 18044:2000)

de seguridad de la informacion. Un incidente de seguridad de la informaci6n esta indicado por un solo evento 0 una serie de eventos inesperados 0 no deseados de seguridad de la inform que tienen una probabilidad sig iva de comprometer las operaciones del negoci r la seguridad de la informaci [ISO/lEG TR 18044:

2.7 Incidente

2.8 Politica. Toda . 2.9 Riesgo. Combi

[ISO/lEG Guia 73:2

2.10 Amilisis

de estimar el riesgo. [ISO/IEC Guia 7

las fuentes y

2.11 Evaluacion

de

2.12 Valoracion
[ISO/lEG Guia

del riesgo establecidos

Proceso de cornoaraco inar la importancia del

frente a criterios de

2.13 Gestion del riesgo.

respecto al riesgo. [ISO/IEG Guia 73:2002]

L!..T'1;1\/1{'~i1

una orqanizacion con

2.14 Tratamiento
modificar el riesgo.

del riesgo.

Proceso de selecci6n e implementaci6n

de medidas apara

[ISO/IEG Guia 73:2002]

2.15 Tercera parte. Persona u organismo reconocido por ser independiente involucradas, con relaci6n al asunto en cuestion,
[ISOliEG Guia 2:1996)..

de las partes

~ORMA TECNICA COLOMBlANA

NTC·ISOIIEC 27002

2.16 Amenaza. Causa potencial de un incidente no deseado. que puede ocasionar dane a un sistema u orqanizacion, [NTC 5411-1 :2006] 2.17 Vulnerabilidad. Debilidad de un activo una 0 mas amenazas. [NTC 5411-1 :2006]
0

grupo de activos que puede ser aprovechada por

3.

ESTRUCTURA DE ESTA NORMA

Esta norma contiene once secciones sabre controles de seguridad que en conjunto tienen un total de 39 categorias principales de seguridad y una seccion de tntrcducclon a la evaluacion y el tratamiento del riesgo.

3.1

CLAUSULAS

Cada clausula contiene una cantidad de categorias principales de seguridad. Estas once clausulas (acompariadas por la cantidad de categorias principales de seguridad incluida en cada numeral) son: a) b) c) d) e) f) g) h) i) j) k) Politica de seguridad (1). Orqanizaclon de la seguridad de la informacion (2). Gesti6n de actives (2). Seguridad de los recursos humanos (3). Seguridad ffsica y del entorno (2). Gesti6n de operaciones y comunicaciones (10). Control del acceso (7). Adquisici6n. desarrollo

mantenimiento de sistemas de informacion (6).

Gestion de los incidentes de seguridad de la informaci6n (2). Gestion de la continuidad del negocio (1). Cumplimiento (3).

NOTA EI orden de las clausulas no implica su importancia. Dependiendo de las circunstancias, todos las clausulas podrian ser importantes. por 10 tanto caoa organi.zaei6nque aplique esta norma deberla identifiear las clausulas aplicables, su importancia y su aplicaci6n a procesos individuales del negocio. Igualmente. ninguna de las listas de esta norma esta en orden prioritario, a menos que asi se indique.

3.2

CATEGORiAS PRJNCIPALESDE SEGURIDAD

Cada categoria principal de seguridad contiene:

NORMA TECNICA COLOMBIANA

a) b)

NTC-ISO/IEe 27002

un objetivo de control que establece 10 que se debe lograr; uno

0

mas controles que se pueden aplicar para lograr el objetivo de control.

Las descripciones de los controles tienen la siguiente estructura: Control Define la declarad6n espedfica del control para cumplir el objetivo de control.

Gula de implementaci6n Suministra informacion mas detallada para apoyar la implementaci6n del control y satisfacer el objetivo de control. Algun rtes de esta guia pueden no ser ad as en todos los casos y por ella pueden ser rna as otras formas de implementaci6 control.

las consideraciones

4.
4.1 La evaluaclon de riescos frente a los la organizaci6n. Los las prioridades tanto implementar los r necesario lIevar a varias veces para aci6n. luaclon de rlesgos incluya is del riesgo) y el de riesgo para determin atico para estimar la ci6n de los riesqos de los riesqos

criterlos para la
resultados debsrlan para. la gesti6n de I controles sa,.. r,r'rl,n,..,cabo al proceso de cubrir diferentes pa E5 recomendable qu magnitud de los rl estlrnados frente a (valoraci6n del rlesgo).

Es conveniente realizar peri6dicamente las evaluaciones de riesqos para abordar los camblos en los requisitos de seguridad y en la situaclon de riesgo, por ejemplo en activos, amenazas, vulnerabilidades, impactos, valoraci6n del riesgo y cuando se producen carnbios significativos. Estas evaluaciones de riesgos se deberIan efectuar de forma rnetodica que puedan producir resultados comparables y reproducibles. La evaluaci6n de los riesgos de seguridad de la informacion deberla tener un alcance deflnido claramente para que sea eficaz y deberia incluir las relaciones con las evaluaciones de riesqos en otras areas, sequn sea apropiado. EI alcance de la evaluaci6n de rlesgos puede abarcar a toda la organizaci6n, partes de la organizaci6n, un sistema individual de informaci6n, componentes especificos del sistema a servicios, cuando es factible, realista y util, En la norma ISO/IEG TR 13335-3 (Directrices para 18 seguridad de la tecnologia de la informaci6n: tecnicas para la gesti6n de 18 seguridad de la

NORMA TECNICA COlOMBIANA

tecnologia riesqo. 4.2

NTC-ISOlIEC 27002
para la evaluaclon del

de la informacion) se discuten ejemplos de metodologias

TRATAMIENTO

DE LOS RIESGOS DE SEGURIDA,D

Antes de considerar el tratamiento de un riesgo, la orqanizacton deberia decidir los crlterios para determinar si se pueden aceptar 0 no los riesgos. Los riesgos se pueden aceptar si, per ejemplo, segun la evaluation se considera el riesgo bajo 0 que el costo del tratamiento no es efectivo en terrninos financieros para la organizacion. Tales decisienes se deberfan reg.istrar. Para cada uno de los riesgos identificados despuss de la evaluacion de riesgos es necesari.o tomar una decision para su tratamiento. Las opciones posibles para el tratamiento del riesgo inc.luyen: a) b) aplicscicn de los controles apropiados para reducirlosriesgos.: aceptaclon objetiva y con conocimiento de los riesgos, siempre y cuando ellos satisfa.gan la polltica de laerqanlzaclon y sus criterios para la aceptaclon del riesqo: evitacion de los riesgos al no permitir acciones que pudieran hacer que estos se presenta ran: de riesgosasociados a otras partes, porejemplo aseguradores
0

c)

d)

transferencia provsedores.

Para aquellos riesgos en donde la decision de tratamiento del riesgo ha sido la epucaclon de controles apropiados, dichos controles se deberian seleccionar e implementar de modo que satisfagan los requisites identificados por la evaluaclon de riesgos. Los controles deberian garantizar la reduccion de los riesgos hasta un nivel aceptsble teniendoen cuenta los siguientes elementos: a) requisitos y restricciones internaciona les; objetivos de la organizaci6n; requisitos y restricciones operatives; coste de la irnplementaclon y ta operaci6n con relacion a los riesgos que se reducen, y que perrnanezca proporcional a los requisitos y restriociones de la orqanlzacien: necesidad de equilibrar lainversi6nen lairnplementacion y operaclon de los controles frente ala probabilidad del dano que resuttara debido a las fallas de seguridad. de la legislaci6n y de las regulaciones nacionales e

b) c) d)

e)

Los controles se pueden seleooionar a partir de esta norma, de otros conjuntos de controles, 0 se pueden disefiar controles nuevos que satisfagan las necesidadesespecificas de la orpanlzaclon. Es necesario reconceer quees posible que algunos controles no se puedan aplicar a todos 1.05 sistemas y entornos de informaci6n, y pueden no ser vlables para todas las orqanlzaclones. A modo de ejemplo, el numeral 10..1.3 describela forma en que se pueden segregar las funeiones pare evitarfraude y error, Es posible que las organizaciones pequefias no puedan segregar todaslas funciones y que sean necesarias otras formas de lograr el mismo objetivo de control. En otrcejernplo, el numeral 10., 10 describe la forma en que se pued e monitorear el uso del sistema y recolectar evidencia. Los controles descritos, como et registro

NORMA TECNICA COLOMBlANA

NTC-ISO/IEC 27002

de eventos, pueden entrar en conflicto con la legislaci6n correspondiente, como par ejemplo en la protecci6n de la privacidad para ros clientes a en el sitio de trabajo. Los controles de seguridad de la informaci6n se deberian tener en cuenta en la especificaci6n de los requisitos de sistemas y proyectos y en la fase de dlserio. De 10 contrario, se pueden originar costos adicionales y soluciones menos eficaces y, es posible, en el peor de los casas, la incapacidad de lograr una seguridad adecuada. Se debe recordar que ningun conjunto de controles puede lograr la seguridad completa y que se deberian implementar acciones adicionales de gestion para monitorear, valorar y mejorar la eficiencia y la eficacia de los controles de seguridad para apoyar las metas de la organizaci6n.

5. 5.1

POLiTICA DE SE DE LA INFORMACION

Objetivo: brindar informaci6n, de pertinentes. Las directivas de del negocio y d de la emisi6n yel

5.1.1 Control

Documento

La direcci6n deberi debe ria publicar y co

r un documento de r a todos los empleados

la informaci6n y 10 nentes.

EI documento de la de seguridad de la informacion el compromiso de la direccion y establecer el e de esta para la gesti6n de la de la informaCi6n. EI documento de la politica deberia contener declaraciones relacionadas can: a) definici6n de la seguridad de la informacion, sus abjetivos generales y el alcance e importancia de la seguridad como mecanisma que permite compartir la informacion (vease la introducci6n); declaraci6n de la intenci6n de la direcci6n, que apoye las metas y los principios de seguridad de la informacion, de acuerdo con la estrategia y los objetivos del negocio; estructura para establecer los objetivos de control y los controles, estructura de la evaluaci6n de riesgas y de la gesti6n del riesgo; incluyendo la

b)

c)

d)

explicaci6n breve sabre las normas, las politicas y los principios de seguridad, as! como de los requisitos de cumplimiento de importancia particular para la organizaci6n incluyendo los siguientes:

NORMA TECNICA COLOMBIANA

1) 2) 3) 4) e)

NTC-ISO/IEC 27002

cumplimiento de los requisites legales, reglamentarios y contractuales; requisitos de educaci6n, formad6n y conctentizacton sobre seguridad; gesti6n de la continuidad del negocio; consecuencias de las violaciones de la politica de seguridad;

definicion de las responsabilidades generales y especificas para la gestion de la seguridad de la informacion, incluyendo el reporte de los incidentes de seguridad de la informaci6n; referencias a la documentaci6n que puede dar soporte a la politica, tal como las polfticas de seguridad mas detalladas para sistemas especificos de informacion 0 las reglas de seguridad que deberian cumplir los usuarios.

f)

Esta polltica de seguridad de la informacion se deberia comunicar a traves de toda la orqanizacion a los usuarios de manera pertinente, accesible y comprensible para ellector. Informaci6n adicional La polltica de seguridad de la informacion podria formar parte de un documento de polltica general. 811a politica de seguridad de la informacion sa distribuye fuera de la orqantzactcn, es necesario tener cuidado de no di.vulgar informacion sensible. Informacion adicional sa puede encontrar en la NTC 5411 ~1:2006. 5.1.2 Control La politica de seguridad de la informaci6n se debe ria revisar a intervalos planificados 0 cuando se producen cambios significativos, para garantizar que sigue slendo adecuada, suficiente y eficaz. Guia de implementaci6n La polltlca de seguridad de la informaci6n deberia tener un duerio con responsabilidad aprobada por la direccion para el desarrollo, la revisi6n y la valoracion de dicha politica. Es conveniente que la revisi6n incluya las opertunidades de evaluacon para mejorar la politica de seguridad de la informaci6n de la orqaruzacion y el enfoque para la qestion de la seguridad de la informacion en respuesta a los camblos en el entorno de la orqanizacion, las circunstancias del negocio, las condiciones legales 0 el entorno tacnlco. Es conveniente que la revision de la politica de seguridad de la informaci6n tenga en cuenta los resultados de la revisi6n por la direcciOn. Deberlan existir procedimientos definidos para la revision por la dlreccion, incluyendo una proqramacion 0 periodo de revision. Las entradas para la revision por la cireccion debedan lncluir informacion sabre: a) b) retroalimentaci6n de las partes interesadas; resu Itados de Ias revisiones independientes (vease e I nurne raI 6.1 .8); Revision de la politica de seguridad de la informacion

NORMA TECNICA COLOMBIANA

c) d) e)

NTC-ISO/IEC 27002

estados de las acciones preventivas y correctivas (veanse los numerales 6.1.8 y 15.2.1); resultados de las revisiones previas por parte dela direcclon: desernpeno del proceso y cumplimiento de la politica de seguridad de la informaci6n; cam bios que pudieran atectar el enfoque de la orqanizacion para la gestion de 18 seguridad de la informacion, incluyendo carnbios en el entomo de la organizaci6n, las circunstancias del negocio, la disponibilidad de recursos, las condiciones contractuales, reglamentarias 0 legales, 0 el entoma tecnico: tendencias relacianadas con las amenazas y las vulnerabilidades;

f)

g) h)

i)
Los resultados de relacionadas can: yacciones

a)
b) c) Es recomendable Se deberla obtener I

de la informaci6n

6.
6.1

Se deberla establecer u estructura de gestion para iniciar de la seguridad de la informacion dentro de la crqamzacion.

trolar la implementaci6n

La direcci6n deberia aprobar la polltica de seguridad de la Informaci6n, asignar las funciones de seguridad, coordinar y revisar la irnplementacion de la seguridad en toda la o rganizaclon. Si es necesario, se recomienda establecer una fuente de asesoria especializada sabre seguridad de la informaci6n y poner1a a disposici6n en la organizaci6n. Es conveniente desarrollar contactos can grupas a especialistas externos en seguridad, incluyendo las autoridades pertinentes, para ir al cornpas de las tendencias industriales, monitorear normas y rnetodos de evaluaci6n, asi camo proveer puntas adecuados de vinculo cuando se manejan incidentes de seguridad de la informaci6n ...Se deberia promover un enfoque multid linario ra la s ad de la informaci6n.

NORMA TeCNICA COLOMBIANA

6.1.1 Control Compromiso

NTC-ISOIIEC 27002

de la direcci6n con la seguridad de la informacion

La direccon deberia apoyar activamente la seguridad dentro de la organizaci6n con un rumbo claro, un compromiso demostrado. una asignaci6n explicita y el conocimiento de las responsabilidades de la seguridad de la informaci6n. Gufs de impiementacion La dlreccion deberia: a) asegurar que las metas de la seguridad de la informaci6n estan identificadas, satisfacen los requisitos de la orqanizactcn y estan integradas en los prooesos pertinentes; formular, revisar y aprobar la politica de seguridad de la informaci6n; revisar la eficacia de la irnplementacion de la politica de seguridad de la informacion; proporcionar un rumbo claro y apoyo visible para las iniciativas de seguridad; proporcionar los recursos necesarios para la seguridad de la informaci6n; aprobar la asignaci6n de funciones y responsabilidades dela informaci6n en toda la organizaci6n; especificas para la seguridad

b) c) d) e) f)

g)

inlciar planes y programas para mantener la concientizaci6n inform aci6n;

sobre la seguridad de la

h)

asegurar la coordinaci6n en toda la organizaci6n de la implementaci6n de los controles de seguridad de la informaci6n.

La dlrecci6n deberia identificar las neces.idades de asesorla especializadainterna a externa sabre la seguridad de la informaci6n, revisar y coordinar los resultados de la asesorla en toda la organizaci6n. Dependiendo del tamario de la organizaci6n, tales responsabilidades se podrian manejar a traves de un comite de direcci6n dedicado a estalabor 0 a traves de un organismo de direcci6n ya existente, como por ejemplo el consejo directivo. Informacion adicional La NTC 5411-1 :2006, contiene inform aci 6n ad iciona I. 6.1.2 Control Las actividades de la seguridad de la informaci6n deberian ser coordlnadas por los representantes de todas las partes de la organizaci6n con roles y funciones laborales pe rtinentes. Coordinaci6n de la seguridad de la informacion

NORMA TECNICA COLOMBIANA

Guia de implementaci6n

NTC·ISOlIEe 27002

Oornunrnente, la coordinaci6n de la seguridad de la informaci6n involucra la cooperaci6n y colaboracion de directores, usuaries, administradores, disefiadores de aplicacion, auditores y personal de seguridad, as! como habilidades especializadas en areas como seguros, temas legales, recursos humanos, tecnologia de la informacion 0 gesti6n de riesgos. Esta actividad deberia: a) garantizar que las actividades de seguridad se efecnian en cumplimiento de la polltica de seguridad de la informaci6n; identificar la forma de manejar los incumplimientos; procesos para la seguridad ificacion de informaci6n; en las amenazas y la informaci6n a las informacion, como la

b) c)

d)
e)

la informacion y de

de seguridad de la

f)

6n de la seguridad de

g)

~irl.>nt".c

de seguridad responder a los

Si la organizaci6n dichos grupos no anteriormente las de

ea grupos con ados para el tam r a cabo otro organ

mplo debido a que s acciones descritas solo director.

6.1.3
Control

Asignacion

Se deberian informacion.

definir

todas las responsabilidades

Gufa de implementaci6n La asignaci6n de responsabilidades para la seguridad de la informacion se deberla realizar de acuerdo con la politica de seguridad de la informacion (vease el numeral 5). Se recomienda definir clara mente las responsabilidades para la proteccion de activos individuales y para la ejecuci6n de procesos especfficos de seguridad. Esta responsabilidad deberia complementarse, cuando es necesario, con directrices mas detalladas para sitios especificos y servicios especificos de procesamiento de informacion. Se deberian definir claramente las responsabilidades locales para la proteccion de activos y para realizar procesos especificos de seguridad, como por ejemplo la planificaci6n de la continuidad del negocio.

10

NORMA TECNICA COLOMBIANA

NTC·ISO/IEC 27002

Los individuos con responsabilidades de seguridad asignadas pueden delegar las labores de seguridad a otros. No obstante, siguen siendo responsables y deberian determinar la ejecuci6n correcta de las labores delegadas. Las areas por las cuales son responsables los individuos se deberian establecer con claridad, en particular, se deberian establecer las siguientes: a) los actives y los procesos de seguridad asociados con cada sistema particular se deberian identif1car y definir claramente; se debe ria asiqnar la entidad responsable de cada activo 0 proceso de seguridad, as! como documentar esta responsabilidad (vease tambien el numeral 7.1.2); se deberfan definir y documentar claramente los niveles de autorizaci6n.

b)

c)

Informacion adicional En muchas organizaciones se designara un director de seguridad de la infonnaci6n con toda la responsabilidad por el desarrollo e implementaci6n de la seguridad y para apoyar la identificaci6n de controles. Sin embargo, la responsabilidad por los recursos y la implementaci6n de controles permanecen3 en los direetores individuales. Una practice comun es designar un duerio para cada activo, quien se hace responsable de su proteccion diaria. 6.1.4 Control Se deberia definir e implementar un proceso de autorizaeion de la direccion para nuevas servicios de procesamiento de informaci6n. Gufa de implementacion Se recomienda tener en cuenta las siguientes directrices para el proceso de autorizaci6n: a) los servicios nuevos deberian tener autonzacion de la dlreccion para el usuario apropiado, autorizando su prop6sito y uso. La autorizaci6n tarnbien se deberia obtener del director responsable de mantener el entorno de seguridad del sistema de informaci6n local para asegurar el cumplimiento de todas las politicas y los requisitos de seguridad correspondientes; euando es neeesario, el hardware y el software se deberian verificar para asegurar que son compatibles con otros componentes del sistema; la utilizaci6n de servicios de procesamiento de informacion personales 0 privados, por ejemplo computadores portatiles (laptops), computadores domesticos 0 dispositivos manuales para procesar informacion del negoeio, pueden introducir nuevas vulnerabilidades y se deberian identificar e implementar los controles necesarios. Proceso de autorteaclen para los sarvicios de procesamiento de informacion

b)

c)

11

NORMA TECNICA COLOMBIANA

6.1.5 Control Acuerdos sobre confidencialidad

NTC-ISO/IEC 27002

Se deberian identificar y revisar con regularidad los requisitos de confidencialidad 0 los acuerdos de no-divulqacion que reflejan las necesidades de la orqanizaclon para la protecclon de la informacion. Gufa de implementaci6n Los acuerdos de confidencialidad 0 de no-divulqacion deberian abordar los requisitos para proteger la informacion confidencial usando terminos que se puedan hacer eumplir legalmente. Para identificar los requisitos para los acuerdos de confidencialidad 0 de no-divulqacion, se deberfan eonsiderar los 5 elementos: a) definicion de confidencial); ha de proteger la informacion

b)

necesario

c) d)

e)

f)

los que suscriben el

g)

derecho de confidencial;

n a la informacion

h)
i) j) terrninos para la

o vlolaclon de la

acciones esperadas a tomar en caso de incumplimiento de este acuerdo. pueden ser necesarios otros

Con base en los requisitos de seguridad de la orqanizacion, elementos en un acuerdo de confidencialidad 0 no-divulgacion,

Los acuerdos de confidencialidad 0 no-divulqacion deberian cumplir todas las leyes y las regulaciones que se apliean en la jurisdiccion eorrespondiente (vease el numeral 15.1.1). Los requisitos para los acuerdos de confideneialidad 0 no-divulqacion se deberlan perlodicarrtente y cuando se produzcan cambios que influyan en estes requisitos. revisar

12

NORMA TECNICA COLOMBIANA

Informacion adicional

NTC-ISO/IEC 27002

Los acuerdos de confidencialidad y de no-divulqacion protegen la informaci6n de la organizaci6n e informan a los que suscriben el acuerdo de confidencialidad, sus responsabilidades para proteger, utilizar y divulgar informaci6n de forma responsable y autorizada. Puede ser necesario que una organizaci6n utilice diferentes confidencialidad y de no-divulqacion en circunstancias diferentes. 6.1.6 Control Se deberian mantener contactos apropiados cOQlas autoridades pertinentes. Guia de implementaci6n Las orqanlzaclones deberian tener procedimientos establecidos traves de que autoridades (policia, bomberos, autoridades contactar y la forma en que se deberlan reporter oportunamente la seguridad de la informaci6n, si se sospecha de incumplimiento que especifiquen cuanco y a de supervisi6n) se deberian los incidentes identificados de de la ley. Contacto con las autoridades formas de acuerdos de

Puede que las organizaciones sometidas a ataques provenientes de Internet necesiten terceras partes externas (por ejemplo un proveedor de servicios de Internet 0 un operador de telecomunicaciones) para tamar acci6n contra ta fuente de los ataques. Informaci6n adicional EI mantenimiento de dichos contactos puede ser un requisito para dar soporte a la gestion de Incidentes de seguridad de la informaci6n (vsase el numeral 13.2) 0 a la contlnuidad del negocio y el proceso de planes de contingencia (vease la secci6n 14). Los contactos con los organismos de regulaci6n tambisn son utiles para anticipar y preparar los camblos futuros en la ley 0 en los reglamentos que la organizaci6n debe cumplir. Los contactos con otras autoridades incluyen servicios publicos, servicios de emergencia, salud y seguridad, como el departamento de bomberos (en conexi6n con la continuidad del negocio), proveedores de telecomunicaciones (junto can enrutamiento de linea y disponibilidad) y proveedores de agua (junto con medios de refrigeraci6n para los equipos). 6.1.7 Contactos con grupos de lnteres especiales

Control Se deberian mantener los contactos apropiados can grupos de lnteres especiales, otros foros especializados en seguridad de la informaci6n, y asociaciones de profesionales. Guia de implementaci6n La pertenencia a foros a)
0

grupos de interes especial se deberla considerar un media para: practicas y estar actuallzado can la

mejorar el conocimiento sobre las mejores informaci6n pertinente a la seguridad;

b)

garantizar que la comprensi6n del entorno de seguridad de la informaci6n es actual y completa; 13

NORMA TECNICA COLOMBIANA

c)

NTC-1S0/IEC 27002

recibir advertencias oportunas de alertas, avisos vu Inerabil idades;

y parches relacionados con ataques y

d) e)

obtener acceso a asesoria especializada sobre seguridad de la informaci6n; compartir e intercambiar informacion amenazas 0 vulnerabilidades; acerca de nuevas tecnologias, productos,

f)

suministrar puntas adecuados de enlace cuando se trata de incidentes de seguridad de la informaci6n (vease el numeral 13.2.1).

Informacion adicionai Se pueden establecer cooperaci6n y la coordi los requisitos para la rdos para compartir informaci6n los temas de seguridad. Dichos la informaci6n sensible.

el objeto de mejorar la
os deberian identifiear

6.1.8
Control

Revisi6n

ind

EI enfoque de la implementaci6n (es para seguridad de planificados, 0 cuan

informacion y su y procedimientos a intervalos de la seguridad.

necesaria para aseg la gesti6n de la seg oportunidades de la polltica y los objet Dicha revisi6n por ejemplo por la tercera parte especi revisiones deberian te
';;""',"",

ion independiente es la organizaci6n para la evaluaci6n de las ridad, incluyendo

por personas i auditoria interna, un director en tales revisiones. Los ind experiencia y las habilidades
... <:1

sometida a revisi6n, una organizaci6n de lIevan a cabo estas

Se recomienda que los resultados de la revision independiente se registren y se reporten a la direcci6n que ha iniciade la revisi6n. Estes registros se deberian conservar. Si la revision identifica que el enfoque y la implementaci6n de la orqanizacion con respecto ala gesti6n del sistema de seguridad son inadecuados 0 no cumplen la orientaci6n para la seguridad de la informacion estableeida en el doeumento de la polltica dela seguridad de la informacion (vease el numeral 5.1.1), la direccion deberia considerar las acciones correctivas. Informacion adicional

EI area que los directores deberian revisar regularmente (vease el numeral 15.2.1) tarnbien se
podrla revisar independientemente. Las tecrucas de revision pueden incluir entrevistas de la dlreccion, verificaci6n de registros 0 revision de los decumentos de la poHtiea de seguridad. La norma NTC-ISO 19011 :2002, Directrices para la auditoria de los sistemas de gestion ambiental y lode calidad tarnblen puede suministrar una guia util para Hevar a cabo la revision

14

NORMA TECNICA COLOMBIANA

NTC-ISO/IEC 27002

independiente, incluyendo el establecimiento y la irnplementacion de un programa de revision. EI numeral 15.3 especifica los controles pertinentes para la revision independiente de los sistemas de informacion operativos y el uso de las herramientas de auditoria de sistemas.

6.2

PARTESEXTERNAS

Objetivo: mantener la seguridad de la informacion y de los servicios de procesamiento de informacion de la orpanizacion a los cuales tienen acceso partes externas 0 que son procesados, comunicados 0 dirigidos por estes.
La seguridad de la informacion y de los servicios de procesamiento de informacion no se deberian reducir introduciendo productos 0 servicios de partes externas. Se debe ria controlar todo acceso a los servicios de procesamiento de Informacion, asi como el procesamiento y comunicaci6n de informacion por partes externas. Cuando existe una necesidad del negocio de trabajar con partes externas que pueden requerir acceso a la informacion de la orqanizaclon ya sus servicios de procesamiento de informaci6n, 0 de obtener 0 suministrar productos y servicios de 0 para una parte externa, se deberla realizar una evaluacion de riesgos para determinar las implicaciones para la seguridad y los requisitos de control. Los controles se deberfan acordar y definir en un convenio can la parte externa.

6.2.1 Identificaci6n de los riesgos relacionados con las partes externas

Control Se deberian identificar los riesgos para la informacion y los servicies de procesamiento de informacion de la organizaci6n de los a los procesos del negocio que involucran partes externas e implementar los controles apropiados antes de autorizar el acceso. Guia de implementaci6n Cuando existe la necesidad de permitir el acceso de una parte externa a los servicios de procesamiento de informacion 0 a la informacion de la organizaci6n, es recomendable lIevar a cabo una evaluaci6n de riesgos (vease tam bien la seccion 4) para identlficar los requisitos para los controles especifices. En la identificaci6n de los riesgos relacionados con el acceso de partes externas se deberian considerar los siguientes aspectos: a) los servicios de procesamiento extsrna: de informacion a los cuales requiere acceso la parte

b)

el tipo de acceso que tendra la parte externa a la informaci6n y a los servicios de procesamiento de informacion, por ejemplo: 1) acceso fisico, por ejemplo a oficinas, recintos de computadores y gabinetes de archivos; acceso loqico, por ejemplo a las bases de datos de la orqanlzacion sistemas de la orqanlzacion; conexi6n de red entre las rsdes de la orqanizacion ejempla conexicn permanente, acceso remoto; 15
0

2)

a los

3)

y dela

parte externa par

NORMA TECNICA COLOMBIANA

4) c)

NTC-ISO/IEC 27002
0

si el acceso tendra lugar en las instalaciones de la informaci6n

fuera de elias.

el valor y la sensibilidad operaciones del negocio;

involucrada

y su importancia para las

d)

los contreles necesarios para proteger la informaci6n accesible por las partes externas; el personal de organizaci6n; la parte extema involucrado en

que no esta destinada a ser

e)

manejar

la informaci6n

de la

f)

la forma en que se puede identificar a la organizaci6n 0 al personal autorizado a tener acceso, la manera de verificar la autorizaci6n, asi como la forma en que es necesario confirmarle; as utilizados por la parte mbiar la informaci6n; almacenar, procesar,

g) comunicar, h)

i)

las practicas informaci6n y conti nuaci6n la informaci

de seguridad de la condiciones para la de seguridad de

j) k)
la forma en debido a los

ctuales pertinentes a

Iquier otro accionista

EI acceso de las pa hasta haber implem contrato que defina I trabajo. En general, externas, 0 los (veanse los numerales

se deberla brindar haber firmado un so y el acuerdo de trabajo con partes con la parte externa
9,

Se deberla garantizar que la parte extema es consciente de sus ebligaciones y ace pta las responsabilidades y deberes involucrados en el acceso, procesamiento, comunicacion 0 gesti6n de la informacion y los servicios de procesamiento de informaci6n de la organizaci6n. fnformaci6n adiciona/ Las partes externas podrlan poner en riesgo la informaci6n con una gesti6n inadecuada de la seguridad. Se deberian identificar y aplicar los contreles para administrar el acceso de la parte externa a los servicios de procesamiento de informaci6n. Por ejemplo, si existe una necesidad especial de confidencialidad de la informaci6n, se podrian utilizar los acuerdos de nodivulgaci6n. Las organizaciones pueden enfrentar riesgos asociados con procesos, gestion y comunicaci6n entre las organizaciones, si se aplica un alto grado de contrataci6n extema cuando existen varias partes externas involucradas.

16

NORMA TeCNICA COLOMBIANA

NTC-ISOI1EC 27002
partes externas, incluyendo

Los controles 6..2..2. 62 .. comprenden diferentes acuerdoscon y 3 par ejemplo: a)

proveedores de servicios, como los proveedores de servicios de Internet, proveedores de red, servicios telef6nicos, servicios de mantenimiento y soporte; servicios de seguridad dirigidos; clientes; contratad6n extema de servicios y I u operaciones, sistemas de tecnolopla de la informaci6n, servicios de recolecclon de datos, operaciones de centro de lIamadas; asesores de negoclos y gesti6n, yaudttores: desarrolladores y proveedores, tecnologia de la informaci6n; por ejemplo productos de software Y sistemas de

b) c) d)

e) f)

g) h)

limpieza, alimentaci6n y otros servicios de soporte contratados externamente; personal temporal, ubicaci6n de estudiantes plazo; y otras asignaciones casuales a corto

Tales acuerdos pueden ayudar a reducirlos riesgos asociados con las partes externas.

6.2.2 Abordaje de la seguridad cuando se trata con los clientes

Control Todos los requisitos de seguridad identificados se deberian abordar antes de dar acceso a los clientes a los activos 0 la informacion de la orqanizacion. Guia de implementacion Los siguientes terminos se deberian considerar para abordar la seguridad antes de dar acceso a los clientes a cualquiera de los activos de la organizacion (dependiendo del tipo y la extension de dicho acceso, no se podrian aplicar todos elias): a) proteccion de activos, incluyendo: 1) procedimientos para proteger los activos de la organlzacion, informacion y software, y qestion de las vulnerabilidades conocidas; incluyendo

2)

procedimientos para determinar si alguna vez se han puesto en peligro los activos, por ejemplo perdida 0 moditlcaclcn de datos; integridad; restricciones a la copia y la divulqacion de la informaci6n;
0

3) 4) b) c)

descripci6n del producto

servicio que se va proveer;

las diversas razones, requisites y beneficios del acceso del cliente;

17

NORMA TECNICA COLOMBIANA

d)

NTC·ISOIIEC 27002

politica de control del acceso, incluyendo: 1) rnetodos de acceso permitido y control y uso de identificadores como la ldentificacion del usuario (10) y las contraserias: unlcos tales

2) 3) 4)

proceso de autorizacion para los privilegios y el acceso de los usuarios; declaracion de que el acceso que no se autorice explicitamente esta prohibido; proceso para revocar los derechos de acceso sistemas;
0

interrurnpir la conexion entre los

e)

convenios para el reporte. la notflcaclcn y 18 irwestiqacion informaci6n (par 10 de detalles personates), informaci6n y de 18 seguridad. descripci6n d la meta del n el derecho a va
8

de las Inexactitudes de la s de segurldad de la

f) g) h)

estar disponible;

con los actives de la

I)

j)

en que se garantiza sobre protecci6n de ales nacionales, si el numeral 6.1.5). derechos de numeral 15.1 numeral 6.1. ad intelectual ( Ia protecci6n de
5

k)

de copia (vease el boraci6n (vease el

Los requisitos de a los activos de la organizaci6n pueden informaci6n y de los serviclos de procesami de informaci6n a tos cuales se tiene ceeso. Estos requisites de seguridad se pueden abordar empleando acuerdos con el cliente que contengan todos los riesgos y requisitos de seguridad identificados (vease el numeral 6.2.1). Los acuerdos con las partes extemas tambien pueden involucrar a otras partes. Los acuerdos que otorgan acceso a la parte extema deberian incluir la permisividad para la designaci6n de otras partes y las condiciones elegibles para su acceso y participacion. 6.2.3 Abordaje de la seguridad en los acuerdos can terceras partes

ControJ
Los acuerdos con terceras partes que implican accesa, procesamienta, cornunicacion 0 qestion de la informacion a de los servicios de procesamiento de informaci6n de la organizaci6n, 0 la adici6n de productos 0 servicios a los servicios de procesamiento de la informacion deberlan considerar todos los requisitos pertinentes de seguridad.

18

NORMA TECNICA COLOMBlANA

Gufa de implementaci6n

NTC-ISOIIEC 27002

EI acuerdo deberla garantizar que no existen malos entendidos entre la organizaci6n y la tercera parte. Las organizaciones deberian estar satisfechas en la medida de la indemnizaci6n de la tercera parte. Se recomienda tener en cuenta los siguientes terminos para la inclusi6n en el acuerdo con el objeto de cumplir los requisites de seguridad identificados: a) b) la polltlca de seguridad de la informaci6n; los controles para asegurar la protecci6n del activo, incluyendo: 1) procedimientos para proteg.er los activos informaci6n, software y hardware; de la organizaci6n, incluyendo

2) 3)

todos los controles y mecanismos de protecci6n fisica requeridos; controles para asegurar numeral 10.4.1); la protecci6n contra software malicioso (vease el

4)

procedimientos para determinar si alguna vez se han puesto en peligro los actlvos, por ejemplo perdida 0 modificaci6n de informaci6n; software y hardware; controles para asegurar la devoluci6n 0 la destruccion de la informaci6n y los activos al flnalizar el acuerdo 0 en un punto acordado en el tiempo durante la duraci6n del acuerdo; canfidencialidad, integridad, disponibilidad y cualquier otra propiedad pertinente (vsase el numeral 2.1.5) de los actives: restricciones a la capia y a la divulgaci6n de informacion, confidencialidad (vease el numeral 6.1.5);

5)

6)

7)

y usa de acuerdos de

c) d)

la formaci6n del usuario y del administrador en metodos, procedimientos y seguridad; asegurar la concientizaci6n seguridad de la informaci6n; del usuario sobre responsabilidades

y aspectos de la

e) f)

las disposiciones para la transferencia de personal, cuando es aproplado: las responsabilidades el hardware; relacionadas con la instalaci6n y el mantenimiento del software y

g) h)

la estructura clara y los formatos acordados para la presentaci6n de los informes; el procsso claro y especifico para la gesti6n de cambios; la politica de control del acceso, incluyendo: 1) diversas razones, requisitos y beneficios de la necesidad del acceso por terceras partes;

i)

19

NORMA TECNICA COLOMBIANA

2)

NTC-ISO/IEC 27002
unicos, tales

rnetodos de acceso permitido y control y uso de identificadores como las identificaciones de usuario (ID) y las contrasefias; proceso de autorizaci6n para los privilegios y el acceso del usuario;

3) 4)

requisito para mantener una lists de las personas autorizadas a usar los servicios que se ponen a disposici6n, y de sus derechos y privilegios con relaci6n a tal uso: declaraci6n de que el acceso que no se autorice explicitamente esta prohibido; proceso para revocar los derechos de acceso sistemas;
0

5) 6)

interrumpir la conexi6n entre los

j)

las disposi seguridad incumplimie la descripci6 informaci6n numeral 7.2.1

reporte, la notificaci6n y la I y las violaciones de establecldos en el e va a estar dispon junto con su clasifi

de los incidentes de dad, asl como los

k)

descripci6n de la seguridad (vease el

I) m) n) la definici6n d el derecho a organizaci6n; con los actives de la

0)
-I""r"",...~v ..C!.

que dichas estatutarios

p) q) organizaci6n; r) s) las responsabilidades civiles correspondientes de las partes del acuerdo; las responsabilidades relacionadas can asuntos legales y la forma en que se garantiza el cumplimiento de los requisitos legales, par ejemplola legislaci6n sobre protecci6n de datos, teniendo en cuenta particularmente los diversos sistemas legales nacionales, si el acuerdo impliea cooperaci6n con organizaciones en otros palsas (vsase el numeral 15.1); los derechos de propiedad Intelectual (DPI) y asignaci6n de derechos de copia (vease el numeral 15.1.2) y la protecci6n de cualquier trabajo en colaboraci6n (vease el numeral 6.1.5); la participacion de la tereera parte can 105 subcontratistas y los controles de seguridad que estos subcontratistas necesitan implementar; a continuidad del servicio, abilidad, de acuerdo con medidas para la de negocio de la

t)

u)

20

N-ORMA TECNICA COLOMBIANA

v)

NTC-ISO/IEC 27002

las condiciones para la reneqociaclon I terminaci6n del acuerdo: 1) se deberia establecer un plan de contingencia en caso de que cualquiera de las partes desee terminar la relacion antes del termino de los acuerdos; reneqoclaclon orqanizacion; de acuerdos si cambian los requisitos de seguridad de la

2)

3)

docurnentacion vigente de laslistas relacionados con elias.

de activos , licencias, acuerdos a derechos

Informacion adicional Los acuerdos pueden variar considerablemente para diferentes organizaciones y entre los diferentes tipos de terceras partes. Par 10 tanto, se debe tener cuidado al incluir todos 105 riesgos y requisitos de seguridad identificados (vease el numeral 6.2.1) en los acuerdos. Cuando es necesario, los procedimientos y controles requeridos se pueden ampliar en el plan de gesti6n de la seguridad. Si la gesti6n de la seguridad se contrata extemamente, los acuerdos deberian abarcar la forma en que la tercera parte garantizara la seguridad adecuada, tal como 10 defini6 la svaluaclon de riesgos, c6mo rnantendra la seguridad, y como se adaptara la seguridad para identificar y tratar los cambios en los riesgos. Algunas de las diferencias entre la contrataci6n externa y otras formas de prestaci6n de servicios de terceras partes incluyen el tema de la responsabilidad civil, la planificaci6n del periodo de translcion y la interrupcion potencial de las operaciones duranteeste periodo, acuerdos sobre planlricaclon de contingencias y revisiones con la debida diligencia, asi como la recolecci6n y gestion de informacion sobre incidentes de seguridad. Por ello, es importante que la organizaci6n planifique y gestione la transici6n hacia un acuerdo contratado externamente y tenga procesos adecuados establecidos para la gesti6n de los cambios y la renegociaci6n / terminaci6n de los acuerdos. Es necesario considerar en el acuerdo los procedimientos para el procesamiento continuo, en el caso de que la tercera parte no pueda suministrar sus servicios, para evitar cualquier retraso en la disposici6n de los servicios de reemplazo. Los acuerdos con las partes externas tarnbien pueden involucrar a otras partes. Los acuerdos que otorgan acceso a la tercera parte deberian lneluir la permisividad para la designaci6n de otras partes y las condiciones elegibles para su acceso y participaci6n. . En general, los acuerdos los desarrolla en primer termino la organizaci6n. Puede haber ocasiones, en algunas circunstancias, en que una tercera parte pueda desarrollar un acuerdo e imponerlo a la organizaci6n. Es necesario que la organizaci6n garantice que su propia seguridad no sufre impactos innecesarios debido a los requisitos de la tercera parte estipulados en los acuerdos impuestos.

21

NORMATECNICA
7. 7.1

COlOMBIANA

NTC"ISO/IEe 27002

GESTION DE ACTIVOS RESPONSABILIDAD POR LOS ACTIVOS

Objetivo:

lograr y rnantener la protecci6n adecuada de los actives de la organizaci6n.

Todos los activos se deben incluir y deben tener un dueno designado. Se deberian identificar los duefios para todos los activos y asignar laresponsabilidad para el . mantenimlento de los controles adecuados. La implementaci6n de los controles especfficos •puede ser delegada por el dueno, seglmel case, peroel sigue siendo responsable de la . rotecci.6n adecuada de los activos. 7.1.1 Control Todoslos activos de inventario de todos I Inventar.io de

La orqanlzacion d de activos deberla i incluyendo el tlpo sobrelicencias yel otros inventarios, pel

ia, EI inventario e de los desastres, rte, la informaci6n r innecesariamente

numeral 7.1.2) Y la os actives. Con base ~n de seguridad se cia de los activas su importancia se

Adernas, se deber.
clasificaci6n de la in en la lmportancia recomlenda iden (informaci6nadic puede encontrar en

Existen muchos tipos de a)

ivos ,I nclu yendo:

informaci6n: bases de datos y archives de datos, contratos y acuerdos, documentati6n del sistema, informaci6n sobre investiqacion, manuales de usuario, material de forrnaoton, procedimlentos operatives 0 de seporte, planes para la continuidad del ne90cio, acuerdos de recuperaci6n, registros de auditoria e informaci6n archivada; activos de software: software de ap.licaci6n, software del sistema, herramient.as de desarrollo y utilldades: activos Ilsicos: equipos de remov.ibles y otros equipos; computacion, equipas de comunicaciones, medios

b)

c)

d)

servlcios: servicios de computation y comunicaciones. servicios generales como par ejemplo iluminacion, calefacci6n, energia y aire acondicionado; personas y sus calificaciones, habilidades yexperiencia; 22

e)

NORMA TECNICA COLOMBIANA

f)

NTC-ISOfIEC 27002

intangibles tales como reputaci6n e imagen de la organizaci6n.

Los inventarios de activos ayudan a garantizar que se logra la protecci6n eficaz de los actives y tarnblen se puede requerir para otros prop6sitos del negocio como por ejemplo por razones de salud y seguridad, financieras 0 de seguros (gesti6n de activos). EI proceso para obtener un inventario de activos es un prerrequisito importante de la gesti6n de rlesgos (vsase el numeral 4).

7.1.2
Control

Prapietaria de los actives

Toda la informaci6n y los activos asociados con los servicios de procesamiento de informaci6n deberian ser "propietario ..2) de una parte designada de la organizaci6n. Gaia de implementaci6n EI propietario del activo deberfa ser responsable de: a) garantizar que la informaci6n y los activos asociadas con los servicios de procesamiento de informaci6n se clasifican adecuadamente; definir y revisar peri6dicamente las restricciones y clasificaciones del aceeso, teniendo en cuenta las politlcas aplicables sobre el control del acceso.

b)

La propiedad se puede asignar a: a) b) e) d) un proceso del negocio; un conjunto definido de aetividades; una aplicaci6n; un conjunto definldo de datos.

Informaci6n adicional Las labores rutinarias se pueden delegar, por ejemplo a un custodio que cuide el activo diariamente, pero la responsabilidad sigue slendo del propietario. En los sistemas complejos de informacion puede ser util asignar grupos de activos que actuan juntos para suministrar una funclon particular como "servicios". En este caso, el propietario del servicio es responsable de la entrega de este, incluyendo el funcionamiento de los activos que 10 proporcionan.

2)

EI tsrrruno "propietario" identifiea a un individuo 0 una entidad que tiene responsabilidad aprobada de la direcci6n por el control de la produeei6n, el desarrollo, el mantenimiento, el uso y la seguridad de los aetivos. EI terrnino "propietario" no implica que la persona tenga realmente los derechos de propiedad de los actives.

23

NORMA TECNICA COLOMBIANA

7.1.3 Control Uso aceptable de los activos

NTC-ISO/IEC 27002

Se deberian identificar, documentar e implementar las regtas sobre el usa aceptable de la informaci6n y de los activos asociadas con los servicios de procesamiento de la informaci6n. Gula de implementaci6n Todos los empleados, contratistas y usuarios por tercera parte deberian seguir las regtas para el uso aceptable de la informacion y de los actives asociadas can los servicios de procesamiento de informaci6n, incluyendo:

a) b)
EI director empleados, la organizaci6n informacion y de los de informaci6n, as! recursos de responsabilid ad.

numeral 10.8). para su utilizaci6n .1). especificas. Los a los activos de para el usa de la de procesamiento que hagan de los efectuado bajo su

7.2
Objetivo: asegurar

Control La informaci6n se deberla clasificar en termmosde sensibilidad y la importancia para la organizaci6n. Gufa de implementaci6n Las clasificaciones y los controles de proteccicn asociadas para la informaci6n deberian considerar las necesidades del negocio respecto a compartir a restringir la informacion, al igual que los impactos del negocio asociadas con tales necesidades. Las directrices de clasificaci6n deberian incluir convenciones para la clasiticacion inicial y la reclasiflcscion can el paso del tiempo, de acuerdo can alguna politica predeterminada de control del acceso (vease el numeral 11.1.1). su valor, de los requisites .Iegales, de la

24

NORMA TECNICA COLOMBlANA

NTC-ISO/IEC 27002

Deberfa ser responsabilidad del prapietaria del activo (vease el numeral 7.1.2) definir la clasificaci6n del activo, revisarlo peri6dicamente y asegurarse de que se mantiene actualizado y en el nivel adecuado. La clasificaci6n deberia considerar el efecta de suma mencionado en el numeral 10.7.2. Es canveniente considerar la cantidad de categorias de clasificaci6n y los beneficios a obtener can su utilizaci6n. Los esquemas demasiado complejos pueden volverse engorrosos y de uso costoso a no ser practices. Se deberia tener cuidado al interpretar las etiquetas de clasificaci6n en los documentos de otras organizaciones, las cuales pueden tener diferentes definiciones para etiquetas iguales a similares. Informacion adicional EI nivel de protecci6n se puede evaluar analizando la confidencialidad, la integridad y la disponibilidad como tarnbien otros requisitos para la informaci6n en consideraci6n. Can frecuencia, la informaci6n deja de ser sensible a importante despues de un periodo de tiempo dado, por ejemplo, cuando la informaci6n se hace publica. Se deberian considerar estos aspectos puesto que la superclasificaci6n puede originar la implementaci6n de controles lnnecesarlos que lIevan a un costa adicional. La consideraci6n de documentos can requisitos de seguridad simi lares cuando se asignan los niveles de clasificaci6n puede ser util para simplificar la labor de clasificaci6n. En tsrmlnos generales, la clasificaci6n que se da a la informaci6n es una manera corta de determinar la forma en que se debe manejar y proteger esta informaci6n. 7.2.2 Control Se deberla desarrollar e implementar un conjunto de procedimientos adecuados para el etiquetado y el manejo de la informaci6n de acuerdo al esquema de clasificaci6n adoptado par la organlzaci6n. Gula de implementacion Es necesario que los procedimientos para el etiquetado de la informacion comprendan activos de informacion en formatos fisico y electronlco. los Etiquetado

y manejo de la informaci6n

Las salidas de los sistemas que contienen informacion que se clasifica como sensible a crltica deberian portar una etiqueta de clasificaci6n adecuada (en la salida). EI etiquetado deberia reflejar la clasificaci6n sequn las reglas establecidas en el numeral 7.2.1. Los elementos a considerar incluyen informes impresos, presentaciones en pantalla, medias grabados (par ejemplo, clntas, discos, discos compactos), mensajes electr6nicos y transferencias de archivos. Para cada nivel de clasificaci6n es recomendable definir los procedimientos de manejo, incluyendo procesamiento, almacenamiento, transmisi6n. desclasificaci6n y destrucci6n seguros. Ella deberia incluir los procedimientos para la cadena de custodia y el registro de cualquier evento importante de seguridad. Los acuerdos con otras organizaciones que incluyen compartir informaci6n deberfan incluir procedimientos para identificar la clasificaci6n de dicha informaci6n y para interpretar las etiquetas de clasificaci6n de otras organizaciones.

25

NORMATECNICA
Informaci6n adicional

COLOMBIANA

NTC-ISOIIEC 27002

EI etiquetado y el manejo segura de la informacion clasificada son un requisito clave de los acuerdos para com partir informacion. Las etiquetas fisicas son una forma cornun de etiquetado. No obstante, algunos activos de informacion, tales como los documentos en formato electr6nico, no se pueden identificar fisicamente y es necesario emplear medios electr6nicos de etiquetado. Par ejemplo, el etiquetado de nouficacion puede aparecer en la pantalla a en la presentacion. Cuando el etiquetado no es viable, se pueden apllcar otros medias para designar la elasificacion de la informacion, par ejemplo a traves de procedimientos 0 meta-datos. 8. 8.1
Objetivo: asegurar responsabilidades y reducir el riesgo de as, contratistas y usuarios de las funciones para las [laCleCILJaOIO las instalacio de partes entienden sus considerados, y SEGURIDAD DE LOS RECURSOS HUMANOS

Todos los candi deberian selecci Los empleados, de informacion uridad. de procesarniento nsabilidades de

8.1.1
Control Se deberian definir y usuarios de terceras informacion de la Guia de imp/ementaci6n Las funciones y responsabilidades deberian incluir
105

ntar los roles y res por la seguridad, de a

ados, contratistas y de seguridad de la

requisitos para:

a)
b)

implementar y actuar de acuerdo con las poHticas de seguridad de la informacion de la orqanizacion (vease et numeral 5.1); proteger tos activos contra acceso, divulqaclon, modificacion, destruccion no autorizados; ejecutar procesos a actividades particutares de seguridad; garantizar que se asigna la responsabilidad a la persona para que tome las acciones;
0

interferencia

c) d)

3)

Explicaci6n: La palabra ·contrataci6n" cubre todas las siguientes situaciones: empleo de personas (temporal o a termino indefinido). asignaci6n de roles de trabajo. cambio de roles de trabajo, asignaci6n de contratos, y la terminaci6n de cualquiera de estos acuerdos.

26

NORMA TeCNICA COLOMBIANA

e)

NTC-ISOIIEC 27002

informar los eventos de seguridad, los eventos potenciales u otros riesgos de seguridad para la organizaci6n.

Las funciones y responsabilidades de seguridad se deberian definir y comunicar claramente a los candidatos al trabajo durante el proceso previa a su contrataci6n. Informaci6n adicional Se pueden utilizar las descripciones del trabajo para documentar las funciones y responsabilidades para la seguridad. Tambien se deberian definir y comunicar claramente las funciones y responsabilidades para la seguridad de personas no contratadas a traves del proceso de contrataci6n de la orqanizacicn, por ejemplo las contratadas a traves de una orqanizacion de tercera parte.

8.1.2
Control

Seleccion

Se deberian realiaar revisiones para la verificaclon de antecedentes de los candidatos a ser empleados, contratistas 0 usuarios de terceras partes, de acuerdo can los reglamentos, la etlca y las leyes pertinentes, y deben ser proporcionales a los requisitos del negoclo, la clasificaci6n de la informaci6n a la cual se va a tener acceso y los riesgos percibidos. Guia. de implementacion En las revisiones de verificaci6n se deberian tener en cuenta la legislaci6n pertinente a la privacidad, la protecci6n de datos personales y I 0 el empleo y, cuando se permite, deberia inclulr 10slguiente: a) disponibilidad de referencias de comportamiento otra personal; una verificaci6n candidato; (para determinar la totalidad satisfactorio, par ejemplo una laboral y

b)

y exactitud) de la hoja de vida del

c) d) e)

canfirmaci6n de las calificaciones profesionales y acadernicas declaradas; verificaci6n de la identidad independiente (pasaporte
0

documento similar);
0

verificaci6n de los detalles adlclonales tales como credltos

antecedentes criminales.

Cuanda un trabajo, bien sea por designaci6n inicial 0 par promoci6n, implica que la persona tenga acceso a los servicios de procesamiento de la informaci6n y, en particular, si en elias se maneja informaci6n sensible, como par ejemplo informacion financiera 0 de alta canfidencialidad, la organizaci6n deberia considerar verificaciones adicionales mas detalladas. Los procedimientos deberian definir los criterios y las limitaciones para las revisiones de verificaci6n, porejemplo quien eselegible para seleccionar al personal y como, cuanco y par que se reallzan las verificaciones. Tambien deberian !levar a cabo un proceso de seleccton para los contratistas y los usuarios de terceras partes. Cuando los contratistas son suministrados por una agencia, el contrato con la agenda deberia especificar claramente las responsabilidades de la agenda para la seleccion y los procedimientos de notiflcacion que es necesario seguir si la seleccion no se ha completado

27

NORMA TECNICA COLOMBIANA

NTC·ISO/IEe 27002

a si los resultados arrojan dudas a preocupaci6n. De la misma manera, el acuerdo oon la tercera parte (vease el numeral 6.2.3) deberia especificar claramente todas las responsabilidades y los procedimientos de notflcacion para la selecci6n. La informacion sabre todos los candidatos que se consideran para los cargos dentro de la organizaci6n se deberia recolectar y manejar sequn la legislaci6n adecuada existente en la jurisdicci6n correspondiente. Dependiendo de la legislacion que se aplique, se deberia informar can enncipaclon a los candidatos sabre las actividades de seleccion.

8.1.3
Control

Terminos y condiciones laborales

Como parte de su obi partes deber!an estar cual debe estabfecer de la informaci6n.

contractual, los empleados, ,...... . .,tr<>t' y firmar los terminos y rnr\nlr'lnn idades y las de la organizaci6

y usuarios de terceras su contrato laboral, ef aci6n ala seguridad

Los terminos y organizaci6n, aderna a) que tad as los a informaci6n antes de tene los derechos

n reflejar

la

e seguridad

de la

que tengan acceso idad 0 no-divulqaclon

b)

c)

responsabi asociados contratista

d)

empleado, el contratlsta 0 recibida de otras empresas responsabilidades la orqanizacion para el manejo incluyenda la informacion personal creada como resultado can la orqanlzacion (vease el numeral 15.1.4); informacion personal, durante el oantrato labaral

e)

f)

responsabilidades que van mas alia de las instalaciones de la orpanizacion y de las horas laborales, par ejempla en el casa de trabajo en al domicilio (veanse los numerales 9.2.5 y 11.7.1); acciones a tomar si el emplaada, el centratista 0 el usuario de tercera parte hace caso amiso de requisitos de seguridad de la orqanizacion (vease el numeral 8.2.3).

g)

La organizaci6n deberia garantiz.ar que los empJeados, los cantratistas y los usuarios de terceras partes estan de acuerdo con los terminos y las condiciones respecto a la seguridad de la informacion sequn la naturaleza del acceso que tendran a los activos de la organizaci6n asociados can los sistemas y servicios de informacion.

28

NORMA TECNICA COLOMBIANA

NTC·ISOIIEC 27002

Cuando sea apropiado, las responsabilidades contenidas en los terminos y condiciones laborales deberian continuar durante un periodo definido despues de la terminaci6n del contrato laboral (vease el numeral 8.3) Informaci6n adicional Se puede utilizar un c6digo de conducts que cubra las responsabilidades de losempleados, contratistas y usuarios de terceras partes con relaci6n a la confidencialidad, la protecci6n de datos, la etlca, el usa adecuado de las instalaciones y los equipos de la orqanizacicn, asl como las practicas acreditadas confiables esperadas por la orpanizacion, EI contratista 0 los usuarios de terceras partes se pueden asociar can una organizaci6n externa a la cual, a su vez, se Ie puede exigir que entre en acuerdos contractuales a nombre de la persona contratada.

8.2

DURANTE LA VIGENCIA DEL CONTRATO LABORAL

Objetivo: asegurar que todos los empleados, contratistas y usuarios de terceras partes esten conscientes de las amenazas y preocupaciones respecto a la seguridad de la informaci6n, sus responsabilidades y sus deberes, y que esten equipados para apoyar la polltica de seguridad de la organizaci6n en el transcurso de su trabajo normal, al igual que reducir el riesgo de error humano. Es conveniente definir las responsabilidades de la direcclon para garantizar que se apllca la seguridad durante todo el contrato laboral de una persona dentro de la orqanlzaclon. Se deberla brindar un nivel adecuado de concientizaci6n, educaclon y formacion en los procedimientos de seguridad y el uso correcto de los servicios de procesamiento de informacion a todos los empleados, contratistas y usuarios de terceras partes para minimizar los posibles riesgos de seguridad. Es conveniente establecer un procesa disciplinario formal para el manejo de las violaciones dela seguridad.

8.2.1
Control

Responsabilidades de la dlreccien

Ladirecci6n deberfa eXlglr que los empleados, contratistas y usuarios de terceras partes apliquen la seguridad sequn las politi cas y los procedimientos establecidos por la orqanizacicn. Gufa de implementaci6n Las responsabilidades de la direccicn deberian lncluir el garantizar que los empleados, contratistas y los usuarios de terceras partes: a) los

esten adecuadamente informados sobre las funciones y las responsabilidades respecto a la seguridad de la informacion antes de que se les otorgue aceeso a informaci6n 0 sistemas de informacion sensibles; tengan las directrices para estableoer las expectativas de seguridad de sus funciones dentro de la organizaci6n; esten motivados para cumplir las potrticas de seguridad de la orqanizacion; logren un grado de concientizacicn sabre la seguridad correspondiente a sus funciones dentro de la orqanizacion (vease el numeral 8.2.2);

b)

c) d)

y responsabilidades

29

NORMA TECNICA COLOMBIANA

e)

NTC-ISO/IEC 27002

esten de acuerdo con los terminos y las condiciones laborales, las cuales incluyen la politlca de seguridad de la informacion de la organiz.aci6n y los rnetodos apropiados de trabajo; sigan teniendo tas caHficaciones y las habilidades apropiadas.

f)

Informacion adicionaf Si los empleados, contratistas y usuarios de terceras partes no estan concientes de sus responsabilidades, pueden causar un dana considerable a la organizaci6n. Es probable que el personal motivado sea mas confiable y cause menos incidentes de seguridad de la informacion. Una gesti6n pobre puede hacer que el personal se sienta subvalorado 10 que produce un impacto negativo en la para la organiz.aci6n. Por la gestion pobre puede !levar a que se uridad 0 al uso potencial de los activos de la orga nizaci6 n.

8.2.2 Educacion,
Control s contratistas y los concientizaci6n y niz.aci6n, segun sea

La formaci6n en diseriado para de otorgar el acceso Es recomendable responsabilidades . de los servicios de registro de inicio, el (vease el numeral 8. Informacion adicional

rmal de introducci6n expectativas antes

de seguridad, las en el usa correcto el procedimiento de proceso disciplinario

Las actividades de concientizacion, educacion y formaci6n sabre seguridad deberlan ser convenientes y pertinentes a la funci6n, las responsabilidades y las habilidades de la persona y deberlan incluir informacion sobre las amenazas conocidas, a qulen contactar para obtener asesorla adicional sabre seguridad y los canales apropiados para reportar los incidentes de seguridad de la informacion (vease el numeral 13.1). La forrnacion para promover la conclentizacion tiene como objetivo permitir que los individuos reconozcan los problemas e incidentes de seguridad de la informacion y respondan de acuerdo can las necesidades de su funcion de trabajo.

30

NORMA TECNICA COLOMBIANA

B.2.3 Control Proceso disciplinario

NTC-ISO/IEe 27002

Debarla existir un proceso disciplinario formal paralosempleados alguna violaci6n de la seguridad. Gula de implementaci6n

que hayan cometido

No se recomienda iniciar el proceso disciplinario antes de verificar que se ha presentado la violaci6n de la seguridad (vsase el numeral 13.2.3 para la recolecci6n de evidencia). EI proceso disciplinario formal deberia garantizar el tratamiento imparcial y correcto para los empleados de quienes se sospecha han cometido violaciones de la seguridad. EI proceso disciplinario formal deber!a brindar una respuesta gradual que considere factores tales como la naturaleza y la gravedad de la violaci6n y su impacto en el negocio, si es la primera ofens a a sa repite, si el violador estaba capacitado adecuadamente, la legislaci6n correspondiente, los contratos de negodos y otros factores, segun el caso. En los casas graves de mala conducta el proceso deberia permitir el retiro instantaneo de las funciones, los derechos de acceso y los privilegios y el acompanamiento inmediato fuera de las instalaciones, si es necesario. Informsci6n adicionsl EI proceso disciplinario tamblen sa deberfa utilizar como disuaslon para evitar que los empleados, los contratistas y los usuarios de terceras partes violen las politicas y los procedimientos de seguridad de la orqanizaclon, asf como para cualquier otra violaci6n de la seguridad. B.3 TERMINACJ6N 0 CAMBIO DE LA CONTRA TACI6N LABORAL

Objetlvo: asegurar que los empleados, los contratistas y los usuarios de terceras partes salen de la organizaci6n 0 cambian su contrato laboral de forma ordenada. Se deberfan establecer responsabilidades para asegurar la gestion de la salida de los empleados, contratistas a usuarios de terceras partes de la organizaci6n y que se completa la devoluci6n de todo el equipo y la cancelaclon de todos los derechos de acceso. Los cambios en las responsabilidades y las relaciones laborales dentro de la organizaci6n se deberian gestionar como la terminaclcn de la respectiva responsabilidad 0 contrato laboral sequn esta secci6n y todos las contrataciones nuevas se deberian gestionar como se describe en el numeral 8.1. 8.3.1 Control Se deberfan definir y asiqnar claramente las responsabilidades terminaci6n 0 el cambia de la contratacion laboral. Guia de implementacion La comunicaci6n de las responsabilidades en la termlnaelon deberia incluir los requisitos permanentes de seguridad y las responsabilidades .Iegales y, cuando sea apropiado, las responsabilidades contenidas en cualquier acuerdo de confidencialidad (vease el numeral 6.1.5), y 31 para !levar a cabo la Responsabilidades en la terminaci6n

NORMA TECNICA COLOMBIANA

NTC-ISO/IEC 27002

los termlnos y condiciones laborales (vease el numeral 8.1.3) deberlan continuar durante un periodo definido despues de terminar la contrataci6n laboral del empleado, el contratista 0 el usuario de terceras partes. Los contratos del empleado, el contratista 0 el usuario de terceras partes deberian incluir las responsabilidades y deberes valldas aun cespues de la terminad6n del contrato laboral. Los camblos en la responsabilidad 0 en el contrato laboral deberian ser gestionados como la terminaci6n de la responsabilidad 0 el contrato laboral respective , y la nueva responsabilidad 0 contrato laboral se deberfa controlar tal como se describe en el numeral 8.1. Informaci6n adicional Por ,10 general, la funci6n y actua junto con el d seguridad de los responsabilidad en contratista y en el Puede ser necesario partes los cambios 8.3.2 Control Tooos los empleado activos perteneci laboral, centrato 0 n devolver todos los izar su contrataci6n Devoluci6n humanos es responsabl.e delm, ~(,"',ocn total de terminaci6n rvisor de la persona que se va los aspectos de oernnentes. En el caso de un este proceso de ser realizado por responsable del ser manejado por su , clientes, contratista de personal. arios de terceras

previa mente p devoluci6n de otros las tarjetas de almacenada en

del software bien es necesaria la de c6mputo m6viles, les y la informaci6n

Cuando un empleado, sta 0 usuario de terceras pa s adquiere equipe de la organizaci6n 0 utiliza su propio equipo, se deberian seguir los procedimientos para garantizar que toda la informaci6n pertinente se transfiere a la organizaci6n y se elimina con seguridad de tal equipo (vaase el numeraI10.7.1). Cuando un empleado, contratista 0 usuario de terceras partes tiene un conocimiento que es importante para la continuaci6n de las operaciones, esa informaci6n deberia estar documentada y transferirse a la orqantzacien. 8.3.3 Control Los derechos de acceso de todos los empleados, contratistas 0 usuarios de terceras partes a la informacion ya los servicios de procesamiento de informaci6n se deberlan retirar al finalizar su contratacion laboral, contrato 0 acuerdo 0 se deberian ajustar despues del cambio. Retiro de los derechos de acceso

32

NORMATECNICA

COLOMBIANA

NTC-ISO/IEC 27002

Guia de implementaci6n Despues de la terminacion, se deberfan reconsiderar los derechos de acceso de la persona a los activos asociadas can los sistemas y servicios de informaci6n. Ella deterrninara si es necesario retirar los derechos de acceso. Los cambios en un cargo se deberian reflejar en el retiro de todos los derechos de acceso que no asten aprobados para el nuevo cargo. Los derechos de acceso que se deberian adaptar 0 retirar incluyen acceso ftsico y 16gico, claves. tarjetas de identificaci6n, servicios de procesamiento de informaci6n (vease el numeral 11.2.4). suscripciones y retiro de cualquier documentaci6n que 10 identifique como miembro actual de la organizaci6n. Si un empleado. contratista a usuario de terceras partes que se retira tlsne contraselias conocidas para permanecer activo, estas se deberian cambiar en la terminaclon 0 el cambia de empleo, contrato 0 acuerdo. Los derechos de acceso a los actlvos de informaci6n y a los servicios de procesamiento de informacion se deberian reducir 0 retirar antes dela flnaHzaci6n 0 cambia del contrato laboral , dependiendo de la evaluaci6n de factores de riesgo tales como: a) si la termlnacion 0 el cambia es iniciativa del empleado, contratista 0 usuario de terceras partes a por la direcci6n y el motivo de dicha terrnlnacion: las responsabilidades actuales del empleado, contratista
0

b) c)

cualquler otro usuario;

el valor de los activos actualmente accesibles.

Informacion adicionaJ
En algunas circunstancias los derechos de acceso se pueden asignar con base en la disponibilldad para otras personas diferentes al empleado. contratista a usuario de terceras partes que se retira, por ejemplo las identificaciones de usuario para grupo. En dichas circunstanclas, las personas que se retiran se deberian eliminar de todas las llstas de acceso de grupo y se deberlan formular acuerdos para notificar a los otros empleados, contratlstas 0 usuarios de terceras partes involucrados que ya no cornpartiran esta informacion can la persona que se retira. En los casas de terminaci6n iniciada por la dlreccion, los empleados, contratistas 0 usuarios de terceras partes deseontentos pueden eorromper deliberadamente la informaci6n 0 sabotear los servicios de procesamiento de informacion. En el easo de las personas que renuncian, elias pueden intentar recolectar informacion para uso futuro.

9. 9.1

SEGURIDAD FislCA Y DEL ENTORNO AREAS SEGURAS

0

Objetivo: evitar el acceso ffsico no autorizado, el dario la informacion de la organizaci6n.

la interferencia a las instalaciones y a

Los servicios de procesamiento de informacion sensible a critica deberfan estar ubicados en . areas seguras, protegidas por perimetros de seguridad definidos, can barreras de seguridad y controles de entrada adecuados. Diehas areas deberian estar protegidas fisicamente contra acceso no autorizado. dalio e interferencia. La proteeci6n suministrada deberia estar aeorde can los riesgos identificados.

33

NORMA TECNICA COLOMBIANA 9.1.1 Perimetro de seguridad fisica

Control

NTC-ISO/lEC 27002

Se deberian utilizer perimetros de seguridad (barreras tales como paredes, puertas de acceso controladas can tarjeta a mostradores de recepcion atendidos) para proteger las areas que contienen informaci6n y servicios de procesamiento de informaci6n. Gufa de implementacion Se deberian considerar seguridad flsica: a) e implementar las siguientes directrices para los peri metros de

claramente los perimetros de deberian depender de los as! como de los resultados de o un lugar que contenga flsicamente (es decir, pueda ocurrir s61ida

ad y la ubicaci6n y la de seguridad de los acion de riesgos; os de procesamiento rlan existir breehas ruston): las paredes las puertas externas can mecanismos de deberian estar '~"""'Dntro la protecci6n

b)

c)

edios para controlar ciones deberia estar

d)
e)

cuando sea autorizado y todas las monitorearse requerido de astas deberia incendios; incendio en el n"'trim",' a prueba junto con . segun las normas onar de manera segura

el acceso fisico no

an tener alarma, establecer el grado e intemacionales; el c6digo local de

f)

es recomendable la instalaci6n de sistemas adecuados de detecci6n de intrusos sequn normas nacionales, regionales 0 intemacionales y someterlos a pruebas regularmente para verifiear todas las puertas extemas y ventanas accesibles; las areas desocupadas siempre deberian tener alarm as, tarnbien se deberia tener cubrimiento de otras areas, por ejemplo los recintos de computadores 0 de comunicaciones; 105 servicios de procesamiento de informaci6n dirigidos por la organizaci6n estar fisicamente separados de aquellos dirigidos par terceras partes. deberian

g)

Informacion adicional La protecci6n fisica se puede lograr creando una 0 mas barreras fisicas alrededor de las instalaciones y los servicios de procesamiento de informaci6n de la organizaci6n. EI empleo de barreras multiples proporciona proteccion adicional, cuandola falla de una sola barrera no implica que la seguridad se vea comprometida inmediatamente.

34

NORMA TECNICA COLOMBIANA

NTC-ISO/IEC 27002

Un area segura puede ser una oficina que se pueda asegurar 0 varios recintos rodeados por continuas barreras de seguridad fisica intemas. Pueden ser necesarias las barreras y los perimetros adicionales para controlar el acceso fisicoentre areas con requisitos de seguridad diferentes dentro del. perimetro de seguridad. Se deberfa considerar especialmente la seguridad del acceso fisico a las edificaciones donde se encuentran varias organizaciones. 9.1.2 Control Las areas seguras deberian estar protegidas con cantroles asegurar que 5610se permite el accesa a personal autorizado. Guia de implementaci6n Se deberian tener en cuenta las siguientes directrices: a) se deberian registrar la fecha y la hora de entrada y salida de visitantes y todos los visitantes deberian estar supervisados, a menos que su acceso haya sido aprobado previamente; 5610se les deberia dar acceso para prop6sitos especifioos y autorizados y dicho acceso se deberia emitir con instrucciones sobre los requisitos de seguridad del area y sabre los pracedimientos de emergencia; se deberia controlar el acceso a areas en donde se process 0 almacena informaci6n sensible y restringir el acceso unicarnente a personas autorizadas; se deberfan utilizar controles de autenticaci6n como las tarjetas de control de acceso mas el nurnero de identificaci6n personal (PIN) para autorizar y validar el acceso, se recamienda mantener de forma segura una prueba de auditoria de todos los accesos; se deberia exigir a todos los empleados, contratistas y usuarios de terceras partes la utilizaci6n de alguna forma de identifieacion visible y se deberia notificar inmediatamente al personal de seguridad sl se encuentran visitantes sin acompariante y cualquiera que no use identificaci6n visible; al personal del servicio de soporte de terceras partes se Ie deberia dar acceso restringido a las areas seguras a a los servicios de prooesamiento de informaci6n sensible unicarnente cuando sea necesario; este acceso se deberia autorizar y monitorear; los derechos de acceso a areas seguras se deberian revisar y actualizar con regularidad y revocados cuando sea necesario (vease el numeral 8.3.3). Seguridad de oficinas, recintos e instalaciones de acoeso apropiados para Controles de acceso fisico en

b)

c)

d)

e)

9.1.3 Control

Se deberia diseriar y aplicar la seguridad flsica para oficinas, recintos e instalaciones. Guia de implementaci6n Se recomienda tener en cuenta las siguientes directrices para la seguridad de oficinas, recintos y servicios:

35

N'ORMA TECNICA COLOMBIANA

a) b) c) tener presente los reglamentos

NTC-ISOlIEe 27002

y las normas pertinentes ala seguridad y la salud;

las instalaciones claves se deberian ubicar de modo que se evite el acceso al publico; cuando sea viable, las edificaciones deberian ser discretas y no tener indicaciones sobre su prop6sito, sin sefi.ales obvtas, fuera 0 dentro deel.las, que identifiquen la presencia de actividades de procesamiento de informa.ci6n; los directories y los listados telefonicos internos que indican las ubicaciones de los servicios de procesamiento de informacion sensible no deberfan ser de facil accesa al publico.

d)

9,1.,4 Protecci6n contra amenazas extemas y ambientales

Control Sa deberian disefia terremoto, explosion, cciones fisicas contra da . les y otras formas de d ncendio ,inu ndacion, natural 0 artificial.

Se deben tener e instalacianes circu . par un techo a en los

que presentanlas . ua, fuga de agua n la calle. debido a incendio, natural artifidal:

inundacion, terrem a) los material prudente del oficina, no se los equipos d distancia p instalaciones se deberia
5

ar a una distancia rna los materiales de eberian ubicar a una que afecte a las

b)

c)

adecu adamente.

9.1,5
Control Se deberfan disefiar y aplicar la proteccion fisica y las directrices para trabajar en areas seguras.

Guia de implementacion
Se deberfan cansiderar las siguientes directrices: a) el personal solo deberia canaeer la existencia de un area segura a las actividades dentro de ella en funcion dela necesidad can base conocida; se debe ria evitar el trabajo no supervisado en areas seguras tanto par razones de seguridad como para evitar las oportunidades de activ.idades maliciosas;

b)

36

NORMA TeCNICA COLOMBIANA

c) las areas seguras peri6dica mente; vacias

NTC-ISO/IEC 27002
deberian tener bloqueo fisico

y se deberian

revisar

d)

no 59 deberfa permitir equipo de grabaci6n fotografica, de video, de audio ni otro equipo de grabaci6n como cameras en dispositivos m6viles, a menos que este autorizado.

Las disposlciones para el trabajo en areas seguras incluyen controles para los empleados, contratistas y usuarios de terceras partes que laboran en el area segura, asl como otras actividades de tercera parte que tengan lugar.

9.1.6 Areas de carga, despacho y acceso publico

Control Los puntos de acceso tales como las areas de carga y despacho y otros puntas por donde pueda ingresar personal no autorizado a las instalaciones se deberlan controlar y, si es posible, aislar de los servicios de procesamiento de informaci6n para evitar el acceso no autorizado. Gufa de fmplementacl6n Se recomienda considerar las siguientes directrices a) se deberfa restringir el acceso al area de despacho y carga desde el exterior de la edificaci6n a personal identificado y autorlzado; el area de despacho y carga se deberia designar de forma tal que los suministros se puedan descargar sin que el personal de despacho tenga acceso a otras partes de la edificaci6n; las puertas externas del area de despacho mientras las puertas intern as esten abiertas;

b)

c)

y entrega deberian estar aseguradas

d)

el material que lIega se debe ria inspeecionar para determinar posibles amenazas (vease el numeral 9.2.1d) antes de moverlo desde el area de despacho y earga hasta el punta de usa; el material que lIega se deberia registrar de acuerdo can los procedimientos de gesti6n de activos (vease el numeral 7.1.1) a su entrada al lugar; los envios entrantes y salientes se deberian separar fisicamente, cuando sea posible.

e)

f)

9.2

SEGURIDAD DE LOS EQUIPOS

Objetivo: evitar perdlda, dane, robo a puesta en peligro de los actives, Y la interrupci6n de las actividades de la organizaci6n.
Los equipos deberlan estar protegidos contra amenazas fisieas y ambientales. La proteeci6n del equipo (incluyendo el utilizado por fuera, y el retire de la propiedad) es necesaria para reducir el riesgo de acceso no autorizado a la informaci6n y para proteger contra perdlda a dana. Tarnbien se deberia considerar la ubicaci6n y la eliminaci6n de los equipos. Es posibla que se requieran controles especiales para la protecci6n contra amenazas fisicas y para salvaguardar los servicios de soporte tales como energia elactrlca e infraestructura de cableado.

37

NORMA TECNICA COLOMBIANA 9.2..1

Control

NTC-JSO/IEC 27002

Ubicacion y protecci.on de losequipos

Los equipos deberian estar ubicados 0 protegidos para reducir el riesgo debido a amenazas peliqros del entomo, y las oportunidades de acceso no autorizado. Guia de implementacion Se recomienda consl.derar las siguientes directrices para la protecci6n de los equipos: a) Los equipos se deberian ubicar de modo l.a:1 que se minimice el acoesoinnecesario areas de trabajo; ento de informaci6n que manej que se reduzca el riesgo de vi durante su usa, y los acceso no autorizado;

a las

b)

sensibles, deberfa.n i6n de la informaci6n almacenamiento se

c)

d)

reco potendales. de agua), interferen cia sa dsberlan

se

e amenazas flsicas falleen el suministro I sumtnlstro electrtco, ndalismo: lascercanias

e)
f)

de los

es convenien para determi los servicios se deberia a protectores a es recomendab equipos en ambie

iciones que po amiento deinforma cci6ncontra rayos

peratura y humedad, el funcionamJento de

g)

a
ya

y adaptar filtros
ales de proteccl6n para ra los teclados;

tes de energiaentrantes

h)

. erar la utllizaclon de rnetodos industriales, tales como membranas

I)

Los equipos de procesamiento de informacion sensible deberian estar protegldos para mlnimizar el riesgo de fuga de informacion debido a flltracion.

9.2.2. Servicios desuministro

Control Los equipos deberian estar proteqidos contra fallas en el suministro anomalias causadas per fallas en los servicios de suministro. Gufa. deimplementaci6n Todos los servicios de suministro, tales como electricidad, agua, alcantarillado, calefacci6n I ventilacion y aire acondicionado deberian ser adecuados para los sistemas a los que dan 38 de energia y otras

NORMA TeCNICA COLOMBIANiA

NTC-ISO/IEC 27002

apaya. Los serviclos de suministro se deberian inspeecionar regularmente y someter a las pruebas apropiadas para garantizar su funcionamientoadecuad.o y reducir cualquier riesgo debido a su mal funcionamiento a falla. Se recamienda proporcionar un suministro electrico acorde can lasespecificaciones del fabricante del equipo. Se recomienda el suministro de energia sin interrupci6n (UPS) para dar soporte al oierre ordenado a al funcionamiento continuo de equiposque soportan aperaciones crltlcas para el negocio. Los planes de contingencia deberian incluir la acd6n que se ha de tamar en easo de falla de la UPS. Se recomienda pensar en una planta de energia alterna, si se requiere la continuidad del procesamiento en caso de fallasenergeticas pralongadas .. Deberla estar disponible un suministro adecuado de combustible paragarantizar que el generador pueda funcionar par un periodo prolangado. 'EI equipa de UPS Y los generadares se deberian revisar con regularidad para. asegurarse de que nenen la capacidad adecuada y someterse a. prueba sequn Ias recomendaciones del fabricante. Adernas, se debe estudiarel usa de fuentes multiples de energia 0, si ellugar es grande, una subestaci6n de energia independiente. Los interruptores deemergencia para apagarla energia deberian estar cerca de las salidas de emergencia en 'los recintos de los equipos para facilitar el corte rapido deenerqla en caso de emergencia. Se recomienda tener iluminaci6n de emergencia en caso de falla del surninistro principal. EJ sumlnistro de a.gua deberla ser estable y adecuado para alimentar elaire acondicionado, el equlpo de humidificaci6n y los sistemas de extind6n de incendios (cuando se utilizan). EI funcionamiento i.nadecuado en el sistema de suministro de agua puede daFiarel equipo oevitar la accion eficaz de la extinci6n de incendios. Se deberia valorare instalar, 51 se requiere, un sistema de alarma para detectar el funcionamiento inadecuado en los servicios de soporte. El equlpo de telecomunicaciones se deberla conectar al proveedor del servlcio mediante al menos dos rutas diferentes paraevitar que Is fallaen una ruta de conexi6n elimine los servicios de voz, Estos servieios deberlan ser adecuados para satisfacer los requisites legales locales para comunieaeiones deemergencia. Informacion adlcionat Las opciones para lograr la continuidad del surninistro de energia lncluyen fuentes de aHmentaei6n multiples paraevit.ar un solo punto de falla en el suministro de energia.

9.2.3 Seguridad del cab'leado

Control EI cableado de energia electrlca y de telecomunicaciones que transporta datos a.los servicios de informaci6n deberian estar proteqidos contra interceptaciones Guia de impfementaci6n Se recamienda tener en cuenta las siguientes directrices para la seguridad del eableado: a) las lineas de energia y de telecomunicacianes en los servicios de procesamiento de informacion deberian ser subterraneas, cuando sea posible, 0 tener proteccion alterna adecuada: el cableado de la red deberia estar protegido contra interceptaci6n no autorizada darto, par ejemplo utHizando conductos 0 evitando rutas a traves de areas publicas;
0 0

presta soporte danos.

b)

39

NORMA TeCNICA COLOMBlANA

c)

NTC-ISO/IEe 27002
para

los cables de energfa deberian estar separados de los cables de comunicaciones evitar interierencia;

d)

se deberian utilizar rotulos de equipo y de cables claramente identificables para minimizar los errores en el manejo, tales como conexiones accidentales de cables err6neos a la red; es recomendable emplear un plano del cableado para reducir la posibilidad de errores; para sistemas criticos a sensibles considerar controles adicionales incluyendo: 1) instalaci6n de conductos blindados y recintos a cajas bloqueadas en los puntas de lnspeccion y terminaclon: enrutamiento yIa que suministren

e) f)

2)
3) 4)

5)
6)

icas

en

busca

de

) y a cuartos de

9.2.4
Control Los equipos deberf e integridad. disponibilidad

Se recomienda consl a) b)

siguientes directrices para el

de los equipos:

el mantenimiento los equipos deberia estar acorde las especificaciones y los intervalos de servicio recomendados par el proveedor; solo personal de mantenimiento autorizado debe ria realizar las reparaciones y el servicio de los equipos; se recomienda conservar registros de todas las fallas reales a sospechadas y de todo el mantenimiento preventivo y correctivo; es recomendable implementar controles apropiados cuando se programa el mantenimiento para. los equipos, teniendo en cuenta si el mantenimiento 10 realiza el personal dentro 0 fuera de la orqanizacicn; cuando sea necesario, la informacion sensible se deberia retirar del entorna del equipo a el personal de mantenimiento deberia ser suficientemente revisado; se deberian cumplir todos los requisites impuestos par las p61izas de segums.

c)

d)

e)

40

NORMA TECNICA COLOMBIANA

NTC-ISO/IEC 27002

9.2.5 Seguridad de los equipos fuera de las instalaciones

Control Se deberia suministrar seguridad para los equipos fuera de las instalaciones teniendo en cuenta los diferentes riesgos de trabajar tuera de las instalaciones de la organizaci6n. Guia de implementaci6n Independientemente del propietario , la direcci6n deberia autorizar el uso del equlpo de procesamiento de informaci6n fuera de las instalaciones de la organizaci6n. Se recomienda tener en cuenta las siguientes directrices para la protecci6n del equipo por fuera de las instalaciones: a) el equipo y los medios lIevados fuera de las instalaciones no se deberian dejar solos en sitios pubuccs, los computadores portatiles se deberian lIevar como equipaje de mano y camuflado, cuando sea posible, durante los viajes; se deberian observar en todo momento las instrucciones del fabricante para la protecci6n del equipo, por ejemplo, protecci6n contra la exposicion a campos eiectrornaqnetlcos fuertes; se recomlenda determinar controles para el trabajo que se realiza en casa mediante una evaluaci6n de riesgos y controles adecuados que se aplican de forma idcnea, por ejemplo gabinetes de archivos con seguro, politica de escritorio despejado, controles de acceso a los computadores y comunicaciones seguras con la oficina (vease la norma ISOIIEe 18028, Segurldad de la red); se deberfa establecer el cubrimiento adecuado del segura para proteger el equipo fuera de las instalaciones.

b)

c)

d)

Los riesgos de seguridad, como dario, robo 0 escuchas no autorizadas pueden variar considerablemente entre los lugares y se deberfan tener en cuenta para determinar los controles mas apropiados. Informacion adicional EI almacenamiento de informaci6n y el equipo de procesamiento Incluyen todas las formas de computadores personales, organizadores, telefonos movlles, tarjetas electr6nicas, papel u otras formes que se conservan para el trabajo en el domicilio 0 que se transportan lejos del sitio normal de trabajo. Informacion adicional sobre otras aspectos de la protecci6n de equipo m6vil se puede encontrar en el numeral 11.7.1.

9.2.6 Seguridad en la reutlllzacion

Control

ettmtnacton

de los equipos

Se deberian verifiear todos los elementos del equipo que contengan medios de almacenamiento para asegurar que se haya eliminado cualquier software licenciado y datos sensibles 0 asegurar que se hayan sobrescrito de forma segura, antes de la eliminaci6n.

41

NORMA TECNICA COLOMBIANA

Guia de implementaci6n

NTC-ISO/IEC 27002

Los dispcsitivos que contienen informaci6n sensible se deberian destruir fisicamente 0 su informaci6n se deberia destruir, borrar 0 sobrescribir usando tecnicas que permitan que la informaci6n original no se pueda recuperar, enlugar de utilizar las funciones de borrado 0 formateado estandar. Informacion adicional Los dispositivos deteriorados que contengan datos sensibles pueden requerir una evaluaci6n de riesgos para determinar si los elementos se deberian destruir ffsicamente en lugar de enviarlos a reparacion 0 desecharlos. La informaci6n se puede equipo (vease el 9.2.7 Control Ningun equipo, Retiro de a la reutilizaci6n del

a)

rar sin autorizaci6n

b)

autoridad para

c)
d)

y verificar el
y adecuado, se deberia
fue devuelto ..

Informacion adicional Los controles al azar, realizados para determinar el retiro no autorizado de propiedad, tambien se pueden usar para detectar dispositivos de grabaci6n no autorizados, armas, etc., y evitar su ingreso. Tales controles al azar se deberian lIevar a cabo segLm la leqislaclon y los reglamentos pertinentes. Las personas deberian saber si se realizan controles al azar y estes se deber!an ejecutar con la autorizaci6n adecuada para los requisites legales y reglamentarios.

10.
10.1

GESTION DE COMUNICACIONES PROCEDIMIENTOS

Y OPERACIONES

OPERACIONALES Y RESPONSABILIDADES de

Objetivo: asegurar la operaci6n correcta y segura de los servicios de procesamiento informaci 6n.

42

NORMA TECNICA COLOMBIANA

NTC-ISO/IEe 27002

Se deberian establecer todas las responsabilidades y los procedimientos para la gestion y opera cion de todos los servicios de procesamiento de informacion. Esto incluye el desarrollo de procedimientos operativos apropiados .. Cuando sea conveniente, se deberla irnplernentar la separaci6n de funciones para reduclr el riesgo de. uso inadecuado deliberado 0 negligente del sistema.

10.1.1 Documentacion
Gontrol

de los ,procedim ientos de operacton

Los procedimientos de operacion se deberian documentar, mantener y estar disponibles para todos los usuaries que los necesiten. Gufa de implementacion Se deberian elaborar procedimientos documentados para las actividades del sistema asociadas can los servicios de comunicaciones y de procesamiento de Informacion, como par ejemplo proced.imientos para el encendido y apagado de los computa.dores, capias de respaldo, mantenimientodeequipos, manejo de los medios, cuarto de equipos y gestion del correo, como tarnbien de la seguridad .. Los procedimientos de operacion deberian detallada de cada trabajo, Incluyendo: a) b) c) especificar las instrucciones para la ejecuclon

procesamiento y manejo de informaci6n; copias de respaldo (vease el numeral 10.5); requisitosde proqrarnacion, incluyendolas interretaciones can otros sistemas, hora de comienzo de la tarea inicial y de terrninacion de la tarea final; instrucciones para el manejo de errores y otras condiciones excepcionales que se pueden presentar durante Is ejscucion del trabajo, incluyendo las restricciones al usa de las utilidades del sistema (vease el numeral 11.5.4); contactos de soporte en caso de dificultades tecnicas
U operativas

d)

e) f)

inesperadas;

lnstrucclones de manejo de los medias y los informesespeciales, como el usc de papeleria especial 0 e.1 manejo de los informescanfidenciaJes incluyendo los procedimientos para la elirnlnaclon segura de losinformes de tareas fallidas (veanse los numerales 10.7..2 y 10.7.3); procedimientos para el reinicio y la reeuperacion del sistema que se han de ussr en caso de falla del sistema; gesti6n de los registros de auditoria y de la informaci6n de registro del sistema (vease el numeral 10.1 0).

g)

h)

Los procedimientos operatives, y los procedimientos documentados para las actividades del sistema, se deberian tratar como documentos formales y sus cambios deberlan ser autorizados par la direccion. Cuando sea tacnicamente viable, se recomienda gestionar los sistemas de informacion de forma consistente, utilizando los mismos procedimientos, herramientas y utilidades.

43

NORMA TECNICA COLOMBIANA

10.1.2 Gestion del cambia Control Se deberian informaci6n. controlarlos

NTC·ISOIIEC 27002

cambios en los servicios y los sistemas de procesamiento

de

Gufa de implementaci6n Los sistemas operatlvos y el software de apllcacion deberian estar sujetos a un control estricto de la gestion del cambia. En particular, se deberfan considerar los siguientes elementos: a) b) c) identlflcaclcn y planificaci6n evaluaclon seguridad; e los carnbios significativos;

d)
e) f)

s· ,
s responsabtlldades

Se deberfan estab garantizar el control procedimientos. Cu auditorla que conten

les de gesti6n para , el software 0 los rvar un registro de

EI control inadecu informaci6n es una entorno operativo,. espe operativa puede tener irn

5 cambios en los sistemas

de falla del sistema 0 ente cuando se transfiere un s en la confiabilidad de las aplieaei

rnun

e procesamiento de d. Los carnbios en el fase de desarrollo a la (vease el numeral 12.5.1).

Los cambios en los sistemas operativos solo se deberian reallzar cuando existe una razon valida para el negocio, como par ejemplo un aumento en el riesgo para el sistema. La actuallzacion de los sistemas can las ultimas versiones del sistema operative 0 de Ia aplicacton no siempre favoreee el interes del negocio y ello podrla introducir mas vulnerabilidades e inestabilidad que la versi6n vigente. Tarnbien puede existir la necesidad de formacion adicional, costos de licencias, soporte, costas generales de mantenimiento y administraci6n y nuevo hardware, especial mente durantela migrad6n ..

44

NO'RMA TECNICA COLOMBIANA

NTC-ISO/IEC 27002

10.1.3 Distribuci6n (segregaci6n) de funciones

Control Las funciones y las areas de responsabilidad se debedan oportunldades de rnodiflcacion no autorizada a no intencional, activos de la orqaruzacion. Gula de impJementaci6n La distribucion de funeiones es un metooo para reducir el riesgo de uso inadecuado deliberado o accidental del sistema. Se deberia tener cuidado de que ninguna persona pueda tener aeeeso, modificar a utllizar los activos sin autorizacion 0 sin ser deteetado. La lnlciaclon de un evento se deberia separar desu autonzaclen. Es conveniente eonsiderar la posibilidad de complicidad al diseFiar los controles. Las organizaciones pequefias pueden encontrar dificil de lograr la distribucion de funciones, perc el principio se debe ria aplicar en la medida de 10 posible y viable. Siempre que haya dificultad para la distribucion, se deberian considerar otros controles como monitoreo de actividades, registros de auditoria y supervision por la direccion. Es importante que la auditorla de seguridad siga siendo independiente. distribuir para reducir las el usa inadecuado de los

10.1.4 Separaci6n de las instalaciones de desarrollo, ensayo y operaclon

Control Las instalaciones de desarrollo, ensayo y operaclon deberfan estar separadas para reducir los riesgos de aceeso 0 cambios no autorizados en el sistema operativo. Guia de impJementaci6n Se deberla identificar el grado de separaci6n entre los ambientes operanvo, de prueba y de desarrollo que es necesario para prevenir problemas operativos e implementar los controles adecuados. Se deberfan tener presentes los siguientes elementos: a) se recomienda detinir y documentar estado de desarrollo al operativo; las reglas para la trasferencia de software del

b)

el software de desarrollo y el operativo se deberian ejecutar en diferentes sistemas proeesadores de cornputaclon y en diferentes dominios 0 directorios;

c)

los eompiladores, editores y otras herramientas de desarrollo 0 utilidades del sistema no deberian ser accesibles desde los sistemas operativos cuando no se requiera; el ambiente del sistema de prueba deberia emular al ambiente del sistema operative 10 mas estrechamente posible;
105 usuarios deberian emplear perfiles de usuario diferentes para los sistemas operatives y de prueba y los menus deberian desplegar mensajes de identificaci6n adecuados para reducir el riesgo de error,

d)

e)

45

NORMA TECNICA COLOMBIANA f)

NTC-ISO/IEC 27002

los datos sensibles no se deberian copiar en el entorno del sistema de prueba (vease el numeral 12.4.2).

Informacion adicionaf Las actividades de desarrollo y de prueba pueden causar problemas graves, como la modificaci6n indeseada de archivos 0 del entorno del sistema, 0 falla del sistema. En este caso, es necesario mantener un entorno conocido y estable en el cual realizar pruebas significativas y evitar el acceso inadecuado de los desarrolladores. Cuando el personal de desarrollo y de pruebas tiene acceso al sistema operativo y su informaci6n, pueden introducir c6digos no autorizados y sin probar 0 alterar los datos operativos, En algunos sistemas, esta capacidad podria ser mal utilizada para cometer fraude a introducir c6digos sin maliciosos , 10 cual puede crear pro operatives graves. pruebas imponen una de desarrollo y de p ci6n Sl comparten el mis instalaciones de riP'C::!'Ir'rr confldenclalidad de la causar cambios de computaci6n. prueba y operativas re operativo 0 a los de prueba).

informaci6n involuntarios en el Por 10 tanto, es para reducir el riesg datos del negocio 10.2 Objetivo: impleme prestaci6n del servi terceros, La organizaci6n d de ellos y gestionar sitos acordados 10.2.1 Prestaci6n d Control Se deberian de prestaci6n del servi por el tercero. Guia de implementacion

a informaci6n y de la 6n del ssrvicio por

el cumplimiento prestan cumplen los

controles de seguridad, las idos en el acuerdo, sean irnolerne

servicio y los niveles mantenidos y operados

La prestaci6n de servicios par terceros deberia incluir los acuerdos sobre disposiciones de seguridad, definiciones del servicio y aspectos de la gesti6n del mismo. En el caso de contrataciones externas, la organizaci6n deberia planificar las transiciones necesarias (de informaci6n, servicios de procesamiento de informaci6n y todo 10 dernas que se deba transferir) y garantizar que la seguridad se mantiene durante todo el periodo de transici6n. Es recomendable que la orqanizacion garantice que el tercero mantenga una capacidad de servicio suficiente, junto con planes ejecutables diseriados para garantizar la conservaci6n de 105 niveles de continuidad del servicio acordados, despues de desastres a fallas significativas en el servicio (vease el numeral 14.1).

46

NORMA TECNICA COLOMBIANA

NTC·ISOIIEC 27002

10.2.2 Monitoreo y revisi6n de los servicios por terceros

Control Los servicios, reportes y registros suministrados por terceras partes se deberfan controlar y revisar can regularidad y las auditorias se deberian nevar a cabo a intervalos regulares. Gufa de imp/ementaci6n EI monitoreo los tsrrnlnos y problemas implicar una para: a)

y la revision de los servicios por terceros deberlan garantizar el cumplimiento de y condiciones de seguridad de la informaci6n de los acuerdos y que los Incidentes
de la seguridad de la informacion se manejan adecuadamente. Ello deberla relacion y un proceso de qestion del servicio entre la organizaci6n y el tercero

monitorear los niveles de desernpeno del servicio para verificar el cumplimiento de los acuerdos; revisar los reportes del servicio elaborados por el tercero y acordar reuniones pencdtcas sobre el progreso, sequn 10 exljan los acuerdos; suministrar informaci6n sabre los incidentes de seguridad de la informacion, y revisi6n de esta informacion por parte de la crqanlzaclon y el tercero, segun 10 exijan los acuerdos, directrices y los procedimlentos de soporte; revisi6n de los registros y pruebas de auditorla del tercero can respecto a eventos de seguridad, problemas operativos, fallas, rastreo de fallas e interrupciones relacianadas con el servicio prestado; resolver y manejar todos los problemas identificados.

b)

c)

d)

e)

La respansabilidad par la gesti6n de la relaci6n can el tercero se Ie deberfa asignar a una persona a a un equipo de gestion del servicio. Ademas, la organizaci6n deberla garantizar que el tercero asigna responsabilldades para la verificaci6n del cumplimiento y la aplicaci6n de los requisitos de los acuerdos. Se recomienda poner a disposici6n suficientes habilidades tecnlcas y recursos para monitorear el cumplimiento de los requisitos del acuerdo (vease el numeral 6.2.3), en particular los requisitas de seguridad de la informaci6n. Cuando se observan deficiencias en la prestaci6n del servicio se deberlan tomar las acciones adecuadas. La organizaci6n debe ria mantener suficiente control global y no perder de vista todos los aspectos de seguridad para la informaci6n sensible 0 crltica, 0 de los servicios de procesamiento de informacion que haya procesado, gestionado 0 tenido acceso el tercero. La organizaci6n deberia asegurarse de que conserva visibilidad en las actividades de seguridad como gesti6n de camblos, ldennftcacton de vulnerabilidades e informe I respuesta de los incidentes de seguridad de la informacion a traves de un proceso, estructuras y formatas definidos claramente para la presentacion de informes. Informacion adiclonal En caso de contratacton externa, es necesario que la orqanizacion sepa que la maxima responsabilidad par la informaci6n procesada por una parte contratada externamente sigue siendo de la orqanizacion.

47

NORMATECNICA

COLOMBIANA

NTC·ISOlIEC 27002
por terceras partes

10.2.3 Gestion de los cambios en los servicios Control

los camblos en la prestaoi6n de los servicios, incluyendo mantenimiento y mejora de las pollticas existentes de seguridad de la informaci6n, en los procedimientos y los controles se deberian gestionar teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, asi como la reevaluaci6n de los riesgos. Gufa de implementaci6n Es necesario que el proceso de gesti6n de los cambtos en el servicio prestado per el tercero tome en consideraci6n: a) 1) 2) 3) organizaci6n para. implementar:

4)

de la informaci6n y

b) 1) 2) 3)

4)
5) 6) 10.3 PLANIFICACI6N Y ACEPTACI6N DEL SISTEMA os:

Objetivo: minimizar el riesgo de fallas en los sistemas. Se requieren planificaci6n y preparaci6n avanzadas para garantizar la disponibilidad capacidad y los recursos adecuados para entregar el desernpeno requerido del sistema. de la

Es necesaria hacer proyecciones de la capacidad futura para reducir el riesgo de sobrecarga del sistema. Los requisitos operatives de los sistemas nuevas se deberian establecer, documentar y probar antes de su aceptaci6ny usc.

48

NORM~ TECNICA COlOMBIANA

10.3.1 Gestion de la capacidad Control

NTC~ISOJIE.C2.7002

Se deberia hacer seguimiento y adaptacion del usc de los reeursos, as! como proyecciones de los requisitos de la capacldad futura para asegurar el desempefio requerido del sistema. Gufa de implemenlaci6n Para cada actividad nueva y existente es conveniente identificar los requisitos de la eapacidad. Se recomienda rnonitorear y adaptarel sistema para garantizar y. cuando sea necesario, melorar la capacidad y la eficada de los sistemas. Se deberian establecer controles de lndaqaclon para indiear los problemas en el momento oportuno. En las proyecc.iones de los requisitos de capacidad futura se deberian considerar los negocios nuevas y los requisitos del sistema, as! como las tendencias actuales y proyectadasen la capacidad de procesamiento de informacion de la organizacion. Es nacesario poner atenci6n a los recursos cuya adquisici6n toma mucho tiempo 0 requiere utiHzaci6n de los rscursos claves del sistema. Tarnbten deberian identificarlas tendencias del uso, particularmente en relaei6n can las aplicaciones del negocio o las herramientas de'l sistema de informaci6n para la gesti6n. Es conveniente que los directores utilicen esta informacion para identificar y evitar posibles cuellos de botella asl como la dependencia de personal clave. los cuales pueden presentar una amenaza para .105 servicios 0 Is seguridad del sistema, y para. p.lanificar la acci6n adeeuada. 10.3.2 Aceptacion Control Se deberlan establecer criterios de aceptaci6n para sistemas de informacion nuevas, actualizaciones y nuevas versiones y lIevar a cabo los ensayos adecuados del sistema durante el desarrollo y antes de la aceptad6n. Guia de implemenlaci6n Los directores deberian garantizar que los requisitos y los criterios para la aceptaci6n de sistemas nuevas estan definidos, acordados, documentados y probados claramente. Los sistemas de informacion nuevos, las actualizaciones y las nuevas versiones unicarnents deberlan migrar a producci6n despues de obtener la aceptaci6n formal. Se deberlan considerar los siguientes elementos antes de la a.ceptaci6n formal: a) b) e) d) e) requisitos de desemperio y capacidad de los computadores; procedimientos de reinicio y de recuperacion porerrores, del s.istema

costos elevados; per 10 tanto, los directores deberlan monitorearla

y planes de contingencia;

preparaclon y prueba de procedimientos operatives de rutina para las normas definidas; estableeimiento del eonjunto de controles de seguridad aoordados; procedimientos manuales eficacas:

49

NORMA TeCNICA COLOMBIANA

f) g)

NTC-ISO/IEe 27002

disposiciones para la continuidad del negocio (vease el numeral 14.1); evidencia de que la instalaci6n del sistema nuevo no afectara adversamente a los sistemas existentes, particularmente en los momentos pica de procesamiento, como al final de mes; evidencia de que se ha tenido en cuenta el efecto del sistema nuevo en toda la seguridad de la organizaci6n; formaci6n en el funcionamiento facilidad de uso,sn humane,
0

h)

i)

utilizaci6n de los sistemas nuevos;

j)
Para

la medida en que atecte el desernperio del usuario y evite el error

ntes se deberia consultar a proceso de desarrollo para conveniente llevar a los criterios de aceptaci

s y a la funci6n de eficiencia operativa adecuadas para

La aceptacl6n el tratamiento que 10.4 jetivo: proteger

para verificar que

Se requieren preca c6digos m6viles no

maliciosos y

les a la introducci6n , caballos troyanos y ros de los c6digos ntroles para evitar,

10.4.1 Controles Control

co

Se deberfan implementar controles de detecci6n. prevenci6n y recuperaci6n para proteger contra c6digos maliciosos, as! como procedimientos apropiados de concientizaci6n de los usuarios. Guia de impJementaci6n La protecclcn contra codiqos maliciosos se deberia basar en software de deteccion y reparacion de c6digos maliciosos, conciencia sobre seguridad, acceso apropiado al sistema y controles en la qestion de cambios. Se recomienda considerar las siguientes directrices: a) establecer una politica formal que prohiba el uso de software no autorizado (vease el numeral 15.1.2);

50

NORMA TECNICA COLOMBIANA

b)

NTC·ISO/IEC 27002

establecer una politica formal para la protecci6n contra los riesgos asociados con la obtenci6n de archivos y software, bien sea desde 0 a traves de redes externas 0 cualquier otro media, indicando las medidas de protecci6n que se deberian tomar; lIevar a cabo revisiones regulares del software y del contenido de datos de los sistemas que dan so porte a los procesos crtticos del negocio; se deberia investigar formal mente la presencia de archivos no aprobados 0 modificaciones no autorizadas; instalaci6n y actualizaci6n regular del software de detecci6n y reparaci6n de codiqos maliciosos para explorar los computadores y los medias, como control preventivo 0 de forma rutinaria; las verificaciones realizadas deberian incluir: 1) verificaci6n de la presencia de codiqos malieiosos en todos los archives en medios opncos a electronicos y archivos recibidos en las redes antes de su uso; verificaci6n de la presencia de deseargas del correo electr6nico efectuar en diferentes lugares, electronico, los computadores de orqanizacion: verificaci6n maliciosos; de las paginas c6digos maliciosos en los adjuntos y las antes del usa; esta verlficaclon S6 deberia por ejemplo en los servidores de correa escritorio y cuando ingresan a la red de la

c)

d)

2)

3)

web para comprobar

la presencia

de c6digos

e)

detinir responsabilidades y procedimientos de gestion para tratar la protecci6n contra c6digos mallclcsos en los sistemas, la formacion sobre su usa, el reporte y la recuperaci6n debido a ataques de c6digos malidosos (veanse los numerales 13.1 y 13.2); preparaci6n de planes adecuados para la continuidad del negocio can el fin de recuperarse de los ataques de c6digos maliciosos, incluyendo todos los datos y el soporte de software necesarios y las disposiciones para la recuperaci6n (vsase el numeral 14); implementaci6n de procedimientos para recolectar informacion can regularidad, como la suscripci6n a sitios web de verificacion y I a listados de correa que suministren informaci6n sabre los c6digos maliciosos nuevos; implementaci6n de proeedimientos para verifiear la informaci6n relacionada con c6digos mallciosos y garantizar que los boletines de advertencia sean exactos e informativos; los directores deberian garantizar que se utilizan fuentes calificadas, porejemplo diaries reconocidos, sitios confiables de Internet 0 proveedores de software de protecci6n contra c6digos maliciosos para diferenciar entre talsas alarmas y c6digos maliciosos reales; todos los usuarios deberian conocer el problema de los falsasalarmas y que hacer al recibirlas.

f)

g)

h)

Inform a ci6n adicional

EI empleo de dos 0 mas productos de software, de diferentes proveedores. que protejan contra c6digos maliciosos a traves de todo el entomo de procesamiento de informaci6n puede mejorar la eficacia de la protecci6n contra c6digos maliciosos. EI software de protecci6n contra c6digos maliciosos se puede instalar para que suministre actualizaciones autornancas de los archivos de definici6n y de los motores de exploraci6n para

51

NORMA TECNICA COLOMBIANA

NTC·ISO/IEC 27002

garantizar que la proteccion este al dla .. Ademas, este software se puede instalar en cada escritorio para realizar verificaciones automaticas. Se debe tener cuidado para la protecci6n contra la introduccion de ccdlqos maliciosos durante los procedimientos de mantenimiento y de emergencia, ya que se pueden eludir los controles normales de proteccon contra codiqos maliciosos.

10.4.2 Controles contra c6digos m6viles

Control Cuando se autoriza la utilizacton de c6digos moviles, la configuraci6n deberia asegurar que dichos c6digos operan de acuerdo con la politica de seguridad claramente definida, y se deberia evitar la ejecuei los c6dig.os rnoviles no autorizados.

Se recomienda c6digos m6viles que a) b) c) d) bloqueo de

uientes consideracione autortzadas:

la proteccion contra

ma especffico para

e) f)

EI c6digo rnovil es ejecuta automattca del usuario. EI c6digo intermedia (middleware).

de software que se leva a cabo una funcl6n Qc:.rIQrj,tll se asocia con una variedad de

a otro y luego se o ninguna interacti6n ubicados en la capa

Adernas, para garantizar que el c6digo m6vil no contiene c6digo malicioso, el control del c6digo m6vil es esencial para evilar el uso no autorizado 0 la interrupci6n del sistema, la red 0 los recursos de aplicaci6n y otras brechas de la seguridad de Ia informaci6n.

10.5

RESPALOO de la informaci6n y de los servicios de

Objetivo: mantener la integridad y disponibilidad procesamiento de informaci6n.

Se deberian establecer procedimientos de rutina paraimplementar la polltlca y la estrategia de respaldo acordada (vease el numeral 14.1) para hacer copias de seguridad de los datos y probar sus tiempos de restauraci6n.

5.2

NORMA TECNICA COLOMBIANA

10.5.1 Respaldo de la informacion Control

NTC·ISO/IEC 27002

Se deberlan hacer copias de respaldo de la informacion y del software, y se deben poner a prueba con regula.ridad de acuerdo can la politica de respaldo acordada. Gufa de implementaclon Es conveniente disponer de servicios de respaldo adecuados para garantizar que la informaci6n y el software esenciales se recuperan dasoues de un desastre 0 una falla de los medios. 5e recomienda considerar los siguientes elementos para el respaldo de la informaci6n: a) b) es recomendable definir el nlvel necesario para la informaci6n de respaldo; se deberian hacer registros exactos y completos de las copias de respaldo y generar procedimientos documentados de restauracion: la extension (por ejsmpto respaldo completo 0 diferencial) y la frecuencia de los respaldos deberla reflejar los requisitos del negocio de la orqaruzacion, los requisitos de seguridad de la informaci6n involucrada y la importancia de la operaci6n continua de la orga nizaci6n; los respaldos se deberlan almacenar en un sluo lejano, a una distancia suficiente para escaper a cualquier dano debido a desastres en la sede principal; a la informaci6n de respaldo se Ie deberia dar un grado apropiado de protecci6n fisica y ambiental (vease el numeral 9) consistente con las normas apllcadas en la sede principal; los controles aplicados a los medias en la sede principal se deberfan extender para cubrir el sitio en donde ssta el respaldo; es convenlente probar con regularidad los medios de respaldo para garantlzar que sean confiahles para usa en emergencias, cuando sea necesario; los procedimientos de restauraci6n se deberlan verificar y probar can regularidad para garantizar su eficacia y que se pueden completar dentro del tiempo designado en los procedimientos operatives para la recuperaci6n; en situaciones en donde es importante la confidencialidad, proteger por medio de encriptaci6n. los respaldos se deberian

c)

d)

e)

f)

g)

h)

Las disposiciones de respaldo para los sistemas individuales se deberian someter a prueba can regularidad para garantizar que cumplen los requisites de los planes para la continuidad del negocio (vease la secci6n 14). Para sistemas crfticos, las disposiciones de respaldo deberian comprender toda la informaci6n de los sistemas, las aplicaciones y los datos necesarios para recuperar todo el sistema en caso de desastre. Es necesario determinar el periodo de retenci6n de la informaci6n esencial para el negoclo, as! como cualquier requisito para retener permanentemente las copias de archivo (vease el numeral 15.1.3).

53

NORMATECNICA
Informacion adicional

COLOMBIANA

NTC-ISOnEC 27002

Las disposiciones de respaldo se pueden automatizar para facilitar el respaldo y el proceso de restauraciOn. Las soluciones automatizadas deberian probarse suficientemente antes de la implementaci6n y a intervalos regulares.

10.6

GESTI6N DE LA SEGURIDAD DE LAS REDES de la informaci6n en las redes y la protecci6n de la

Objetivo: asegurar la proteccion infraestructura de soporte.

La gesti6n segura de las redes, las cuales pueden sobrepasar las fronteras de la organizaci6n, exige la consideracion cuidadosa del f1ujo de datos, las implicaciones legales, el monitoreo y la protecci6n adicionales la informacion

Control Las redes se deberia la segu informaci6n en de las amenazas red, incluyendo la

y mantener

la seguridad de la contra el acceso no

a)

tiva por las redes apropiado (vease el n las responsabilidades y I los equipos en areas de

las operaciones de

b)

para la gesti6n de

111I'l,nnn

c)

es conveniente controles especiales para salva rdar la confidencialidad y la integridad de los datos que pasan por redes publicas 0 redes inalarnbricas y para proteger los sistemas y las aplicaciones conectadas (veanse los numerales 11.4 y 12.3); tam bien se pueden requerir controles especiales para mantener la disponibilidad de los servicios de la red y los computadores conectados; se deberian aplicar el registro y el monitoreo adecuados para permitir el registro de acciones de seguridad pertinentes; se recomienda coordinar estrechamente las actividades de gesti6n tanto para optimizar el servicio para la organizaci6n como para garantizar que los controles se aplican consistentemente en toda la infraestructura del procesamiento de informaci6n.

d)

e)

54

NORMA TECNICA COLOMBIANA

Informaci6n adicional

NTC-ISO/IEC 27002

Se puede encontrar informacion adicional sobre seguridad de la red en la norma ISO/IEG 18028,

Tecnoloqla de la informacion. Tecnlcas de seguridad. Seguridad de la red de tecnologia de la

informacion.

10.6.2 Seguridad
Gontrol

de los servicios

de la red

En cualquier acuerdo sobre los servicios de la red se deberian identificar e incluir las caracteristicas de seguridad, los niveles de servicio y los requisitos de gestion de todos los servicios de la red, sin importar 5i los servtcios se prestan en la orqanizaclon 0 se contratan exte rnamente. Gufa de implementaci6n La capacidad del proveedor del servicio de red para gestionar los servicios acordados de forma segura se deberla determinar y monitorear regularmente, y se deberia acordar el derecho a auditoria. Se deberfan identifiear las disposiciones de seguridad necesarias para servicios particulares, tales como las caracteristicas de seguridad, los niveles de servicio y los requisitos de gesti6n. La organizaci6n deberia garantizar que los proveedores de servicios de red implementan estas medidas. Informacion adicional Los servicios de red incluyen la provision de conexiones, servicios de red privada y redes can valor agregado, asl como soluciones de seguridad de red administrada. como por ejemplo barreras de fuego (Firewalls) Y sistemas de detecci6n de intrusion. Estos servicios pueden ir desde simples anchos de banda no administrados hasta ofertas complejas de valor agregado. Las caracteristicas a) de los servicios de red podrlan ser:

tecnoloqia aplicada para la seguridad de los servicios de red, como la autentlcacion, la encrlptacion y los controles de conexion de red; parametres tecnlcos requeridos para la conexi6n segura a los servicios de red sequn las reglas de seguridad y conex.i6n de red; procedimientos para la utilizaci6n de los servicios de red para restringir el acceso servicios de redo a las aplicaciones, cuando sea necesario.

b)

c)

los

10.7

MANEJO DE LOS MEDIOS

Objetivos: evitar la divulgaci6n , modificaci6n, retiro a destruccion de activos no autorizada, y la interrupci6n en las actividades del negocio. Estos medios se deberian controlar y proteger de forma fisica. Se deberian establecer procedimientos operatives adecuados para proteger documentos, medias de computador (por ejemplo cintas, discos), datos de entrada I salida y documentaci6n del sistema contra divulqacion, modificaci6n, remoci6n y destrucci6n no autorizadas.

55

NORMA TECNICA COLOMBIANA

10.7.1 Gestion de los medios removibles Control

NTC-ISO/IEC 27002

Se deberian establecer procedimientos para la gestion de los medias removibles. Gufa de imp/ementaci6n Se recomienda tener presentes las siguientes directrices: a) si ya no son necesarios, los contenidos de todos los medias reutilizables que se van a retirar de la organizaci6n se deberian hacer irrecuperables; cuando sea retirados de la prueba de practice, se deberla exigir y conservar un registro de ta ci6n para los medias para mantener una

b)

c)

y vigilado, sequn las

d)

e por mas tiempo del tarnbien se deberia ebido al deterioro de

e)

se debe ria oportunidad d las unidades negocio para

bles para evitar la

f)

existen razones del

Todos los procedim

cintas. discos, , discos compactos, impresos. 10.7.2 Eliminaci6n Control de los medios

m,,",.nt'.r'::lO:

ento, unidades de (OVO) y medias

Cuanda ya no se requieren estos medias, su elirninacion se deber!a hacer de forma segura y sin riesgo, utilizando los procedimientos formales. Guia de implementaci6n Los procedimientos formales para la eliminaeion segura de los medios deberian minimizar el riesgo de fuga de informacion sensible a personas noautorizadas. Los procedimientos para la ellrnlnacion segura de los medios que contienen informacion sensible deberfan estar acordes can la sensibilidad de dicha informacion. Se recomienda tener en cuenta los siguientes elementos.

56

NORMA TECNICA COLOMBIANA

a)

NTC-ISOIIEC 27002

los medias que contienen informaci6n sensible se deberian almacenar y eliminar de forma segura e inocua, par ejemplo mediante incineraci6n a trituraci6n, a borrar los datos para evitar el usa par parte de otra aplicacion en la organizaci6n; se deberian establecer procedimIentos requerir ellminacion segura; para identificarlos elementos que pueden

b)

c)

puede ser mas facil disponer de todos los elementos de los medias de almacenamiento que seran recogidos y liberados de forma segura. que tratar de disponer solo de los elementos sensibles; muchas organizaciones ofrecen servicios de recolecclon y ellrnlnacion de papel, equipos y medias; se debe tener cuidado en seleccionar un contratista Idcneo can controles y experiencia adecuados; cuando sea posible, se debe ria registrar la eliminaci6n de los elementos sensibles can el objeto de mantener una prueba de auditoria.

d)

e)

Cuando se acumulan medias para su eliminacion se debe ria considerar el efecto de agregaci6n, el cual puede hacer que una gran cantidad de informacion no sensible se vuelva sensible. Informaci6n adicionaf Se pod ria divulgar informaci6n sensible debido a la elirninaclon descuidada del media (vease el numeral 9.2.6 para informaci6n sabre la shmlnaclon del equipo).

10.7.3 Procedimientos para el manejo de la informaci6n

Control Se deberfan establecer procedimientos para el manejo y almacenamiento de la informacion can el fin de proteger dicha informaci6n contra divulgaci6n no autorizada a usa inadecuado. Guia de implementaci6n Se deberian elaborar procedimientos para manejar, procesar, almacenar y comunicar la informacion de acuerda con su clasificacion (vease el numeral 7.2). Se deberian considerar los siguientes elementos: a) manejo y etiquetado de todos los medios hasta su nivel indicado de clasificaci6n; b) c) d) restricciones de acceso para evitarel acceso de personal no autorizado; mantenimiento de un registro formal de los receptores autorizados de los datos; garantizar que los datos de entrada estan completos, que el procesamiento se completa adecuadamente y que se aplica la validacion de la salida; protecci6n, segun su nivel de sensibilidad, esperan su ejecuci6n; de los datos de la memoria temporal que

e)

f) g)

almacenamiento de los medias sequn las especificaciones del fabricante; mantenimiento de la distribuci6n de datos en un minimo;

57

NORMA TECNICA COLOMBIANA

h) rotulado claro de todaslas autorizado;

NTC-ISO/IEC 27002

capias de los medias para la autenticaci6n del receptor

i)

revision de las listas de dlstribuclon y las listas de receptores autorizados a intervalos regulares.

Inform a ci6n adiciona/

Estos procedimientos se aplican a la informacion en documentos, sistemas de computaci6n, redes, computaclon m6vil, comunicaciones m6viles, correa, correa de voz, comunicaciones de voz en general, multimedia, prestaciones I servicios postales, usa de rnaquinas de facslmil y a todos los elementos sensibles, como cheques en blanco y facturas.

10.7.4 Seguridad de la
Control La documentaci6n autorizado.

Para asegurar elementos: a)

nta los siguientes

b)
c)

mantener minima y

a travas de una red

La documentaci6n descripciones de autorizaci6n.

isterna puede contener de aplicaci6n, procedimientos,

ion sensible, como datos y procesos de

10.8

INTERCAMBIO D

Objetivo: mantener la seguridad de la informacion y del software que se intercambian dentro de la organizaci6n yean cualquier entidad externa. Los lntercambios de informacion y de software entre las organizaciones se deberfan basar en una polttlca formal de intercambio, ejecutar sequn los acuerdos de intercambio y cumplir la legislacl6n correspondiente (veass la secclon 15). Se deberian establecer procedimientos y normas para proteger la informacion y los medios tlsicos que contienen informacion en transite.

58

NORMA TECNICA COLOMBIANA

NTC-ISO/IEC 27002

10.8.1 Politicas y procedimientos para el intercambio de informaci6n

Control Se deberian establecer politicas, procedimientos y controles formales de intercambio proteger la informacion mediante el uso de todo tipo de servicios de cornunicaclon. Guia de implementaci6n Los procedimientos y controles a seguir cuando se utilizan servicros de comunicaci6n electr6nica para el intercambio de informaci6n deberian considerar los siguientes elementos: a) procedimientos dlsenados para proteger la informaci6n intercambiada intereeptaci6n, copiado, modificaci6n, enrutamiento inadecuado y destrucci6n; contra para

b)

proeedimientos para deteeci6n y protecci6n contra c6digos malieiosos que se pueden transmitir con el usa de eamunicaeiones electr6nicas (vease el numeral 10.4.1); procedimientos para proteger la informaci6n electr6nica sensible comunicada que esta en forma de adjunto; polftieas 0 directrices que enfaticen eJ uso aceptable de los servicios de comunicaci6n electr6nica (vease el numeral 7.1.3); procedimientos para el usa de comunicaciones particulares invalucrados; inalambricas, pensando en los riesgos

c)

d)

e)

f)

responsabilidades de empleados, contratistas y cualquier otro usuario de no camprometer a la organizaci6n, por ejemplo a traves de dlfarnacion, aeoso, suplantaci6n de identidad, envio de cartas de cadena, adquisici6n no autorizada, etc.; uso de tecnicas crlptoqraflcas, par ejemplo para proteger la confidencialidad, integridad y la autenticidad de la informaci6n (vsase el numeral 12.3); la

g)

h)

directrices de retenci6n y eliminaci6n para toda la correspondencia, incluyendo mensajes, sequn la legislaci6n y los reglamentos locales y nacianales correspondientes; no dejar informaci6n sensible 0 crltica en los dispositivos de impresi6n como copiadoras, impresoras y rnaquinas de facsimi'l ya que se puede permitir el acceso de personal no autorizado; controles y restricciones asociados con el envio de servicios de comunicaci6n, como el envio autornatico de correo electr6nico a direcciones de correa externas; recordar al personal que deberfan tomar precauciones adecuadas como, por ejemplo, no revelar informaci6n sensible para evitar que, euando se hace una lIamada telef6nica, sea interceptada 0 eseuehada par: 1) personas en la cerean ia inmed lata, particu Iarmente cua nda se util izan telefonos m6viles; intercepciones telef6nicas u otras formas de escuchas no autorizadas mediante el aeceso flsico al auricular 0 a la linea telef6nica, a usando receptores de expl oraci 6n;

i)

j)
k)

2)

59

NORMATECNICA
3) I)

COLOMBIANA

NTC-ISOlIEe 27002

personal allado del receptor;

no dejar mensajes que contengan informaci6n sensible en el contestador autornatico ya que pueden volver a ser escuchados par personas no autorizadas, almacenados en sistemas comunales 0 almacenados lncorrectamente como resultado de una marcaci6n err6nea; recordar al personal sabre los problemas de usar rnaquinas de facsimil a saber: 1) creaci6n de acceso no autorizado en los almacenes de mensajes para recuperar los mensajes; programaci6n deliberada
0

m)

2)

accidental

de rnaquinas para enviar mensajes

3)

y mensajes al nurnero equivo mero almacenado err6nea datos dernoqraficos, I, en ninqirn softwa

en sea por marcaci6n

n)

recordar al electr6nico u para uso no recordar al paqinas de que se puede

de correa evitar su recolecci6n

0)

fotocopiadoras tienen o en la transmisi6n,

Adernas, se deberfa en lugares publicos prueba de sonido: Los servicios de pertinentes (vease el

. nes confidenciales ni6n sin paredes a

requisitos

legales

se puede producir a traves uyendo correa electr6nico, EI intercambio de software puede dar a traves de diferentes ios, incluyendo descargas desde Internet y adquiridas de vendedores de productos de mostrador. Se deberian considerar las implicaciones de negocios, legales y de seguridad asociadas can el intercambio electr6nico de datos, el comercio electr6nico y las comunicacianes electr6nicas, asi como los requisitos para los controles. La informacion podria verse amenazada debido a la falta de conciencia, de politicas 0 procedimientos sabre el usa de los servicios de intercambio de informaci6n, por ejemplo par la escucha en un telefono m6vil en un lugar publico, la direcci6n incorrecta de un mensaje de carreo electr6nico, la escucha de los contestadores autornaticos, el acceso no autorizado a sistemas de correa de voz de marcaci6n a el envio accidental de facsimiles al equipo errado de facsfmil.

60

NORMA TECNICA COLOMBIANA

NTC-ISO/IEC 27002

Las operaciones del negocio podrian ser afectadas y la informacion podria ser comprometida si los servicios de comunicaci6n fallan, se sobrecargan 0 interrumpen (vaase el numeral10.3 y el numeral 14). La informacion se veria comprometida por el acceso de usuarios no autorizados (vease el numeral 11). 10.B.2 Acuerdos para el intercambio Control Se deberian establecer acuerdos para el intercambio de la informacion y del software entre la orqanizaclon y las partes extemas. Guia de implementacion En los acuerdos de intercambio se deberian tomar enconsideraci6n de seguridad: a) responsabilidades la recepci6n; las siguientes condiciones

de la direcci6n para controlar y notificar la transmisi6n, el despacho y

b) c) d) e) f) g)

procedimientos para notificar a quien envia la transrnision, el despacho y la recepci6n; procedimientos para garantizar la trazabilidad y el no-repudio: normas tecnicas mfnimas para el empaquetado acuerdos de fideicomiso; normas para identificar los servicios de mensajeria; responsabilidades y deberes en caso de incidentes de seguridad de la informacion, como la perdtda de datos; uso de sistemas acordados de etiquetado de lainformaci6n sensible garantizando queel significado de las etiquetas se entienda inmediatamente informacion esta protegida adecuadamente;
0

y la transmislon:

h)

crltlca,

y que la

i)

propiedad y responsabilidades para la proteccion de datos, derechos de copia, conformidad de las licencias de software y consideraciones similares (veanse los numerales 15.1.2 y 15.1.4); normas tecnlcas para registrar y leer la informacion y el software; todos los controles especiales que se puedan requerir para proteger los elementos sensibles tales como las claves criptoqraficas (vease el numeral 12.3).

j) k)

Se deberlan establecer y conservar pollticas, procedimientos y normas para proteger la informacion y los medios fisicos en translto (veaseel numeral 10.8.3) y ellos se deberian referenciar en dichos acuerdos de intercambio. EI contenido sobre seguridad de cualquier informaci6n del negocio involucrada. acuerdo deberia ref1ejar la sensibilidad de la

61

NORMA TECNICA COlOM.BIANA

Informacion adicional

NTC .. ·SO/IEC27002 I

Los acuerdas pueden ser electr6nicosa manuales y pueden tamar la forma de contratos formales a condiciones de empleo. Para laimormaclon senslble.Jos mecanlsmos especificos utilizados para el intercambio de dicha informacion deberian ser consistentes para todas las organizaciones y todaslos tipos de acuerdos. 10.8.3 Medias fisicos Control Los medias que contienen informacion se deber!an proteger contra el accesa no autorizado,el usa inadecuado a la corrupclon durante el transporte mas alia de loslimites fisicos de la organ izaolon. en transltc

Se recomienda tene se transportan entre a) b) c) se deberlan mensajeria; el embalaje ffsico paten especiflcaci contra todos de los me electromagn , se deberian adopter gaci6n a modificaci6n no au

lon de los medias que

d)

cualquier dalio estar acorde can las r ejemplo protecci6n ia de Ia restauraei6n ad a los campos

e)

erla informaci6n ejemplos incluyen;

2) 3) 4)

entrega en la mano; embalajes can sella de seguridad (que revelan cualquier intento deaccsso): en cases excepcionales, division despacno par rutas dlferentes. de la remesa en mas de una entrega y

Informacion adicional La informaci6n puede ser vulnerable al acceso no autorizado, al uso inadecuado a a la corrupclon durante el transporte flsico, es el caso de los envios de medias a traves de servicias postales 0 de mensajerla.

62

NORMATECNICA
10.8.4 Mensajeria Control

COLOMBIANA
electr6nica

NTC-ISO/IEe 27002

La informaci6n contenida en la mensajeria electr6nica deberia tener la protecci6n adecuada. Guia de implementacion Las consideraciones siguientes: a) de seguridad para la mensajeria electr6nica deberian incluir las

proteger los mensajes contra acceso no autorizado, modificaci6n servicios; garantizar que la direcci6n y el transporte del mensaje son correctos; confiabilidad general y disponibilidad del servicio;

negaci6n de los

b) c) d) e)

consideraciones legales como, por ejemplo, los requisitos para las firmas electr6nicas; obtenci6n de aprobaci6n antes de utilizar servicios mensajerla lnstantanea 0 el compartir archivos; publlcos externos como la

f)

niveles mas s61idos de autenticaci6n que controlen el acceso desde redes accesibles al publico.

Informacion adicional La mensajerla electr6nica como, por ejemplo, el correa electr6nico, el intercambio de datos electr6nicos (EDI) y la mensajeria instantanea tienen una funci6n cada vez mas creciente en las comunicaciones de los negocios. La mensajeria electr6nica. tiene riesgos diferentes que las comunicaciones en papeL 10.S.S Sistemas de informacion Control Se deberian establecer, desarrollar e implementar politicas y procedimientos para proteger la informaci6n asociada can la interconexi6n de los sistemas de informaci6n del negocio. Gufa de implementacion Las consideraciones de las implicaciones que tiene la interconexi6n de tales servicios para la seguridad y para el negocio deberian induir: a) vulnerabilidades conocidas en los sistemas administrativo y de contaduria en donde la informaci6n es compartida entre diferentes partes de la organizaci6n; vulnerabilidades de la informaci6n en los sistemas de comunicaci6n del negocio, por ejemplo la grabaci6n de lIamadas telef6nicas 0 lIamadas de conferencias, confidencialidad de las !lamadas, a.lmacena.miento de facsimiles, correo de apertura, distribuci6n del correa; del negocio

b)

63

NORMA TECNICA COLOMBIANA

c) politica y controles inform aci6n; adecuados

NTC·ISO/IEC 27002
para gestionar la forma en que se comparte la

d)

categorias excluyentes de informaci6n sensible para la organizaci6n y documentos clasificados, 5i las sistemas no brindan un niveladecuado de pratecci6n; restricci6n del acceso a la informaci6n diaria relacionada con individuos seleccionados, por ejemplo el personal que trabaja en proyectos sensibles; categorias de personal, contratistas a socios del negocio a quienes se permite usar el sistema y los sitios desde los cuales pueden tener acceso; restricci6n de las serviclos seleccionadas para categorlas de usuarios especlficos; de los usuaries, par ejemplo ios para el beneficia de otros u

e)

f)

g) h)

j)

requisitos

el numeral 14).

Las sistemas de

rapido la inform
computaci6n m6vil, general, multimedia

minar y com partir mas computadores, caciones de voz en [mil.

10.9
o y su utilizaci6n segura. Es necesario cans comercio electr6ni Tambisn se deb electr6nicamente a usa de servicias de para los controles. informaci6n publicada

10.9.1 Comercio electr6nico

Control La informaci6n invalucrada en el comercio electr6nico que se transmite par las redes publicas debe ria estar protegida contra actividades fraudulentas, disputas par contratos y divulgaci6n o modificaci6n no autorizada. Guia de implementad6n Las consideraciones de seguridad para el comercia electr6nico deberfan incluir las siguientes: a) el nivel de confianza que exige cada parte en la identidad declarada de las otras partes, par ejemplo por medio de autenticaci6n;

64

NORMA TECNICA COLOMBIANA

b)

NTC-ISO/IEC 27002

los procesos de autorizaci6n asociados con la persona que puede establecer precios, emitir 0 firmar documentos comerciales clave; la garantia de que los socios comerciales a utorizaciones; estan total mente informados sobre sus

c)

d)

e) f) g)

la determinaci6n y el cumplimiento de los requisitos de confidencialidad, integridad, prueba de despacho y recibo de documentos clave, y el no repudio de contratos, par ejemplo los asociadas a los procesos de licitaci6n y contratos; el nivel de confianza exigido en la integridad de las listas de precios publicadas; la confidencialidad de datos
0

informaci6n sensible;

la confidencialidad e integridad de las transacciones de orden de cornpra, informaci6n sobre pagos, detalles de las direcciones de entrega y confirmaci6n de recibo; el grado adecuado de verificaci6n suministrada por un cliente; para comprobar la informaci6n sobre pagos

h)

i)

la selecci6n del mejor convenio sobre la forma de page mas apropiada para evitar el fraude; el nivel de protecci6n exigido para mantenerla informaci6n de orden de compra: la evitaci6n de la perdioa
0

j)

confidencialidad

e integridad de la

k) I) m)

duplicaci6n de la informaci6n sobre transaccienes;

la responsabilidad asociada con transacciones fraudulentas; los requisitos de las polizas de seguros.

Muchas de las consideraciones anteriores se pueden abordar mediante la aplicaci6n de controles criptopraficos (vease el numeral 12.3), teniendo en cuenta el cumplimiento de los requisitos legales (vease el numeral 15.1, especialmente el numeral 15.1.6 para la leg.islaci6n crlptoqraflca). Los acuerdos de cornerclo electr6nico entre socios comerciales deberian estar soportados por un acuerdo documentado que comprometa a ambas partes con los termmos acordados, incluyendo detalles sobre la autorizaci6n (vease b) arriba). Pueden ser necesarios atros acuerdos con los proveedores del servicio de informaci6n y de la red con valor agregado. Los sistemas de comercia publico deberian publicar sus terminos de negocio a los clientes. Tarnblen se deberia considerar la resistencia al ataque del servidor central (host) utilizado para el comercio electr6nico y las implicaciones de seguridad de rualquier interconexi6n de red necesaria para la implementaci6n de los serviciosde camerdo electr6nico (vease el numeral 11.4.6). Informacion adicional EI comercio electr6nico es vulnerable a una variedad de amenazas en la red que pueden ocasionar actividad fraudulenta, disputas por oontratos y divulgaci6n 0 modificaci6n de informaci6 n.

65

NORMA TECNICA COLOMBIANA

NTC-ISO/IEC 27002

EI comercio electr6nico puede utilizar rnetodos de autenticaci6n seguros, por ejemplo el uso de criptografia clave publica y firmas digitales (vease el numeral 12.3) para reducir el riesgo. Tarnbien se pueden utilizar terceras partes confiables, cuando se necesitan tales serviclos. 10.9.2 Transacciones Control La informacion involucrada en las transacciones en linea deberia estar protegida para evitar transrnison incompleta, enrutamiento inadecuado, alteraci6n, divulgaci6n, duplicaci6n 0 repetlcion no autorizada del mensaje. Gura de impfementacion Las consideraciones siguientes: deberian incluir las en linea

a)
b)

n la transaccion:

2)
3)

la

c) d)

encriptaci6n

involucradas;

e)

garantizar cualquier existente en

accesa publico, par de la arganizaci6n, y accesible directamente desde

esta fuera de de almacenamiento expone en un media

f)

una autoridad confiable (por ej ra prop6sitos de emitir y mantener firmas d itales y I 0 certificados digitales) la ridad se integra e incorpora a traves de todo el proceso completo de gesti6n del certificada I firma.

Informacion adicional La extension de los controles adoptados debera estar acorde con el nivel de riesgo asociado con cada una de las formas de transacci6n en linea. Puede ser necesario que las transacciones cumplan las leyes, las reglas y los reglamentos en la jurisdicci6n en la cual se genera la transacci6n, se procesa, se termina y/o almacena. Existen muchas formas de transacciones contractuales, financieras, etc. que se pueden efectuar en linea, per ejemplo

66

NORMA TECNICA COLOMBIANA 10.9.3 Informacion disponible al publico

Control

NTC-tSO/IEC 27002

La integridad de la informacion que se pone a dlsposiclon en un sistema de acceso publico deberla estar protegida para evitar la rnodificacion no autorizada, Guia de implementacion EI software, los datos y otra informacion que requiere un nivel alto de integridad que se pone a dlsposiclon en sistemas publicos se deberia proteger con mecanismos apropiados como firmas digitales (vease el numeral 12.3). Los sistemas de aoceso publico se deberian probar frente a debilidades y fallas antes de que la informaci6n este disponible. Deberla existir un proceso formal de aprobaeion previa a que la informaci6n este disponible al publico. Adernas, todas las entradas suministradas desde el exterior del sistema se debarian verificar y aprobar. Los sistemas electronicos de editorial, especialmente aquellos que permiten retroalirnentacton y entrada directa de informacion, se deberian controtar cuidadosamente de modo que: a) la informaci6n se obtenga de conformidad con toda Ia leqlslacion sobre protecclon de datos (vease el numeral 15.1.4); la entrada de informaci6n hacia y procesada completa y exactamente de forma oportuna; par el sistema editorial se procese

b)

c)

la informacion sensible astara protegida durante la recolecci6n. el procesamiento y el almacenamiento; el acceso al sistema editorial no permite acceso involuntario a redes a las cuales se conecta el sistema.

d)

Informacion adiciona/ Puede ser necesario que la informaci6n en un sistema disponible al publico, par ejemplo la informacion en un servidor web accesible a traves de Internet, cumpla las leyes, las reglas y los reglamentos en la jurisdicci6n en la cual se localiza el sistema, donde tiene lugar el intercambio o donde reside el duerio. La modificaci6n no autorizada de la informacion publica puede danar la reputaci6n de la organizaci6n editorial.

10.10 MONITOREO
Objetivo: detectar actividades de procesamiento de la informacion no autorizadas.

Se deberian monitorear los sistemas y registrar los eventos de seguridad de la informacion. Los registros de operador y la actividad de registro de fallas se deberian utilizar para garantizar la identificaci6n de los problemas del sistema de informacion. La orqanizaclon deberfa curnplir todos los requisitos legales pertinentes que se aplican a sus actividades de monitoreo y registro. Es recomendable emplear el monitoreo del sistema para. verificarla eficacia de adoptados y revisar el cumplimiento de un modelo de politica de acceso.
1.05

controles

67

NORMA TECNICA COLOMBlANA

10.10.1 Registro Control de auditorias

NTC-ISOIIEC 27002

Se deberian elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoria de las actividades de los usuaries. las excepciones y los eventos de seguridad de la informacion con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso. Gufa de implementaci6n Los registros para auditoria deberian incluir, cuando corresponda. a.) b) cierre; c) d) e) f) g) h) i) j) uso de las identidad
0

eventos clave. par ejemplo

de inicio y registro de

si es posible;

registros de registros de atos y otros recursos;

k)
I)

alarmas sistemas antivirus y de intrusion.

Informacion adicional Las registros para auditoria pueden contener datos personales confidenciales e indiscretos. Se deberian tamar medidas adecuadas para la protecci6n de la privacidad (vease el numeral 15.1.4). Cuando sea posible, los administradores del sistema no deberian tener autorizaclon para borrar ni desactivar registros de sus propias actividades (vease el numeral 10.1.3). 10.10.2 Monitoreo Control Se deberian establecer procedimientos para el monitoreo del uso de los servrcios de procesamiento de informaci6n, y los resultados de las actividades de monitoreo se deberian revisar con regularidad. del usa del sistema

68

NORMA TECNICA COLOMBIANA

Guia de implementaci6n

NTC ..ISO/IEC 27002

EI nivel de monitoreo necesario para servicios individuales se deberia determinar mediante una evaluaci6n de riesgos. La organizaci6n debe ria cumplir todos los requisitos legales que se apliquen a sus actividades de monitoreo. Las areas que se deberian considerar incluyen: a) acceso autorizado, incluyendo detaUes como: 1) 2) 3) 4) 5) b) identificaci6n de usuario (ID); fecha y hora de eventos clave; tipo de eventos; archivos a los que se ha tenido acceso; programas I utilidades empleados;

todas las operaciones privileg.iadas como: 1) 2) 3) uso de cuentas privilegiadas, por ejemplo supervisor, ralz, administrador; encendido y detenci6n del sistema; acople I desacople del dispositive de entrada I salida (110);

c)

intentos de acceso no autorizado, tales como: 1) 2) 3) acciones de usuario fallidas acciones fallidas
0 0

rechazadas;

rechazadas que imptican datos y otros recursos;

violaciones de la politica de acceso y notificaGiones para las barreras de fuego (firewaUs) y puertas de enlace (gateways); alertas de los sistemas de detecci6n de intrusi6n de propietario;
0

4) d) alertas 1) 2) 3) 4) e)

fallas del sistema como:

alertas a mensajes de consola; excepciones de registro del sistema; alarmas de qesticn de red; alarmas originadas par el sistema de control del acceso;
0

cambios sistema.

intentos de cambio en la configuraci6n

y los controles de seguridad del

La frecuencia con la cual se revisan los resultados de las actividades de monitoreo deberla depender de los riesgos involucrados. Los factores de riesgo que se deberfan considerar incluyen: a) importancia de los procesos de aplicaci6n;

69

NORMATECNICA
b) c)

COLOMBIANA

NTC-ISO/IEC 27002

valor, sensibilidad e importancia de la informacion implicada; experiencia previa de infiltraci6n 0 uso inadecuado aprovechamiento de las vulnerabilidades; del sistema, y frecuencia de

d) e)

extensi6n de la interconexi6n del sistema (particularmente en redes pubticas): servicio de operaci6n de registro que se desactiva.

Informacion adicional Es necesario el uso de procedimientos de monitoreo para garantizar unlcamente ejecutan actividades autorizadas explicitamente. La revision del regi forma en que se pod dan requerir comprensi6n de las amenazas En el numeral 13.1.1 se nr",c;:,,,,r en caso de incidentes de que los usuarios

..+""",,,,,,, por el sistema y la

:>mnln,c;:,

de eventos que de la informaci6n.

10.10.3 Protecclcn
Control Los servicios y la i ola manlpulacl6n contra el acceso

no autorizados

a) b) c) capacidad d que resulta anteriorm que se exceden, 10 de eventos grabados

Puede ser necesario arc ivar algunos registros para auditoria parte de la polltlca de retenci6n de registros 0 debido a los requisitos para recolectar y conservar evidencia (vease el numeral 13.2.3). Informacion adicional Los registros del sistema a menudo contienen un gran volumen de informaci6n, mucha de la cual no tiene relacion con el monitoreo de seguridad. Para facilitar la identificacion de los eventos significativos para prop6sitos del monitoreo de seguridad, se deberia considerar el copiado autornatico de los tipos apropiados de mensaje en un segundo registro y 10 el uso de utilidades del sistema adecuadas 0 de herramientas de audltorla para realizar la interroqscion y raclonalizacion del archivo. Es necesario proteger los registros del sistema porque si sus datos se pueden modificar eliminar, su existencia puede crear un sentido falso de seguridad.
0

70

NORMA TECNICA COLOMBIANA

10.10.4 Registros Control del administrador

NTC-ISO/lEC 27002 y del operador

Se deberian registrar las actividades tanto del operador como del administrador del sistema. Guia de implementaci6n Los registros deberian incluir: a) b) la hora en que ocurrio el evento (exitoso
0

fallido);

informacion sobre el evento (par ejemplo archivos manipulados) 0 la falla (por ejemplo errores que se presentaron y acciones correctivas que se tomaron); cual cuenta y cual administrador u operador estuvo involucrado; cuales procesos estuvieron irnplicados.

c) d)

Los registros del operador y del administrador del sistema se deberian revisar con regularidad. Informaci6n adicional Se puede emplear un sistema de deteccion de intrusos que este fuera del control del sistema y de los administradores de red para monitorear el cumplimiento de las actividades del sistema y de la adminlstraclcn de la red. 10.10.5 Registro de faHas Control Las fallas se deberian registrar y analizar, y sedeberian Gufa de implementaci6n Se deberian registrar las fallas reportadas par los usuarios 0 por los programas del sistema relacionadas con problemas de procesamiento de la informacion 0 con 105 sistemas de comunicaclcn. Deberian existir reglas claras para el manejo de las fallas reportadas, incluyendo: a) revision de los registros satisfactoriamente; de fallas para garantizar que estas se han resuelto tomar las acciones adecuadas.

b)

revision de las medidas correctivas para garantizar que no se han puesto en peligro los controles y que la accion tomada esta totalmente autorizada. esta habilitado, si esta funci6n del sistema esta

Se deberfa asegurar que el registro deerrores disponible. Informaci6n adic/onal

EI registro de errores y de fallas puede tener irnpacto en el desernperio del sistema. Dicho registro deberia ser habilltado por personal competente y el nivel necesario de registro para

71

NORMA TECNICA COLOMBIANA

NTC-ISOIIEC 27002

sistemas individuales se dsberia determinar mediante una evaluaci6n de riesgos, teniendo en cuenta el deterioro del desemperio.

10.10.6 Sincronizaci6n
Control

de relojes

Los relojes de todos los sistemas de procesamiento de informaci6n pertinentes dentro de la organizaci6n 0 del dominio de seguridad deber!an estar sincronizados con una fuente de tiempo exacta y aeordada. Gula de implementaci6n Cuando un computador reloj en tiempo real, d el tiempo coord algunos relojes corrija cualquier va . La interpretaci6n de tiempo refleja locales (par Olornnl.., dispositivo de comunieaciones tie se deberia establecer como el ) 0 el tiempo estandar loca el tiempo, debe ria existir un capacidad para operar un acordado, par ejemplo a que se sabe que miento que verifique y

I hora es importante
iente tener en

rantlzar que la marea las especificaciones

La configuraci6n exactitud de los como evldencia en dificultar diehas i reloj sincronizado a sistemas de a todos los servidores

para garantizar la las investigaciones 0 de auditoria pueden . Se puede utillzar un reloj maestro para los e red para mantener

11. 11.1

CONTROL

Objetivo:

controlar el

o a la informaci6n.

EI acceso a la informacion, a los servicios de procesamiento de informaci6n y a los procesos del negocio se deberia controlar can base en los requisitos de seguridad y del negoclo. Las reglas distribuci6n para el control del acceso deberlan autorizaci6n de la informaci6n. tener en cuenta las politicas de

11.1.1 Politica. de control de acceso

Control Se deberia establecer, documentar y revisar la polltica de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso.

72

NORMA TECNICA COLOMBIANA

Guia de impJementacion

NTC-ISO/IEC 27002

Las reglas y los derechos para el control del acceso para cada usuario 0 grupo de usuarios se deberfan establecer con claridad en una politica de control del acceso. Los controles del acceso son tantol6gicos como fisicos (vease la secci6n 9) y se deberian considerar en conjunto. A los usuaries y a los proveedores de servicios se les deberia brindar una declaraci6n clara de los requisitos del negocio que deben cumplir los controles del acceso. La polltica deberia considerar los siguientes aspectos: a) b) c) requisitos de seguridad de las aplicaciones individuales del negocio; identificaci6n de toda la informacion relacionada con las aplicaciones del negocio y los riesgos a los que se enfrenta la informacion; pollticas para la dlstnbucion y autorizacion de la informaci6n, como por ejemplo la necesidad de conocer el principia y los nivales de seguridad y la clasificaci6n de la informaci6n (vease el numeral 7.2); consistencia entre el control del acceso y las poHticasde claslflcacton de la informaci6n de sistemas y redes diferentes; legislaci6n pertinente y obligaciones contractuales relacionadas can la protecci6n del acceso a los datos a los servicios (vease el numeral 15.1); perfiles estandar de acceso de usuario para funciones laborales comunes en la organizaci6n; gesti6n de los derechos de acceso en un entorno distribuido y con red que reeonozea todos los tipos de conexiones posibles; dlstrlbucion de las funciones de control de acceso, por ejemplo sollcitud de acceso, autorizaci6n del acceso, adrninistracion del acceso; requisitos para la autorizaci6n formal de las solicitudes de acceso (vsase el numeral
11.2.1);

d) e)
f)

g) h) i) j) k)

requisitos para la revision peri6dica de los controles de acceso (vease el numeral

11.2.4);

retiro de los derechos de acceso (vease el numeral 8.3.3).

Informacion adicionaf

Se recomienda cuidado al especificar las reglas de control de acceso para considerar: a) b) diferenciaci6n entre reglas que siempre se deben hacer cumplir y directrices que son opcionales 0 condicionales; establecimiento de reglas basadas en la premisa "En general, todo ssta prohibido, a menos que este expresamente permitido" y no en la regia mas debit de " En general, todo esta permitido, a menos que este expresamente prohibido";

73

NORMA TECNICA COLOMBIANA

c)

NTC-ISO/IEC 27002

cam bios en las etiquetas de la informaci6n (vease el numeral 7.2) que son iniciadas autornaticarnente par los servicios de procesamiento de informaci6n y aquelJos iniciados a discreci6n del usuario; cambios en los permisos de usuario que son inieiados automaticarnente por los servicios de procesamiento de informaci6n y aquellos iniciados por un administrador; reglas que requieren aprobaei6n especifica antes de su promulgaci6n y aquelJas que no.

d)

e)

Las reg.las de control de acceso deber!an tener soporte de procedimientos formales y de responsabilidades claramente definidas (vease, por ejemplo, 6.1.3, 11.3, 10.4.1, 11.6).

11.2

GESTI6N DEL autorizados de usuarios no

rmales para controlar ci6n. Los procedimien usuario, desde el de usuaries que ya poner atencl6n de

de los derechos

vida del acceso del final del registro ci6n. Se debe rta naci6n de derechos

11.2.1 Registro de
Control Oeberla existir un iento formal para o a todos los sistemas usuarias con el fin de

EI procedimiento incluir: a)

de

del acceso para el registro

de usuaries deberIa

uso de la identificaci6n (mica de usuario (10) para permitir que los usuarios queden vinculados y sean responsables de sus acciones; el usa de identificadores (10) de grupa unlcarnente se deberfa permitir cuanda son necesarios por razones operativas 0 del negocio, y deberian estar aprobados y documentados; verificaci6n de que el usuario tenga autorizaci6n del dueno del sistema para el usa del sistema 0 servicio de informaci6n, tarnbien pueden ser conveniente que la direcci6n apruebe por separado los derechos de acceso; verificaci6n de que el nivel de acceso otorgada sea adecuado para los prop6sitos del negocio (vease el numeral 11.1) Y sea consistente conla polttlca de seguridad de la arganizaci6n, es decir, no pone en peligro la distribuci6n de funciones (vease el numeral 10.1.3); dar a los usuarios una declaraci6n escrita de sus derechos de aceeso;

b)

c)

d)

74

NORMA TECNICA COLOMBIANA e) f) g) h) i) j)

NTC-ISO/IEC 27002

exigir a los usuarios firmar declaraciones que indiquen que elias entienden las condiciones del acceso; asegurar que los proveedores del servicio no otorguen el acceso hasta que se hallan terminado los procedimientos de autorizaci6n; mantenimiento de un registro formal de todas las personas registradas para usar el servicio; retirar 0 bloquear inmediatamente los derechos de acceso de los usuarios que han cambiado de funci6n, de trabajo 0 que han dejado la organizaci6n; verificar, retirar 0 bloquear peri6dicamente las identificaciones (ID) y cuentas redundantes de usuarios (veaee et numeral 11.. .4).; 2 garantizar que las identificaciones (10) de usuario redundantes no se otorgan a otros usuarios.

Informacion adicional

Se deberla considerar el establecimiento de roles de acceso de usuario basadas en los requisitos del negocio que incluyan un nurnero de derechos en perfiles tipicos de acceso de usuario, Las solicitudes y revisiones de acceso (vease el numeral 11.2.4) se gestlonan mas facllrnente en el ambito de dichas funciones queen el ambito dederechos particulares, Es conveniente considerar la inclusi6n de clausulas en los contratos del personal y de los servicios que especifiquen las sanciones si el personal a los agentes del servicio intentan el acceso no autorizado (veanse los numerales 6.1.5, 8.1.3 Y 8.2.3). 11.2.2 Gesti6n de privilegios
Control

Se deberia restringir y controlar la asignaci6n y el usa de privilegios.

Guia de impfementaci6n

Los sistemas de usuario multiple que requieren proteccion contra el acceso no autorizado deberian controlar la asignaci6n de privilegios a traves de un proceso formal de autorizaclon. Se recomienda tener en cuenta los siguientes elementos: a) Se deberian identificar los usuarios y sus privilegios de acceso asociadas can cada producto del sistema, como sistema operativo, sistema de gesti6n de bases de datos y apiicaciones; Se deberian asignar los privilegios a los usuarios sabre los principios de necesidad-deuso y evento-por-evento, y de manera acorde con la politica de control de acceso (veass el numeral 11.1.1), es decir. el requisito minimo para su funcion, 5610 cuando sea necesario; se deberian conservar un proceso de autorizaci6n y un registro de todos los privilegios asignados. Los privilegios no se deberian otorgar hasta queel proceso de autorizacion este completo; 75

b)

c)

NORMA TECNICA COLOMBIANA

d)

NTC-ISO/IEC 27002

es conveniente promover el desarrollo y empleo de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios; se recomienda promover tarnblan el desarrollo y empleo de proqramas que eviten la necesidad de funclonar can privilegios; los privilegios se deberian asignar a un identificador de usuario (ID) diferente a los utilizados para el usa normal del negocio.

e)

f)

Informaci6n adicional EI usa no apropiado de los privilegios de administraci6n del sistema (cualquier caracteristica a servicio de un sistema que permita al usuario anular los controles del sistema a de la aplicaci6n) puede ser contribuyente importante a las las a vulnerabilidades del sistema.

11.2.3 Gestion de
Control La asignaci6n de formal de gesti6n.

EI proceso deberfa a) n para mantener ntraseiias de grupo se podrla inclulr en los

b)

inicialmente se les numeral 11.3.1) que

c)

entos para verificar la traseria temporal, de reempla

antes

de

d)

las contraserias porales se deberian suministrar de fa a segura a 105 usuarios; se recomienda evitar mensajes de correa electr6nico de terceras partes 0 sin protecci6n (texto claro); las contraselias temporales deberian ser urucas para un individuo y no ser desdfrables; los usuarios deberian confirmar la entrega de las contraselias; las contraselias nunca se deberian formate no protegido; almacenar en sistemas de computador en un

e) f) g)

h)

las contraselias predeterminadas por el proveedor se deberian cambiar inmediatamente despues de la instalaci6n de los sistemas 0 del software.

76

NORMA TECNICA COLOMBIANA

Informacion adicional

NTC-ISO/IEC 27002

Las contraserias son un medio cornun de verificaci6n de la identidad de un usuario antes de darle acceso a un sistema 0 servicio de informacion de acuerdo con la autorizacion del usuario. Segun el caso, es recomendable considerar otras tecnologias disponibles para la ldentiflcaclon y autentlcaclon del usuario tales como blometricos, (verificacion de huella digital, verificaci6n de firma) y el uso de tokens de autenticacicn, (tarjetas inteligentes).

11.2.4 Revisi6n de los derechos de acceso de los usuarios

Control La direcci6n deberia establecer un procedimiento formal de revision periodlca de los derechos de acceso de los usuarios. Guia de implementacion Se recomienda que en la revisi6n de los derechos de acceso se consideren las siguientes directrices; a) los dereches de acceso de los usuarios se deberian revisar a intervalos regulares, por ejemple cada seis meses y despues de cada cambia, como par ejemplo promoci6n. cambia a un cargo en un nivel inferior, a terminaci6n del contrato laboral (vease el numeral 11.2.1): los derechos de acceso de usuarios se deberia revisar y reasignar cuando hay cambios de un cargo a otro dentro de la misma organizaci6n: es recomendable rsvisar las autorizacienes para detaches de acceso privilegiado (vease el numeral 11.2.2) a intervalos mas frecuentes, par ejemplo cada tres meses; se debe ria verificar la asignaci6n de privilegios a intervalos regulares para garantizar que no se obtienen privilegios no autorizados; los cambios en las cuentas privilegiadas se deberlan registrar para su revisi6n perlodlca.

b)

c)

d)

e)

Informacion adicional Es necesario revisar con reg,ularidad los dereches deaoceso de los usuaries para mantener un control eficaz del acceso a los datos y a los servicios de informaci6n.

11.3

RESPONSABILIDADES DE LOS USUARIOS

Objetivo: evitar el acceso de usuarios no autorizados,el

robo a la puesta en peligro de .la informaci6n y de los servicios de procesamiento de informaci6n. La cooperaci6n de los usuarios autorizados es esencial para la eficacia de la seguridad.

Se deberfa concientizar a los usuarios sobre sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular can relacion al uso de contraserias ya la seguridad del equipo del usuario. Es recomendable implementar una poHtica de escritorio y pantalla despejados para reducir el riesgo de acceso no autorizado 0 dafio de reportes, medios y servicios de procesamiento de' informaci6n. 77

NORMA TECNICA COLOMBIANA 11.3.1 Uso de contraserias

Control

NTC-ISOltEC 27002

Se deberia eXlglr a 105 usuaries el cumplimiente selecci6n y el uso de las contraserias. Guia de implementaci6n Todos los usuaries deberian: a)

de buenas practices de seguridad en la

mantener la confidencialidad de las contrasenas: evitar conservar manuales) de segura yel (par ejemplo en papel, a menos que estas se este aprobado; de software 0 dispositivos n almacenar de forma

b)

c)

en peligro del sistema

d)

seleccionar 1) 2) o usando informacion teletontcos, fechas de

3)

que no consistan en

4)

todos nurnencos ni

e)

cambiar las contrasenas

a intervalos regulares privilegiadas se 5) y evitar la reutilizaci6n de co

mero de accesos (las frecuencia que las

f) g) no incluir contrasenas en ningun proceso de registro automatizado, almacenadas en un macro 0 en una clave de funci6n; no compartir las contrasenas de usuario individuales; no utilizar la misma contraseria para propositos del negocio y para los que no 10 son. por ejemplo

h) i)

Si los usuanos necesitan acceso a multiples servlcios, sistemas 0 plataformas y se les exige conservar multiples contraserias separadas, se les deberia advertir que pueden usar una sola contrasena de calidad (vease d) arriba) para todos los servicios cuando se les garantiza que se ha establecido un nivel razonable de protecci6n para almacenar la contrasena en cada servicio, sistema 0 plataforma.

78

NORMA TECN.ICA COlOMBIANA

Informacion adicional

NTC-ISO/IEC 2700.2

La gesti6n de los sistemas de ayuda del escritorio auxiliar que tratan con las contraserias perdidas u olvidadas necesita cuidadoespecial puesto que tambien puede ser un media de ataque al sistema de contraseria. 11.. .2 Equipo de usuario desatendido 3 Control Los usuarios apropiada, deberian asegurarse de que losequipos desatendidos tengan proteccion

Guia de implementacion Se deberia concientizar a los usuaries sabre los requisitos y los procedimientos de seguridad para proteqer los equipos desatendidos, asi como sabre sus responsabilidades en la implementaclon de dicha prote cclon, Se deberia advertir a los usuarios sobrs: a) terminer las sesiones activas cuando finalice, a menos que se puedan asegurar par medio de un mecanismo de bloqueo, como un protector de pantaua protegido por contraseria; realizar el registro de cierre en computadoras prinoipales, servidores y computadores personales de oficina al terminer la sesion (es decir, no solo apagar el interrupter de la pantalla del computador 0 terminal); cuando no estan en uso, asegurarlos computadores personales 0 los terminales contra el uso no autorizado mediante una clave de bloqueo 0 un control equivalente como. per ejemplo, el acceso por contraseria (vease el numeral 11... 3.3).

b)

c)

Informacion adicional Los equipos instalados en las areas de usuario, par ejemplo lasestaciones de trabajo 0 los servidores de archivo, pueden requerir protecci6nespecifica contra el acceso no autorizado cuando se dejen desatendidos durante periodos prolongados. 11.3.3 Politica de escrit.orio despejado Control Se deberia adopter una politica de escritorio despejado para reportes y medias almacenamiento rernovibles y una politica de pantalla d'espejada para los servicios procesamiento de informacion. Gufa de implementacion En la poHtica de escritorio despejado y pantalla despejada se deberian considerar las clasificaciones de la informacion (vease el numeral 7.2),105 requisitos legales y cantractuales (vease el numeral 15.1), los riesgos correspondientes y los aspectos culturales de la orqanizacion, Es recomendable tener presentes las sigu.ientes directrices.: a) cuando no 58 requlere la informacion sensible 0 critics del negocio, como por ejemplo los medios de almacenamiento electronicos 0 en papel, se deberia asegurar bajo Ilave de de

y de pantalla despejada

79

NORMA TECNICA COLOMBIANA

NTC·ISOIIEC 27002

(idealmente una caja fuerte, un gabinete u otro mueble de seguridad), especialmente cuando la oficina esta vacla: b) las sesiones de los computadores y los terminales se deberfan cerrar 0 proteger can un mecanismo de bloqueo de pantalla y de teclado controlado por una contraseria, un token 0 un mecanismo similar de autenticaci6n de usuario cuando no estan atendidos, y se deberfan proteger mediante bloqueos de clave, contrasenas u otros controles cuando no se esten utilizando; se deberian proteger los puntos de entrada y salida de correo y las rnaqulnas facsimil desatendidas; es conveniente evitar el uso no autorizado de fotocopiadoras reproducei6n (por plo, escaneres, cameras digitales, ngan informaci6n sensible as.
0

c)

de

d)

y otra tecnologia

de

e)

a se deberlan retirar

Una politica sobre autorlzado, perdida Las cajas fuertes informaci6n almac explosi6n. Se deberfa pensar forma que quien in cerea de la imoreso 11.4 CONTROL evitar el el acceso a los servicios a las redes y a los servicios e red garantizando que:

riesgos de acceso no . Jaborales normales. podrlan proteger la moto,inundaci6n 0

de pines (pin code) de icamente cuando ests

Objetivo:

Es recomendable EI acceso de los seguridad de los a)

como externos. a comprometer la

existen interfases apropiadas entre la red de la organizaci6n pertenecen a otras organizaciones, y las redes publlcas:

y las redes que

b)

se aplican mecanismos adecuados de autenticaci6n para los usuaries y los equipos; control de acceso de los usuariosa los servicios de informaci6n.

11.4.1 Politica de uso de los servicios en red Control Los usuarios 5610 deberian tener acceso a los servicios para cuyo usa estan especificamente autorizados.

80

NORMA TECNICA COLOMBIANA

Guia de imp/ementaci6n

NTC-ISO/I.EC 27002

Se deberia formular una politica con respectoal pol ftica deberia abarcar a) b)

uso de las redes y los servicios de red. Esta

las redes y los servicios de red a los cuales se permite el acceso; los procedimientos de autorizaclon para determiner a quien sele que redes y que servicios en red; los controles y procedimientos de gestion para protegerel red ylos servidos de red; permits el acceso a

c)

aceeso a las conexiones de

d)

los medios utitlzados parael aoceso a las redes y los serviclos de red (por ejemplo las condiciones para perrnitir el acceso ala marcacion a un proveedor de servicios de Internet 0 a un sistema remota).

La polftica sobre el uso de los servicios de red deberia ser consistente con la politica de control de acceso de la orpanlzacion (vease el numeral 11.1 ). informaci6n adiciona/ Las conexiones inseguras y no autorizadas a servicios de red pueden afectar a toda la organizaci6n. Este control es particutarrnente importante para las conexianes de red de aplicaciones sensibles 0 criticas parael negocio 0 para usuariosen lugares de alto riesgo, por ejemplo en areas publicae 0 extemas que se haUan fuera del control y Ia gesti6n de seguridad de la organizaci6n. 11.4.2 Autenticacion Control Se deberfan emp.lear rnetodos apropiados usuarios remotes. Guta de implementad6n La autenticaci6n de usuaries remotos se puedelograr usando, por ejemplo, una tecnica can base criptoqrafica, token de hardware 0 protocolos de desafio I respuesta. Las posibles implementaciones de dichas tecnicas se puedenencontrar en diversas soludones de red privada virtual (VPN). Las Hneas pnvadas dedicadas tamoien se pueden ernplear para brindar aseguramiento de la fuente de las conexiones. Los procedimientos y controles de devoluti6n de marcaci6n, par ejemploempleando modems de retorno de marcad6n, pueden surninistrar protecd6n contra conexiones no deseadas 0 no autorizadas a los servicios de procesamiento de informacion dela organizaci6n. Este tipo de control autentica a los usuaries tratando de establecer una conexi6n con una red de la organizaci.6n desde sitios remotes. Cuando se usasste control, la organizaci6n no deberia utilizar servicios de red que induyen envio de Hamada 0, si 10 hacen, deberian desactivar el usa de dichas caractertsncas para evitar las debilidades asociadas con el envlo de !lamada. E.I proceso de devoluclon de lIamada deberia garantizar que realmente se produce una desconexi6n en el tado de Is orqanizacion. De otro modo, el usuario remota deberia mantener la linea abierta pretendiendo que ha ocurrido la verificacion de ladevo.luci6n de la Hamada. Los de autenticaci6n para controlar el acceso de de usuarios para conexi ones ext.ernas

81

NORMA TECNICA COLOMBlANA

NTC-ISO/IEC 27002

procedimientos y controles de devoluci6n de la !lamada se deberian probar en su totalidad para determinar esta posibilidad. La autenticaci6n del nodo puede ssrvir como un medio altemo para la autenticaci6n de grupos de usuarios remotos cuando estan conectados a un servicio seguro de computador compartido. Para la autenticaci6n del nodo se pueden emplear las tecnicas crtptoqraficas, por ejemplo las basadas en certificados de rnaquina. Esto forma parte de varias soluciones basadas en la red privada virtual (VPN). Se deberian implementar controles de autenticaci6n adicionales para controlar el acceso a redes lnalambricas. En particular, es necesario tener cuidado especial en la selecci6n de los controles para redes inalarnbncas debido a las grandes oportunidades para la interceptaci6n e inserci6n no detectadas en el trafico de la red.

Las conexiones informaci6n del metodos de

n un potencial para el acceso a 1'05 metodos de cuales proporcionan base en el usa rtante determinar

no autorizado a la Existen diferentes grado de protecci6n cas crlptoqraflcas que r de la evaluaci6n de cci6n adecuada de un

Un medio para la de obtener acceso importante si la co de la organizaci6n. 11.4.3 Identificaci6 Control La identificaci6n au conexi ones de equ de los equipos se de ciones especificas.

suministrar una forma es especialmente gesti6n de seguridad

medio para autenticar

Se puede usar la ide del equipo, si es importante que unicaci6n unicamente se pueda iniciar desde un equipo 0 lugar espedfico. Un identificador en el equipo 0 acoplado a este se puede usar para indicar si esta permitido que este equipo se conecte a la red. Estos identificadores deberian indicar con daridad a que red esta permitido conectar el equipo, si existe mas de una red y si estas redes tienen sensibi1idad diferente. Puede ser necesario considerar la protecci6n fisica del equipo para mantener la seguridad del identificador de este. Informaci6n adicional Este control se puede complementar con otras tecnicas para autenticar el usuario del equipo (vease el numeral 11.4.2). La identificaci6n del equipo se puede aplicar en adici6n a la autenticaci6n del usuario.

82

NORMA TeCNICA COLOMBIANA

NTC~ISO/IEC 27002

11.4.4 Protecci6n de los puertos de configuraci6n y diagn6stico remoto

Control EI aeeeso 16gieo y fisieo a los puertos de configuraci6n eontrolado. Guia de implementaci6n Los controles potenciales para el acceso alas puertos de diagn6stico y configuraci6n incluyen el uso de un bloqueo de clave y procedimientos de soporte para controlar el acceso fisico al puerto. Un ejemplo de un procedimiento de soporte es garantizar que los puertos de diagn6stico y configuraci6n s610 sean accesibles mediante acuerdo entre el administrador del serviclo de computador y el personal de soporte de hardware I software que requiere el acceso. Los puertos, servlclos y prestaciones similares instaladas en un servicio de computador 0 de red, que no se requieren especificamente para la funcionalidad del neqocio, se deberian inhabilitar a retirar. Informaci6n adicional Muchos sistemas de computador, sistemas de red y sistemas de comunicaci6n S8 instalan en un sitio de configuraci6n 0 de diagn6stico remota para ser utilizados por los ingenieros de mantenlmiento. 51 no estan protegidos, estes puertes de diagn6stico son un medio para el acceso no autorizado. y de diagn6stieo deberia estar

11.4.5 Separaci6n en las redes

Control En las redes se deberlan separar los grupos de servioios de informacion, usuarios y sistemas de informaci6n. Gufa de implementaci6n Un metoda para el control en las redes grandes es dividirlas en dominios 16gicos de red separados, par ejemplo, dominios de red intemos de la orqanizacion y dominios de red externos, cada uno protegido per un perimetro de seguridad definido. 5e puede aplicar un conjunto graduado de controlesen diferentes dominios 16gicos de red para separar aun mas los entornos de seguridad de la red, par ejemplo los sistemas de acceso publico, las redes internas y los activos crlticos. Los dominios se deberian definir con base en una evaluaci6n de riesgos y en los diferentes requisitos de seguridad en cada uno de los dominios. Se puede implementar un perimetre de red instalando una puerta de enlace (Gateway) segura entre las dos redes que se van a interconectar para controlar el acceso y el flujo de informaci6n entre los dos dominios. Esta puerta de enlace (Gateway) se debe ria configurar para filtrar el trafico entre estes dominios (veanse los numerales 11.4.6 y 11.4.7) y para bloqusar el acceso no autorizado, sequn la politica de control de acceso de la organizaci6n (vease el numeral 11.1). Un ejemplo de este tipo de puerta de enlace (gateway) es 10 Que se conoce cornunmente como barrera de fuego (firewalf). Otro metoda para apartar los dominios 16gicos separados es restringir el acceso a la red usando redes privadas virtuales para grupos de usuarios dentro de la organizaci6n.

83

NORMA TECNICA COLOMBIANA

NTC-ISOIIEC 27002

Las redes tarnbien se pueden separar utilizando la funcionalidad del dispositivo de red, par ejemplo Ia conmutaei6n IP. Los dominios separados se pueden implementar entonees controlando los flujos de datos de la red usando las capacidades de enrutamiento ! conmutaci6n, como por ejemplo las listas de control de acceso. Los criterios para separarlas redes en dominies se deberian basar en la politica de control de acceso y en los requisitos de acceso (vease el numeral 10.1) Y deberfan tener en cuenta los costos relativos y el impacto en el desernpeno por la incorporaci6n de tecnologia conveniente de puerta de enlace (Gateway) a de enrutamiento de red (veanse los numerales 11.4.6 y 11.4.7). Adernas, la separaci6n de las redes se deberla basar en el valor y la clasificaci6n de la informaci6n almacenada 0 procesada en la red, los niveles de confianza a los lineamientos del negocio can el fin de reducir el impacto total de una interrupci6n del servicio. procedentes de redes bricas no estan bien en tales casos para raficos y selecci6n

de la organizaci6n, ya ''''<l.v.''',,,, 0 compartir el puede incrementar el la red, algunos de los a su sensibilidad a

11.4.6 Control de
Control Para redes ,..nr""n"'~ la organizaci6n, se acuerdo con la politi numeral 11.1). Guia de implementaci6n Los derechas de acceso a la red de los usuarios se deberian mantener y actualizar sequn se requiera a traves de la politica de control de acceso (vease el numeral 11.1.1 ). La capacidad de conexi6n de los usuarios se puede restringir a traves de puertas de enlace (gateway) de red que filtren el trafico por media de tablas 0 reglas predefinidas. Los siguientes son algunos ejemplos de aplicaciones a las cuales se deberian aplicar restricciones: a) b) e) d) mensajeria, par ejemplo, el correo electr6nico; transferencia de archivos; acceso interactivo; acceso a las apl.i.eaciones. snecialrnente aquellas q restringir la capacidad de de acceso y los requ de las fronteras de a la red, de del negocio (vease el

'nn"",'·",r"""

84

NORMA TeCNICA COLOMBIANA

Es conveniente tamar en consideraci6n algunas horas del dla a fechas. Informacion adicional

NTC-ISO/IEe 27002
el enlace de los derechos de acceso a la red con

La politica de control del acceso puede exigir la incorporaci6n de controles para restringir la capacidad de conexi6n de los usuarios a redes compartidas. especialmente aquellas que se extienden mas alia de las fronteras de la organizacion. 11.4.7 Control Control Se deber!an implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre cornoutadores y los flujos de informacion no incumplan la politica de control de acceso de las aplicaciones del negocio. Gufa de implementacion Los controles de enrutamiento se deberian basar en mecanismos de verificaclon para las direcciones fuente Jdestino valldos, Las puertas de enlace (Gateway) de seguridad se pueden usar para validar la direcci6n fuente/destino en los puntos de control de las redesintema y extema, sl se emplean tecnologias proxy y lode traducci6n de direcci6n de red. Quienes desarrollan la lrnplementacion deberian ser conscientes de las fortalezas y deficiencias de los mecanismos desplegados. Los requisitos para el control del enrutamiento en la red se deberian basar en 18 politica de control de acceso (vease el numeral 11.1). Informacion adicional Las redes compartidas, especialmente aquellas que van mas alia de las fronteras de la organlzaci6n, pueden requerir controles adicionales de enrutamiento. Esto se aplica particularmente cuando las redes son compartidas por usuarios de terceras partes (que no pertenecen ala organizaci6n). 11.5 CONTROL DE ACCESO AL SISTEMA OPERA TIVO evitar el acceso no autorizado a los sistemas operatives. no del enrutamiento en la red

Objetivo:

Se recomienda utilizar medias de seguridad para restringir el acceso de usuarios autorizados a los sistemas operatives. Tales medias deberian tener la capacidad para: a) autenticar usuaries autarizadas, aceese;

de acuerdo con una polttica definida de control de

b) c) d) e) f)

registrar intentes exitosos y falJidos de autenticaci6n del sistema; registrar el uso de privilegios especiales del sistema; emitir alarmas cuando se violan las politicas de seguridad del sistema; suministrar medios adecuados para la autenticacion: cuando sea apropiado, restringir el tiempo de conexion de los usuaries.

85

NORMA TECNICA COLOMBIANA

11.5.1Proced Control imientos

NTC-ISOIlEC 27002

de registro de in icioseguro

EI acceso a los sistemas operatives se deberia controlar mediante un procedimiento de registro de lniclo segura. Gufa de impfementaci6n EI procedimiento de registro en un sistema operative deberia estardisefiade para minimizer la opertunida.d de accese no autorizado. Par 10 tanto, el procedimiento de registro de inicio deberta divulgar informaci6n minima sabre el sistema para evitar suministrar asistencia inneeesaria a un usuario no autorizado. Un buen procedimiento de registro de inieio deberia curnpllr los siguientes as a) no mcstrar de aplicaci6n ni de sistema h exitosamente; el proceso de registro

b)

s610 deberian tener

e)

no sum in' ayuden a un validar la i entrada. 5i de los datos

registro de inlclo que

d)

todos los datos de ria indicar que parte

e)
1) 2) re

ejemplo tres intentos,

nales del registro de n especlflca:

3) 4) enviar un nsaje de alarma a la consola del maxima de intentos de registro de inieio; si se alcanza la cantidad

5)

establecerla cantidad de reintentos de contrasena junto can la longitud minima de ella y el valor del sistema que se protege;

f)
g)

limitar el tiempo maximo y minima permitido para et procedimiento de registro de inicio. Si se excede, el sistema deberla finalizar esta operaci6n; mostrar Ia siguiente informacion al terminar un registro de iniclo exitoso: 1) 2) fecha y hora del registro de inicio exitoso previo; detaHes de los intentos fallidos de registro de inicio desde el ultimo registro exitoso:

86

NORMA TECNICA COLOMBIANA

h) no mostrar la contrasefia mediante slmbolos:

NTC·ISOIIEC 27002
0

que se introduce

considerar

esconder

los caracteres

i)

no transmitir contrasenas en texto clare en la red.

Informacion adicional Silas contrasefias se transmiten en texto claro durante la sesi6n de reqistro de lnicio pueden ser capturadas en la fed por un programa "husmeador" de red. 11.5.2 Ident.ificaci6n Control Todos los usuarios deberian tener unidentificador untco (10 del usuario) unlcarnente para su uso personal .• y se deberiaelegir una tecnlca aproplada de autentlcaclon para comprobar la identidad declarada de un usuario. Gula de implementacion Este control se deberia aplicar a todos los tipos de usuarios (incluyendo el personal de soporte tecnico, operadores,administradores de red, programadores de sistemas y administradores de bases de datos). Los identificadores de usuario (10) se deberian utilizar para rastrear las actividades de la persona responsable. Las actividades de usuarios regulares no se dsberlan realizar desde euentas privi.legiadas. En circunstancias excepcionales, cuando existe un beneficia claro para el negoeio, se puede usar un identificador de usuario com partido para un grupo de usuaries 0 un trabajo especifico. La aprcbacion por la dlrecclon deberia estar documentada para dichos casas. Se pueden requerir controles adicionales para mantener la responsabilidad. Solo se deberian permitir los identificadores (ID) de usuario genericos para usa de un individuo si existen funciones accesibles 0 si no es necesario rastrear las acclones ejecutadas por el identificador (por ejemplo el acceso de solo lectura), 0 cuando no hay controles establecidos (par ejemplo cuando la contrasefia para un identificador generico solo se emite para un personal ala vez y el registro de tal caso). Cuando se requiere verificacion de identldad y autanticacion solldas, se deberian utilizar rnetodos alternos a la contrasefia, como los medias crlptoqraficcs, las tarjetas inteligentes, token a medias biornetricos. Informacion adicional l.as contrasenas (veanse los numerales 11..3.1. Y 11.5.3) son una forma muy cornun de identificar y autenticar con base en un secreta que s610 conoce el usuario. La mismo se puede lograr can medios criptograticos y protocol os de autenflcaclon. La fortaleza de la ldentiflcacion y autenticaci6n del usuario deberia ser adecuada a la sensibilidad de la informaci6n a la que se tiene acceso. Objetos tales como los tokens de memoria o las tarjetas inteligentes que poseen los usuaries tarnbien se pueden usar para 18 identificacion y fa autenticaci6n. Las tecnologias de autenticaci6n biornetrica que utilizan caracteristicas 0 atributosunicos de un individuo tambien

y autenticaci6n

de usuarios

87

NORMA TECNICA COLOMBIANA

NTC·ISO/IEC 27002

se pueden usar para autenticar la identidad de una persona. Una combinaci6n de tecnologias y mecanismos enlazados can seguridad producira una autenticaci6n s6lida.

11.5.3 Sistema de gestion de contrasefias

Control Los sistemas para la gesti6n de contraserias deberian ser interactivos y deberian asegurar la calidad de las contrasenas. Guia de implemenlacion Un sistema de gesti6n de contraserias deberia: a)

y de contrasenas para
de tener en cuenta los

b)
c) d) e)

y el cambia

a incluir un
los ingresos;

er registro de inicio

f) g)
h) almacenar aplicaci6n;

r su reutilizaci6n;

datos del sistema de

i)

ejemplo encriptadas

Informacion adicional 'Las contrasenas son un mecanismo principal para validar una autori.dad del usuario para tener acceso a un servicio de cornputador. Algunas aplicaciones requieren la asignaci6n de contrasefias de usuario par parte de una autoridad independiente. en tales casas, no se aplican los literales b). d) Y e) indicados en Ia directriz anterior. En la mayoria de los casas, las contrasenas son seleccionadas y conservadas por los usuaries. Vease el numeral 11.3.1 para la directriz sobre el uso de contrasenas.

11.5.4 Usa de las utilidades del sistema

Control Se deberia restringir y controlar estrictamente el usa de programas utilitarios que pueden anular los controles del sistema y de la aplicaci6n.

88

.NORM.A TEC.NICA COLOMBIANA

Gufa de aplicaci6n

NTC .. SOIIEC 27002 I

Se recamienda cansiderar la siguiente directriz para el usa de las utilldades del sistema: a) usa de pracedimientos de identifica.ci6n, autentica.ci6n yautorlzaci6n del sistema; separacion de las utilidades del sistema del software de aplicacianes, llmitaclon del usa de las utilidadesdel sistema ala cantidad minima viable de usuaries de canfianza autorizados (vease el numeral 11.2.2); autorizaci6n del usc ad hoc de las utilidades del sistema; llmltacion de la disponibiHdad de las utilidades del sistema, par ejemplo para la duracion de un cambia autorizado; registro de todo usa de' las ufilidades del sistema; definicion sistema; y documentacion de los niveles de autorizacion para las utilidades del para las utilidades

b) c)

d) e)

f) g)

h)

retire 0 .inhabilitaci6n de todas las utilidades software innecesaria;

el software del sistema basado en

i)

no poner a dlsposiclon las utUidades del sistema a usuaries que tengsn acceso a aplicaciones en sistemas en dande se requiere distrloucion de funciones ..

Informacion adicional La mayoria de las instalaciones de computador tiene uno 0 mas programas de utiJidades del sistema que pueden anular los controles del sistema y de la aplicacion. 11.5 .. Tiempo de inactividad 5 Control Las sesiones inactivas se deberian suspender despues de un periodo definido de inactividad. Guia de impfementaci6n Una utilidad de tiempo de inactividad deberia despejar la pantallade sesi6n y tarnbien, tal vez mas tarde, cerrar tanto la sesion de la aplicaclcn como la de red despues de un periodo definido de inactividad. La cnacton del tiempo de inactividad deberia reflejar los riesgos de seguridad del area, Ia clasificaci6n de la informacion que se maneja y las apUcaciones quese utilizan, asl como los riesgos reJa.cionados con los usuaries delequipo. Algunos sistemas pueden suministrar una forma limitada de utiilidad de tiernpo de inactividad la cual despeja la pantalla y evita el acceso no autorizado, pero no cierra las sesiones de aplicaci6n ni de red. de lasestcn

89

NORMATECNICA
Informacion adicional

COLOMBIANA

NTC-ISOIIEC 27002

Este control es importante particularmente en lugares de alto rlesqo, los cuales incluyen areas publicas a externas fuera de la gesti6n de seguridad de la organizaci6n. Las sesiones se deberian cerrar para evitar el acceso de personas no autorizadas y negar ataques al servicio.

11.5.6 Limitaci6n
Control

del tiempo de conexi6n

Se deberian utilizar restricciones en los tlempos de conexi6n para brindar seguridad adicional para las aplicaciones de alto riesgo.

Gufa de implementaci6n Se deberian tener computador, esp que estan fuera ejemplos de estas a) b)
c) los controles de tiempo para lugares de alto riesge, par eje uridad de la organizaci6n caciones sensibles de as publlcas a externas ientes son algunos

ransmisiones de lotes

La limitaci6n del reduce la ventana d las sesiones repetici6n de la

n.

rante el cual nidad para el que los usuarios

InJII"'II"I,c!'

de computador 6n de la duraci6n de evitar la

11.6
Objetivo: evitar el Se deberian usar medias dentro de elias. seguridad para restringir el acceso a los sistemas de aplicaclon y

EI acceso l6gico al software de apficaci6n y a la informaci6n se deberla restringira usuarios autorizados. Los sistemas de aplicaci6n deberlan: a) controlar el acceso de usuarios a la informaci6n y a las funciones aplicaci6n. de acuerdo can una polltica definida de control de acceso; del sistema de

b)

suministrar protecci6n contra acceso no autarizado por una utilidad, el software del sistema operativo y software malicioso que pueda anular a desviar los controles del sistema a de la aplicaci6n; no poner en peligro otros sistemas informaci6n. con los que se comparten los recursos de

c)

90

NORMA TECNICA COLOMBIANA

NTC-ISOIIEC 27002

11.6.1 Restri cci6n de I acceso a la informacion Control Se deberia restringir el accesa a la lnformacion ya las funcianes del sistema de apllcacion par parte de los usuarios y del persanal de soporte, de acuerdo can la polltica definida de control de acceso. Gufa de implementacion Las restricciones del acceso se deberian basar en los requisitos de las aplicaciones individuales del neqocio. La potltica de control de aceesa tarnblen deberia ser consistente can la palitica de acceso de la orqanizacion (vease el numeral 11.1). Se deberia considerar la aplicacion de las siguientes directrices can el abjeto de dar soporte a los requisitos de restricci6n del accesa: a) b) proporcionar menus para cantrolar el aceeso a las funciones del sistema de aplicaci6n; controlar los derechos de acceso de los usuarios, par ejemplo, leer, escribir, eliminar y ejecutar; controlar los derechas de acceso de otras aplicacianes; garantizar que las datas de salida de las sistemas de aplicaci6n que manejan informacion sensible s610 contienen lainfarmaci6n pertinente para el usa dela salida. y que se envla unicamente a terminales a sitias autorizadas; ella deberla incluir revisiones peri6dicas de dichas salidas para garantizar el retira de JaInformacion redundante. de sistemas sensibles

c) d)

11.6.2 Aislamiento Control

Las sistemas sensibles deberlan tener un entorno inforrnatico dedicado (aislados). Guia de implementaci6n Se debertan considerar las siguientes puntas para el aislamiento de los sistemas sensibles: a) la sensibilidad de un sistema de aplicaci6n se deberia identificar y documentar explicitamente par parte del duefio de la aplicaci6n (vease el numeral 7.1.2); cuando una aplicaci6n se ha de ejecutar en un entorno com partido, los sistemas de aplicaci6n con los cuales cornpartira recursos y los riesgos correspondientes deberian ser identificadas y aceptados por el dueno de la aplicacion sensible.

b)

Informacion adicional Algunos sistemas de aplicaci6n son 10 suficientemente sensibles a la perdlda potencial que requieren manejo especial. La sensibilidad puede indicar que el sistema de aplicaci6n deberia: a) ejecutarse en un computador dedicado, a b) unicarnente deberia compartir recursas con sistemas de aplicaci6n confiables.

91