Articles 5482 Controles

7/23/2019 Articles 5482 Controles

1/18

Gua: Controles de Seguridad y

Privacidad de la Informacin

Gua Tcnic


2/18

HISTORIA

VERSI N FECHA CAMBIOS INTRODUCIDOS

1.0.0 15/12/2010 Versin inicial del documento

2.0.0 30/09/2011 Restructuracin de forma

2.0.1 30/11/2011 Actualizacin del documento

3.0.0 08/01/2015 Actualizacin segn restructuracin del modelo


3/18

TABLA DE CONTENIDO

PG.

DERECHOS DE AUTOR ...................................................................................................................... 4

AUDIENCIA ............................................................................................................................................ 5

................................................................................................................................... 6

GENERALIDADES ................................................................................................................................. 7

OBJETIVO ............................................................................................................................................... 8

Objetivo de las entidades................................................................................................................. 8

ALCANCE ................................................................................................................................................ 9

Terceros.................................................................................................................................................. 9

TABLA DE CONTROLES ................................................................................................................. 10


4/18

DERECHOS DE AUTOR

Todas las referencias a los documentos del Modelo de Seguridad y Privacidad deTI, con derechos reservados por parte del Ministerio de Tecnologas de laInformacin y las Comunicaciones, a travs de la estrategia de Gobierno en Lnea.

Todas las referencias a las polticas, definiciones o contenido relacionado,publicadas en la norma tcnica colombiana NTC ISO/IEC 27001:2013, as como alos anexos con derechos reservados por parte de ISO/ICONTEC.


5/18

AUDIENCIA

Entidades pblicas de orden nacional y entidades pblicas del orden territorial, ascomo proveedores de servicios de Gobierno en Lnea, y terceros que deseenadoptar el Modelo de Seguridad y Privacidad de TI en el marco de la Estrategia deGobierno en Lnea.


6/18

El Modelo de Seguridad y Privacidad de la Informacin en la fase de Planificacinse realiza la seleccin de controles, y durante la fase Implementacin se ejecuta laimplementacin de controles de seguridad de la informacin, por lo cual se cuentacon el anexo de controles del estndar ISO 27002.

El documento presenta los objetivos de control del estndar ISO 27002.


7/18

GENERALIDADES

La informacin es un recurso que, como el resto de los activos, tiene valor para elorganismo y por consiguiente debe ser debidamente protegida. Las polticas deseguridad y privacidad de la informacin protegen a la misma de una amplia gamade amenazas, a fin de garantizar la continuidad de los sistemas de informacin,minimizar los riesgos de dao y asegurar el eficiente cumplimiento de los objetivosde las entidades del Estado.

Es importante que los principios de la poltica de seguridad y privacidad descritosen el presente documento se entiendan y se asimilen al interior de las entidades

como una directriz de Gobierno que ser exitosa en la medida que se cuente conun compromiso manifiesto de la mxima autoridad en cada entidad.


8/18

OBJETIVO

Proteger la informacin de las entidades del Estado, los mecanismos utilizados parael procesamiento de la informacin, frente a amenazas internas o externas,deliberadas o accidentales, con el fin de asegurar el cumplimiento de laconfidencialidad, integridad, disponibilidad y confiabilidad de la informacin.

Objetivo de las entidadesEstablecer, implementar, operar, monitorear, revisar, mantener y mejorar unsistema de gestin de seguridad de la informacin dentro de las entidades delEstado, que reporte a nivel central su estado de avance.

Fomentar la consulta y cooperacin con organismos especializados para laobtencin de asesora en materia de seguridad de la informacin.

Garantizar la aplicacin de medidas de seguridad adecuadas en los accesos a lainformacin propiedad de las entidades del Estado.


9/18

ALCANCE

Este documento de polticas aplica a todas las entidades del Estado que estnvinculadas de alguna manera, como usuarios o prestadores de servicios de laestrategia de Gobierno en lnea, a sus recursos, a sus procesos y al personal internoo externo vinculado a la entidad a travs de contratos o acuerdos.

TercerosLas entidades pueden requerir que terceros accedan a informacin interna, lacopien, la modifiquen, o bien puede ser necesaria la tercerizacin de ciertasfunciones relacionadas con el procesamiento de la informacin. En estos casos, losterceros deben tener y las entidades les deben exigir, que se establezcan lasmedidas adecuadas para la proteccin de la informacin de acuerdo a suclasificacin y anlisis de riesgo.


10/18

TABLA DE CONTROLES

La siguiente tabla, muestra la organizacin de los controles detallando los dominiosdefinidos en el componente de Planificacin. SIEMPRE se deben mencionar loscontroles correspondientes al Anexo A de la norma NTC: ISO/IEC 27001, cual tratade los objetivos de control, y se estructurarn tal como lo muestra la Tabla 1:

Tabla 1Estructura de controles

Cada campo se define as:

Nm.: Este campo identifica cada uno de los controles correspondientes al

Anexo A de la norma NTC: ISO/IEC 27001. Nombre: Este campo hace referencia al nombre del control que se debe

aplicar para dar cumplimiento a la poltica definida.

Control: Este campo describe el control que se debe implementar con el finde dar cumplimiento a la poltica definida.

Dominio: Este campo describe si el control aplica para uno o mltiplesdominios.

Seleccionado / Excepcin: El listado de controles adems debe ser utilizadopara la generacin de la declaracin de aplicabilidad, donde cada uno de los

controles es justificado tanto si se implementa como si se excluye de serimplementado, lo cual ayuda a que la entidad tenga documentado y de fcilacceso el inventario de controles.

Descripcin / Justificacin: El listado de controles cuenta con la descripcinde cada control en la tabla. Adicionalmente, es posible utilizarlo para lageneracin de la declaracin de aplicabilidad, donde cada uno de los

Poltica general

Nm. Nombre Seleccionado

/ ExcepcinDescripcin / Justificacin

Nombre Control


11/18

controles es justificado tanto si se implementa como si se excluye de serimplementado.

Tabla 2Controles del Anexo A del estndar ISO/IEC 27001:2013 y dominios a los que pertenece

Nm. Nombre

Seleccin

/

Descripcin / Justificacin

1Objeto y campo deaplicacin

Seleccionar los controles dentro del proceso de implementacin delSistema de Gestin de Seguridad de la Informacin - SGSI

2 Referencias normativasLa ISO/IEC 27000, es referenciada parcial o totalmente en eldocumento y es indispensable para su aplicacin.

3 Trminos y definicionesPara los propsitos de este documento se aplican los trminos ydefiniciones presentados en la norma ISO/IEC 27000.

4 Estructura de la norma La norma ISO/IEC 27000, contiene 14 numrales de control deseguridad de la informacin que en su conjunto contienen ms de 35categoras de seguridad principales y 114 controles.

5Polticas de seguridad de lainformacin

5.1Directrices establecidas porla direccin para laseguridad de la informacin

Objetivo: Brindar orientacin y apoyo por parte de la direccin, para laseguridad de la informacin de acuerdo con los requisitos del negocioy con las leyes y reglamentos pertinentes.

5.1.1Polticas para la seguridadde la informacin

Control: Se debera definir un conjunto de polticas para la seguridadde la informacin, aprobada por la direccin, publicada y comunicadaa los empleados y partes externas pertinentes.

5.1.2Revisin de las polticaspara seguridad de lainformacin

Control: Las polticas para seguridad de la informacin se deberanrevisar a intervalos planificados o si ocurren cambios significativos,para asegurar su conveniencia, adecuacin y eficacia continuas.

6Organizacin de laseguridad de la informacin

6.1 Organizacin interna Objetivo: Establecer un marco de referencia de gestin para iniciar ycontrolar la implementacin y la operacin de la seguridad de lainformacin dentro de la organizacin.

6.1.1Roles y responsabilidadespara la seguridad deinformacin

Control: Se deberan definir y asignar todas las responsabilidades dela seguridad de la informacin.

6.1.2 Separacin de deberes

Control: Los deberes y reas de responsabilidad en conflicto sedeberan separar para reducir las posibilidades de modificacin noautorizada o no intencional, o el uso indebido de los activos de laorganizacin.

6.1.3Contacto con lasautoridades

Control: Se deberan mantener los contactos apropiados con lasautoridades pertinentes.

6.1.4Contacto con grupos deinters especial

Control: Es conveniente mantener contactos apropiados con gruposde inters especial u otros foros y asociaciones profesionalesespecializadas en seguridad.

6.1.5Seguridad de la informacinen la gestin de proyectos

Control: La seguridad de la informacin se debera tratar en la gestinde proyectos, independientemente del tipo de proyecto.

6.2 Dispositivos mviles yteletrabajo

Objetivo: Garantizar la seguridad del teletrabajo y el uso dedispositivos mviles.

6.2.1Poltica para dispositivosmviles

Control: Se deberan adoptar una poltica y unas medidas deseguridad de soporte, para gestionar los riesgos introducidos por eluso de dispositivos mviles.

6.2.2 Teletrabajo

Control: Se deberan implementar una poltica y unas medidas deseguridad de soporte, para proteger la informacin a la que se tieneacceso, que es procesada o almacenada en los lugares en los que serealiza teletrabajo.


12/18

7Seguridad de los recursoshumanos

7.1 Antes de asumir el empleoObjetivo: Asegurar que los empleados y contratistas comprenden susresponsabilidades y son idneos en los roles para los que seconsideran.

7.1.1 Seleccin

Control: Las verificaciones de los antecedentes de todos loscandidatos a un empleo se deberan llevar a cabo de acuerdo con lasleyes, reglamentos y tica pertinentes, y deberan ser proporcionalesa los requisitos de negocio, a la clasificacin de la informacin a quese va a tener acceso, y a los riesgos percibidos.

7.1.2Trminos y condiciones delempleo

Control: Los acuerdos contractuales con empleados y contratistas,deberan establecer sus responsabilidades y las de la organizacin encuanto a la seguridad de la informacin.

7.2Durante la ejecucin delempleo

Objetivo: Asegurarse de que los empleados y contratistas tomenconciencia de sus responsabilidades de seguridad de la informacin ylas cumplan.

7.2.1Responsabilidades de ladireccin

Control: La direccin debera exigir a todos los empleados ycontratistas la aplicacin de la seguridad de la informacin de acuerdocon las polticas y procedimientos establecidos por la organizacin.

7.2.2Toma de conciencia,educacin y formacin en laseguridad de la informacin

Control: Todos los empleados de la organizacin, y en donde seapertinente, los contratistas, deberan recibir la educacin y laformacin en toma de conciencia apropiada, y actualizacionesregulares sobre las polticas y procedimientos pertinentes para sucargo.

7.2.3 Proceso disciplinarioControl: Se debera contar con un proceso disciplinario formal el cualdebera ser comunicado, para emprender acciones contra empleadosque hayan cometido una violacin a la seguridad de la informacin.

7.3Terminacin o cambio deempleo

Objetivo: Proteger los intereses de la organizacin como parte delproceso de cambio o terminacin del contrato.

7.3.1Terminacin o cambio deresponsabilidades deempleo

Control: Las responsabilidades y los deberes de seguridad de lainformacin que permanecen validos despus de la terminacin ocambio de contrato se deberan definir, comunicar al empleado ocontratista y se deberan hacer cumplir.

8 Gestin de activos

8.1Responsabilidad por losactivos

Objetivo: Identificar los activos organizacionales y definir lasresponsabilidades de proteccin apropiadas.

8.1.1 Inventario de activos

Control: Se deberan identificar los activos asociados con la

informacin y las instalaciones de procesamiento de informacin, y sedebera elaborar y mantener un inventario de estos activos.

8.1.2 Propiedad de los activosControl: Los activos mantenidos en el inventario deberan tener unpropietario.

8.1.3 Uso aceptable de los activosControl: Se deberan identificar, documentar e implementar reglaspara el uso aceptable de informacin y de activos asociados coninformacin e instalaciones de procesamiento de informacin.

8.1.4 Devolucin de activosControl: Todos los empleados y usuarios de partes externas deberandevolver todos los activos de la organizacin que se encuentren a sucargo, al terminar su empleo, contrato o acuerdo.

8.2Clasificacin de lainformacin

Objetivo: Asegurar que la informacin recibe un nivel apropiado deproteccin, de acuerdo con su importancia para la organizacin.

8.2.1Clasificacin de lainformacin

Control: La informacin se debera clasificar en funcin de losrequisitos legales, valor, criticidad y susceptibilidad a divulgacin o amodificacin no autorizada.

8.2.2 Etiquetado de la informacin

Control: Se debera desarrollar e implementar un conjunto adecuadode procedimientos para el etiquetado de la informacin, de acuerdocon el esquema de clasificacin de informacin adoptado por laorganizacin.

8.2.3 Manejo de activosControl: Se deberan desarrollar e implementar procedimientos para elmanejo de activos, de acuerdo con el esquema de clasificacin deinformacin adoptado por la organizacin.

8.3.1Gestin de mediosremovibles

Control: Se deberan implementar procedimientos para la gestin demedios removibles, de acuerdo con el esquema de clasificacinadoptado por la organizacin.


13/18

8.3.2 Disposicin de los mediosControl: Se debera disponer en forma segura de los medios cuandoya no se requieran, utilizando procedimientos formales.

8.3.3Transferencia de mediosfsicos

Control: Los medios que contienen informacin se deberan protegercontra acceso no autorizado, uso indebido o corrupcin durante eltransporte.

9 Control de acceso

9.1Requisitos del negocio paracontrol de acceso

Objetivo: Limitar el acceso a informacin y a instalaciones deprocesamiento de informacin.

9.1.1 Poltica de control de acceso

Control: Se debera establecer, documentar y revisar una poltica decontrol de acceso con base en los requisitos del negocio y deseguridad de la informacin.

9.1.2Poltica sobre el uso de losservicios de red

Control: Solo se debera permitir acceso de los usuarios a la red y alos servicios de red para los que hayan sido autorizadosespecficamente.

9.2Gestin de acceso deusuarios

Objetivo: Asegurar el acceso de los usuarios autorizados y evitar elacceso no autorizado a sistemas y servicios.

9.2.1Registro y cancelacin delregistro de usuarios

Control: Se debera implementar un proceso formal de registro y decancelacin de registro de usuarios, para posibilitar la asignacin delos derechos de acceso.

9.2.2 Suministro de acceso deusuarios

Control: Se debera implementar un proceso de suministro de acceso

formal de usuarios para asignar o revocar los derechos de acceso atodo tipo de usuarios para todos los sistemas y servicios.

9.2.3Gestin de derechos deacceso privilegiado

Control: Se debera restringir y controlar la asignacin y uso dederechos de acceso privilegiado.

9.2.4Gestin de informacin deautenticacin secreta deusuarios

Control: La asignacin de la informacin secreta se debera controlarpor medio de un proceso de gestin formal.

9.2.5Revisin de los derechos deacceso de usuarios

Control: Los propietarios de los activos deberan revisar los derechosde acceso de los usuarios, a intervalos regulares.

9.2.6Retiro o ajuste de losderechos de acceso

Control: Los derechos de acceso de todos los empleados y deusuarios externos a la informacin y a las instalaciones deprocesamiento de informacin se deberan retirar al terminar suempleo, contrato o acuerdo, o se deberan ajustar cuando se hagancambios.

9.3Responsabilidades de losusuarios

Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda desu informacin de autenticacin.

9.3.1 Uso de la informacin deautenticacin secreta Control: Se debera exigir a los usuarios que cumplan las prcticas dela organizacin para el uso de informacin de autenticacin secreta.

9.4Control de acceso asistemas y aplicaciones

Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.

9.4.1Restriccin de accesoInformacin

Control: El acceso a la informacin y a las funciones de los sistemasde las aplicaciones se debera restringir de acuerdo con la poltica decontrol de acceso.

9.4.2Procedimiento de ingresoseguro

Control: Cuando lo requiere la poltica de control de acceso, el accesoa sistemas y aplicaciones se debera controlar mediante un procesode ingreso seguro.

9.4.3Sistema de gestin decontraseas

Control: Los sistemas de gestin de contraseas deberan serinteractivos y deberan asegurar la calidad de las contraseas.

9.4.4Uso de programas utilitariosprivilegiados

Control: Se debera restringir y controlar estrictamente el uso deprogramas utilitarios que pudieran tener capacidad de anular elsistema y los controles de las aplicaciones.

9.4.5Control de acceso a cdigosfuente de programas

Control: Se debera restringir el acceso a los cdigos fuente de losprogramas.

10 Criptografa

10.1 Controles criptogrficosObjetivo: Asegurar el uso apropiado y eficaz de la criptografa paraproteger la confidencialidad, la autenticidad y/o la integridad de lainformacin.

10.1.1Poltica sobre el uso decontroles criptogrficos

Control: Se debera desarrollar e implementar una poltica sobre eluso de controles criptogrficos para la proteccin de la informacin.


14/18

10.1.2 Gestin de llavesControl: Se debera desarrollar e implementar una poltica sobre eluso, proteccin y tiempo de vida de las llaves criptogrficas durantetodo su ciclo de vida.

11Seguridad fsica y delentorno

11.1 reas seguras Objetivo: Prevenir el acceso fsico no autorizado, el dao y lainterferencia a la informacin y a las instalaciones de procesamientode informacin de la organizacin.

11.1.1Permetro de seguridadfsica

Control: Se deberan definir y usar permetros de seguridad, y usarlospara proteger reas que contengan informacin sensible o critica, einstalaciones de manejo de informacin.

11.1.2 Controles fsicos de entradaControl: Las reas seguras se deberan proteger mediante controlesde entrada apropiados para asegurar que solamente se permite elacceso a personal autorizado.

11.1.3Seguridad de oficinas,recintos e instalaciones

Control: Se debera disear y aplicar seguridad fsica a oficinas,recintos e instalaciones.

11.1.4Proteccin contra amenazasexternas y ambientales

Control: Se debera disear y aplicar proteccin fsica contradesastres naturales, ataques maliciosos o accidentes.

11.1.5 Trabajo en reas segurasControl: Se deberan disear y aplicar procedimientos para trabajo enreas seguras.

11.1.6 reas de despacho y carga

Control: Se deberan controlar los puntos de acceso tales como reas

de despacho y de carga, y otros puntos en donde pueden entrarpersonas no autorizadas, y si es posible, aislarlos de las instalacionesde procesamiento de informacin para evitar el acceso no autorizado.

11.2 EquiposObjetivo: Prevenir la perdida, dao, robo o compromiso de activos, yla interrupcin de las operaciones de la organizacin.

11.2.1Ubicacin y proteccin delos equipos

Control: Los equipos deberan estar ubicados y protegidos parareducir los riesgos de amenazas y peligros del entorno, y lasoportunidades para acceso no autorizado.

11.2.2 Servicios de suministroControl: Los equipos se deberan proteger contra fallas de energa yotras interrupciones causadas por fallas en los servicios desuministro.

11.2.3 Seguridad del cableadoControl: El cableado de potencia y de telecomunicaciones que portadatos o soporta servicios de informacin debera estar protegidocontra interceptacin, interferencia o dao.

11.2.4 Mantenimiento de equiposControl: Los equipos se deberan mantener correctamente paraasegurar su disponibilidad e integridad continuas.

11.2.5 Retiro de activosControl: Los equipos, informacin o software no se deberan retirar desu sitio sin autorizacin previa.

11.2.6Seguridad de equipos yactivos fuera de lasinstalaciones

Control: Se deberan aplicar medidas de seguridad a los activos quese encuentran fuera de las instalaciones de la organizacin, teniendoen cuenta los diferentes riesgos de trabajar fuera de dichasinstalaciones.

11.2.7Disposicin segura oreutilizacin de equipos

Control: Se deberan verificar todos los elementos de equipos quecontengan medios de almacenamiento, para asegurar que cualquierdato sensible o software con licencia haya sido retirado o sobrescritoen forma segura antes de su disposicin o reutilizacin.

11.2.8Equipos de usuariodesatendidos

Control: Los usuarios deberan asegurarse de que a los equiposdesatendidos se les d proteccin apropiada.

11.2.9Poltica de escritorio limpio ypantalla limpia

Control: Se debera adoptar una poltica de escritorio limpio para lospapeles y medios de almacenamiento removibles, y una poltica depantalla limpia en las instalaciones de procesamiento de informacin.

12Seguridad de lasoperaciones

12.1Procedimientosoperacionales yresponsabilidades

Objetivo: Asegurar las operaciones correctas y seguras de lasinstalaciones de procesamiento de informacin.

12.1.1Procedimientos deoperacin documentados

Control: Los procedimientos de operacin se deberan documentar yponer a disposicin de todos los usuarios que los necesiten.

12.1.2 Gestin de cambios

Control: Se deberan controlar los cambios en la organizacin, en losprocesos de negocio, en las instalaciones y en los sistemas deprocesamiento de informacin que afectan la seguridad de lainformacin.


15/18

12.1.3 Gestin de capacidadControl: Para asegurar el desempeo requerido del sistema sedebera hacer seguimiento al uso de los recursos, hacer los ajustes, yhacer proyecciones de los requisitos sobre la capacidad futura.

12.1.4Separacin de losambientes de desarrollo,

pruebas y operacin

Control: Se deberan separar los ambientes de desarrollo, prueba yoperacin, para reducir los riesgos de acceso o cambios no

autorizados al ambiente de operacin.

12.2Proteccin contra cdigosmaliciosos

Objetivo: Asegurarse de que la informacin y las instalaciones deprocesamiento de informacin estn protegidas contra cdigosmaliciosos.

12.2.1Controles contra cdigosmaliciosos

Control: Se deberan implementar controles de deteccin, deprevencin y de recuperacin, combinados con la toma de concienciaapropiada de los usuarios, para proteger contra cdigos maliciosos.

12.3 Copias de respaldo Objetivo: Proteger contra la perdida de datos.

12.3.1Respaldo de informacin

Control: Se deberan hacer copias de respaldo de la informacin, delsoftware e imgenes de los sistemas, y ponerlas a pruebaregularmente de acuerdo con una poltica de copias de respaldoaceptada.

12.4 Registro y seguimiento Objetivo: Registrar eventos y generar evidencia.

12.4.1 Registro de eventos

Control: Se deberan elaborar, conservar y revisar regularmente los

registros acerca de actividades del usuario, excepciones, fallas yeventos de seguridad de la informacin.

12.4.2Proteccin de la informacinde registro

Control: Las instalaciones y la informacin de registro se deberanproteger contra alteracin y acceso no autorizado.

12.4.3Registros del administradory del operador

Control: Las actividades del administrador y del operador del sistemase deberan registrar, y los registros se deberan proteger y revisarcon regularidad.

12.4.4 sincronizacin de relojes

Control: Los relojes de todos los sistemas de procesamiento deinformacin pertinentes dentro de una organizacin o mbito deseguridad se deberan sincronizar con una nica fuente de referenciade tiempo.

12.5Control de softwareoperacional

Objetivo: Asegurar la integridad de los sistemas operacionales.

12.5.1Instalacin de software ensistemas operativos

Control: Se deberan implementar procedimientos para controlar lainstalacin de software en sistemas operativos.

12.6Gestin de la vulnerabilidad

tcnica

Objetivo: Prevenir el aprovechamiento de las vulnerabilidades

tcnicas.

12.6.1Gestin de lasvulnerabilidades tcnicas

Control: Se debera obtener oportunamente informacin acerca de lasvulnerabilidades tcnicas de los sistemas de informacin que se usen;evaluar la exposicin de la organizacin a estas vulnerabilidades, ytomar las medidas apropiadas para tratar el riesgo asociado.

12.6.2Restricciones sobre lainstalacin de software

Control: Se deberan establecer e implementar las reglas para lainstalacin de software por parte de los usuarios.

12.7Consideraciones sobreauditorias de sistemas deinformacin

Objetivo: Minimizar el impacto de las actividades de auditora sobrelos sistemas operacionales.

12.7.1Informacin controles deauditora de sistemas

Control: Los requisitos y actividades de auditora que involucran laverificacin de los sistemas operativos se deberan planificar yacordar cuidadosamente para minimizar las interrupciones en losprocesos del negocio.

13Seguridad de lascomunicaciones

13.1Gestin de la seguridad delas redes

Objetivo: Asegurar la proteccin de la informacin en las redes, y susinstalaciones de procesamiento de informacin de soporte.

13.1.1 Controles de redesControl: Las redes se deberan gestionar y controlar para proteger lainformacin en sistemas y aplicaciones.

13.1.2Seguridad de los serviciosde red

Control: Se deberan identificar los mecanismos de seguridad, losniveles de servicio y los requisitos de gestin de todos los servicios dered, e incluirlos en los acuerdos de servicios de red, ya sea que losservicios se presten internamente o se contraten externamente.

13.1.3 Separacin en las redesControl: Los grupos de servicios de informacin, usuarios y sistemasde informacin se deberan separar en las redes.


16/18

13.2Transferencia deinformacin

Objetivo: Mantener la seguridad de la informacin transferida dentrode una organizacin y con cualquier entidad externa.

13.2.1Polticas y procedimientosde transferencia deinformacin

Control: Se debera contar con polticas, procedimientos y controlesde transferencia formales para proteger la transferencia deinformacin mediante el uso de todo tipo de instalaciones de

comunicacin.

13.2.2Acuerdos sobretransferencia de informacin

Control: Los acuerdos deberan tener en cuenta la transferenciasegura de informacin del negocio entre la organizacin y las partesexternas.

13.2.3 Mensajera electrnicaControl: Se debera proteger adecuadamente la informacin incluidaen la mensajera electrnica.

13.2.4Acuerdos deconfidencialidad o de nodivulgacin

Control: Se deberan identificar, revisar regularmente y documentarlos requisitos para los acuerdos de confidencialidad o no divulgacinque reflejen las necesidades de la organizacin para la proteccin dela informacin.

14Adquisicin, desarrollo ymantenimientos de sistemas

14.1.1Requisitos de seguridad delos sistemas de informacin

Objetivo: Asegurar que la seguridad de la informacin sea una parteintegral de los sistemas de informacin durante todo el ciclo de vida.Esto incluye tambin los requisitos para sistemas de informacin queprestan servicios en redes pblicas.

14.1.1Anlisis y especificacin derequisitos de seguridad de lainformacin

Control: Los requisitos relacionados con seguridad de la informacinse deberan incluir en los requisitos para nuevos sistemas deinformacin o para mejoras a los sistemas de informacin existentes.

14.1.2Seguridad de servicios delas aplicaciones en redespublicas

Control: La informacin involucrada en los servicios de aplicacionesque pasan sobre redes pblicas se debera proteger de actividadesfraudulentas, disputas contractuales y divulgacin y modificacin noautorizadas.

14.1.3Proteccin de transaccionesde los servicios de lasaplicaciones

Control: La informacin involucrada en las transacciones de losservicios de las aplicaciones se debera proteger para evitar latransmisin incompleta, el enrutamiento errado, la alteracin noautorizada de mensajes, la divulgacin no autorizada, y la duplicacino reproduccin de mensajes no autorizada.

14.2Seguridad en los procesosde desarrollo y soporte

Objetivo: Asegurar de que la seguridad de la informacin estdiseada e implementada dentro del ciclo de vida de desarrollo de lossistemas de informacin.

14.2.1 Poltica de desarrollo seguroControl: Se deberan establecer y aplicar reglas para el desarrollo desoftware y de sistemas, a los desarrollos que se dan dentro de la

organizacin.

14.2.2Procedimientos de controlde cambios en sistemas

Control: Los cambios a los sistemas dentro del ciclo de vida dedesarrollo se deberan controlar mediante el uso de procedimientosformales de control de cambios.

14.2.3

Revisin tcnica de lasaplicaciones despus decambios en la plataforma deoperacin

Control: Cuando se cambian las plataformas de operacin, sedeberan revisar las aplicaciones crticas del negocio, y ponerlas aprueba para asegurar que no haya impacto adverso en lasoperaciones o seguridad de la organizacin.

14.2.4Restricciones en loscambios a los paquetes desoftware

Control: Se deberan desalentar las modificaciones a los paquetes desoftware, que se deben limitar a los cambios necesarios, y todos loscambios se deberan controlar estrictamente.

14.2.5Principios de construccinde sistemas seguros

Control: Se deberan establecer, documentar y mantener principiospara la construccin de sistemas seguros, y aplicarlos a cualquieractividad de implementacin de sistemas de informacin.

14.2.6Ambiente de desarrollo

seguro

Control: Las organizaciones deberan establecer y protegeradecuadamente los ambientes de desarrollo seguros para las tareas

de desarrollo e integracin de sistemas que comprendan todo el ciclode vida de desarrollo de sistemas.

14.2.7Desarrollo contratadoexternamente

Control: La organizacin debera supervisar y hacer seguimiento de laactividad de desarrollo de sistemas contratados externamente.

14.2.8Pruebas de seguridad desistemas

Control: Durante el desarrollo se deberan llevar a cabo pruebas defuncionalidad de la seguridad.

14.2.9Prueba de aceptacin desistemas

Control: Para los sistemas de informacin nuevos, actualizaciones ynuevas versiones, se deberan establecer programas de prueba paraaceptacin y criterios de aceptacin relacionados.

14.3 Datos de prueba Objetivo: Asegurar la proteccin de los datos usados para pruebas.


17/18

14.3.1Proteccin de datos deprueba

Control:

Los datos de ensayo se deberan seleccionar, proteger ycontrolar cuidadosamente.

15

Relacin con los

proveedores

15.1Seguridad de la informacinen las relaciones con losproveedores

Objetivo: Asegurar la proteccin de los activos de la organizacin quesean accesibles a los proveedores.

15.1.1Poltica de seguridad de lainformacin para lasrelaciones con proveedores

Control: Los requisitos de seguridad de la informacin para mitigar losriesgos asociados con el acceso de proveedores a los activos de laorganizacin se deberan acordar con estos y se deberandocumentar.

15.1.2Tratamiento de la seguridaddentro de los acuerdos conproveedores

Control: Se deberan establecer y acordar todos los requisitos deseguridad de la informacin pertinentes con cada proveedor quepueda tener acceso, procesar, almacenar, comunicar o suministrarcomponentes de infraestructura de TI para la informacin de laorganizacin.

15.1.3Cadena de suministro detecnologa de informacin ycomunicacin

Control: Los acuerdos con proveedores deberan incluir requisitospara tratar los riesgos de seguridad de la informacin asociados con

la cadena de suministro de productos y servicios de tecnologa deinformacin y comunicacin.

15.2Gestin de la prestacin deservicios con losproveedores

Objetivo: Mantener el nivel acordado de seguridad de la informacin yde prestacin del servicio en lnea con los acuerdos con losproveedores.

15.2.1Seguimiento y revisin delos servicios de losproveedores

Las organizaciones deberan hacer seguimiento, revisar y auditar conregularidad la prestacin de servicios de los proveedores.

15.2.2Gestin de cambios en losservicios de proveedores

Control: Se deberan gestionar los cambios en el suministro deservicios por parte de los proveedores, incluido el mantenimiento y lamejora de las polticas, procedimientos y controles de seguridad de lainformacin existentes , teniendo en cuenta la criticidad de lainformacin, sistemas y procesos del negocio involucrados, y larevaloracin de los riesgos.

16Gestin de incidentes deseguridad de la informacin

16.1 Gestin de incidentes ymejoras en la seguridad dela informacin

Objetivo: Asegurar un enfoque coherente y eficaz para la gestin deincidentes de seguridad de la informacin, incluida la comunicacinsobre eventos de seguridad y debilidades.

16.1.1Responsabilidad yprocedimientos

Control: Se deberan establecer las responsabilidades yprocedimientos de gestin para asegurar una respuesta rpida, eficazy ordenada a los incidentes de seguridad de la informacin.

16.1.2Reporte de eventos deseguridad de la informacin

Control: Los eventos de seguridad de la informacin se deberaninformar a travs de los canales de gestin apropiados, tan prontocomo sea posible.

16.1.3Reporte de debilidades deseguridad de la informacin

Control: Se debera exigir a todos los empleados y contratistas queusan los servicios y sistemas de informacin de la organizacin, queobserven e informen cualquier debilidad de seguridad de lainformacin observada o sospechada en los sistemas o servicios.

16.1.4Evaluacin de eventos deseguridad de la informaciny decisiones sobre ellos

Control: Los eventos de seguridad de la informacin se deberanevaluar y se debera decidir si se van a clasificar como incidentes deseguridad de la informacin.

16.1.5Respuesta a incidentes deseguridad de la informacin

Control: Se debera dar respuesta a los incidentes de seguridad de lainformacin de acuerdo con procedimientos documentados.

16.1.6Aprendizaje obtenido de losincidentes de seguridad dela informacin

Control: El conocimiento adquirido al analizar y resolver incidentes deseguridad de la informacin se debera usar para reducir la posibilidado el impacto de incidentes futuros.

16.1.7 Recoleccin de evidenciaControl: La organizacin debera definir y aplicar procedimientos parala identificacin, recoleccin, adquisicin y preservacin deinformacin que pueda servir como evidencia.

17Aspectos de seguridad de lainformacin de la gestin decontinuidad de negocio


18/18

17.1Continuidad de seguridad dela informacin

Objetivo: La continuidad de seguridad de la informacin se deberaincluir en los sistemas de gestin de la continuidad de negocio de laorganizacin.

17.1.1Planificacin de lacontinuidad de la seguridadde la informacin

Control: La organizacin debera determinar sus requisitos para laseguridad de la informacin y la continuidad de la gestin de la

seguridad de la informacin en situaciones adversas, por ejemplo,durante una crisis o desastre.

17.1.2Implementacin de lacontinuidad de la seguridadde la informacin

Control: La organizacin debera establecer, documentar,implementar y mantener procesos, procedimientos y controles paraasegurar el nivel de continuidad requerido para la seguridad de lainformacin durante una situacin adversa.

17.1.3

Verificacin, revisin yevaluacin de la continuidadde la seguridad de lainformacin

Control: La organizacin debera verificar a intervalos regulares loscontroles de continuidad de la seguridad de la informacinestablecidos e implementados, con el fin de asegurar que son validosy eficaces durante situaciones adversas.

17.2 RedundanciasObjetivo: Asegurar la disponibilidad de instalaciones deprocesamiento de informacin.

17.2.1

Disponibilidad deinstalaciones deprocesamiento deinformacin.

Control: Las instalaciones de procesamiento de informacin sedeberan implementar con redundancia suficiente para cumplir losrequisitos de disponibilidad.

18 Cumplimiento

18.1Cumplimiento de requisitoslegales y contractuales

Objetivo: Evitar el incumplimiento de las obligaciones legales,estatutarias, de reglamentacin o contractuales relacionadas conseguridad de la informacin, y de cualquier requisito de seguridad.

18.1.1Identificacin de lalegislacin aplicable y de losrequisitos contractuales

Control: Todos los requisitos estatutarios, reglamentarios ycontractuales pertinentes, y el enfoque de la organizacin paracumplirlos, se deberan identificar y documentar explcitamente ymantenerlos actualizados para cada sistema de informacin y para laorganizacin.

18.1.2Derechos de propiedadintelectual

Control: Se deberan implementar procedimientos apropiados paraasegurar el cumplimiento de los requisitos legislativos, dereglamentacin y contractuales relacionados con los derechos depropiedad intelectual y el uso de productos de software patentados.

18.1.3 Proteccin de registros

Control: Los registros se deberan proteger contra perdida,destruccin, falsificacin, acceso no autorizado y liberacin noautorizada, de acuerdo con los requisitos legislativos, de

reglamentacin, contractuales y de negocio.18.1.4

Privacidad y proteccin dedatos personales

Control: Cuando sea aplicable, se deberan asegurar la privacidad y laproteccin de la informacin de datos personales, como se exige en lalegislacin y la reglamentacin pertinentes.

18.1.5Reglamentacin decontroles criptogrficos

Control: Se deberan usar controles criptogrficos, en cumplimiento detodos los acuerdos, legislacin y reglamentacin pertinentes.

18.2Revisiones de seguridad dela informacin

Objetivo: Asegurar que la seguridad de la informacin se implementey opere de acuerdo con las polticas y procedimientosorganizacionales.

18.2.1Revisin independiente de laseguridad de la informacin

Control: El enfoque de la organizacin para la gestin de la seguridadde la informacin y su implementacin (es decir, los objetivos decontrol, los controles, las polticas, los procesos y los procedimientospara seguridad de la informacin) se deberan revisarindependientemente a intervalos planificados o cuando ocurrancambios significativos.

18.2.2

Cumplimiento con las

polticas y normas deseguridad

Control: Los directores deberan revisar con regularidad elcumplimiento del procesamiento y procedimientos de informacindentro de su rea de responsabilidad, con las polticas y normas deseguridad apropiadas, y cualquier otro requisito de seguridad.

18.2.3Revisin del cumplimientotcnico

Control: Los sistemas de informacin se deberan revisarperidicamente para determinar el cumplimiento con las polticas ynormas de seguridad de la informacin.

Documents

Articles 5482 Controles