ISO17799 Castellano

ESQUEMA 1
ISO IEC 17799

2002
Tecnologa de la informacin
Cdigo de prctica para la administracin de la
segridad de la in!ormacin
In!ormation tec"nolog#$
Code o! practice !or in!ormation secrit# management$
Este es%ema est sometido a disc&
sin p'(lica$ )as o(ser*aciones de&
(en remitirse !ndadas # por escri&
to+ al Institto I,AM+ -er' ..2 / ..0 &
1C1002AA34 3enos Aires antes del
2002&00&22
5OCUME67O E6 ES7U5IO

5E 6O,MA I,AM&
8888 de 2002
INSTITUTO ARGENTINO DE NORMALIZACIN

Es%ema 1 I ,AM& I SO I EC 17799 9 2002

!refacio
El Institto Argentino de 6ormali:acin 1I,AM4 es na asociacin
ci*il sin !ines de lcro c#as !inalidades espec;!icas+ en s carcter
de Organismo Argentino de 6ormali:acin+ son esta(lecer normas
t<cnicas+ sin limitaciones en los m(itos %e a(ar%en+ adems de
propender al conocimiento # la aplicacin de la normali:acin
como (ase de la calidad+ promo*iendo las acti*idades de
certi!icacin de prodctos # de sistemas de la calidad en las
empresas para (rindar segridad al consmidor$
I,AM es el representante de la Argentina en la International
Organi:ation !or Standardi:ation 1ISO4+ en la Comisin
-anamericana de 6ormas 7<cnicas 1CO-A674 # en la Asociacin
ME,COSU, de 6ormali:acin 1AM64$
Esta norma I,AM es el !rto del consenso t<cnico entre los
di*ersos sectores in*olcrados+ los %e a tra*<s de ss
representantes "an inter*enido en los Organismos de Estdio de
6ormas correspondientes$
Esta norma es na adopcin id<ntica de la norma ISO 1779992000$
"
Es%ema 1 I ,AM& 9
#ndice
INTRODUCCIN$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
QU= ES )A SE>U,I5A5 5E )A I6?O,MACI@6 A$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
-O, QU= ES 6ECESA,IA )A SE>U,I5A5 5E )A I6?O,MACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$
C@MO ES7A3)ECE, )OS ,EQUE,IMIE67OS 5E SE>U,I5A5$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
EBA)UACI@6 5E )OS ,IES>OS E6 MA7E,IA 5E SE>U,I5A5$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
SE)ECCI@6 5E CO67,O)ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
-U67O 5E -A,7I5A -A,A )A SE>U,I5A5 5E )A I6?O,MACI@6$$$$$$$$$$$$$$$$$$$$$$$$$
?AC7O,ES C,C7ICOS 5E) =DI7O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
5ESA,,O))O 5E )I6EAMIE67OS -,O-IOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
% ALCANCE$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
T&RMINOS ' DE(INICIONES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
" !OL#TICA DE SEGURIDAD$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
E$1 -O)C7ICA 5E SE>U,I5A5 5E )A I6?O,MACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
3.1.1 Documentacin de la poltica de seguridad de la informacin.........................
3.1.2 Revisin y evaluacin......................................................................................
) ORGANIZACIN DE LA SEGURIDAD$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
F$1 I6?,AES7,UC7U,A 5E SE>U,I5A5 5E )A I6?O,MACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$
4.1.1 Foro gerencial sobre seguridad de la informacin...........................................
4.1.2 Coordinacin de la seguridad de la informacin..............................................
4.1.3 signacin de responsabilidades en materia de seguridad de la
informacin...............................................................................................................
4.1.4 !roceso de autori"acin para instalaciones de procesamiento de
informacin...............................................................................................................
4.1.# sesoramiento especiali"ado en materia de seguridad de la informacin
..................................................................................................................................
4.1.$ Cooperacin entre organi"aciones...................................................................
4.1.% Revisin independiente de la seguridad de la informacin..............................
F$2 SE>U,I5A5 ?,E67E A) ACCESO -O, -A,7E 5E 7E,CE,OS$$$$$$$$$$$$$$$$$$$$$$
4.2.1 &dentificacin de riesgos del acceso de terceras partes...................................
4.2.2 Re'uerimientos de seguridad en contratos con terceros.................................
F$E 7E,CE,IGACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
4.3.1 Re'uerimientos de seguridad en contratos de terceri"acin...........................
* CLASI(ICACIN ' CONTROL DE ACTI+OS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
.$1 ,ES-O6SA3I)I5A5 -O, ,E65ICI@6 5E CUE67AS 5E )OS AC7IBOS$$$$$$$$$$
#.1.1 &nventario de activos........................................................................................
.$2 C)ASI?ICACI@6 5E )A I6?O,MACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
#.2.1 !autas de clasificacin.....................................................................................
#.2.2 Rotulado y mane(o de la informacin...............................................................
, SEGURIDAD DEL !ERSONAL$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
0$1 SE>U,I5A5 E6 )A 5E?I6ICI@6 5E -UES7OS 5E 7,A3AHO I )A
ASI>6ACI@6 5E ,ECU,SOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
)
-gina
Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond
$.1.1 &nclusin de la seguridad en las responsabilidades de los puestos de
traba(o.......................................................................................................................
$.1.2 )eleccin y poltica de personal.......................................................................
$.1.3 cuerdos de confidencialidad..........................................................................
$.1.4 *+rminos y condiciones de empleo..................................................................
0$2 CA-ACI7ACI@6 5E) USUA,IO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
$.2.1 Formacin y capacitacin en materia de seguridad de la informacin.............
0$E ,ES-UES7A A I6CI5E67ES I A6OMA)CAS E6 MA7E,IA 5E SE>U,I5A5
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
$.3.1 Comunicacin de incidentes relativos a la seguridad.......................................
$.3.2 Comunicacin de debilidades en materia de seguridad...................................
$.3.3 Comunicacin de anomalas del soft,are........................................................
$.3.4 prendiendo de los incidentes........................................................................
$.3.# !roceso disciplinario........................................................................................
- SEGURIDAD (#SICA ' AM.IENTAL$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
7$1 J,EAS SE>U,AS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
%.1.1 !ermetro de seguridad fsica..........................................................................
%.1.2 Controles de acceso fsico...............................................................................
%.1.3 !roteccin de oficinas- recintos e instalaciones...............................................
%.1.4 Desarrollo de tareas en .reas protegidas........................................................
%.1.# islamiento de las .reas de entrega y carga...................................................
7$2 SE>U,I5A5 5E) EQUI-AMIE67O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
%.2.1 /bicacin y proteccin del e'uipamiento.........................................................
%.2.2 )uministros de energa....................................................................................
%.2.3 )eguridad del cableado...................................................................................
%.2.4 0antenimiento de e'uipos...............................................................................
%.2.# )eguridad del e'uipamiento fuera del .mbito de la organi"acin....................
%.2.$ 1a(a segura o reutili"acin de e'uipamiento....................................................
7$E CO67,O)ES >E6E,A)ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
%.3.1 !olticas de escritorios y pantallas limpias.......................................................
%.3.2 Retiro de bienes...............................................................................................
/ GESTIN DE COMUNICACIONES ' O!ERACIONES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
2$1 -,OCE5IMIE67OS I ,ES-O6SA3I)I5A5ES O-E,A7IBAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
2.1.1 Documentacin de los procedimientos operativos...........................................
2.1.2 Control de cambios en las operaciones...........................................................
2.1.3 !rocedimientos de mane(o de incidentes.........................................................
2.1.4 )eparacin de funciones..................................................................................
2.1.# )eparacin entre instalaciones de desarrollo e instalaciones operativas........
2.1.$ dministracin de instalaciones e3ternas........................................................
2$2 -)A6I?ICACI@6 I A-,O3ACI@6 5E SIS7EMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
2.2.1 !lanificacin de la capacidad..........................................................................
2.2.2 probacin del sistema....................................................................................
2$E -,O7ECCI@6 CO67,A SO?7KA,E MA)ICIOSO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
2.3.1 Controles contra soft,are malicioso................................................................
2$F MA67E6IMIE67O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
2.4.1 Resguardo de la informacin...........................................................................
2.4.2 Registro de actividades del personal operativo................................................
2.4.3 Registro de fallas.............................................................................................
2$. A5MI6IS7,ACI@6 5E )A ,E5$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
2.#.1 Controles de redes...........................................................................................
2$0 A5MI6IS7,ACI@6 I SE>U,I5A5 5E )OS ME5IOS 5E
A)MACE6AMIE67O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
2.$.1 dministracin de medios inform.ticos removibles..........................................
2.$.2 4liminacin de medios inform.ticos.................................................................
2.$.3 !rocedimientos de mane(o de la informacin..................................................
2.$.4 )eguridad de la documentacin del sistema....................................................
*
Es%ema 1 I ,AM& 9
2$7 I67E,CAM3IOS 5E I6?O,MACI@6 I SO?7KA,E$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
2.%.1 cuerdos de intercambio de informacin y soft,are........................................
2.%.2 )eguridad de los medios en tr.nsito................................................................
2.%.3 )eguridad del comercio electrnico.................................................................
2.%.4 )eguridad del correo electrnico.....................................................................
2.%.# )eguridad de los sistemas electrnicos de oficina...........................................
2.%.$ )istemas de acceso p5blico.............................................................................
2.%.% 6tras formas de intercambio de informacin...................................................
0 CONTROL DE ACCESOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
9$1 ,EQUE,IMIE67OS 5E 6E>OCIO -A,A E) CO67,O) 5E ACCESOS$$$$$$$$$$$$$
7.1.1 !oltica de control de accesos.........................................................................
9$2 A5MI6IS7,ACI@6 5E ACCESOS 5E USUA,IOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
7.2.1 Registracin de usuarios..................................................................................
7.2.2 dministracin de privilegios............................................................................
7.2.3 dministracin de contrase8as de usuario.......................................................
7.2.4 Revisin de derec9os de acceso de usuario....................................................
9$E ,ES-O6SA3I)I5A5ES 5E) USUA,IO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
7.3.1 /so de contrase8as.........................................................................................
7.3.2 4'uipos desatendidos en .reas de usuarios...................................................
9$F CO67,O) 5E ACCESO A )A ,E5$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
7.4.1 !oltica de utili"acin de los servicios de red...................................................
7.4.2 Camino for"ado................................................................................................
7.4.3 utenticacin de usuarios para cone3iones e3ternas......................................
7.4.4 utenticacin de nodos....................................................................................
7.4.# !roteccin de los puertos :ports; de diagnostico remoto.................................
7.4.$ )ubdivisin de redes........................................................................................
7.4.% Control de cone3in a la red............................................................................
7.4.2 Control de ruteo de red....................................................................................
7.4.7 )eguridad de los servicios de red....................................................................
9$. CO67,O) 5E ACCESO A) SIS7EMA O-E,A7IBO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
7.#.1 &dentificacin autom.tica de terminales...........................................................
7.#.2 !rocedimientos de cone3in de terminales......................................................
7.#.3 &dentificacin y autenticacin de los usuarios..................................................
7.#.4 )istema de administracin de contrase8as......................................................
7.#.# /so de utilitarios de sistema............................................................................
7.#.$ larmas silenciosas para la proteccin de los usuarios...................................
7.#.% Descone3in de terminales por tiempo muerto................................................
7.#.2 <imitacin del 9orario de cone3in...................................................................
9$0 CO67,O) 5E ACCESO A )AS A-)ICACIO6ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
7.$.1 Restriccin del acceso a la informacin...........................................................
7.$.2 islamiento de sistemas sensibles...................................................................
9$7 MO6I7O,EO 5E) ACCESO I USO 5E )OS SIS7EMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
7.%.1 Registro de eventos.........................................................................................
7.%.2 0onitoreo del uso de los sistemas...................................................................
7.%.3 )incroni"acin de relo(es.................................................................................
9$2 COM-U7ACI@6 M@BI) I 7,A3AHO ,EMO7O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
7.2.1 Computacin mvil...........................................................................................
7.2.2 *raba(o remoto.................................................................................................
%1 DESARROLLO ' MANTENIMIENTO DE SISTEMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
10$1 ,EQUE,IMIE67OS 5E SE>U,I5A5 5E )OS SIS7EMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
1=.1.1 n.lisis y especificaciones de los re'uerimientos de seguridad....................
10$2 SE>U,I5A5 E6 )OS SIS7EMAS 5E A-)ICACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
1=.2.1 >alidacin de datos de entrada......................................................................
1=.2.2 Controles de procesamiento interno..............................................................
1=.2.3 utenticacin de mensa(es............................................................................
1=.2.4 >alidacin de los datos de salida...................................................................
,
10$E CO67,O)ES C,I-7O>,J?ICOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
1=.3.1 !oltica de utili"acin de controles criptogr.ficos...........................................
1=.3.2 Cifrado...........................................................................................................
1=.3.3 Firma digital...................................................................................................
1=.3.4 )ervicios de no repudio..................................................................................
1=.3.# dministracin de claves................................................................................
10$F SE>U,I5A5 5E )OS A,CLIBOS 5E) SIS7EMA$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
1=.4.1 Control del soft,are operativo.......................................................................
1=.4.2 !roteccin de los datos de prueba del sistema..............................................
1=.4.3 Control de acceso a las bibliotecas de programa fuente................................
10$. SE>U,I5A5 5E )OS -,OCESOS 5E 5ESA,,O))O I SO-O,7E$$$$$$$$$$$$$$$$
1=.#.1 !rocedimientos de control de cambios..........................................................
1=.#.2 Revisin t+cnica de los cambios en el sistema operativo..............................
1=.#.3 Restriccin del cambio en los pa'uetes de soft,are.....................................
1=.#.4 Canales ocultos y cdigo troyano..................................................................
1=.#.# Desarrollo e3terno de soft,are......................................................................
%% ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS$$$$$$$$$$$$$$$
11$1 AS-EC7OS 5E )A A5MI6IS7,ACI@6 5E )A CO67I6UI5A5 5E )OS
6E>OCIOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
11.1.1 !roceso de administracin de la continuidad de los negocios.......................
11.1.2 Continuidad del negocio y an.lisis del impacto..............................................
11.1.3 4laboracin e implementacin de planes de continuidad de los negocios
..................................................................................................................................
11.1.4 0arco para la planificacin de la continuidad de los negocios.......................
11.1.# !rueba- mantenimiento y reevaluacin de los planes de continuidad de
los negocios..............................................................................................................
% CUM!LIMIENTO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
12$1 CUM-)IMIE67O 5E ,EQUISI7OS )E>A)ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
12.1.1 &dentificacin de la legislacin aplicable.........................................................
12.1.2 Derec9os de propiedad intelectual :dpi;.........................................................
12.1.3 !roteccin de los registros de la organi"acin...............................................
12.1.4 !roteccin de datos y privacidad de la informacin personal........................
12.1.# !revencin del uso inadecuado de los recursos de procesamiento de
informacin...............................................................................................................
12.1.$ Regulacin de controles para el uso de criptografa......................................
12.1.% Recoleccin de evidencia..............................................................................
12$2 ,EBISIO6ES 5E )A -O)C7ICA 5E SE>U,I5A5 I )A COM-A7I3I)I5A5
7=C6ICA$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
12.2.1 Cumplimiento de la poltica de seguridad......................................................
12.2.2 >erificacin de la compatibilidad t+cnica........................................................
12$E CO6SI5E,ACIO6ES 5E AU5I7O,IA 5E SIS7EMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
12.3.1 Controles de auditoria de sistemas................................................................
12.3.2 !roteccin de las 9erramientas de auditora de sistemas..............................
Ane8o A 1In!ormati*o4 3i(liogra!;a$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
Ane8o 3 1In!ormati*o4 Integrantes del organismo de estdio$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
-
Es%ema 1 I ,AM& 9
/
Tecnologa de la informacin
Cdigo de prctica para la administracin de la segridad de la
in!ormacin
INTRODUCCIN
234 e5 la 5eg3ridad de la informacin 6
)a in!ormacin es n recrso %e+ como el resto de los importantes acti*os comerciales+ tiene *alor
para na organi:acin # por consigiente de(e ser de(idamente protegida$ )a segridad de la
in!ormacin protege <sta de na amplia gama de amena:as+ a !in de garanti:ar la continidad
comercial+ minimi:ar el daMo al mismo # ma8imi:ar el retorno so(re las in*ersiones # las
oportnidades$
)a in!ormacin pede e8istir en mc"as !ormas$ -ede estar impresa o escrita en papel+ almacenada
electrnicamente+ transmitida por correo o tili:ando medios electrnicos+ presentada en imgenes+ o
e8pesta en na con*ersacin$ Cal%iera sea la !orma %e ad%iere la in!ormacin+ o los medios
por los cales se distri(#e o almacena+ siempre de(e ser protegida en !orma adecada$
)a segridad de la in!ormacin se de!ine a%; como la preser*acin de las sigientes caracter;sticas9
a4 con!idencialidad9 se garanti:a %e la in!ormacin sea accesi(le slo a a%ellas personas
atori:adas a tener acceso a ella$
(4 integridad9 se sal*agarda la e8actitd # totalidad de la in!ormacin # los m<todos de
procesamiento$
c4 disponi(ilidad9 se garanti:a %e los sarios atori:ados tengan acceso a la in!ormacin # a
los recrsos relacionados con ella toda *e: %e se re%iera$
)a segridad de la in!ormacin se logra implementando n conNnto adecado de controles+ %e
a(arca pol;ticas+ prcticas+ procedimientos+ estrctras organi:acionales # !nciones del so!tOare$
Se de(en esta(lecer estos controles para garanti:ar %e se logren los o(Neti*os espec;!icos de
segridad de la organi:acin$
!or 734 e5 nece5aria la 5eg3ridad de la informacin
)a in!ormacin # los procesos+ sistemas # redes %e le (rindan apo#o constit#en importantes
recrsos de la empresa$ )a con!idencialidad+ integridad # disponi(ilidad de la in!ormacin peden ser
esenciales para mantener la *entaNa competiti*a+ el !lNo de !ondos+ la renta(ilidad+ el cmplimiento
de las le#es # la imagen comercial$
)as organi:aciones # ss redes # sistemas de in!ormacin+ se en!rentan en !orma creciente con
amena:as relati*as a la segridad+ de di*ersos or;genes+ incl#endo el !rade asistido por
comptadora+ espionaNe+ sa(otaNe+ *andalismo+ incendio o inndacin$ 5aMos tales como los ata%es
mediante *irs in!ormticos+ P"acQingP # denegacin de ser*icio se "an *elto ms comnes+
am(iciosos # crecientemente so!isticados$
0
Es%ema 1 I ,AM& 9
)a dependencia de las organi:aciones respecto de los sistemas # ser*icios de in!ormacin denota
%e ellas son ms *lnera(les a las amena:as concernientes a segridad$ )a intercone8in de las
redes p'(licas # pri*adas # el so compartido de los recrsos de in!ormacin incrementa la di!icltad
de lograr el control de los accesos$ )a tendencia "acia el procesamiento distri(ido "a de(ilitado la
e!icacia del control t<cnico centrali:ado$
Mc"os sistemas de in!ormacin no "an sido diseMados para ser segros$ )a segridad %e pede
lograrse por medios t<cnicos es limitada # de(e ser respaldada por na gestin # procedimientos
adecados$ )a identi!icacin de los controles %e de(en implementarse re%iere na cidadosa
plani!icacin # atencin a todos los detalles$ )a administracin de la segridad de la in!ormacin+
e8ige+ como m;nimo+ la participacin de todos los empleados de la organi:acin$ 7am(i<n pede
re%erir la participacin de pro*eedores+ clientes # accionistas$ Asimismo+ pede re%erirse el
asesoramiento e8perto de organi:aciones e8ternas$ )os controles de segridad de la in!ormacin
resltan considera(lemente ms econmicos # e!icaces si se incorporan en la etapa de
especi!icacin de re%erimientos # diseMo$
Cmo e58a9lecer lo5 re73erimien8o5 de 5eg3ridad
Es esencial %e na organi:acin identi!i%e ss re%erimientos de segridad$ E8isten tres recrsos
principales para lograrlo$
El primer recrso consiste en e*alar los riesgos %e en!renta la organi:acin$ Mediante la
e*alacin de riesgos se identi!ican las amena:as a los acti*os+ se e*al'an las *lnera(ilidades #
pro(a(ilidades de ocrrencia+ # se estima el impacto potencial$
El segndo recrso est constitido por los re%isitos legales+ normati*os+ reglamentarios #
contractales %e de(en cmplir la organi:acin+ ss socios comerciales+ los contratistas # los
prestadores de ser*icios$
El tercer recrso es el conNnto espec;!ico de principios+ o(Neti*os # re%isitos para el procesamiento
de la in!ormacin+ %e "a desarrollado la organi:acin para respaldar ss operaciones$
E:al3acin de lo5 rie5go5 en ma8eria de 5eg3ridad
)os re%erimientos de segridad se identi!ican mediante na e*alacin metdica de los riesgos de
segridad$ )as erogaciones deri*adas de la satis!accin de las necesidades de control de(en ser
e%ili(radas con respecto al impacto potencial de las !allas de segridad en los negocios$ )as t<cnicas
de e*alacin de riesgos peden aplicarse a toda la organi:acin+ o slo a partes de la misma+ as; como
a los sistemas de in!ormacin indi*idales+ componentes de sistemas o ser*icios espec;!icos cando
esto reslte !acti(le+ *ia(le # pro*ec"oso$
)a e*alacin de riesgos es na consideracin sistemtica de los sigientes pntosR
a4 impacto potencial de na !alla de segridad en los negocios+ teniendo en centa las
potenciales consecencias por na p<rdida de la con!idencialidad+ integridad o disponi(ilidad
de la in!ormacin # otros recrsosR
(4 pro(a(ilidad de ocrrencia de dic"a !alla tomando en centa las amena:as # *lnera(ilidades
predominantes+ # los controles actalmente implementados$
)os resltados de esta e*alacin a#darn a orientar #a determinar las prioridades # acciones de
gestin adecadas para la administracin de los riesgos concernientes a segridad de la in!ormacin+ #
para la implementacin de los controles seleccionados a !in de (rindar proteccin contra dic"os riesgos$
%1
-ede resltar necesario %e el proceso de e*alacin de riesgos # seleccin de controles de(a lle*arse
aca(o en *arias ocasiones+ a !in de c(rir di!erentes partes de la organi:acin o sistemas de in!ormacin
indi*idales$
Es importante lle*ar a ca(o re*isiones peridicas de los riesgos de segridad # de los controles
implementados a !in de9
a4 re!leNar los cam(ios en los re%erimientos # prioridades de la empresaR
(4 considerar ne*as amena:as # *lnera(ilidadesR
c4 corro(orar %e los controles sigen siendo e!icaces # apropiados$
)as re*isiones de(en lle*arse a ca(o con di!erentes ni*eles de pro!ndidad seg'n los resltados de
e*alaciones anteriores # los ni*eles *aria(les de riesgo %e la gerencia est dispesta a aceptar$
?recentemente+ las e*alaciones de riesgos se reali:an primero en n ni*el alto+ a !in de priori:ar
recrsos en reas de alto riesgo+ # posteriormente en n ni*el ms detallado+ con el o(Neto de
a(ordar riesgos espec;!icos$
Seleccin de con8role5
Una *e: identi!icados los re%erimientos de segridad+ de(en seleccionarse e implementarse controles
para garanti:ar %e los riesgos sean redcidos a n ni*el acepta(le$ )os controles peden seleccionarse
so(re la (ase de este docmento+ de otros estndares+ o peden diseMarse ne*os controles para
satis!acer necesidades espec;!icas seg'n corresponda$ E8isten di*ersos modos de administrar riesgos #
este docmento (rinda eNemplos de estrategias generales$ 6o o(stante+ es necesario reconocer %e
algnos controles no son aplica(les a todos los sistemas o am(ientes de in!ormacin+ # podr;an no
resltar *ia(les en todas las organi:aciones$ Como eNemplo+ el pnto 2$1$F descri(e cmo peden
separarse las tareas para e*itar !rades # errores$ -odr;a no resltar posi(le para las organi:aciones
ms pe%eMas separar todas las tareas+ pdiendo resltar necesarias otras !ormas de lograr el mismo
o(Neti*o de control$
)os controles de(en seleccionarse teniendo en centa el costo de implementacin en relacin con
los riesgos a redcir # las p<rdidas %e podr;an prodcirse de tener lgar na *iolacin de la
segridad$ 7am(i<n de(en tenerse en centa los !actores no monetarios+ como el daMo en la
reptacin$
Algnos controles de este docmento peden considerarse como principios rectores para la
administracin de la segridad de la in!ormacin+ aplica(les a la ma#or;a de las organi:aciones$ Se
e8plican con ma#or detalle en el sigiente prra!o+ (aNo el t;tlo de P-nto de partida para la
segridad de la in!ormacinP$
!3n8o de ;ar8ida ;ara la 5eg3ridad de la informacin
Algnos controles peden considerarse como principios rectores %e proporcionan n (en pnto de
partida para la implementacin de la segridad de la in!ormacin$ Estn (asados en re%isitos
legales !ndamentales+ o (ien se consideran como prctica recomendada de so !recente
concerniente a la segridad de la in!ormacin$
)os controles %e se consideran esenciales para na organi:acin+ desde el pnto de *ista legal
comprenden9
a4 proteccin de datos # con!idencialidad de la in!ormacin personal 1*er 12$1$F4R
(4 proteccin de registros # docmentos de la organi:acin 1*er 12$1$E4 R
%%
Es%ema 1 I ,AM& 9
c4 derec"os de propiedad intelectal 1*er 12$1$24 R
)os controles considerados como prctica recomendada de so !recente en la implementacin de la
segridad de la in!ormacin comprenden9
a4 docmentacin de la pol;tica de segridad de la in!ormacin 1*er E$1$14R
(4 asignacin de responsa(ilidades en materia de segridad de la in!ormacin 1*er F$1 $E4R
c4 instrccin # entrenamiento en materia de segridad de la in!ormacin 1*er 0$2$14R
d4 comnicacin de incidentes relati*os a la segridad 1*er 0$E$14R
e4 administracin de la continidad de la empresa 1*er 11$1 4R
Estos controles son aplica(les a la ma#or;a de las organi:aciones # en la ma#or;a de los am(ientes$
Se de(e o(ser*ar %e an%e todos los controles mencionados en este docmento son importantes+
la rele*ancia de cada no de ellos de(e ser determinada teniendo en centa los riesgos espec;!icos
%e a!ronta la organi:acin$ -or ello+ si (ien el en!o%e delineado precedentemente se considera n
(en pnto de partida+ <ste no pretende reempla:ar la seleccin de controles %e se reali:a so(re la
(ase de na e*alacin de riesgos$
(ac8ore5 cr8ico5 del 4<i8o
)a e8periencia "a demostrado %e los sigientes !actores+ a mendo resltan cr;ticos para la
implementacin e8itosa de la segridad de la in!ormacin+ dentro de na organi:acin9
a4 pol;tica de segridad+ o(Neti*os # acti*idades %e re!leNen los o(Neti*os de la empresaR
(4 na estrategia de implementacin de segridad %e sea consecente con la cltra
organi:acionalR
c4 apo#o # compromiso mani!iestos por parte de la gerenciaR
d4 n claro entendimiento de los re%erimientos de segridad+ la e*alacin de riesgos # la
administracin de los mismosR
e4 comnicacin e!ica: de los temas de segridad a todos los gerentes # empleadosR
!4 distri(cin de g;as so(re pol;ticas # estndares de segridad de la in!ormacin a todos los
empleados # contratistasR
g4 instrccin # entrenamiento adecadosR
"4 n sistema integral # e%ili(rado de medicin %e se tilice para e*alar el desempeMo de la
gestin de la segridad de la in!ormacin # para (rindar sgerencias tendientes a meNorarlo$
De5arrollo de lineamien8o5 ;ro;io5
Este cdigo de prctica pede ser considerado como n pnto de partida para el desarrollo de
lineamientos espec;!icos+ aplica(les a cada organi:acin$ 6o todos los lineamientos # controles de
este cdigo de prctica resltarn aplica(les$ Ms a'n+ es pro(a(le %e de(an agregarse controles
%e no estn inclidos en este docmento$ Ante esta sitacin pede resltar 'til retener re!erencias
cr:adas %e !aciliten la reali:acin de pre(as de cmplimiento por parte de aditores # socios$
%
% ALCANCE
Esta parte del estndar (rinda recomendaciones para la gestin de la segridad de la in!ormacin
%e "an de ser aplicadas por los responsa(les de iniciar+ implementar o mantener la segridad en
ss organi:aciones$ S propsito es pro*eer de na (ase com'n para el desarrollo de estndares de
segridad de la organi:acin # na prctica e!ecti*a de la administracin de la misma+ (rindando
asimismo+ con!ian:a en las relaciones lle*adas a ca(o entre las organi:aciones$
T&RMINOS ' DE(INICIONES
A los e!ectos de este docmento se aplican las sigientes de!iniciones9
$% Seg3ridad de la informacin
)a preser*acin de la con!idencialidad+ integridad # disponi(ilidad de la in!ormacin$
Con!idencialidad9 garant;a de %e acceden a la in!ormacin+ slo a%ellas personas
atori:adas a "acerlo$
Integridad9 mantenimiento de la e8actitd # totalidad de la in!ormacin # los m<todos de
procesamiento$
5isponi(ilidad9 garant;a de %e los sarios atori:ados tienen acceso a la in!ormacin # a los
recrsos relacionados con la misma+ toda *e: %e lo re%ieran$
$ E:al3acin de rie5go5
)a e*alacin de las amena:as+ impactos # *lnera(ilidades relati*os a la in!ormacin # a las
instalaciones de procesamiento de la misma+ # a la pro(a(ilidad de %e ocrran
$" Admini58racin de rie5go5
El proceso de identi!icacin+ control # minimi:acin o eliminacin+ a n costo acepta(le+ de los
riesgos de segridad %e podr;an a!ectar a los sistemas de in!ormacin$
" !OL#TICA DE SEGURIDAD
"$% !ol8ica de 5eg3ridad de la informacin
O(Neti*o9 -roporcionar direccin # apo#o gerencial para (rindar segridad de la in!ormacin$
El ni*el gerencial de(e esta(lecer na direccin pol;tica clara # demostrar apo#o # compromiso con
respecto a la segridad de la in!ormacin+ mediante la !ormlacin # mantenimiento de na pol;tica
de segridad de la in!ormacin a tra*<s de toda la organi:acin$
%"
Es%ema 1 I ,AM& 9
"$%$% Doc3men8acin de la ;ol8ica de 5eg3ridad de la informacin
)os responsa(les del ni*el gerencial de(en apro(ar # p(licar n docmento %e contenga la pol;tica de
segridad # comnicarlo a todos los empleados+ seg'n corresponda$ =ste de(e poner de mani!iesto s
compromiso # esta(lecer el en!o%e de la organi:acin con respecto a la gestin de la segridad de la
in!ormacin$ Como m;nimo+ de(en inclirse las sigientes patas9
a4 de!inicin de la segridad de la in!ormacin+ ss o(Neti*os # alcance generales # la
importancia de la segridad como n mecanismo %e permite la distri(cin de la in!ormacin
1*er introdccin4R
(4 na declaracin del propsito de los responsa(les del ni*el gerencial+ apo#ando los o(Neti*os
# principios de la segridad de la in!ormacinR
c4 na (re*e e8plicacin de las pol;ticas+ principios+ normas # re%isitos de cmplimiento en
materia de segridad+ %e son especialmente importantes para la organi:acin+ por eNemplo9
14 cmplimiento de re%isitos legales # contractalesR
24 re%isitos de instrccin en materia de segridadR
E4 pre*encin # deteccin de *irs # dems so!tOare maliciosoR
F4 administracin de la continidad comercialR
.4 consecencias de las *iolaciones a la pol;tica de segridadR
d4 na de!inicin de las responsa(ilidades generales # espec;!icas en materia de gestin de la
segridad de la in!ormacin+ incl#endo la comnicacin de los incidentes relati*os a la
segridadR
e4 re!erencias a docmentos %e pedan respaldar la pol;tica+ por eN$ + pol;ticas # procedimientos
de segridad ms detallados para sistemas de in!ormacin espec;!icos o normas de
segridad %e de(en cmplir los sarios$
Esta pol;tica de(e ser comnicada a todos los sarios de la organi:acin de manera pertinente+
accesi(le # comprensi(le$
"$%$ Re:i5in = e:al3acin
)a pol;tica de(e tener n propietario %e sea responsa(le del mantenimiento # re*isin de la misma
de acerdo con n proceso de!inido$ Ese proceso de(e garanti:ar %e se lle*e aca(o na re*isin en
respesta a cal%ier cam(io %e peda a!ectar la (ase original de e*alacin de riesgos+ por eN$+
incidentes de segridad signi!icati*os+ ne*as *lnera(ilidades o cam(ios en la in!raestrctra
t<cnica o de la organi:acin$ 7am(i<n de(en programarse re*isiones peridicas de lo sigiente9
a4 la e!icacia de la pol;tica+ demostrada por la natrale:a+ n'mero e impacto de los incidentes de
segridad registradosR
(4 el costo e impacto de los controles en la e!iciencia del negocioR
c4 los e!ectos de los cam(ios en la tecnolog;a$
%)
) ORGANIZACIN DE LA SEGURIDAD
)$% Infrae58r3c83ra de 5eg3ridad de la informacin
O(Neti*o9 Administrar la segridad de la in!ormacin dentro de la organi:acin$ 5e(e esta(lecerse n
marco gerencial para iniciar # controlar la implementacin de la segridad de la in!ormacin dentro de
la organi:acin$
5e(en esta(lecerse adecados !oros de gestin liderados por ni*eles gerenciales+ a !in de apro(ar la pol;tica
de segridad de la in!ormacin+ asignar !nciones de segridad # coordinar la implementacin de la segridad
en toda la organi:acin$ Si reslta necesario+ se de(e esta(lecer # "acer accesi(le dentro de la organi:acin+
na !ente de asesoramiento especiali:ado en materia de segridad de la in!ormacin$ 5e(en desarrollarse
contactos con especialistas e8ternos en materia de segridad para estar al corriente de las tendencias de la
indstria+ monitorear estndares # m<todos de e*alacin # pro*eer pntos de enlace adecados al a!rontar
incidentes de segridad$ Se de(e alentar la aplicacin de n en!o%e mltidisciplinario de la segridad de la
in!ormacin+ por eN$+ comprometiendo la cooperacin # cola(oracin de gerentes+ sarios+ administradores+
diseMadores de aplicaciones+ aditores # personal de segridad+ # e8pertos en reas como segros #
administracin de riesgos$
)$%$% (oro gerencial 5o9re 5eg3ridad de la informacin
)a segridad de la in!ormacin es na responsa(ilidad de la empresa compartida por todos los
miem(ros del e%ipo gerencial$ -or consigiente+ de(e tenerse en centa la creacin de n !oro
gerencial para garanti:ar %e e8iste na clara direccin # n apo#o mani!iesto de la gerencia a las
iniciati*as de segridad$ Este !oro de(e promo*er la segridad dentro de la organi:acin mediante n
adecado compromiso # na apropiada reasignacin de recrsos$ El !oro podr;a ser parte de n cerpo
gerencial e8istente$ >eneralmente+ n !oro de esta ;ndole comprende las sigientes acciones9
a4 re*isar # apro(ar la pol;tica # las responsa(ilidades generales en materia de segridad de la
in!ormacinR
(4 monitorear cam(ios signi!icati*os en la e8posicin de los recrsos de in!ormacin !rente a las
amena:as ms importantesR
c4 re*isar # monitorear los incidentes relati*os a la segridadR
d4 apro(ar las principales iniciati*as para incrementar la segridad de la in!ormacin$
Un gerente de(e ser responsa(le de todas las acti*idades relacionadas con la segridad$
)$%$ Coordinacin de la 5eg3ridad de la informacin
En na gran organi:acin+ podr;a ser necesaria la creacin de n !oro ;nter !ncional %e comprenda
representantes gerenciales de sectores rele*antes de la organi:acin para coordinar la
implementacin de controles de segridad de la in!ormacin$
6ormalmente+ dic"o !oro9
a4 acerda !nciones # responsa(ilidades espec;!icas relati*as a segridad de la in!ormacin
para toda la organi:acinR
(4 acerda metodolog;as # procesos espec;!icos relati*os a segridad de la in!ormacin+ por eN$+
e*alacin de riesgos+ sistema de clasi!icacin de segridadR
%*
Es%ema 1 I ,AM& 9
c4 acerda # (rinda apo#o a las iniciati*as de segridad de la in!ormacin de toda la
organi:acin+ por eN$ programa de concienti:acin en materia de segridadR
d4 garanti:a %e la segridad sea parte del proceso de plani!icacin de la in!ormacinR
e4 e*al'a la pertinencia # coordina la implementacin de controles espec;!icos de segridad de
la in!ormacin para ne*os sistemas o ser*iciosR
!4 re*isa incidentes relati*os a la segridad de la in!ormacinR
g4 prome*e la di!sin del apo#o de la empresa a la segridad de la in!ormacin dentro de la
organi:acin$
)$%$" A5ignacin de re5;on5a9ilidade5 en ma8eria de 5eg3ridad de la informacin
5e(en de!inirse claramente las responsa(ilidades para la proteccin de cada no de los recrsos #
por la implementacin de procesos espec;!icos de segridad$
)a pol;tica de segridad de la in!ormacin 1*er pnto E4 de(e sministrar na orientacin general
acerca de la asignacin de !nciones de segridad # responsa(ilidades dentro la organi:acin$ Esto
de(e complementarse+ cando corresponda+ con na g;a ms detallada para sitios+ sistemas o
ser*icios espec;!icos$ 5e(en de!inirse claramente las responsa(ilidades locales para cada no de los
procesos de segridad # recrsos !;sicos # de in!ormacin+ como la plani!icacin de la continidad de
los negocios$
En mc"as organi:aciones+ se asigna a n gerente de segridad de la in!ormacin la responsa(ilidad
general por el desarrollo e implementacin de la segridad # por el soporte a la identi!icacin de
controles$ 6o o(stante+ la responsa(ilidad por la reasignacin e implementacin de controles a
mendo es retenida por cada no de los gerentes$ Una prctica com'n es designar a n propietario
para cada recrso de in!ormacin %e adems se "aga responsa(le de s segridad de manera
permanente$
)os propietarios de los recrsos de in!ormacin peden delegar ss responsa(ilidades de segridad
a cada no de los gerentes o pro*eedores de ser*icios$ 6o o(stante+ el propietario es en 'ltimo
t<rmino responsa(le de la segridad del recrso # de(e estar en capacidad de determinar si las
responsa(ilidades delegadas !eron cmplimentadas correctamente$
Es esencial %e se esta(le:can claramente las reas so(re las cales es responsa(le cada gerenteR
en particlar se de(e cmplir lo sigiente$
a4 5e(en identi!icarse # de!inirse claramente los di*ersos recrsos # procesos de segridad
relacionados con cada no de los sistemas$
(4 Se de(e designar al gerente responsa(le de cada recrso o proceso de segridad # se de(en
docmentar los detalles de esta responsa(ilidad$
c4 )os ni*eles de atori:acin de(en ser claramente de!inidos # docmentados$
)$%$) !roce5o de a38ori>acin ;ara in58alacione5 de ;roce5amien8o de informacin
5e(e esta(lecerse n proceso de atori:acin gerencial para ne*as instalaciones de procesamiento
de in!ormacin$ 5e(e considerarse lo sigiente$
a4 )as ne*as instalaciones de(en ser adecadamente apro(adas por la gerencia saria+
atori:ando s propsito # so$ )a apro(acin tam(i<n de(e o(tenerse del gerente
responsa(le del mantenimiento del am(iente de segridad del sistema de in!ormacin local+ a
!in de garanti:ar %e se cmplen todas las pol;ticas # re%erimientos de segridad
pertinentes$
%,
(4 Cando corresponda+ de(e *eri!icarse el "ardOare # so!tOare para garanti:ar %e son
compati(les con los componentes de otros sistemas$
No8a? -ede ser necesaria la compro(acin de categor;as para ciertas cone8iones$
c4 5e(en ser atori:ados el so de las instalaciones personales de procesamiento de
in!ormacin+ para el procesamiento de in!ormacin de la empresa+ # los controles necesarios$
d4 El so de instalaciones personales de procesamiento de in!ormacin en el lgar de tra(aNo
pede ocasionar ne*as *lnera(ilidades # en consecencia de(e ser e*alado # atori:ado$
Estos controles son especialmente importantes en n am(iente de red$
)$%$* A5e5oramien8o e5;eciali>ado en ma8eria de 5eg3ridad de la informacin
Es pro(a(le %e mc"as organi:aciones re%ieran asesoramiento especiali:ado en materia de
segridad$ Idealmente+ <ste de(e ser pro*isto por n asesor interno e8perimentado en segridad de
la in!ormacin$ 6o todas las organi:aciones desean emplear an asesor especiali:ado$ En esos
casos+ se recomienda %e se identi!i%e a na persona determinada para coordinar los
conocimientos # e8periencias disponi(les en la organi:acin a !in de garanti:ar co"erencia+ # (rindar
a#da para la toma de decisiones en materia de segridad$ 7am(i<n de(e tener acceso a cali!icados
asesores e8ternos para (rindar asesoramiento especiali:ado ms all de s propia e8periencia$
)os asesores en segridad de la in!ormacin o pntos de contacto e%i*alentes sern los encargados
de (rindar asesoramiento acerca de todos los aspectos de la segridad de la in!ormacin+ tili:ando ss
propias recomendaciones o las e8ternas$ )a calidad de s e*alacin de las amena:as a la segridad #
de s asesoramiento en materia de controles determinar la e!icacia de la segridad de la in!ormacin
de la organi:acin$ -ara lograr la m8ima e!icacia e impacto se les de(e permitir acceso directo a los
ni*eles gerenciales de toda la organi:acin$
El asesor de segridad de la in!ormacin o cargo e%i*alente de(e ser consltado lo ms
tempranamente posi(le a partir de la deteccin de n spesto incidente o *iolacin de la segridad+
a !in de sministrar na !ente de conocimientos o recrsos de in*estigacin e8pertos$ Si (ien la
ma#or;a de las in*estigaciones de segridad internas se lle*an a ca(o (aNo el control de la gerencia+
el asesor de segridad de la in!ormacin pede ser posteriormente con*ocado para asesorar+ liderar
o dirigir la in*estigacin$
)$%$, Coo;eracin en8re organi>acione5
Se de(en mantener adecados contactos con atoridades policiales o de segridad+ organismos
regladores+ pro*eedores de ser*icios de in!ormacin # operadores de telecomnicaciones+ a !in de
garanti:ar %e+ en caso de prodcirse n incidente relati*o a la segridad+ pedan tomarse las medidas
adecadas # o(tenerse asesoramiento con prontitd$ 5el mismo modo+ se de(e tener en centa a los
miem(ros de grpos de segridad # !oros de la indstria$
Se de(en limitar los intercam(ios de in!ormacin de segridad+ para garanti:ar %e no se di*lge
in!ormacin con!idencial+ perteneciente a organi:acin+ entre personas no atori:adas$
)$%$- Re:i5in inde;endien8e de la 5eg3ridad de la informacin
El docmento %e !iNa la pol;tica de segridad de la in!ormacin 1*er E$1$14 esta(lece la pol;tica # las
responsa(ilidades por la segridad de la in!ormacin$ S implementacin de(e ser re*isada
independientemente para garanti:ar %e las prcticas de la organi:acin re!leNan adecadamente la
pol;tica+ # %e <sta es *ia(le # e!ica: 1*er 12$2$4
%-
Es%ema 1 I ,AM& 9
5ic"a re*isin pede ser lle*ada a ca(o por la !ncin de aditor;a interna+ por n gerente
independiente o na organi:acin e8terna especiali:ados en re*isiones de esta ;ndole+ seg'n estos
candidatos tengan la e8periencia # capacidad adecada$
)$ Seg3ridad fren8e al acce5o ;or ;ar8e de 8ercero5
O(Neti*o9 Mantener la segridad de las instalaciones de procesamiento de in!ormacin # de los
recrsos de in!ormacin de la organi:acin a los %e acceden terceras partes$
El acceso a las instalaciones de procesamiento de in!ormacin de la organi:acin por parte de
terceros de(e ser controlado$
Cando e8iste na necesidad de la empresa para permitir dic"o acceso+ de(e lle*arse a ca(o na
e*alacin de riesgos para determinar las incidencias en la segridad # los re%erimientos de control$
)os controles de(en ser acordados # de!inidos en n contrato con la tercera parte$
El acceso de terceros tam(i<n pede in*olcrar otros participantes$ )os contratos %e con!ieren
acceso a terceros de(en inclir n permiso para la designacin de otros participantes capacitados #
las condiciones para s acceso$
Este estndar pede tili:arse como (ase para tales contratos # cando se considere la terceri:acin
del procesamiento de in!ormacin$
)$$% Iden8ificacin de rie5go5 del acce5o de 8ercera5 ;ar8e5
)$$%$% Ti;o5 de acce5o
El tipo de acceso otorgado a terceras partes es de especial importancia$ -or eNemplo+ los riesgos de
acceso a tra*<s de na cone8in de red son di!erentes de los riesgos relati*os al acceso !;sico$ )os tipos
de acceso %e de(en tenerse en centa son9
a4 acceso !;sico+ por eN$+ a o!icinas+ salas de cmptos+ armarios R
(4 acceso lgico+ por eN$ a las (ases de datos # sistemas de in!ormacin de la organi:acin$
)$$%$ Ra>one5 ;ara el acce5o
-ede otorgarse acceso a terceros por di*ersas ra:ones$ -or eNemplo+ e8isten terceros %e pro*een
ser*icios a na organi:acin # no estn (icados dentro de la misma pero se les pede otorgar
acceso !;sico # lgico+ tales como9
a4 personal de soporte de "ardOare # so!tOare+ %ienes necesitan acceso a ni*el de sistema o a
!nciones de las aplicacionesR
(4 socios comerciales o socios con riesgos compartidos 1PNoint *entresP4+ %ienes peden
intercam(iar in!ormacin+ acceder a sistemas de in!ormacin o compartir (ases de datos$
)a in!ormacin pede ponerse en riesgo si el acceso de terceros se prodce en el marco de na
inadecada administracin de la segridad$ Cando e8iste na necesidad de negocios %e
in*olcran na cone8in con n sitio e8terno+ de(e lle*arse a ca(o na e*alacin de riesgos para
identi!icar los re%erimientos de controles espec;!icos$ =sta de(e tener en centa el tipo de acceso
re%erido+ el *alor de la in!ormacin+ los controles empleados por la tercera parte # la incidencia de
este acceso en la segridad de la in!ormacin de la organi:acin$
%/
)$$%$" Con8ra8i58a5 in 5i83
)as terceras partes %e sean (icadas in sit por n per;odo de tiempo determinado seg'n contrato+
tam(i<n peden originar de(ilidades en materia de segridad$ Entre los eNemplos de terceras partes
in sit se enmeran los sigientes9
a4 personal de mantenimiento # soporte de "ardOare # so!tOareR
(4 limpie:a+ PcateringP+ gardia de segridad # otros ser*icios de soporte terceri:adosR
c4 pasant;as de estdiantes # otras designaciones contingentes de corto pla:oR
d4 consltores$
Es esencial determinar %< controles son necesarios para administrar el acceso de terceras partes a las
instalaciones de procesamiento de in!ormacin$ En general+ todos los re%erimientos de segridad %e
resltan de los controles internos o del acceso de terceros+ de(en estar re!leNados en los contratos
cele(rados con los mismos 1*er tam(i<n F$2$24$ -or eNemplo+ si e8iste na necesidad espec;!ica de
con!idencialidad de la in!ormacin+ podr;an implementarse acerdos de no&di*lgacin 1*er 0$1$E4$
6o se de(e otorgar a terceros acceso a la in!ormacin ni a las instalaciones de procesamiento de la
misma "asta tanto se "a#an implementado los controles apropiados # se "a#a !irmado n contrato
%e de!ina las condiciones para la cone8in o el acceso$
)$$ Re73erimien8o5 de 5eg3ridad en con8ra8o5 con 8ercero5
)as disposiciones %e contemplan el acceso de terceros a las instalaciones de procesamiento de
in!ormacin de la organi:acin de(en estar (asadas en n contrato !ormal %e contenga todos los
re%erimientos de segridad+ o "aga re!erencia a los mismos+ a !in de asegrar el cmplimiento de
las pol;ticas # estndares 1normas4 de segridad de la organi:acin$ El contrato de(e garanti:ar %e
no srNan malentendidos entre la organi:acin # el pro*eedor$ )as organi:aciones de(en estar
satis!ec"as con las garant;as de s pro*eedor$ Se de(en considerar las sigientes clslas para s
inclsin en el contrato9
a4 la pol;tica general de segridad de la in!ormacinR
(4 la proteccin de acti*os+ con inclsin de9
14 procedimientos de proteccin de los acti*os de la organi:acin+ incl#endo
in!ormacin # so!tOareR
24 procedimientos para determinar si se "an comprometido los acti*os+ por eN$+ de(ido
a p<rdida o modi!icacin de datosR
E4 controles para garanti:ar la recperacin o destrccin de la in!ormacin # los
acti*os al !inali:ar el contrato+ o en n momento con*enido drante la *igencia del
mismoR
F4 integridad # disponi(ilidadR
.4 restricciones a la copia # di*lgacin de in!ormacinR
c4 na descripcin de cada ser*icio del %e podr disponerseR
d4 el ni*el de ser*icio al %e se aspira # los ni*eles de ser*icio %e se consideran inacepta(lesR
e4 disposicin %e contemple la trans!erencia de personal cando correspondaR
!4 las respecti*as o(ligaciones de las partes con relacin al acerdoR
g4 responsa(ilidades con respecto a asntos legales+ por eN$+ legislacin re!erida a proteccin de
datos+ especialmente teniendo en centa di!erentes sistemas legales nacionales si el contrato
contempla la cooperacin con organi:aciones de otros pa;ses 1*er tam(i<n 12$14R
%0
Es%ema 1 I ,AM& 9
"4 derec"os de propiedad intelectal # asignacin de derec"o de propiedad intelectal 1*er
12$1$24+ # proteccin de tra(aNos reali:ados en cola(oracin 1*er tam(i<n 0$1$E4 R
i4 acerdos de control de accesos %e contemplen9
14 los m<todos de acceso permitidos+ # el control # so de identi!icadores 'nicos como
I5s # contraseMas de sariosR
24 n proceso de atori:acin de acceso # pri*ilegios de sariosR
E4 n re%erimiento para mantener actali:ada na lista de indi*idos atori:ados a
tili:ar los ser*icios %e "an de implementarse # ss derec"os # pri*ilegios con
respecto a dic"o soR
N4 la de!inicin de criterios de desempeMo compro(a(les+ # el monitoreo # presentacin de
in!ormes respecto de los mismosR
Q4 el derec"o a monitorear+ # re*ocar 1impedir4+ la acti*idad del sarioR
l4 el derec"o a aditar responsa(ilidades contractales o a contratar a n tercero para la
reali:acin de dic"as aditor;asR
m4 el esta(lecimiento de n proceso gradal para la resolcin de pro(lemasR tam(i<n de(en
considerarse+ si corresponde+ disposiciones con relacin a sitaciones de contingenciaR
n4 responsa(ilidades relati*as a la instalacin # el mantenimiento de "ardOare # so!tOareR
o4 na clara estrctra de dependencia # del proceso de ela(oracin # presentacin de in!ormes
%e contemple n acerdo con respecto a los !ormatos de los mismosR
p4 n proceso claro # detallado de administracin de cam(iosR
%4 los controles de proteccin !;sica re%eridos # los mecanismos %e asegren la
implementacin de los mismosR
r4 los m<todos # procedimientos de entrenamiento de sarios # administradores en materia de
segridadR
s4 los controles %e garanticen la proteccin contra so!tOare malicioso 1*er 2$E4R
t4 las disposiciones con respecto a ela(oracin # presentacin de in!ormes+ noti!icacin e
in*estigacin de incidentes # *iolaciones relati*os a la segridadR
4 la relacin entre pro*eedores # s(contratistas$
)$" Terceri>acin
O(Neti*o9 Mantener la segridad de la in!ormacin cando la responsa(ilidad por el procesamiento de
la misma !e delegada a otra organi:acin$
)os acerdos de terceri:acin de(en contemplar los riesgos+ los controles de segridad # los
procedimientos para sistemas de in!ormacin+ redes #/o am(ientes de -C 1desQ top en*ironments4
en el contrato entre las partes$
)$"$% Re73erimien8o5 de 5eg3ridad en con8ra8o5 de 8erceri>acin
)os re%erimientos de segridad de na organi:acin %e terceri:a la administracin # el control de
todos ss sistemas de in!ormacin+ redes #/o am(ientes de -C+ o de parte de los mismos+ de(en ser
contemplados en n contrato cele(rado entre las partes$
Entre otros ;tems+ el contrato de(e contemplar9
a4 cmo se cmplirn los re%isitos legales+ por eN$+ la legislacin so(re proteccin de datosR
(4 %< disposiciones se implementarn para garanti:ar %e todas las partes in*olcradas en la
terceri:acin+ incl#endo los s(contratistas+ estarn al corriente de ss responsa(ilidades en
materia de segridadR
c4 cmo se mantendr # compro(ar la integridad # con!idencialidad de los $acti*os de negocio
de la organi:acin R
1
d4 %< controles !;sicos # lgicos se tili:arn para restringir # delimitar el acceso de los sarios
atori:ados a la in!ormacin sensi(le de la organi:acinR
e4 cmo se mantendr la disponi(ilidad de los ser*icios ante la ocrrencia de desastresR
!4 %< ni*eles de segridad !;sica se asignarn al e%ipamiento terceri:adoR
g4 el derec"o a la aditor;a$
Asimismo+ se de(en tener en centa las clslas enmeradas en el pnto F$2$2 como parte de este
contrato$ El mismo de(e permitir la ampliacin de los re%erimientos # procedimientos de segridad
en n plan de administracin de la segridad a ser acordado entre las partes$
Si (ien los contratos de terceri:acin peden plantear algnas cestiones compleNas en materia de
segridad+ los controles inclidos en este cdigo de prctica peden ser*ir como pnto de partida
para acordar la estrctra # el contenido del plan de gestin de la segridad$
* CLASI(ICACIN ' CONTROL DE ACTI+OS
*$% Re5;on5a9ilidad ;or rendicin de c3en8a5 de lo5 ac8i:o5
O(Neti*o9 Mantener na adecada proteccin de los acti*os de la organi:acin$
Se de(e rendir centas por todos los recrsos de in!ormacin importantes # se de(e designar n
propietario para cada no de ellos$
)a rendicin de centas por los acti*os a#da a garanti:ar %e se mantenga na adecada
proteccin$ Se de(en identi!icar a los propietarios para todos los acti*os importantes # se de(e
asignarse la responsa(ilidad por el mantenimiento de los controles apropiados$ )a responsa(ilidad
por la implementacin de los controles pede ser delegada$ En 'ltimo t<rmino+ el propietario
designado del acti*o de(e rendir centas por el mismo$
*$%$% In:en8ario de ac8i:o5
)os in*entarios de acti*os a#dan a garanti:ar la *igencia de na proteccin e!ica: de los recrsos+ #
tam(i<n peden ser necesarios para otros propsitos de la empresa+ como los relacionados con
sanidad # segridad+ segros o !inan:as 1administracin de recrsos4$ El proceso de compilacin de
n in*entario de acti*os es n aspecto importante de la administracin de riesgos$ Una organi:acin
de(e contar con la capacidad de identi!icar ss acti*os # el *alor relati*o e importancia de los
mismos$ So(re la (ase de esta in!ormacin+ la organi:acin pede entonces+S asignar ni*eles de
proteccin proporcionales al *alor e importancia de los acti*os$ + Se de(e ela(orar # mantener n
in*entario de los acti*os importantes asociados a cada sistema de in!ormacin$ Cada acti*o de(e ser
claramente identi!icado # s propietario # clasi!icacin en canto a segridad 1*er .$24 de(en ser
acordados # docmentados+ Nnto con la (icacin *igente del mismo 1importante cando se
emprende na recperacin posterior a na p<rdida o daMo4$ ENemplos de acti*os asociados a
sistemas de in!ormacin son los sigientes9

a4 recrsos de in!ormacin9 (ases de datos # arc"i*os+ docmentacin de sistemas+ manales de
sario+ material de capacitacin+ procedimientos operati*os o de soporte+ planes de
continidad+ disposiciones relati*as a sistemas de emergencia para la reposicin de
in!ormacin perdida 1P!all(acQP4+ in!ormacin arc"i*adaR
%
Es%ema 1 I ,AM& 9
(4 recrsos de so!tOare9 so!tOare de aplicaciones+ so!tOare de sistemas+ "erramientas de
desarrollo # tilitariosR
c4 acti*os !;sicos9 e%ipamiento in!ormtico 1procesadores+ monitores+ comptadoras porttiles+
mdems4+ e%ipos de comnicaciones 1roters+ -A3Ds+ m%inas de !a8+ contestadores
atomticos4+ medios magn<ticos 1cintas # discos4+ otros e%ipos t<cnicos 1sministro de
electricidad+ nidades de aire acondicionado4+ mo(iliario+ lgares de empla:amiento R
d4 ser*icios9 ser*icios in!ormticos # de comnicaciones+ tilitarios generales+ por eN$+ cale!accin+
ilminacin+ energ;a el<ctrica+ aire acondicionado$
*$ Cla5ificacin de la informacin
O(Neti*o9 >aranti:ar %e los recrsos de in!ormacin reci(an n apropiado ni*el de proteccin$
)a in!ormacin de(e ser clasi!icada para seMalar la necesidad+ la prioridades # el grado de
proteccin$
)a in!ormacin tiene di*ersos grados de sensi(ilidad # criticidad$ Algnos ;tems peden re%erir n
ni*el de proteccin adicional o n tratamiento especial$ Se de(e tili:ar n sistema de clasi!icacin de
la in!ormacin para de!inir n conNnto apropiado de ni*eles de proteccin # comnicar la necesidad
de medidas de tratamiento especial$
*$$% !a38a5 de cla5ificacin
)as clasi!icaciones # controles de proteccin asociados de la in!ormacin+ de(en tomar centa de las
necesidades de la empresa con respecto a la distri(cin 1so compartido4 o restriccin de la
in!ormacin+ # de la incidencia de dic"as necesidades en las acti*idades de la organi:acin+ por eN$
acceso no atori:ado o daMo ala in!ormacin$ En general+ la clasi!icacin asignada a la in!ormacin es
na !orma sencilla de seMalar cmo "a de ser tratada # protegida$ )a in!ormacin # las salidas de los
sistemas %e administran datos clasi!icados de(en ser rotladas seg'n s *alor # grado de sensi(ilidad
para la organi:acin$ Asimismo+ podr;a resltar con*eniente rotlar la in!ormacin seg'n s grado de
criticidad+ por eN$ en t<rminos de integridad # disponi(ilidad$
?recentemente+ la in!ormacin deNa de ser sensi(le o cr;tica desp<s de n cierto per;odo de tiempo+
*er(igracia+ cando la in!ormacin se "a "ec"o p'(lica$ Estos aspectos de(en tenerse en centa+
pesto %e la clasi!icacin por e8ceso 1Po*er& classi!icationP4 pede tradcirse en gastos adicionales
innecesarios para la organi:acin$ )as patas de clasi!icacin de(en pre*er # contemplar el "ec"o de
%e la clasi!icacin de n ;tem de in!ormacin determinado no necesariamente+ de(e mantenerse
in*aria(le por siempre+ # %e <sta pede cam(iar de acerdo con na pol;tica predeterminada 1*er 9$14$
Se de(e considerar el n'mero de categor;as de clasi!icacin # los (ene!icios %e se o(tendrn con s
so$ )os es%emas demasiado compleNos peden tornarse engorrosos # antieconmicos o resltar poco
prcticos$ 5e(en interpretarse cidadosamente los rtlos de clasi!icacin de los docmentos de otras
organi:aciones %e podr;an tener distintas de!iniciones para rtlos igales o similares$
)a responsa(ilidad por la de!inicin de la clasi!icacin de n ;tem de in!ormacin+ por eN$+ n
docmento+ registro de datos+ arc"i*o de datos o dis%ete+ # por la re*isin peridica de dic"a
clasi!icacin+ de(e ser asignada al creador o propietario designado de la in!ormacin$
*$$ Ro83lado = mane@o de la informacin
Es importante %e se de!ina n conNnto de procedimientos adecados para el rotlado # maneNo de
la in!ormacin+ seg'n el es%ema de clasi!icacin adoptado por la organi:acin$ Estos
procedimientos de(en inclir los recrsos de in!ormacin en !ormatos !;sicos # electrnicos$ -ara

cada clasi!icacin+ se de(en de!inir procedimientos de maneNo %e incl#an los sigientes tipos de
acti*idades de procesamiento de la in!ormacin9
a4 copiaR
(4 almacenamientoR
c4 transmisin por correo+ !a8 # correo electrnicoR
d4 transmisin oral+ incl#endo tele!on;a m*il+ correo de *o:+ contestadores atomticosR
, SEGURIDAD DEL !ERSONAL
,$% Seg3ridad en la definicin de ;3e58o5 de 8ra9a@o = la a5ignacin de rec3r5o5
O(Neti*o 9 ,edcir los riesgos de error "mano+ ro(o+ !rade o so inadecado de instalaciones$
)as responsa(ilidades en materia de segridad de(en ser e8plicitadas en la etapa de recltamiento+
inclidas en los contratos # monitoreadas drante el desempeMo del indi*ido como empleado$
)os candidatos a ocpar los pestos de tra(aNo de(en ser adecadamente seleccionados 1*er 0$1$24+
especialmente si se trata de tareas cr;ticas$ 7odos los empleados # sarios e8ternos de las
instalaciones de procesamiento de in!ormacin de(en !irmar n acerdo de con!idencialidad 1no
re*elacin4$
,$%$% Incl35in de la 5eg3ridad en la5 re5;on5a9ilidade5 de lo5 ;3e58o5 de 8ra9a@o
)as !nciones # responsa(ilidades en materia de segridad+ seg'n consta en la pol;tica de segridad
de la in!ormacin de la organi:acin 1*er E$14+ de(en ser docmentadas seg'n corresponda$ =stas
de(en inclir las responsa(ilidades generales por la implementacin o el mantenimiento de la pol;tica
de segridad+ as; como las responsa(ilidades espec;!icas por la proteccin de cada no de los
acti*os+ o por la eNeccin de procesos o acti*idades de segridad espec;!icos$
,$%$ Seleccin = ;ol8ica de ;er5onal
Se de(en lle*ar a ca(o controles de *eri!icacin del personal permanente en el momento en %e se
solicita el pesto$ =stos de(en inclir los sigientes9
a4 disponi(ilidad de certi!icados de (ena condcta satis!actorios+ por eN$ no la(oral # no
personal
(4 na compro(acin 1de integridad # *eracidad4 del crriclm *itae del aspirante
c4 constatacin de las aptitdes acad<micas # pro!esionales alegadas
d4 *eri!icacin de la identidad 1pasaporte o docmento similar4$
Cando n pesto+ por asignacin inicial o por promocin+ in*olcra a na persona %e tiene acceso
a las instalaciones de procesamiento de in!ormacin+ # en particlar si <stas maneNan in!ormacin
sensi(le+ por eN$ in!ormacin !inanciera o altamente con!idencial+ la organi:acin tam(i<n de(e lle*ar
a ca(o na *eri!icacin de cr<dito$ En el caso del personal con posiciones de Nerar%;a considera(le+
esta *eri!icacin de(e repetirse peridicamente$
Un proceso de seleccin similar de(e lle*arse a ca(o con contratistas # personal temporario$
Cando <ste es pro*isto a tra*<s de na agencia+ el contrato cele(rado con la misma de(e
especi!icar claramente las responsa(ilidades de la agencia por la seleccin # los procedimientos de
noti!icacin %e <sta de(e segir si la seleccin no "a sido e!ectada o si los resltados originan
ddas o in%ietdes$
"
Es%ema 1 I ,AM& 9
)a gerencia de(e e*alar la sper*isin re%erida para personal ne*o e ine8perto con atori:acin
para acceder a sistemas sensi(les$ El tra(aNo de todo el personal de(e estar sNeto a re*isin
peridica # a procedimientos de apro(acin por parte de n miem(ro del personal con ma#or
Nerar%;a$
)os gerentes de(en estar al corriente de %e las circnstancias personales de ss empleados
peden a!ectar s tra(aNo$ )os pro(lemas personales o !inancieros+ los cam(ios en s condcta o
estilo de *ida+ las asencias recrrentes # la e*idencia de stress o depresin peden condcir a
!rades+ ro(os+ errores otras implicaciones %e a!ecten la segridad$ Esta in!ormacin de(e
maneNarse de acerdo con la legislacin pertinente %e riNa en la Nrisdiccin del caso$
,$%$" Ac3erdo5 de confidencialidad
)os acerdos de con!idencialidad o no di*lgacin se tili:an para reseMar %e la in!ormacin es
con!idencial o secreta$ )os empleados de(en !irmar "a(italmente n acerdo de esta ;ndole como
parte de ss t<rminos # condiciones iniciales de empleo$
El personal ocasional # los sarios e8ternos a'n no contemplados en n contrato !ormali:ado 1%e
contenga el acerdo de con!idencialidad4 de(ern !irmar el acerdo mencionado antes de %e se les
otorge acceso a las instalaciones de procesamiento de in!ormacin$
)os acerdos de con!idencialidad de(en ser re*isados cando se prodcen cam(ios en los t<rminos
# condiciones de empleo o del contrato+ en particlar cando el empleado est pr8imo a
des*inclarse de la organi:acin o el pla:o del contrato est por !inali:ar$
,$%$) T4rmino5 = condicione5 de em;leo
)os t<rminos # condiciones de empleo de(en esta(lecer la responsa(ilidad del empleado por la
segridad de la in!ormacin$ Cando corresponda+ estas responsa(ilidades de(en continar por n
per;odo de!inido na *e: !inali:ada la relacin la(oral$ Se de(en especi!icar las acciones %e se
emprendern si el empleado "ace caso omiso de los re%erimientos de segridad$
)as responsa(ilidades # derec"os legales del empleado+ por eN$ en relacin con las le#es de derec"o
de propiedad intelectal o la legislacin de proteccin de datos+ de(en ser clari!icados e inclidos en
los t<rminos # condiciones de empleo$
7am(i<n se de(e inclir la responsa(ilidad por la clasi!icacin # administracin de los datos del
empleador$ Cando corresponda+ los t<rminos # condiciones de empleo de(en esta(lecer %e estas
responsa(ilidades se e8tienden ms all de los l;mites de la sede de la organi:acin # del "orario
normal de tra(aNo+ por eN$ cando el empleado desempeMa tareas en s domicilio 1*er tam(i<n 7$2$. #
9$2$14$
,$ Ca;aci8acin del 353ario
O(Neti*o 9 >aranti:ar %e los sarios estn al corriente de las amena:as e incm(encias en materia de
segridad de la in!ormacin+ # estn capacitados para respaldar la pol;tica de segridad de la
organi:acin en el transcrso de ss tareas normales$
)os sarios de(en ser capacitados en relacin con los procedimientos de segridad # el correcto
so de las instalaciones de procesamiento de in!ormacin+ a !in de minimi:ar e*entales riesgos de
segridad$
)
,$$% (ormacin = ca;aci8acin en ma8eria de 5eg3ridad de la informacin
7odos los empleados de la organi:acin #+ cando sea pertinente+ los sarios e8ternos+ de(en
reci(ir na adecada capacitacin # actali:aciones peridicas en materia de pol;ticas #
procedimientos de la organi:acin$ Esto comprende los re%erimientos de segridad+ las
responsa(ilidades legales # controles del negocio+ as; como la capacitacin re!erida al so correcto
de las instalaciones de procesamiento de in!ormacin+ por eN$ el procedimiento de entrada al sistema
1Plog&onP4 # el so de pa%etes de so!tOare+ antes de %e se les otorge acceso a la in!ormacin o a
los ser*icios$
,$" Re5;3e58a a inciden8e5 = anomala5 en ma8eria de 5eg3ridad
O(Neti*o 9 Minimi:ar el daMo prodcido por incidentes # anomal;as en materia de segridad+ #
monitorear dic"os incidentes # aprender de los mismos$
)os incidentes %e a!ectan la segridad de(en ser comnicados mediante canales gerenciales
adecados tan pronto como sea posi(le$
Se de(e concienti:ar a todos los empleados # contratistas acerca de los procedimientos de
comnicacin de los di!erentes tipos de incidentes 1*iolaciones+ amena:as+ de(ilidades o anomal;as en
materia de segridad4 %e podr;an prodcir n impacto en la segridad de los acti*os de la
organi:acin$ Se de(e re%erir %e los mismos comni%en cal%ier incidente ad*ertido o spesto al
pnto de contacto designado tan pronto como sea posi(le$ )a organi:acin de(e esta(lecer n proceso
disciplinario !ormal para ocparse de los empleados %e perpetren *iolaciones de la segridad$ -ara
lograr a(ordar de(idamente los incidentes podr;a ser necesario recolectar e*idencia tan pronto como
sea posi(le na *e: ocrrido el "ec"o 1*er 12$1$74$
,$"$% Com3nicacin de inciden8e5 rela8i:o5 a la 5eg3ridad
)os incidentes relati*os a la segridad de(en comnicarse a tra*<s de canales gerenciales
apropiados tan pronto como sea posi(le$
Se de(e esta(lecer n procedimiento !ormal de comnicacin+ Nnto con n procedimiento de
respesta a incidentes+ %e esta(le:ca la accin %e "a de emprenderse al reci(ir n in!orme so(re
incidentes$ 7odos los empleados # contratistas de(en estar al corriente del procedimiento de
comnicacin de incidentes de segridad+ # de(en in!ormar de los mismos tan pronto como sea
posi(le$
5e(ern implementarse adecados procesos de P!eed(acQP para garanti:ar %e las personas %e
comnican los incidentes sean noti!icadas de los resltados na *e: tratados # reseltos los mismos$
Estos incidentes peden ser tili:ados drante la capacitacin a !in de crear conciencia de segridad
en el sario 1*er 0$24 como eNemplos de lo %e pede ocrrir+ de cmo responder a dic"os
incidentes # de cmo e*itarlos en el !tro 1*er tam(i<n 12$1$74$
,$"$ Com3nicacin de de9ilidade5 en ma8eria de 5eg3ridad
)os sarios de ser*icios de in!ormacin de(en ad*ertir+ registrar # comnicar las de(ilidades o
amena:as spestas o(ser*adas en materia de segridad+ con relacin a los sistemas o ser*icios$
5e(ern comnicar estos asntos a s gerencia+ o directamente a s pro*eedor de ser*icios+ tan pronto
como sea posi(le$ Se de(e in!ormar a los sarios %e ellos no de(en+ (aNo ningna circnstancia+
intentar pro(ar na spesta de(ilidad$ Esto se lle*a a ca(o para s propia proteccin+ de(ido a %e el
intentar pro(ar de(ilidades pede ser interpretado como n potencial mal maneNo del sistema$
*
Es%ema 1 I ,AM& 9
,$"$" Com3nicacin de anomala5 del 5of8Aare
Se de(en esta(lecer procedimientos para la comnicacin de anomal;as del so!tOare$ Se de(en
considerar las sigientes acciones9
a4 5e(en ad*ertirse # registrarse los s;ntomas del pro(lema # los mensaNes %e aparecen en
pantalla$
(4 )a comptadora de(e ser aislada+ si es posi(le+ # de(e detenerse el so de la misma$ Se
de(e alertar de inmediato a la persona pertinente 1contacto4$ Si se "a de e8aminar el e%ipo+
<ste de(e ser desconectado de las redes de la organi:acin antes de ser acti*ado
ne*amente$ )os dis%etes no de(en trans!erirse a otras comptadoras$
c4 El asnto de(e ser comnicado inmediatamente al gerente de segridad de la in!ormacin$
)os sarios no de(en %itar el so!tOare %e spestamente tiene na anomal;a+ a menos %e est<n
atori:ados a "acerlo$ )a recperacin de(e ser reali:ada por personal adecadamente capacitado
# e8perimentado$
,$"$) A;rendiendo de lo5 inciden8e5
5e(e "a(erse implementado mecanismos %e permitan canti!icar # monitorear los tipos+ *ol'menes
# costos de los incidentes # anomal;as$ Esta in!ormacin de(e tili:arse para identi!icar incidentes o
anomal;as recrrentes o de alto impacto$ Esto pede seMalar la necesidad de meNorar o agregar
controles para limitar la !recencia+ daMo # costo de casos !tros+ o de tomarlos en centa en el
proceso de re*isin de la pol;tica de segridad 1*er E$1$24$
,$"$* !roce5o di5ci;linario
5e(e e8istir n proceso disciplinario !ormal para los empleados %e *iolen las pol;ticas #
procedimientos de segridad de la organi:acin 1*er 0$1$F # para el tpico retencin de e*idencia+
*er 12$1$74$ 5ic"o proceso pede ser*ir de !actor disasi*o de los empleados %e+ de no mediar el
mismo+ podr;an ser procli*es a pasar por alto los procedimientos de segridad$
Asimismo+ este proceso de(e garanti:ar n trato imparcial # correcto "acia los empleados
sospec"osos de "a(er cometido *iolaciones gra*es o persistentes a la segridad$
- SEGURIDAD (#SICA ' AM.IENTAL
-$% Brea5 5eg3ra5
O(Neti*o9 Impedir accesos no atori:ados+ daMos e inter!erencia a las sedes e in!ormacin de la
empresa$
)as instalaciones de procesamiento de in!ormacin cr;tica o sensi(le de la empresa de(en estar
(icadas en reas protegidas # resgardadas por n per;metro de segridad de!inido+ con *allas de
segridad # controles de acceso apropiados$ 5e(en estar !;sicamente protegidas contra accesos no
atori:ados+ daMos e intrsiones$
)a proteccin pro*ista de(e ser proporcional a los riesgos identi!icados$ Se recomienda la
implementacin pol;ticas de escritorios # pantallas limpios para redcir el riesgo de acceso no
atori:ado o de daMo a papeles+ medios de almacenamiento e instalaciones de procesamiento de
in!ormacin$
,
-$%$% !erme8ro de 5eg3ridad f5ica
)a proteccin !;sica pede lle*arse a ca(o mediante la creacin de di*ersas (arreras !;sicas
alrededor de las sedes de la organi:acin # de las instalaciones de procesamiento de in!ormacin$
Cada (arrera esta(lece n per;metro de segridad+ cada no de los cales incrementa la proteccin
total pro*ista$
)as organi:aciones de(en tili:ar per;metros de segridad para proteger las reas %e contienen
instalaciones de procesamiento de in!ormacin 1*er 7$1$E4$ Un per;metro de segridad es algo
delimitado por na (arrera+ por eN$ na pared+ na perta de acceso controlado por tarNeta o n
escritorio o!icina de recepcin atendidos por personas$ El empla:amiento # la !ortale:a de cada
(arrera dependern de los resltados de na e*alacin de riesgos$
Se de(en considerar e implementar los sigientes lineamientos # controles+ seg'n corresponda$
a4 El per;metro de segridad de(e estar claramente de!inido$
(4 El per;metro de n edi!icio o rea %e contenga instalaciones de procesamiento de
in!ormacin de(e ser !;sicamente slido 1por eN$ no de(en e8istir claros To a(ertrasU en el
per;metro o reas donde peda prodcirse !cilmente na irrpcin4$ )as paredes e8ternas
del rea de(en ser de constrccin slida # todas las pertas %e comnican con el e8terior
de(en ser adecadamente protegidas contra accesos no atori:ados+ por eN$+ mediante
mecanismos de control+ *allas+ alarmas+ cerradras+ etc$
c4 5e(e e8istir n rea de recepcin atendida por personal otros medios de control de acceso
!;sico al rea o edi!icio$ El acceso a las distintas reas # edi!icios de(e estar restringido
e8clsi*amente al personal atori:ado$
d4 )as (arreras !;sicas de(en+ si es necesario+ e8tenderse desde el piso 1real4 "asta el tec"o
1real4+ a !in de impedir el ingreso no atori:ado # la contaminacin am(iental+ por eNemplo+ la
ocasionada por incendio e inndacin$
e4 7odas las pertas de incendio de n per;metro de segridad de(en tener alarma # cerrarse
atomticamente$
-$%$ Con8role5 de acce5o f5ico
)as reas protegidas de(en ser resgardadas por adecados controles de acceso %e permitan
garanti:ar %e slo se permite el acceso de personal atori:ado$ 5e(en tenerse en centa los
sigientes controles9
a4 )os *isitantes de reas protegidas de(en ser sper*isados o inspeccionados # la !ec"a #
"orario de s ingreso # egreso de(en ser registrados$ Slo se de(e permitir el acceso a los
mismos con propsitos espec;!icos # atori:ados+ instr#<ndose en dic"o momento al
*isitante so(re los re%erimientos de segridad del rea # los procedimientos de emergencia$
(4 El acceso a la in!ormacin sensi(le+ # a las instalaciones de procesamiento de in!ormacin+
de(e ser controlado # limitado e8clsi*amente a las personas atori:adas$ Se de(en tili:ar
controles de atenticacin+ por eN$ tarNeta # n'mero de identi!icacin personal 1-I64+ para
atori:ar # *alidar todos los accesos$ 5e(e mantenerse na pista protegida %e permita
aditar todos los accesos$
c4 Se de(e re%erir %e todo el personal e8"i(a algna !orma de identi!icacin *isi(le # se lo
de(e alentar a cestionar la presencia de desconocidos no escoltados # a cal%ier persona
%e no e8"i(a na identi!icacin *isi(le$
d4 Se de(en re*isar # actali:ar peridicamente los derec"os de acceso a las reas protegidas$
-
Es%ema 1 I ,AM& 9
-$%$" !ro8eccin de oficina5C recin8o5 e in58alacione5
Un rea protegida pede ser na o!icina cerrada con lla*e+ o di*ersos recintos dentro de n per;metro
de segridad !;sica+ el cal pede estar (lo%eado # contener caNas !ertes o ga(inetes con
cerradras$ -ara la seleccin # el diseMo de n rea protegida de(e tenerse en centa la posi(ilidad
de daMo prodcido por incendio+ inndacin+ e8plosin+ agitacin ci*il+ # otras !ormas de desastres
natrales o pro*ocados por el "om(re$ 7am(i<n de(en tomarse en centa las disposiciones #
normas 1estndares4 en materia de sanidad # segridad$ Asimismo+ se de(ern considerar las
amena:as a la segridad %e representan los edi!icios # :onas aledaMas+ por eN$ !iltracin de aga
desde otras reas$
Se de(en considerar los sigientes controles
a4 )as instalaciones cla*e de(en (icarse en lgares a los cales no peda acceder el p'(lico$
(4 )os edi!icios de(en ser discretos # o!recer n seMalamiento m;nimo de s propsito+ sin
signos o(*ios+ e8teriores o interiores+ %e identi!i%en la presencia de acti*idades de
procesamiento de in!ormacin$
c4 )as !nciones # el e%ipamiento de soporte+ por eN$ !otocopiadoras+ m%inas de !a8+ de(en
estar (icados adecadamente dentro del rea protegida para e*itar solicitdes de acceso+ el
cal podr;a comprometer la in!ormacin$
d4 )as pertas # *entanas de(en estar (lo%eadas cando no "a# *igilancia = de(e
considerarse la posi(ilidad de agregar proteccin e8terna a las *entanas+ en particlar las %e
se encentran al ni*el del selo$
e4 Se de(en implementar adecados sistemas de deteccin de intrsos$ )os mismos de(en ser
instalados seg'n estndares pro!esionales # pro(ados peridicamente$ Estos sistemas
comprendern todas las pertas e8teriores # *entanas accesi(les$ )as reas *ac;as de(en
tener alarmas acti*adas en todo momento$ 7am(i<n de(en protegerse otras reas+ como la
sala de cmptos o las salas de comnicaciones$
!4 )as instalaciones de procesamiento de in!ormacin administradas por la organi:acin de(en
estar !;sicamente separadas de a%ellas administradas por terceros$
g4 )os g;as tele!nicas # listados de tel<!onos internos %e identi!ican las (icaciones de las
instalaciones de procesamiento de in!ormacin sensi(le no de(en ser !cilmente accesi(les al
p'(lico$
"4 )os materiales peligrosos o com(sti(les de(en ser almacenados en lgares segros a na
distancia prdencial del rea protegida$ )os sministros a granel+ como los 'tiles de
escritorio+ no de(en ser almacenados en el rea protegida "asta %e sean re%eridos$
i4 El e%ipamiento de sistemas de soporte U-C 1Usage -arameter Control4 de reposicin de
in!ormacin perdida 1P!all(acQP4 # los medios in!ormticos de resgardo de(en estar sitados
a na distancia prdencial para e*itar daMos ocasionados por e*entales desastres en el sitio
principal$
-$%$) De5arrollo de 8area5 en Drea5 ;ro8egida5
-ara incrementar la segridad de n rea protegida peden re%erirse controles # lineamientos
adicionales$ Esto incl#e controles para el personal o terceras partes %e tra(aNan en el rea
protegida+ as; como para las acti*idades de terceros %e tengan lgar all;$ Se de(ern tener en
centa los sigientes pntos9
a4 El personal slo de(e tener conocimiento de la e8istencia de n rea protegida+ o de las
acti*idades %e se lle*an a ca(o dentro de la misma+ seg'n el criterio de necesidad de
conocer$
(4 Se de(e e*itar el tra(aNo no controlado en las reas protegidas tanto por ra:ones de
segridad como para e*itar la posi(ilidad de %e se lle*en a ca(o acti*idades maliciosas$
/
c4 )as reas protegidas desocpadas de(en ser !;sicamente (lo%eadas # peridicamente
inspeccionadas$
d4 El personal del ser*icio de soporte e8terno de(e tener acceso limitado a las reas protegidas
o a las instalaciones de procesamiento de in!ormacin sensi(le$ Este acceso de(e ser
otorgado solamente cando sea necesario # de(e ser atori:ado # monitoreado$ -eden
re%erirse (arreras # per;metros adicionales para controlar el acceso !;sico entre reas con
di!erentes re%erimientos de segridad+ # %e estn (icadas dentro del mismo per;metro de
segridad$
e4 A menos %e se atorice e8presamente+ no de(e permitirse el ingreso de e%ipos
!otogr!icos+ de *;deo+ adio otro tipo de e%ipamiento %e registre in!ormacin$
-$%$* Ai5lamien8o de la5 Drea5 de en8rega = carga
)as reas de entrega # carga de(en ser controladas #+ si es posi(le+ estar aisladas de las
instalaciones de procesamiento de in!ormacin+ a !in de impedir accesos no atori:ados$ )os
re%erimientos de segridad de dic"as reas de(en ser determinados mediante na e*alacin de
riesgos$ Se de(en tener en centa los sigientes lineamientos9
a4 El acceso a las reas de depsito+ desde el e8terior de la sede de la organi:acin+ de(e estar
limitado a personal %e sea pre*iamente identi!icado # atori:ado$
(4 El rea de depsito de(e ser diseMada de manera tal %e los sministros pedan ser
descargados sin %e el personal %e reali:a la entrega acceda a otros sectores del edi!icio$
c4 7odas las pertas e8teriores de n rea de depsito de(en ser asegradas cando se a(re la
perta interna$
d4 El material entrante de(e ser inspeccionado para descartar peligros potenciales 1*er 7$2$l d4
antes de ser trasladado desde el rea de depsito "asta el lgar de so$
e4 El material entrante de(e ser registrado+ si corresponde 1*er .$14+ al ingresar al sitio
pertinente$
-$ Seg3ridad del e73i;amien8o
O(Neti*o9 Impedir p<rdidas+ daMos o e8posiciones al riesgo de los acti*os e interrpcin de las
acti*idades de la empresa$
El e%ipamiento de(e estar !;sicamente protegido de las amena:as a la segridad # los peligros del
entorno
Es necesaria la proteccin del e%ipamiento 1incl#endo el %e se tili:a en !orma e8terna4 para
redcir el riesgo de acceso no atori:ado a los datos # para pre*enir p<rdidas o daMos$ Esto tam(i<n
de(e tener en centa la (icacin # disposicin e%ipamiento$ -eden re%erirse controles
especiales para pre*enir peligros o accesos no atori:ados+ # para proteger instalaciones de soporte+
como la in!raestrctra de ca(leado # sministro de energ;a el<ctrica$
-$$% U9icacin = ;ro8eccin del e73i;amien8o
El e%ipamiento de(e ser (icado o protegido de tal manera %e se red:can los riesgos
ocasionados por amena:as # peligros am(ientales+ # oportnidades de acceso no atori:ado$ Se
de(en tener en centa los sigientes pntos9
a4 El e%ipamiento de(e ser (icado en n sitio %e permita minimi:ar el acceso innecesario a
las reas de tra(aNo$
(4 )as instalaciones de procesamiento # almacenamiento de in!ormacin+ %e maneNan datos
sensi(les+ de(en (icarse en n sitio %e permita redcir el riesgo de !alta de sper*isin de
las mismas drante s so$
0
Es%ema 1 I ,AM& 9
c4 )os ;tems %e re%ieren proteccin especial de(en ser aislados para redcir el ni*el general
de proteccin re%erida$
d4 Se de(en adoptar controles para minimi:ar el riesgo de amena:as potenciales+ por eN$
14 ro(o
24 incendio
E4 e8plosi*os
F4 "moR
.4 aga 1o !alta de sministro4
04 pol*o
74 *i(raciones
24 e!ectos %;micos
94 inter!erencia en el sministro de energ;a el<ctrica$
104 radiacin electromagn<tica$
e4 )a organi:acin de(e anali:ar s pol;tica respecto de comer+ (e(er # !mar cerca de las
instalaciones de procesamiento de in!ormacin$
!4 Se de(en monitorear las condiciones am(ientales para *eri!icar %e las mismas no a!ecten de
manera ad*ersa el !ncionamiento de las instalaciones de procesamiento de la in!ormacin$
g4 Se de(e tener en centa el so de m<todos de proteccin especial+ como las mem(ranas de
teclado+ para los e%ipos (icados en am(ientes indstriales$
"4 Se de(e considerar el impacto de n e*ental desastre %e tenga lgar en :onas pr8imas a
la sede de la organi:acin+ por eN$ n incendio en n edi!icio cercano+ la !iltracin de aga
desde el cielo raso o en pisos por de(aNo del ni*el del selo o na e8plosin en la calle$
-$$ S3mini58ro5 de energa
El e%ipamiento de(e estar protegido con respecto a las posi(les !allas en el sministro de energ;a
otras anomal;as el<ctricas$ Se de(e contar con n adecado sministro de energ;a %e est< de
acerdo con las especi!icaciones del !a(ricante o pro*eedor de los e%ipos$ Entre las alternati*as
para asegrar la continidad del sministro de energ;a podemos enmerar las sigientes9
a4 m'ltiples (ocas de sministro para e*itar n 'nico pnto de !alla en el sministro de energ;a
(4 sministro de energ;a ininterrmpi(le 1U-S4
c4 generador de respaldo$
Se recomienda na U-S para asegrar el apagado reglado # sistemtico o la eNeccin contina del
e%ipamiento %e sstenta las operaciones cr;ticas de la organi:acin$ )os planes de contingencia
de(en contemplar las acciones %e "an de emprenderse ante na !alla de la U-S$ )os e%ipos de
U-S de(en inspeccionarse peridicamente para asegrar %e tienen la capacidad re%erida # se
de(en pro(ar de con!ormidad con las recomendaciones del !a(ricante o pro*eedor$
Se de(e tener en centa el empleo de n generador de respaldo si el procesamiento "a de continar en
caso de na !alla prolongada en el sministro de energ;a$ 5e instalarse+ los generadores de(en ser
pro(ados peridicamente de acerdo con las instrcciones del !a(ricante o pro*eedor$ Se de(e disponer
de n adecado sministro de com(sti(le para garanti:ar %e el generador peda !ncionar por n
per;odo prolongado$
Asimismo+ los interrptores de emergencia de(en (icarse cerca de las salidas de emergencia de las
salas donde se encentra el e%ipamiento+ a !in de !acilitar n corte rpido de la energ;a en caso de
prodcirse na sitacin cr;tica$ Se de(e pro*eer de ilminacin de emergencia en caso de
prodcirse na !alla en el sministro principal de energ;a$ Se de(e implementar proteccin contra
ra#os en todos los edi!icios # se de(en adaptar !iltros de proteccin contra ra#os en todas las l;neas
de comnicaciones e8ternas$
"1
-$$" Seg3ridad del ca9leado
El ca(leado de energ;a el<ctrica # de comnicaciones %e transporta datos o (rinda apo#o a los
ser*icios de in!ormacin de(e ser protegido contra interceptacin o daMo$ Se de(en tener en centa
los sigientes controles9
a4 )as l;neas de energ;a el<ctrica # telecomnicaciones %e se conectan con las instalaciones
de procesamiento de in!ormacin de(en ser s(terrneas+ siempre %e sea posi(le+ o sNetas
a na adecada proteccin alternati*a$
(4 El ca(leado de red de(e estar protegido contra interceptacin no atori:ada o daMo+ por
eNemplo mediante el so de condctos o e*itando tra#ectos %e atra*iesen reas p'(licas$
c4 )os ca(les de energ;a de(en estar separados de los ca(les de comnicaciones para e*itar
inter!erencias$
d4 Entre los controles adicionales a considerar para los sistemas sensi(les o cr;ticos se
encentran los sigientes
14 instalacin de condctos (lindados # recintos o caNas con cerradra en los pntos
terminales # de inspeccin$
24 so de rtas o medios de transmisin alternati*os
E4 so de ca(leado de !i(ra ptica
F4 iniciar (arridos para eliminar dispositi*os no atori:ados conectados a los ca(les$
-$$) Man8enimien8o de e73i;o5
El e%ipamiento de(e mantenerse en !orma adecada para asegrar %e s disponi(ilidad e
integridad sean permanentes$ Se de(en considerar los sigientes lineamientos9
a4 El e%ipamiento de(e mantenerse de acerdo con los inter*alos ser*icio # especi!icaciones
recomendados por el pro*eedor$
(4 Slo el personal de mantenimiento atori:ado pede (rindar mantenimiento # lle*ar a ca(o
reparaciones en el e%ipamiento$
c4 Se de(en mantener registros de todas las !allas spestas o reales # de todo el
mantenimiento pre*enti*o # correcti*o$
e4 5e(en implementarse controles cando se retiran e%ipos de la sede de la organi:acin para
s mantenimiento 1*er tam(i<n 7$2$0 con respecto a (orrado+ (orrado permanente # so(re
escritra de datos4$ Se de(e cmplir con todos los re%isitos impestos por las pli:as de
segro$
-$$* Seg3ridad del e73i;amien8o f3era del Dm9i8o de la organi>acin
El so de e%ipamiento destinado al procesamiento de in!ormacin+ !era del m(ito de la
organi:acin+ de(e ser atori:ado por el ni*el gerencial+ sin importar %ien es el propietario del
mismo$ )a segridad pro*ista de(e ser e%i*alente a la sministrada dentro del m(ito de la
organi:acin+ para n propsito similar+ teniendo en centa los riesgos de tra(aNar !era de la misma$
El e%ipamiento de procesamiento de la in!ormacin incl#e todo tipo de comptadoras personales+
organi:adores+ tel<!onos m*iles+ papel otros !ormlarios+ necesarios para el tra(aNo en el
domiciliario o %e es transportado !era del lgar "a(ital de tra(aNo$
Se de(en considerar los sigientes lineamientos9
a4 El e%ipamiento # dispositi*os retirados del m(ito de la organi:acin no de(en permanecer
desatendidos en lgares p'(licos$ )as comptadoras personales de(en ser transportadas
como e%ipaNe de mano # de ser posi(le enmascaradas+ drante el *iaNe$
"%
Es%ema 1 I ,AM& 9
(4 Se de(en respetar permanentemente las instrcciones del !a(ricante+ por eN$ proteccin por
e8posicin a campos electromagn<ticos !ertes$
c4 )os controles de tra(aNo en domicilio de(en ser determinados a partir de n anlisis de riesgo
# se aplicarn controles adecados seg'n corresponda+ por eN$ ga(inetes de arc"i*o con
cerradra+ pol;tica de escritorios limpios # control de acceso a comptadoras$
d4 Una adecada co(ertra de segro de(e estar en orden para proteger el e%ipamiento !era
del m(ito de la organi:acin$
)os riesgos de segridad+ por eN$ el daMo+ ro(o o escc"a s(repticia+ peden *ariar
considera(lemente seg'n las (icaciones # de(en ser tenidas en centa al determinar los controles
ms apropiados$ Se pede encontrar ms in!ormacin so(re otros aspectos de proteccin del
e%ipamiento m*il+ en 9$2$1
-$$, .a@a 5eg3ra o re38ili>acin de e73i;amien8o$
)a in!ormacin pede *erse comprometida por na desa!ectacin descidada o na retili:acin del
e%ipamiento 1*<ase tam(i<n 2$0$F4$ )os medios de almacenamiento conteniendo material sensiti*o+
de(en ser !;sicamente destridos o so(rescritos en !orma segra en *e: de tili:ar las !nciones de
(orrado estndar$
7odos los elementos del e%ipamiento %e contengan dispositi*os de almacenamiento+ por eN$ discos
r;gidos no remo*i(les+ de(en ser controlados para asegrar %e todos los datos sensiti*os # el
so!tOare (aNo licencia+ "an sido eliminados o so(rescritos antes de s (aNa$ -ede ser necesario
reali:ar n anlisis de riesgo a !in de determinar si medios de almacenamiento daMados+ conteniendo
datos sensiti*os+ de(en ser destridos+ reparados o desec"ados$
-$" Con8role5 generale5
O(Neti*o 9 Impedir la e8posicin al riesgo o ro(o de la in!ormacin o de las instalaciones de
procesamiento de la misma$
)as instalaciones de procesamiento de la in!ormacin # la in!ormacin de(en ser protegidas contra la
di*lgacin+ modi!icacin o ro(o por parte de personas no atori:adas+ de(i<ndose implementar
controles para minimi:ar p<rdidas o daMos$ )os procedimientos de administracin # almacenamiento
son considerados en el pnto 2$0$E$
-$"$% !ol8ica5 de e5cri8orio5 = ;an8alla5 lim;ia5$
)as organi:aciones de(en considerar la adopcin de na pol;tica de escritorios limpios para proteger
docmentos en papel # dispositi*os de almacenamiento remo*i(les # na pol;tica de pantallas
limpias en las instalaciones de procesamiento de in!ormacin+ a !in de redcir los riesgos de acceso
no atori:ado+ perdida # daMo de la in!ormacin drante el "orario normal de tra(aNo # !era del
mismo$
)a pol;tica de(e contemplar las clasi!icaciones de segridad de la in!ormacin 1*er .$24+ los riesgos
correspondientes # los aspectos cltrales de la organi:acin$
)a in!ormacin %e se deNa so(re los escritorios tam(i<n est e8pesta a s!rir daMos o destro:os en
caso de prodcirse n desastre como incendio+ inndacin o e8plosin$
"
Se de(en aplicar los sigientes lineamientos$
a4 Cando corresponda+ los docmentos en papel # los medios in!ormticos de(en ser
almacenados (aNo lla*e en ga(inetes #/ otro tipo de mo(iliario segro cando no estn
siendo tili:ados+ especialmente !era del "orario de tra(aNo$
(4 )a in!ormacin sensi(le o cr;tica de la empresa de(e gardarse (aNo lla*e 1pre!erentemente
en na caNa !erte o ga(inete a pre(a de incendios4 cando no est en so+ especialmente
cando no "a# personal en la o!icina
c4 )as comptadoras personales+ terminales e impresoras no de(en deNarse conectadas cando
estn desatendidas # las mismas de(en ser protegidas mediante cerradras de segridad+
contraseMas otros controles cando no estn en so$
d4 Se de(en proteger los pntos de recepcin # en*;o de correo # las m%inas de !a8 # tele8 no
atendidas
e4 )as !otocopiadoras de(en estar (lo%eadas 1o protegidas de algna manera+ del so no
atori:ado4 !era del "orario normal de tra(aNo+
!4 )a in!ormacin sensi(le o con!idencial+ na *e: impresa+ de(e ser retirada de la impresora
inmediatamente$
-$"$ Re8iro de 9iene5
El e%ipamiento+ la in!ormacin o el so!tOare no de(en ser retirados de la sede de la organi:acin sin
atori:acin$ Cando sea necesario # procedente+ los e%ipos de(ern ser desconectados 1Plogged
otP4 # ne*amente conectados 1Plogged inP4 cando se reingresen$ Se de(en lle*ar a ca(o
compro(aciones pntales para detectar el retiro no atori:ado de acti*os de la organi:acin$ El
personal de(e conocer la posi(ilidad de reali:acin de dic"as compro(aciones$
/ GESTIN DE COMUNICACIONES ' O!ERACIONES
/$% !rocedimien8o5 = re5;on5a9ilidade5 o;era8i:a5
O(Neti*o9 >aranti:ar el !ncionamiento correcto # segro de las instalaciones de procesamiento de la
in!ormacin$
Se de(en esta(lecer las responsa(ilidades # procedimientos para la gestin # operacin de todas las
instalaciones de procesamiento de in!ormacin$ Esto incl#e el desarrollo de instrcciones
operati*as # procedimientos apropiados de respesta a incidentes$
Se de(e implementar la separacin de !nciones 1*er 2$1$F4+ cando corresponda+ a !in de redcir el
riesgo del so negligente o mal so deli(erado del sistema$
/$%$% Doc3men8acin de lo5 ;rocedimien8o5 o;era8i:o5
Se de(en docmentar # mantener los procedimientos operati*os identi!icados por s pol;tica de
segridad$ )os procedimientos operati*os de(en ser tratados como docmentos !ormales # los cam(ios
de(en ser atori:ados por el ni*el gerencial$
)os procedimientos de(en especi!icar las instrcciones para la eNeccin detallada de cada tarea+
con inclsin de9
a4 procesamiento # maneNo de la in!ormacin
(4 re%erimientos de programacin 1Psc"edllingP4+ incl#endo interdependencias con otros
sistemas+ tiempos de inicio de primeras tareas # tiempos de terminacin de 'ltimas tareasR
""
Es%ema 1 I ,AM& 9
c4 instrcciones para el maneNo de errores otras condiciones e8cepcionales %e podr;an srgir
drante la eNeccin de tareas+ incl#endo restricciones en el so de tilitarios del sistema
1*er 9$.$.4
d4 personas de soporte a contactar en caso de di!icltades operati*as o t<cnicas impre*istas
e4 instrcciones especiales para el maneNo de salidas 1PotptsP4+ como el so de papeler;a
especial o la administracin de salidas con!idenciales+ incl#endo procedimientos para la
eliminacin segra de salidas de tareas !allidas
!4 reinicio del sistema # procedimientos de recperacin en caso de prodcirse !allas en el
sistema$
7am(i<n de(e prepararse docmentacin so(re procedimientos re!eridos a acti*idades de
mantenimiento del sistema+ relacionadas con las instalaciones de procesamiento de in!ormacin #
comnicaciones+ tales como los procedimientos de inicio # cierre+ resgardo+ mantenimiento de
e%ipos+ salas de cmptos # administracin # segridad del maneNo de correo$
/$%$ Con8rol de cam9io5 en la5 o;eracione5
Se de(en controlar los cam(ios en los sistemas e instalaciones de procesamiento de in!ormacin$ El
control inadecado de estos cam(ios es na casa com'n de las !allas de segridad # de sistemas$
Se de(en implementar responsa(ilidades # procedimientos gerenciales !ormales para garanti:ar n
control satis!actorio de todos los cam(ios en el e%ipamiento+ el so!tOare o los procedimientos$ )os
programas operati*os de(en estar sNetos a n control estricto de los cam(ios$ Cando se cam(ian
los programas+ se de(e retener n registro de aditor;a %e contenga toda la in!ormacin rele*ante$
)os cam(ios en el am(iente operati*o peden tener impacto en las aplicaciones$ Siempre %e sea
!acti(le+ los procedimientos de control de cam(ios en las operaciones # aplicaciones de(en estar
integrados 1*er tam(i<n 10$.$14$ En particlar+ se de(en considerar los sigientes ;tems9
a4 identi!icacin # registro de cam(ios signi!icati*os
(4 e*alacin del posi(le impacto de dic"os cam(ios
c4 procedimiento de apro(acin !ormal de los cam(ios propestos
d4 comnicacin de detalles de cam(ios a todas las personas pertinentes
e4 procedimientos %e identi!ican las responsa(ilidades por la cancelacin de los cam(ios
!allidos # la recperacin respecto de los mismos$
/$%$" !rocedimien8o5 de mane@o de inciden8e5
Se de(en esta(lecer responsa(ilidades # procedimientos de maneNo de incidentes para garanti:ar
na respesta rpida+ e!ica: # sistemtica a los incidentes relati*os a segridad 1*er tam(i<n 0$E$ l4$
Se de(en considerar los sigientes controles$
a4 Se de(en esta(lecer procedimientos %e contemplen todos los tipos pro(a(les de incidentes
relati*os a segridad+ incl#endo
14 !allas en los sistemas de in!ormacin # p<rdida del ser*icioR
24 negacin del ser*icioR
E4 errores ocasionados por datos comerciales incompletos o ine8actosR
F4 *iolaciones de la con!idencialidadR
(4 Adems de los planes de contingencia normales 1diseMados para recperar sistemas #
ser*icios tan pronto como sea posi(le4+ los procedimientos tam(i<n de(en contemplar 1*er
tam(i<n 0$E$F49
14 anlisis e identi!icacin de la casa del incidenteR
")
24 plani!icacin e implementacin de solciones para e*itar la repeticin del mismo+ si
reslta necesarioR
E4 recoleccin de pistas de aditor;a # e*idencia similarR
F4 comnicacin con las personas a!ectadas o in*olcradas con la recperacin+ del
incidenteR
.4 noti!icacin de la accin a la atoridad pertinenteR
c4 Se de(en recolectar 1*er 12$1$74 # proteger pistas de aditor;a # e*idencia similar+ seg'n
corresponda+ para9
14 anlisis de pro(lemas internos9
24 so como e*idencia en relacin con na pro(a(le *iolacin de contrato+ de re%isito
normati*o+ o en el caso de n proceso Ndicial ci*il o criminal+ por eN$ por aplicacin de
legislacin so(re proteccin de datos o !rade in!ormticoR
E4 negociacin de compensaciones por parte de los pro*eedores de so!tOare # de
ser*iciosR
d4 Se de(en implementar controles detallados # !ormali:ados de las acciones de recperacin
respecto de las *iolaciones de la segridad # de correccin de !allas del sistema$ )os
procedimientos de(en garanti:ar %e 9
14 slo se otorga acceso a los sistemas # datos e8istentes al personal claramente
identi!icado # atori:ado 1*er tam(i<n F$2$2 en relacin con el acceso de terceros4R
24 todas las acciones de emergencia emprendidas son docmentadas en !orma detallada
E4 la acciones de emergencia se comnican a la gerencia # se re*isan sistemticamenteR
F4 la integridad de los controles # sistemas de la empresa se constata en n pla:o
m;nimo$
/$%$) Se;aracin de f3ncione5
)a separacin de !nciones es n m<todo para redcir el riesgo de mal so+ accidental o deli(erado
del sistema$ Se de(e considerar la separacin de la gestin o eNeccin de ciertas tareas o reas de
responsa(ilidad+ a !in de redcir las oportnidades de modi!icacin no atori:ada o mal so de la
in!ormacin o los ser*icios$
)as pe%eMas organi:aciones peden encontrar este m<todo de control di!;cil de cmplir+ pero el
principio de(e aplicarse en la medida de lo posi(le$ Siempre %e sea di!;cil lle*ar a ca(o la
separacin+ se de(en tener en centa otros controles como el monitoreo de las acti*idades+ las pistas
de aditor;a # la sper*isin gerencial$ Es importante %e la aditor;a de segridad permane:ca
independiente$ Se de(en tomar recados para %e ningna persona peda perpetrar n !rade en
reas de responsa(ilidad 'nica sin ser detectada$ El inicio de n e*ento de(e estar separado de s
atori:acin$ Se de(en considerar los sigientes pntos$
a4 Es importante separar acti*idades %e re%ieren conni*encia para de!radar+ por eN$ e!ectar
na orden de compra # *eri!icar %e la mercader;a !e reci(ida$
(4 Si e8iste peligro de conni*encia+ los controles de(en ser diseMados de manera tal %e dos o
ms personas de(an estar in*olcradas+ redciendo de ese modo la posi(ilidad de
conspiracin$
/$%$* Se;aracin en8re in58alacione5 de de5arrollo e in58alacione5 o;era8i:a5
)a separacin entre las instalaciones de desarrollo+ pre(a # operaciones es importante para lograr
la separacin de los roles in*olcradas$ Se de(en de!inir # docmentar las reglas para la
trans!erencia de so!tOare desde el estado de desarrollo "acia el estado operati*o$
)as acti*idades de desarrollo # pre(a peden ocasionar pro(lemas gra*es+ como la modi!icacin no
deseada de arc"i*os o sistemas+ o la recti!icacin no deseada de !allas de sistemas$ Se de(e
"*
Es%ema 1 I ,AM& 9
considerar el ni*el de separacin %e reslta necesario entre los am(ientes operati*os+ de pre(a #
de desarrollo+ a !in de pre*enir pro(lemas operati*os$ 7am(i<n se de(e implementar na separacin
similar entre las !nciones de desarrollo # pre(a$ En este caso+ e8iste la necesidad de mantener n
am(iente conocido # esta(le en el cal pedan lle*arse a ca(o pre(as signi!icati*as e impedirse
accesos inadecados por parte del personal de desarrollo$
Si el personal de desarrollo # pre(a tiene acceso al sistema %e esta operati*o # a s in!ormacin+
<ste pede ser capa: de introdcir l;neas de cdigos no atori:ados o no pro(ados+ o alterar los
datos de las operaciones$ En algnos sistemas esta capacidad pede ser tili:ada inadecadamente
para perpetrar !rade+ o para introdcir programas no pro(ados o maliciosos$ Estos programas
peden ocasionar gra*es pro(lemas operati*os$ El personal de desarrollo # pre(as tam(i<n plantea
na amena:a a la con!idencialidad de la in!ormacin operati*o$
)as acti*idades de desarrollo # pre(as peden prodcir cam(ios no plani!icados en el so!tOare # la
in!ormacin si los sistemas comparten el mismo am(iente in!ormtico$ )a separacin entre las
instalaciones de desarrollo+ pre(as # operaciones es por tanto desea(le+ a !in de redcir el riesgo de
cam(ios accidentales o accesos no atori:ados al so!tOare operati*o # a los datos del negocio$ Se
de(en tener en centa los sigientes controles$
a4 El so!tOare en desarrollo # en operaciones de(e+ en la medida de lo posi(le+ eNectarse en
di!erentes procesadores o en di!erentes dominios o directorios$
(4 En la medida de lo posi(le+ las acti*idades de desarrollo # pre(a de(en estar separadas$
c4 Cando no es re%erido+ los compiladores+ editores # otros tilitarios del sistema no de(en ser
accesi(les desde los sistemas %e estn operati*os$
d4 Se de(en tili:ar di!erentes procedimientos de cone8in 1Plog&onP4 para sistemas en
operaciones # de pre(a+ a !in de redcir el riesgo de error$ Se de(e alentar a los sarios a
tili:ar di!erentes contraseMas para estos sistemas+ # los men's de(en desplegar adecados
mensaNes de identi!icacin$
e4 El personal de desarrollo slo de(e tener acceso a las contraseMas operati*as+ por%e all;
estn adecadamente (icados los controles de emisin de contraseMas para el apo#o de los
sistemas %e se encentran operati*os$ Estos controles de(en garanti:ar %e dic"as
contraseMas se modi!i%en na *e: tili:adas$
/$%$, Admini58racin de in58alacione5 e<8erna5
El empleo de n contratista e8terno para la administracin de las instalaciones de procesamiento de
in!ormacin pede introdcir potenciales e8posiciones al riesgo en materia de segridad+ como la
posi(ilidad de compromiso+ daMo o p<rdida de datos en la sede del contratista$ Estos riesgos de(en
ser identi!icados con anticipacin+ # de(en acordarse controles adecados con el contratista e
inclirse en el contrato 1*er tam(i<n F$2$2 # F$E para orientacin con respecto a contratos con
terceros %e contemplan el acceso a instalaciones de la organi:acin # contratos de terceri:acin4
Se de(en a(ordar+ entre otras+ las sigientes cestiones espec;!icas9
a4 identi!icar las aplicaciones sensi(les o cr;ticas %e con*ienen retener en la organi:acinR
(4 o(tener la apro(acin de los propietarios de aplicaciones comercialesR
c4 implicancias para la continidad de los planes comercialesR
d4 estndares de segridad a especi!icar+ # el proceso de medicin del cmplimientoR
e4 asignacin de responsa(ilidades espec;!icas # procedimientos para monitorear con e!icacia
todas las acti*idades de segridad pertinentes
!4 responsa(ilidades # procedimientos de comnicacin # maneNo de incidentes relati*os a la
segridad 1*er 2$1$E4$
",
/$ !lanificacin = a;ro9acin de 5i58ema5
O(Neti*o 9 Minimi:ar el riesgo de !allas en los sistemas$
Se re%iere na plani!icacin # preparacin anticipada para garanti:ar la disponi(ilidad de capacidad
# recrsos adecados$
5e(en reali:arse pro#ecciones para !tros re%erimientos de capacidad+ a !in de redcir el riesgo de
so(recarga del sistema$ Se de(en esta(lecer+ docmentar # pro(ar los re%erimientos operati*os de
ne*os sistemas antes de s apro(acin # so$
/$$% !lanificacin de la ca;acidad
Se de(en monitorear las demandas de capacidad # reali:ar pro#ecciones de los !tros
re%erimientos de capacidad+ a !in de garanti:ar la disponi(ilidad del poder de procesamiento #
almacenamiento adecados$ Estas pro#ecciones de(en tomar en centa los ne*os re%erimientos
de negocios # sistemas # las tendencias actales # pro#ectadas en el procesamiento de la
in!ormacin de la organi:acin$
)as comptadoras Pmain!rameP re%ieren especial atencin+ de(ido al ma#or costo # pla:o de espera
para la o(tencin de ne*a capacidad$ )os administradores de ser*icios main!rame de(en
monitorear la tili:acin de los recrsos cla*e del sistema+ incl#endo procesadores+ almacenamiento
principal+ almacenamiento de arc"i*os+ impresoras # otros medios de salida 1PotptP4+ # sistemas de
comnicaciones$ =stos de(en identi!icar las tendencias de so+ particlarmente en relacin con las
aplicaciones comerciales o las "erramientas de sistemas de in!ormacin de gestin$
)os gerentes de(en tili:ar esta in!ormacin para identi!icar # e*itar potenciales cellos de (otella
%e podr;an plantear na amena:a a la segridad del sistema o a los ser*icios del sario+ #
plani!icar na adecada accin correcti*a$$
/$$ A;ro9acin del 5i58ema
Se de(en esta(lecer criterios de apro(acin para ne*os sistemas de in!ormacin+ actali:aciones
1PpgradesP4 # ne*as *ersiones+ # se de(en lle*ar a ca(o adecadas pre(as de los sistemas antes
de s apro(acin$ )os gerentes de(en garanti:ar %e los re%erimientos # criterios de apro(acin de
ne*os sistemas sean claramente de!inidos+ acordados+ docmentados # pro(ados$ Se de(en
considerar los sigientes pntos9
a4 desempeMo # re%erimientos de capacidad de las comptadorasR
(4 recperacin ante errores # procedimientos de reinicio+ # planes de contingenciaR
c4 preparacin # pre(a de procedimientos operati*os de rtina seg'n estndares de!inidos
d4 conNnto acordado de controles de segridad implementados
e4 procedimientos manales e!icacesR
!4 disposiciones relati*as a la continidad de los negocios+ seg'n lo re%erido en el pnto 11$1
g4 e*idencia %e la instalacin del ne*o sistema no a!ectar negati*amente los sistemas
e8istentes+ especialmente en los per;odos pico de procesamiento+ como drante los 'ltimos
d;as del mes
"4 e*idencia de %e se "a tomado en centa el e!ecto %e tiene el ne*o sistema en la
segridad glo(al de la organi:acin
i4 entrenamiento en la operacin o so de ne*os sistemas$
-ara los principales ne*os desarrollos+ las !nciones # sarios de operaciones de(en ser
consltados en todas las etapas del proceso de desarrollo para garanti:ar la e!iciencia operati*a del
diseMo propesto del sistema$ 5e(en lle*arse a ca(o pre(as apropiadas para constatar el
cmplimiento ca(al de todos los criterios de apro(acin$
"-
Es%ema 1 I ,AM& 9
/$" !ro8eccin con8ra 5of8Aare malicio5o
O(Neti*o 9 -roteger la integridad del so!tOare # la in!ormacin$
Es necesario tomar precaciones para pre*enir # detectar la introdccin de so!tOare malicioso$
El so!tOare # las instalaciones de procesamiento de in!ormacin son *lnera(les a la introdccin de
so!tOare malicioso como+ por eN$+ *irs in!ormticos+ POormsP de red+ Ptro#anosP 1*er tam(i<n 10$.$F4 #
(om(as lgicas$ Se de(e concienti:ar a los sarios acerca de los peligros del so!tOare no
atori:ado o malicioso+ # los administradores de(en+ cando corresponda+ introdcir controles
especiales para detectar o pre*enir la introdccin de los mismos$ En particlar+ es esencial %e se
tomen precaciones para detectar # pre*enir *irs in!ormticos en comptadoras personales$
/$"$% Con8role5 con8ra 5of8Aare malicio5o
Se de(en implementar controles de deteccin # pre*encin para la proteccin contra so!tOare
malicioso+ # procedimientos adecados de concienti:acin de sarios$ )a proteccin contra
so!tOare malicioso de(e (asarse en la concienti:acin en materia de segridad # en controles
adecados de acceso al sistema # administracin de cam(ios$
Se de(en tener en centa los sigientes controles9
a4 na pol;tica !ormal %e re%iera el so de so!tOare con licencia # pro";(a el so de so!tOare
no atori:ado 1*er 12$1$2$24R
(4 na pol;tica !ormal con el !in de proteger contra los riesgos relacionados con la o(tencin de
arc"i*os # so!tOare desde o a tra*<s de redes e8ternas+ o por cal%ier otro medio+ seMalando
%< medidas de proteccin de(er;an tomarse 1*er tam(i<n 10$.+ especialmente 10$.$F # 1
0$.$.4R
c4 instalacin # actali:acin peridica de so!tOare de deteccin # reparacin anti&*irs+ para
e8aminar comptadoras # medios in!ormticos+ #a sea como medida precatoria o rtinaria+
d4 reali:acin de re*isiones peridicas del contenido de so!tOare # datos de los sistemas %e
sstentan procesos cr;ticos de al empresa$ )a presencia de arc"i*os no apro(ados o
modi!icaciones no atori:adas de(e ser in*estigada !ormalmenteR
e4 *eri!icacin de la presencia de *irs en arc"i*os de medios electrnicos de origen incierto o
no atori:ado+ o en arc"i*os reci(idos a tra*<s de redes no con!ia(les+ antes de s soR
!4 *eri!icacin de la presencia de so!tOare malicioso en arc"i*os adNntos a mensaNes de correo
electrnico # arc"i*os descargados por Internet 1PdoOnloadsP4 antes de s so$ Esta
*eri!icacin pede lle*arse a ca(o en di!erentes lgares+ por eN$ en ser*idores de correo
electrnico+ comptadoras de escritorio o al ingresar en la red de la organi:acinR
g4 procedimientos # responsa(ilidades gerenciales para administrar la proteccin contra *irs en
los sistemas+ el entrenamiento con respecto a s so+ la comnicacin # la recperacin
!rente a ata%es 1*er 0$E # 2$1$E4
"4 adecados planes de continidad de los negocios para la recperacin respecto de ata%es
de *irs+ incl#endo todos los datos necesarios+ el resgardo del so!tOare # las disposiciones
para la recperacin 1*er el pnto 114
i4 procedimientos para *eri!icar toda la in!ormacin relati*a a so!tOare malicioso+ # garanti:ar
%e los (oletines de alerta sean e8actos e in!ormati*os$ )os gerentes de(en garanti:ar %e
se tili:an !entes cali!icadas+ por eN$ p(licaciones acreditadas+ sitios de Internet o
pro*eedores de so!tOare anti&*irs con!ia(les+ para di!erenciar entre *irs !alaces # reales$ Se
de(e concienti:ar al personal acerca del pro(lema de los *irs !alsos 1"oa84 # de %< "acer al
reci(irlos$
Estos controles son especialmente importantes para ser*idores de arc"i*os de red %e (rindan
soporte a n gran n'mero de estaciones de tra(aNo$
"/
/$) Man8enimien8o
O(Neti*o9 Mantener la integridad # disponi(ilidad de los ser*icios de procesamiento # comnicacin
de in!ormacin$
Se de(en esta(lecer procedimientos de rtina para lle*ar a ca(o la estrategia de resgardo acordada
1*er 11$14 reali:ando copias de resgardo de los datos # ensa#ando s resta(lecimiento oportno+
registrando e*entos # !allas #+ cando corresponda+ monitoreando el entorno del e%ipamiento$
/$)$% Re5g3ardo de la informacin
Se de(en reali:ar peridicamente copias de resgardo de la in!ormacin # el so!tOare esenciales
para la empresa$ Se de(e contar con adecadas instalaciones de resgardo para garanti:ar %e toda
la in!ormacin # el so!tOare esencial de la empresa pede recperarse na *e: ocrrido n desastre
o !alla de los dispositi*os$ )as disposiciones para el resgardo de cada no de los sistemas de(en
ser pro(adas peridicamente para garanti:ar %e cmplen con los re%erimientos de los planes de
continidad de los negocios 1*er pnto 114$ Se de(en tener en centa los sigientes controles$
a4 Se de(e almacenar en na (icacin remota n ni*el m;nimo de in!ormacin de resgardo+
Nnto con registros e8actos # completos de las copias de resgardo # los procedimientos
docmentados de restaracin+ a na distancia s!iciente como para e*itar daMos
pro*enientes de n desastre en el sitio principal$ Se de(en retener al menos tres
generaciones o ciclos de in!ormacin de resgardo para aplicaciones importantes de la
empresa$
(4 Se de(e asignar a la in!ormacin de resgardo n ni*el adecado de proteccin !;sica #
am(iental 1*er pnto 74 consecente con los estndares aplicados en el sitio principal$ )os
controles aplicados a los dispositi*os en el sitio principal de(en e8tenderse para c(rir el sitio
de resgardo$
c4 )os medios de resgardo de(en pro(arse peridicamente+ cando sea !acti(le+ a !in de
garanti:ar la con!ia(ilidad de los mismos con relacin a s e*ental so en casos de
emergencia$
d4 )os procedimientos de restaracin de(en *eri!icarse # pro(arse peridicamente para
garanti:ar s e!icacia # cmplimiento dentro del tiempo asignado a la recperacin en los
procedimientos operati*os$
Se de(e determinar el per;odo de garda de la in!ormacin esencial para la empresa+ # tam(i<n los
re%erimientos de copias de arc"i*os %e "an de gardarse en !orma permanente 1*er 12$1$E4$
/$)$ Regi58ro de ac8i:idade5 del ;er5onal o;era8i:o
El personal operati*o de(e mantener n registro de ss acti*idades$ )os registros de(en inclir+
seg'n corresponda9
a4 tiempos de inicio # cierre del sistema
(4 errores del sistema # medidas correcti*as tomadas
c4 con!irmacin del maneNo correcto de arc"i*os de datos # salidas
d4 el nom(re de la persona %e lle*a a ca(o la actali:acin del registro
)os registros de acti*idades del personal operati*o de(en estar sNetos a *eri!icaciones peridicas e
independientes con relacin a los procedimientos operati*os$
/$)$" Regi58ro de falla5
"0
Es%ema 1 I ,AM& 9
Se de(en comnicar las !allas # tomar medidas correcti*as$ Se de(e registrar las !allas comnicadas
por los sarios+ con respecto a pro(lemas con el procesamiento de la in!ormacin o los sistemas de
comnicaciones$ 5e(en e8istir reglas claras para el maneNo de las !allas comnicadas+ con inclsin
de9
a4 re*isin de registros de !allas para garanti:ar %e las mismas !eron reseltas
satis!actoriamente
(4 re*isin de medidas correcti*as para garanti:ar %e los controles no !eron comprometidos+ #
%e las medidas tomadas !eron de(idamente atori:adas$
/$* Admini58racin de la red
O(Neti*o9 >aranti:ar la segridad de la in!ormacin en las redes # la proteccin de la in!raestrctra
de apo#o$ Es de sma importancia la administracin de segridad de las redes %e peden atra*esar
el per;metro de la organi:acin$
7am(i<n peden re%erirse controles adicionales para los datos sensi(les %e circlen por redes
p'(licas$
/$*$% Con8role5 de rede5
Se re%iere n conNnto de controles para lograr # mantener la segridad de las redes in!ormticas$
)os administradores de redes de(en implementar controles para garanti:ar la segridad de los datos
en la misma+ # la proteccin de los ser*icios conectados contra el acceso no atori:ado+ En
particlar+ se de(en considerar los sigientes ;tems$
a4 Cando corresponda+ la responsa(ilidad operati*a de las redes de(e estar separada de las de
operaciones del comptador 1*er 2$1$F4$
(4 Se de(en esta(lecer los procedimientos # responsa(ilidades para la administracin del
e%ipamiento remoto+ incl#endo los e%ipos en las reas sarias
c4 Si reslta necesario+ de(en esta(lecerse controles especiales para sal*agardar la
con!idencialidad e integridad del procesamiento de los datos %e pasan a tra*<s de redes
p'(licas+ # para proteger los sistemas conectados 1*er 9$F # 10$E4$ 7am(i<n peden
re%erirse controles especiales para mantener la disponi(ilidad de los ser*icios de red #
comptadoras conectadas$
d4 )as acti*idades gerenciales de(en estar estrec"amente coordinadas tanto para optimi:ar el
ser*icio a la acti*idad de la empresa canto para garanti:ar %e los controles se aplican
ni!ormemente en toda la in!raestrctra de procesamiento de in!ormacin$
/$, Admini58racin = 5eg3ridad de lo5 medio5 de almacenamien8o
O(Neti*o 9 Impedir el daMo a los acti*os # las interrpciones en las acti*idades de la empresa$
)os medios de almacenamiento de(en ser controlados # protegidos !;sicamente$ Se de(en
esta(lecer procedimientos operati*os apropiados para proteger docmentos+ medios de
almacenamiento 1cintas+ discos+ casetes4+ datos de entrada/salida # docmentacin del sistema
contra daMo+ ro(o # acceso no atori:ado$
/$,$% Admini58racin de medio5 informD8ico5 remo:i9le5
5e(en e8istir procedimientos para la administracin de medios in!ormticos remo*i(les+ como cintas+
discos+ casetes e in!ormes impresos$ Se de(en considerar los sigientes lineamientos9
)1
a4 si #a no son re%eridos+ de(en (orrarse los contenidos pre*ios de cal%ier medio retili:a(le
%e "a de ser retirado de la organi:acin$
(4 Se de(e re%erir atori:acin para retirar cal%ier medio de la organi:acin # se de(e
reali:ar n registro de todos los retiros a !in de mantener na pista de aditor;a 1*er 2$7$24$
c4 7odos los medios de(en almacenarse en n am(iente segro # protegido+ de acerdo con las
especi!icaciones de los !a(ricantes o pro*eedores$
7odos los procedimientos # ni*eles de atori:acin de(en ser claramente docmentados$
/$,$ Eliminacin de medio5 informD8ico5
Cando #a no son re%eridos+ los medios in!ormticos de(en eliminarse de manera segra$ Si los
mismos no se eliminan cidadosamente+ la in!ormacin sensi(le pede !iltrarse a personas aNenas a
la organi:acin$ Se de(en esta(lecer procedimientos !ormales para la eliminacin segra de los
medios in!ormticos+ a !in de minimi:ar este riesgo$ 5e(en considerarse los sigientes controles$
a4 )os medios %e contienen in!ormacin sensi(le de(en ser almacenados # eliminados de
manera segra+ por eN$ incinerndolos o "aci<ndolos tri:as+ o eliminando los datos # tili:ando
los medios en otra aplicacin dentro de la organi:acin$
(4 El sigiente listado identi!ica ;tems %e podr;an re%erir na eliminacin segra9
14 docmentos en papel+
24 *oces otras gra(acionesR
E4 papel car(nicoR
F4 in!ormes de salida+
.4 cintas de impresora de n solo soR
04 cintas magn<ticasR
74 discos o casetes remo*i(lesR
24 medios de almacenamiento ptico 1todos los !ormatos incl#endo todos los medios
de distri(cin de so!tOare del !a(ricante o pro*eedor4R
94 listados de programasR
104 datos de pre(aR
114 docmentacin del sistema+
c4 -ede resltar ms !cil disponer %e todos los medios sean recolectados # eliminados de
manera segra+ antes %e intentar separar los ;tems sensi(les$
d4 Mc"as organi:aciones o!recen ser*icios de recoleccin # eliminacin de papeles+ e%ipos #
medios$ Se de(e seleccionar cidadosamente a n contratista apto con adecados controles
# e8periencia$
e4 Cando sea posi(le+ se de(e registrar la eliminacin de los ;tems sensi(les+ a !in de mantener
na pista de aditor;a$
Al acmlar medios para s eliminacin+ se de(e considerar el e!ecto de acmlacin+ %e pede
ocasionar %e na gran cantidad de in!ormacin no clasi!icada se torne ms sensi(le %e na
pe%eMa cantidad de in!ormacin clasi!icada$
/$,$" !rocedimien8o5 de mane@o de la informacin
Se de(en esta(lecer procedimientos para el maneNo # almacenamiento de la in!ormacin para
protegerla contra s so inadecado o di*lgacin no atori:ada$ )os procedimientos de maneNo de
in!ormacin de(en ela(orarse seg'n la clasi!icacin de la misma 1*er .$24 en docmentos+ sistemas
in!ormticos+ redes+ comptacin m*il+ comnicaciones m*iles+ correo+ correo de *o:+
comnicaciones de *o: en general+ mltimedia+ ser*icios e instalaciones postales+ so de m%inas
de !a8 # cal%ier otro ;tem sensi(le+ por eN$ !actras # c"e%es en (lanco$ Se de(en tener en centa
los sigientes controles 1*er tam(i<n .$2 # 2$7$249
)%
Es%ema 1 I ,AM& 9
a4 maneNo # rotlado de todos los medios 1*er tam(i<n 2$7$2 a4R
(4 restriccin de acceso para identi!icar al personal no atori:adoR
c4 mantenimiento de n registro !ormal de los receptores atori:ados de datosR
d4 garanti:ar %e los datos de entrada son completos+ %e el procesamiento se lle*a a ca(o
correctamente # %e se aplica la *alidacin de salidasR
e4 proteccin de datos en espera 1Pspooled dataP4 en n ni*el consecente con el grado de
sensi(ilidad de los mismos
!4 almacenamiento de medios en n am(iente %e concerda con las especi!icaciones de los
!a(ricantes o pro*eedores
g4 mantener la distri(cin de datos en n ni*el m;nimo
"4 marcacin clara de todas las copias de datos a !in de ser ad*ertidas por el receptor atori:ado
i4 re*isin de listados de distri(cin # listados de receptores atori:ados a inter*alos reglares$
/$,$) Seg3ridad de la doc3men8acin del 5i58ema
)a docmentacin del sistema pede contener cierta cantidad de in!ormacin sensi(le+ por eN$
descripcin de procesos de aplicaciones+ procedimientos+ estrctras de datos+ procesos de
atori:acin 1*er tam(i<n 9$14$ Se de(en considerar los sigientes controles para proteger la
docmentacin del sistema de accesos no atori:ados$
a4 )a docmentacin del sistema de(e ser almacenada en !orma segraR
(4 El listado de acceso a la docmentacin del sistema de(e restringirse al m;nimo # de(e ser
atori:ado por el propietario de la aplicacinR
c4 )a docmentacin del sistema almacenada en na red p'(lica+ o sministrada a tra*<s de
na red p'(lica+ de(e ser protegida de manera adecadaR
/$- In8ercam9io5 de informacin = 5of8Aare
O(Neti*o9 Impedir la p<rdida+ modi!icacin o so inadecado de la in!ormacin %e intercam(ian las
organi:aciones$
)os intercam(ios de in!ormacin # so!tOare entre organi:aciones de(en ser controlados+ # de(en ser
consecentes con la legislacin aplica(le 1*er pnto 124$ )os intercam(ios de(en lle*arse a ca(o de
con!ormidad con los acerdos e8istentes$ Se de(en esta(lecer procedimientos # estndares para
proteger la in!ormacin # los medios en trnsito$ Se de(en considerar las implicancias comerciales #
de segridad relacionadas con el intercam(io electrnico de datos+ el comercio electrnico # el correo
electrnico+ adems de los re%erimientos de controles$
/$-$% Ac3erdo5 de in8ercam9io de informacin = 5of8Aare
Se de(en esta(lecer acerdos+ algnos de los cales peden ser !ormales+ incl#endo los acerdos
de cstodia de so!tOare cando corresponda+ para el intercam(io de in!ormacin # so!tOare 1tanto
electrnico como manal4 entre organi:aciones$ )as especi!icaciones de segridad de los acerdos
de esta ;ndole de(en re!leNar el grado de sensi(ilidad de la in!ormacin de negocio in*olcrada$ )os
acerdos so(re re%isitos de segridad de(en tener en centa
a4 responsa(ilidades gerenciales por el control # la noti!icacin de transmisiones+ en*;os #
recepciones R
(4 procedimientos de noti!icacin de emisor+ transmisin+ en*;o # recepcinR
c4 estndares t<cnicos m;nimos para armado de pa%etes # transmisinR
d4 estndares de identi!icacin de mensaNeros 1VcorierW4R
e4 responsa(ilidades # o(ligaciones en caso de p<rdida de datos
)
!4 so de n sistema con*enido para el rotlado de in!ormacin cr;tica o sensi(le+ garanti:ando
%e el signi!icado de los rtlos sea inmediatamente comprendido # %e la in!ormacin sea
adecadamente protegidaR
g4 in!ormacin so(re la propiedad de la in!ormacin # el so!tOare+ # responsa(ilidades por la
proteccin de los datos+ el cmplimiento del Pderec"o de propiedad intelectalP del so!tOare #
consideraciones similares 1*er 12$1$2 # 12$1$F4 R
1
"4 estndares t<cnicos para la gra(acin # lectra de la in!ormacin # so!tOare R
i4 controles especiales %e peden re%erirse para proteger ;tems sensi(les+ como las cla*es
criptogr!icas 1*er 10$E$.4$
/$-$ Seg3ridad de lo5 medio5 en 8rDn5i8o
)a in!ormacin pede ser *lnera(le a accesos no atori:ados+ mal so o alteracin drante el
transporte !;sico+ por eNemplo cando se en*;an medios a tra*<s de ser*icios postales o de
mensaNer;a$
)os sigientes controles de(en ser aplicados para sal*agardar los medios in!ormticos %e se
transportan entre distintos pntos$
a4 Se de(en tili:ar medios de transporte o ser*icios de mensaNer;a con!ia(les$ Se de(e acordar
con la gerencia na lista de ser*icios de mensaNer;a atori:ados e implementar n
procedimiento para *eri!icar la identi!icacin de los mismos$
(4 El em(alaNe de(e ser s!iciente como para proteger el contenido contra e*entales daMos
!;sicos drante el trnsito # de(e segir las especi!icaciones de los !a(ricantes o pro*eedores$
c4 Se de(en adoptar controles especiales+ cando reslte necesario+ a !in de proteger la
in!ormacin sensi(le contra di*lgacin o modi!icacin no atori:adas$ Entre los eNemplos se
incl#en
14 so de recipientes cerradosR
24 entrega en manoR
E4 em(alaNe a pre(a de apertra no atori:ada 1%e re*ele cal%ier intento de acceso4R
F4 en casos e8cepcionales+ di*isin de la mercader;a a en*iar en ms de na entrega #
en*;o por di!erentes rtas$
/$-$" Seg3ridad del comercio elec8rnico
El comercio electrnico pede comprender el so de intercam(io electrnico de datos 1E5I4+ correo
electrnico # transacciones en l;nea a tra*<s de redes p'(licas como Internet$ El comercio electrnico
es *lnera(le a di*ersas amena:as relati*as a redes+ %e peden tener como resltado acti*idades
!radlentas+ disptas contractales # di*lgacin o modi!icacin de in!ormacin$ Se de(en aplicar
controles para proteger al comercio electrnico de dic"as amena:as$ )as consideraciones en materia
de segridad con respecto al comercio electrnico de(en inclir las sigientes9
a4 Atenticacin$ Q< ni*el de con!ian:a rec;proca de(en re%erir el cliente # comerciante con
respecto a la identidad alegada por cada no de ellosA
(4 Atori:acin$ Qi<n est atori:ado a !iNar precios+ emitir o !irmar los docmentos comerciales
cla*eA Cmo conoce este pnto el otro participante de la transaccin$
c4 -rocesos de o!erta # contratacin$ Cles son los re%erimientos de con!idencialidad+
integridad # pre(a de en*;o # recepcin de docmentos cla*e # de no repdio de contratosA
d4 In!ormacin so(re !iNacin de precios$ Q< ni*el de con!ian:a pede depositarse en la
integridad del listado de precios p(licado # en la con!idencialidad de los acerdos relati*as a
descentosA
)"
Es%ema 1 I ,AM& 9
e4 7ransacciones de compra$ Cmo es la con!idencialidad e integridad de los datos
sministrados con respecto a rdenes+ pagos # direcciones de entrega+ # con!irmacin de
recepcinA
!4 Beri!icacin$ Q< grado de *eri!icacin es apropiado para constatar la in!ormacin de pago
sministrada por el clienteA
g4 Cierre de la transaccin$ Cl es !orma de pago ms adecada para e*itar !radesA
"4 Ordenes$ Q< proteccin se re%iere para mantener la con!idencialidad e integridad de la
in!ormacin so(re rdenes de compra # para e*itar la p<rdida o dplicacin de transacciones$
i4 ,esponsa(ilidad$ Qi<n asme el riesgo de e*entales transacciones !radlenta
>ran parte de las consideraciones mencionadas peden resol*erse mediante la aplicacin de las
t<cnicas criptogr!icas enmeradas en el pnto 10$E+ tomando en centa el cmplimiento de los
re%isitos legales 1*er 12$1+ en particlar los pntos 12$1$0 para legislacin so(re criptogra!;a4$
)os acerdos de comercio electrnico entre partes+ de(en ser respaldados por n acerdo
docmentado %e comprometa a las mismas a respetar los t<rminos # condiciones acordados+
incl#endo los detalles de atori:acin T*er el pnto (4+ ms arri(aU$ -eden re%erirse otros
acerdos con pro*eedores de ser*icios de in!ormacin # de redes %e aporten (ene!icios
adicionales$
)os sistemas p'(licos de transacciones de(en dar a conocer a ss clientes ss t<rminos #
condiciones comerciales$
Se de(e tomar en centa la resistencia a ata%es con %e centa el P"ostP tili:ado para el comercio
electrnico+ # las implicancias de segridad de las intercone8iones de red %e se re%ieren para s
implementacin 1*er 9$F$74$
/$-$) Seg3ridad del correo elec8rnico
/$-$)$% Rie5go5 de 5eg3ridad
El correo electrnico se est tili:ando para las comnicaciones comerciales+ en reempla:o de las
!ormas tradicionales de comnicacin como el tele8 # el correo postal$ El correo electrnico di!iere
de las !ormas tradicionales de comnicaciones comerciales por s *elocidad+ estrctra de
mensaNes+ grado de in!ormalidad # *lnera(ilidad a las acciones no atori:adas$ Se de(e tener en
centa la necesidad de controles para redcir los riesgos de segridad creados por el correo
electrnico$ )os riesgos relati*os a la segridad comprenden 9
a4 *lnera(ilidad de los mensaNes al acceso o modi!icacin no atori:ados o a la negacin de
ser*icio
(4 *lnera(ilidad a errores+ por eN$+ consignacin incorrecta de la direccin o direccin errnea+ #
la con!ia(ilidad # disponi(ilidad general del ser*icio R
c4 impacto de n cam(io en el medio de comnicacin en los procesos de negocio+ por eN$+ el
e!ecto del incremento en la *elocidad de en*;o o el e!ecto de en*iar mensaNes !ormales de
persona a persona en lgar de mensaNes entre organi:aciones
d4 consideraciones legales+ como la necesidad potencial de contar con pre(a de origen+ en*;o+
entrega # aceptacin
e4 implicancias de la p(licacin e8terna de listados de personal+ accesi(les al p'(lico R
!4 control del acceso de sarios remotos a las centas de correo electrnico$
/$-$)$ !ol8ica de correo elec8rnico
))
)as organi:aciones de(en ela(orar na pol;tica clara con respecto al so del correo electrnico+ %e
incl#a los sigientes tpicos9
a4 ata%es al correo electrnico+ por eN$ *irs+ interceptacin
(4 proteccin de arc"i*os adNntos de correo electrnicoR
c4 lineamientos so(re cando no tili:ar correo electrnicoR
d4 responsa(ilidad del empleado de no comprometer a la organi:acin+ por eN$ en*iando correos
electrnicos di!amatorios+ lle*ando a ca(o prcticas de "ostigamiento+ o reali:ando compras
no atori:adasR
e4 so de t<cnicas criptogr!icas para proteger la con!idencialidad e integridad de los mensaNes
electrnicos 1*er 10$E4
!4 retencin de mensaNes %e+ si se almacenaran+ podr;an ser "allados en caso de litigioR
g4 controles adicionales para e8aminar mensaNes electrnicos %e no peden ser atenticados$
/$-$* Seg3ridad de lo5 5i58ema5 elec8rnico5 de oficina
Se de(en preparar e implementar pol;ticas # lineamientos para controlar las acti*idades de la
empresa # riesgos de segridad relacionados con los sistemas electrnicos de o!icina$ =stos
propician la di!sin # distri(cin ms rpidas de la in!ormacin de la empresa mediante na
com(inacin de docmentos+ comptadoras+ comptacin m*il+ comnicaciones m*iles+ correo+
correo de *o:+ comnicaciones de *o: en general+ mltimedia+ ser*icios o instalaciones postales #
m%inas de !a8$
)as consideraciones respecto de las implicancias de segridad # comerciales al interconectar tales
ser*icios+ de(en inclir9
a4 *lnera(ilidades de la in!ormacin en los sistemas de o!icina+ por eN$ la gra(acin de llamadas
tele!nicas o tele con!erencias+ la con!idencialidad de las llamadas+ el almacenamiento de
!a8es+ la apertra o distri(cin del correoR
(4 pol;tica # controles apropiados para administrar la distri(cin de in!ormacin+ por eN$ el so
de (oletines electrnicos corporati*os 1*er 9$14
c4 e8clsin de categor;as de in!ormacin sensi(le de la empresa+ si el sistema no (rinda n
adecado ni*el de proteccin 1*er .$24
d4 limitacin del acceso a la in!ormacin de agenda de personas determinadas+ por eN$ el
personal %e tra(aNa en pro#ectos sensi(les R
e4 la aptitd del sistema para dar soporte a las aplicaciones de la empresa+ como la
comnicacin de rdenes o atori:aciones
!4 categor;as de personal+ contratistas o socios a los %e se permite el so del sistema # las
(icaciones desde las cales se pede acceder al mismo 1*er F$24R
g4 restriccin de determinadas instalaciones a espec;!icas categor;as de sariosR
"4 identi!icacin de la posicin o categor;a de los sarios+ por eN$ empleados de la organi:acin
o contratistas en directorios a (ene!icio de otros sarios R
i4 retencin # resgardo de la in!ormacin almacenada en el sistema 1*er 12$1$E # 2$F$14
N4 re%erimientos # disposiciones relati*os a sistemas de soporte U-C de reposicin de
in!ormacin perdida 1*er 1 1$14$
/$-$, Si58ema5 de acce5o ;E9lico
Se de(en tomar recados para la proteccin de la integridad de la in!ormacin p(licada
electrnicamente+ a !in de pre*enir la modi!icacin no atori:ada %e podr;a daMar la reptacin de la
organi:acin %e emite la p(licacin$ Es posi(le %e la in!ormacin de n sistema de acceso
p'(lico+ por eN$ la in!ormacin en n ser*idor Ke( accesi(le por Internet+ de(a cmplir con le#es+
normas # estattos de la Nrisdiccin en la cal se locali:a el sistema o en la cal tiene lgar la
)*
Es%ema 1 I ,AM& 9
transaccin$ 5e(e e8istir n proceso de atori:acin !ormal antes de %e la in!ormacin se ponga a
disposicin del p'(lico$
El so!tOare+ los datos # dems in!ormacin %e re%iera n alto ni*el de integridad+ # %e est<
disponi(le en n sistema de acceso p'(lico+ de(en ser protegidos+ mediante mecanismos
adecados+ por eN$ !irmas digitales 1*er 10$E$E4$ )os sistemas de p(licacin electrnica+ en particlar
a%ellos %e permiten P!eed(acQP e ingreso directo de in!ormacin+ de(en ser cidadosamente
controlados de manera %e9
a4 la in!ormacin se o(tenga de acerdo con la legislacin de proteccin de datos 1*er 12$1$F4R
(4 la in!ormacin %e se ingresa al sistema de p(licacin+ o a%ella %e procesa el mismo+ sea
procesada en !orma completa+ e8acta # oportnaR
c4 la in!ormacin sensi(le sea protegida drante el proceso de recoleccin # drante s
almacenamientoR
d4 el acceso al sistema de p(licacin no permita el acceso accidental a las redes a las cales
se conecta el mismo$
/$-$- O8ra5 forma5 de in8ercam9io de informacin
Se de(en implementar procedimientos # controles para proteger el intercam(io de in!ormacin a
tra*<s de medios de comnicaciones de *o:+ !a8 # *;deo$ )a in!ormacin pede *erse
comprometida de(ido a la !alta de concienti:acin+ pol;ticas o procedimientos acerca del so de
dic"os medios+ por eN$ al escc"arse na con*ersacin por tel<!ono m*il en n lgar p'(lico+ al
escc"arse los mensaNes gra(ados en n contestador atomtico+ mediante el acceso no atori:ado
a sistemas de correo de *o: por discado+ o al en*iar accidentalmente !a8es a la persona e%i*ocada$
Si los ser*icios de comnicaciones !allan+ se so(recargan o se interrmpen+ las operaciones de la
empresa podr;an *erse interrmpidas # la in!ormacin comprometerse 1*er pntos 7$2 # 1 l4$ )a
in!ormacin tam(i<n podr;a comprometerse si sarios no atori:ados acceden a estos ser*icios 1*er
pnto 94$
Se de(e esta(lecer na pol;tica clara con respecto a los procedimientos %e de(er segir el
personal al esta(lecer comnicaciones de *o:+ !a8 # *;deo$ Esta de(e inclir lo sigiente9
a4 recordar al personal %e de(e tomar las de(idas precaciones+ por eN$ no re*elar in!ormacin
sensi(le como para e*itar ser escc"ado o interceptado+ al "acer na llamada tele!nica+ por9
14 personas cercanas+ en especial al tili:ar tel<!onos m*ilesR
24 inter*encin de la l;nea tele!nica+ # otras !ormas de escc"a s(repticias+ a tra*<s del
acceso !;sico al aparato o a la l;nea tele!nica+ o mediante e%ipos de (arrido de
!recencias 1VscannersW4 al tili:ar tel<!onos m*iles anlogosR
E4 personas en el lado receptorR
(4 recordar al personal %e no de(e sostener con*ersaciones con!idenciales en lgares p'(licos
o!icinas a(iertas # lgares de renin con paredes delgadasR
c4 no deNar mensaNes en contestadores atomticos pesto %e <stos peden ser escc"ados
por personas no atori:adas+ almacenados en sistemas p'(licos o almacenados
incorrectamente como resltado de n error de discado
d4 recordar al personal los pro(lemas ocasionados por el so de m%inas de !a8+ en particlar9
14 el acceso no atori:ado a sistemas incorporados de almacenamiento de mensaNes
con el o(Neto de recperarlosR
24 la programacin deli(erada o accidental de e%ipos para en*iar mensaNes a
determinados n'meros R
E4 el en*;o de docmentos # mensaNes a n n'mero e%i*ocado por errores de discado o
por tili:ar el n'mero almacenado e%i*ocado$
),
)-
Es%ema 1 I ,AM& 9
0 CONTROL DE ACCESOS
0$% Re73erimien8o5 de negocio ;ara el con8rol de acce5o5
O(Neti*o9 Controlar el acceso de in!ormacin$
El acceso a la in!ormacin # los procesos de negocio de(en ser controlados so(re la (ase de
los re%erimientos la segridad # de los negocios$
-ara esta se de(en tener en centa las pol;ticas de di!sin # atori:acin de la in!ormacin9
0$%$% !ol8ica de con8rol de acce5o5
0$%$%$% Re73erimien8o5 ;ol8ico5 = de negocio5$
Se de(en de!inir # docmentar los re%erimientos de negocio para el control de accesos$ )as reglas
# derec"os del control de accesos+ para cada sario o grpo de sarios+ de(en ser claramente
esta(lecidos en na declaracin de pol;tica de accesos$ Se de(e otorgar a los sarios #
pro*eedores de ser*icio na clara ennciacin de los re%erimientos comerciales %e de(ern
satis!acer los controles de acceso$
)a pol;tica de(e contemplar lo sigiente9
a4 re%erimientos de segridad de cada na de las aplicaciones comercialesR
(4 identi!icacin de toda in!ormacin relacionada con las aplicaciones comercialesR
c4 las pol;ticas de di*lgacin # atori:acin de in!ormacin+ por eN$+ el principio de necesidad de
conocer+ # los ni*eles de segridad # la clasi!icacin de la in!ormacinR
d4 co"erencia entre las pol;ticas de control de acceso # de clasi!icacin de in!ormacin de los
di!erentes sistemas # redes R
e4 legislacin aplica(le # o(ligaciones contractales con respecto a la proteccin del acceso a
datos # ser*icios 1*er pnto 124 R
!4 per!iles de acceso de sarios estndar+ comnes a cada categor;a de pestos de tra(aNo R
g4 administracin de derec"os de acceso en n am(iente distri(ido # de red %e recono:can
todos los tipos de cone8iones disponi(les$
0$%$%$ Regla5 de con8rol de acce5o5
Al especi!icar las reglas de control de acceso+ se de(e considerar cidadosamente lo sigiente9
a4 di!erenciar entre reglas %e siempre de(en imponerse # reglas optati*as o condicionalesR
(4 esta(lecer reglas so(re la (ase de la premisa VQ< de(e estar generalmente pro"i(ido a
menos %e se permita e8presamenteAW+ antes %e la regla mas d<(il V7odo esta generalmente
permitido a menos %e se pro";(a e8presamenteW R
c4 los cam(ios en los rtlos de in!ormacin 1*er .$24 %e son iniciados atomticamente por
las instalaciones de procesamiento de in!ormacin # a%ellos el sario inicia seg'n s
criterioR
d4 los cam(ios en los permisos de sario %e son iniciados atomticamente por el sistema de
in!ormacin # a%ellos %e inicia el administradorR
e4 las reglas %e re%ieren la apro(acin del administrador o de otros antes de entrar en
*igencia # a%ellas %e no$
)/
0$ Admini58racin de acce5o5 de 353ario5
O(Neto9 Impedir el acceso no atori:ado en los sistemas de in!ormacin$
Se de(en implementar procedimientos !ormales para controlar la asignacin de derec"os de
acceso a los sistemas # ser*icios de in!ormacin$
)os procedimientos de(en comprender todas las etapas del ciclo de *ida de los accesos de
sario+ desde el registro inicial de ne*os sarios "asta la pri*acin !inal de derec"os de los
sarios %e #a no re%ieren acceso a los sistemas # ser*icios de in!ormacin$ Se de(e
conceder especial atencin+ cando corresponda+ a la necesidad de controlar la asignacin de
derec"os de acceso de pri*ilegio+ %e permiten a los sarios pasar por alto los controles de
sistema$
0$$% Regi58racin de 353ario5
5e(e e8istir n procedimiento !ormal de registracin # desregistracin de sarios para otorgar
acceso a todos los sistemas # ser*icios de in!ormacin mlti&sario$ El acceso a ser*icios de
in!ormacin mlti&sario de(e ser controlado a tra*<s de n proceso !ormal de registracin de
sarios+ el cal de(e inclir los sigientes pntos9
a4 tili:ar I5s de sario 'nicos de manera %e se peda *inclar # "acer responsa(les a los
sarios por ss acciones$ El so de I5s grpales solo de(e ser permitido cando son
con*enientes para el tra(aNo a desarrollar R
(4 *eri!icar %e el sario tiene atori:acin del propietario del sistema para el so del sistema o
ser*icio de in!ormacin$ 7am(i<n pede resltar apropiada na apro(acin adicional de
derec"os de acceso por parte de la gerenciaR
c4 *eri!icar %e el ni*el de acceso otorgado es adecado para el propsito del negocios 1*er 9$14
# es co"erente con la pol;tica de segridad de la organi:acin+ por eN$ %e no compromete la
separacin de tareas 1*er 2$1$F4 R
d4 entregar a los sarios n detalle escrito de ss derec"os de accesoR
e4 re%erir %e los sarios !irmen declaraciones seMalando %e comprenden las condiciones
para el acceso R
!4 garanti:ar %e los pro*eedores de ser*icios no otorgan acceso "asta %e se "a#an
completado los procedimientos de atori:acin R
g4 mantener n registro !ormal de todas las personas registradas para tili:ar el ser*icio R
"4 cancelar inmediatamente los derec"os de acceso de los sarios %e cam(iaron ss tareas o
se des*inclaron de la organi:acin R
i4 *eri!icar peridicamente+ # cancelar I5s # centas de sarios redndantesR
N4 garanti:ar %e los I5s de sario redndantes no se asignen a otros sariosR
Se de(e considerar la inclsin de clslas en los contratos de personal # de ser*icios %e
especi!i%en sanciones si el personal o los agentes %e prestan n ser*icio intentan accesos no
atori:ados 1*er tam(i<n 0$1$F$ # 0$E$.$4
0$$ Admini58racin de ;ri:ilegio5
Se de(e limitar # controlar la asignacin # so de pri*ilegios 1cal%ier caracter;stica o ser*icio de n
sistema de in!ormacin mlti&sario %e permita %e el sario pase por alto los controles de
sistemas o aplicaciones4$ El so inadecado de los pri*ilegios del sistema reslta !recentemente en
el ms importante !actor %e contri(#e a la !alla de los sistemas a los %e se "a accedido
ilegalmente$
)0
Es%ema 1 I ,AM& 9
)os sistemas mlti&sario %e re%ieren proteccin contra accesos no atori:ados+ de(en pre*er
na asignacin de pri*ilegios controlada mediante n proceso de atori:acin !ormal$ Se de(en tener
en centa los sigientes pasos9
a4 5e(en identi!icarse los pri*ilegios asociados a cada prodcto del sistema por eN$ sistema
operati*o+ sistema de administracin de (ases de datos # aplicaciones+ # las categor;as de
personal a las cales de(en asignarse los prodctos$
(4 )os pri*ilegios de(en asignarse a indi*idos so(re las (ases de la necesidad de so # e*ento
por e*ento+ por eN$ el re%erimiento m;nimo para s rol !ncional solo cando sea necesario$
c4 Se de(e mantener n proceso de atori:acin # n registro de todos los pri*ilegios asignados$
)os pri*ilegios no de(en ser otorgados "asta %e se "a#a completado el proceso de
atori:acin$
d4 Se de(e promo*er el desarrollo # so de rtinas del sistema para e*itar la necesidad de
otorgar pri*ilegios a los sarios$
e4 )os pri*ilegios de(en asignarse a na identidad de sario di!erente de a%ellas tili:adas en
los acti*idades comerciales normales$
0$$" Admini58racin de con8ra5eFa5 de 353ario
)as contraseMas constit#en n medio com'n de *alidacin de la identidad de n sario para
acceder a n sistema o ser*icio de in!ormacin$ )a asignacin de contraseMas de(e controlarse a
tra*<s de n proceso de administracin !ormal+ mediante el cal de(e lle*arse a ca(o lo sigiente9
a4 re%erir %e los sarios !irmen na declaracin por la cal se comprometen a mantener ss
contraseMas personales en secreto # las contraseMas de los grpos de tra(aNo e8clsi*amente
entre los miem(ros del grpo 1esto podr;a inclirse en los t<rminos # condiciones de empleo+
*er 0$1$F4R
(4 garanti:ar+ cando se re%iera %e los sarios mantengan a ss propias contraseMas+ %e
se pro*ea inicialmente a los mismos de na contraseMa pro*isoria segra+ %e de(ern
cam(iar de inmediato$ )as contraseMas pro*isorias+ %e se asignan cando los sarios
ol*idan s contraseMa+ solo de(e sministrarse na *e: identi!icado el sarioR
c4 re%erir contraseMas pro*isorias para otorgar a los sarios de manera segra$ Se de(e
e*itar la participacin de terceros o el so de mensaNes de correo electrnico sin proteccin
1te8to claro4$ )os sarios de(en acsar reci(o de la recepcin de la cla*e 1passOord4R
)as contraseMas nnca de(en ser almacenadas en sistemas in!ormati*os sin proteccin 1*er 9$.$F4$
Se reslta pertinente+ se de(e considerar el so de otras tecnolog;as de identi!icacin # atenticacin
de sarios+ como la (iom<trica+ por EN$$$ *eri!icacin de "ellas dactilares+ *eri!icacin de !irma # so
de VtoQensW de "ardOare+ como las tarNetas de circito integrado 1Vc"ip&cardsW4$
0$$) Re:i5in de derecGo5 de acce5o de 353ario
A !in de mantener n control e!ica: del acceso a los datos # ser*icios de in!ormacin+ la gerencia
de(e lle*ar a ca(o n proceso !ormal a inter*alos reglares+ a !in de re*isar los derec"os de acceso
de los sarios+ de manera tal %e9
a4 los derec"os de acceso de los sarios se re*isen a inter*alos reglares 1se recomienda n
periodo de seis meses4 # desp<s de cal%ier cam(io 1*er 9$2$14R
(4 las atori:aciones de pri*ilegios especiales de derec"os de acceso 1*er 9$2$24 se re*isen a
inter*alos mas !recentes 1se recomienda n periodo de tres meses4 R
c4 las asignaciones de pri*ilegios se *eri!i%en a inter*alos reglares+ a !in de garanti:ar %e no
se o(tengan pri*ilegios no atori:ados$
*1
*%
Es%ema 1 I ,AM& 9
0$" Re5;on5a9ilidade5 del 353ario
O(Neto9 Impedir el acceso sarios no atori:ados
)a cooperacin de los sarios atori:ados en esencial para la e!icacia de la segridad$
Se de(e concienciar a los sarios acerca de ss responsa(ilidades por el mantenimiento de
controles de acceso e!icaces+ en particlar a%ellos relacionados con el so de contraseMas # la
segridad del e%ipamiento$
0$"$% U5o de con8ra5eFa5
)os sarios de(en segir (enas prcticas de segridad en la seleccin # so de contraseMas$
)as contraseMas constit#en n medio de *alidacin de la identidad de n sario # consecente&
mente n medio para esta(lecer derec"os de acceso a las instalaciones o ser*icios de
procesamiento de in!ormacin$ Se de(e noti!icar a los sarios %e de(en cmplir con los sigientes
pntos9
a4 mantener las contraseMas en secretoR
(4 e*itar mantener n registro en papel de las contraseMas+ a menos %e este peda ser
almacenado en !orma segraR
c4 cam(iar las contraseMas siempre %e e8ista n posi(le indicio de compromiso del sistema o
de las contraseMasR
d4 seleccionar contraseMas de calidad+ con na longitd m;nima de seis caracteres %e9
14 sean !cil de recordarR
24 no est<n (asadas en alg'n dato %e otra persona peda adi*inar o(tener !cilmente
mediante in!ormacin relacionada con la persona+ por eN$ nom(res+ n'meros de tel<&
!ono+ !ec"a de nacimiento+ etc$ R
E4 no tengan caracteres id<nticos consecti*os o grpos totalmente nm<ricos o total&
mente al!a(<ticos$
e4 cam(iar las contraseMas a inter*alos reglares o seg'n el n'mero de acceso 1las contraseMas
de centas con pri*ilegios de(en ser modi!icadas con ma#or !recencia %e las contraseMas
comnes4+ # e*itar retili:ar o reciclar *ieNas contraseMas R
!4 cam(iar las contraseMas pro*isorias en el primer inicio de sesin 1Vlog onW4 R
g4 no inclir contraseMas en los procesos atomati:ados de inicio de sesin+ por eN$ a%ellas
almacenadas en na tecla de !ncin o macro R
"4 no compartir las contraseMas indi*idales de sario$
Si los sarios necesitan acceder a m'ltiples ser*icios o plata!ormas # se re%iere %e mantengan
m'ltiples contraseMas+ se de(e noti!icar a los mismos %e peden tili:ar na contraseMa de calidad
'nica 1*er 9$E$14 para todos los ser*icios %e (rinden n ni*el ra:ona(le de proteccin de las
contraseMas almacenadas$
0$"$ E73i;o5 de5a8endido5 en Drea5 de 353ario5
)os sarios de(en garanti:ar %e los e%ipos desatendidos sean protegidos adecadamente$ )os
e%ipos instalados en reas de sarios+ por eN$ estaciones de tra(aNo o ser*idores de arc"i*os+
peden re%erir na proteccin espec;!ica contra accesos no atori:ados+ cando se encentran
desatendidos drante n periodo e8tenso$ Se de(e concienti:ar a todos los sarios # contratistas+
acerca de los re%erimientos # procedimientos de segridad+ para la proteccin de e%ipos
desatendidos+ as; como de ss responsa(ilidades por la implementacin de dic"a proteccin$
*
Se de(e noti!icar a los sarios %e de(en cmplir con los sigientes pntos9
a4 conclir las sesiones acti*as al !inali:ar las tareas+ a menos %e pedan protegerse mediante
n mecanismo de (lo%eo adecado+ por eN$ n preser*ador de pantallas protegido por
contraseMa R
(4 lle*ar a ca(o el procedimiento de salida de los procesadores centrales cando !inali:a la
sesin 1no solo apagar la -C o terminal4 R
c4 proteger las -Cs o terminales contra sos no atori:ados mediante n (lo%eo de segridad
o control e%i*alente+ por eN$ contraseMa de acceso+ cando no se tili:an$
0$) Con8rol de acce5o a la red
O(Neti*o9 )a proteccin de los ser*icios de red$
Se de(e controlar el acceso a los ser*icios de red tanto internos como e8ternos$ Esto es
necesario para garanti:ar %e los sarios %e tengan acceso a las redes # a los ser*icios de
red no comprometan la segridad de estos ser*icios+ garanti:ando9
a4 inter!aces inadecadas entre la red de la organi:acin # las redes de otras
organi:aciones+ o redes p(licas R
(4 mecanismos de atenticacin apropiados para sarios # e%ipamiento R
c4 control de acceso de sarios a los ser*icios de in!ormacin$
0$)$% !ol8ica de 38ili>acin de lo5 5er:icio5 de red
)as cone8iones no segras a los ser*icios de red peden a!ectar a toda la organi:acin$ )os sarios
solo de(en contar con acceso directo a los ser*icios para los cales "an sido e8presamente
atori:ados$ Este control es particlarmente importante para las cone8iones de red a aplicaciones
comerciales sensi(les o cr;ticas o a sarios en sitios de alto riesgo+ por eN$ reas p'(licas o e8ternas
%e estn !era de la administracin # el control de segridad de la organi:acin$
Se de(e !ormlar na pol;tica concerniente al so de redes # ser*icios de red$ Esta de(e
comprender9
a4 las redes # ser*icios de red a los cales se permite el acceso R
(4 procedimientos de atori:acin para determinar las personas # las redes # ser*icios de red a
los cales tienen permitido el acceso R
c4 controles # procedimientos de gestin para proteger el acceso a las cone8iones # ser*icios de
red$
Esta pol;tica de(e ser co"erente con la pol;tica de control de accesos de la organi:acin 1*er 9$14$
0$)$ Camino for>ado
-ede resltar necesario controlar el camino desde la terminal de sario "asta el ser*icio
in!ormtico$ )as redes estn diseMadas para permitir el m8imo alcance de distri(cin de recrsos #
!le8i(ilidad de rteo$ Estas caracter;sticas tam(i<n peden o!recer oportnidades para el acceso no
atori:ado a las aplicaciones de negocios+ o para el so no atori:ado de ser*icios de in!ormacin$
Estos riesgos peden redcirse mediante la incorporacin de controles+ %e limiten la rta entre na
terminal de sario # los ser*icios del comptador+ a los cales ss sarios estn atori:ados a
acceder+ por eN$ creando n camino !or:ado$
El o(Neti*o de n camino !or:ado es e*itar %e los sarios seleccionen rtas !era de la tra:ada
entre la terminal de sario # los ser*icios a los cales el mismo esta atori:ado a acceder$
*"
Es%ema 1 I ,AM& 9
Esto normalmente re%iere la implementacin de *arios controles en di!erentes pntos de la rta$ El
principio es limitar las opciones de rteo en cada pnto de la red+ a tra*<s de elecciones prede!inidas$
A continacin se enmeran los eNemplos pertinentes9
a4 asignacin de n'meros tele!nicos o l;neas dedicadas R
(4 cone8in atomtica de pertos a gateOa#s de segridad o a sistemas de aplicacin
espec;!icosR
c4 limitar las opciones de men' # s(men' de cada no de los sarios R
d4 e*itar la na*egacin ilimitada por la red R
e4 imponer el so de sistemas de aplicacin #/o gateOa#s de segridad espec;!icos para
sarios e8ternos de la red R
!4 controlar acti*amente las comnicaciones con origen # destino atori:ados a tra*<s de n
gateOa#+ por eN+ !ireOallsR
g4 restringir el acceso a redes+ esta(leciendo dominios lgicos separados+ por eN$+ redes
pri*adas *irtales para grpos de sarios dentro de la organi:acin 1*er tam(i<n 9$F$04R
)os re%erimientos relati*os a enrtamientos !or:ados de(en (asarse en la pol;tica de control de
accesos de la organi:acin$ 19$14$
0$)$" A38en8icacin de 353ario5 ;ara cone<ione5 e<8erna5
)as cone8iones e8ternas son de gran potencial para accesos no atori:ados a la in!ormacin de la
empresa+ por eN$+ accesos mediante discado$ -or consigiente+ el acceso de sarios remotos de(e
estar sNeto a la atenticacin$ E8isten di!erentes m<todos de atenticacin+ algnos de los cales
(rindan n ma#or ni*el de proteccin %e otros+ por eN$ los m<todos (asados en el so de t<cnicas
criptogr!icas peden pro*eer de na !erte atenticacin$ Es importante determinar mediante na
e*alacin de riesgos el ni*el de proteccin re%erido$ Esto es necesario para la adecada seleccin del
m<todo$
)a atenticacin de sarios remotos pede lle*arse a ca(o tili:ando+ por eNemplo+ na t<cnica
(asada en criptogra!;a+ VtoQensW de "ardOare+ o n protocolo de pregnta/respesta$ 7am(i<n peden
tili:arse l;neas dedicadas pri*adas o na "erramienta de *eri!icacin de la direccin del sario de
red+ a !in de constatar el origen de la cone8in$
)os procedimientos # controles de rellamada o dail&(acQ+ por eN$ tili:ando mdems de dial&(acQ+
peden (rindar proteccin contra cone8iones no atori:adas # no deseadas a las instalaciones de
procesamiento de in!ormacin de la organi:acin$ Este tipo de control atentica a los sarios %e
intentan esta(lecer na cone8in con na red de la organi:acin desde locaciones remotas$ Al
aplicar este control+ la organi:acin no de(e tili:ar ser*icios de red %e incl#an des*;o de llamadas
o+ si lo "acen+ de(en in"a(ilitar el so de dic"as "erramientas para e*itar las de(ilidades asociadas
con la misma$ Asimismo+ es importante %e el proceso de rellamada garantice %e se prod:ca na
descone8in real del lado de la organi:acin$ 5e otro modo+ el sario remoto podr;a mantener la
l;nea a(ierta !ingiendo %e se "a lle*ado a ca(o la *eri!icacin de rellamada$ )os procedimientos #
controles de rellamada de(en ser pro(ados e8"asti*amente respecto de esta posi(ilidad$
0$)$) A38en8icacin de nodo5
Una "erramienta de cone8in atomtica a na comptadora remota podr;a (rindar n medio para
o(tener acceso no atori:ado a na aplicacin de la empresa$ -or consigiente+ las cone8iones a
sistemas in!ormati*os remotos de(en ser atenticadas$ Esto es particlarmente importante si la
cone8in tili:a na red %e esta !era de control de la gestin de segridad de la organi:acin$ En el
pnto 9$F$E se enmeran algnos eNemplos de atenticacin # de cmo pde lograrse$ )a
*)
atenticacin de nodos pede ser*ir como n medio alternati*o de atenticacin de grpos de
sarios remotos+ cando <stos estn conectados a n ser*icio in!ormtico segro # compartido 1*er
9$F$E4$
0$)$* !ro8eccin de lo5 ;3er8o5 H;or85I de diagno58ico remo8o
El acceso a los pertos de diagnostico de(e ser controlado de manera segra$ Mc"as comptadoras #
sistemas de comnicacin son instalados con na "erramienta de diagnostico remoto por discado+ para
so de los ingenieros de mantenimiento$ Si no estn protegidos+ estos pertos de diagnostico
proporcionan n medio de acceso no atori:ado$ -or consigiente+ de(en ser protegidos por n
mecanismo de segridad apropiado+ por eN$ na cerradra de segridad # n procedimiento %e
garantice %e solo son accesi(les mediante n acerdo entre el gerente de ser*icios in!ormati*os # el
personal de soporte de "ardOare # so!tOare %e re%iere acceso$
0$)$, S39di:i5in de rede5
)as redes se estn e8tendiendo en !orma creciente mas all de los limites tradicionales de la
organi:acin+ a medida %e se constit#en sociedades con re%erimientos de intercone8in+ o so
compartido de instalaciones de procesamiento de in!ormacin # redes$ 5ic"as e8tensiones peden
incrementar el riesgo de acceso no atori:ado a sistemas de in!ormacin #a e8istentes %e tili:an la
red+ algnos de los cales podr;an re%erir de proteccin contra otros sarios de red+ de(ido a s
sensi(ilidad o criticidad$ En tales circnstancias+ se de(e considerar la introdccin de controles dentro
de la red+ a !in de segregar grpos de ser*icios de in!ormacin+ sarios # sistemas de in!ormacin$
Un m<todo para controlar la segridad de redes e8tensas es di*idirlas en dominios lgicos separados+
por eN$ dominios de red internos # e8ternos de na organi:acin+ cada no protegido por n per;metro de
segridad de!inido$ 5ic"o per;metro pede ser implementado mediante la instalacin de na comperta
1VgateOa#W4 segra entre las dos redes %e "an de ser interconectadas+ para controlar el acceso # !lNo
de in!ormacin entre los dos dominios$ Este VgateOa#W de(e ser con!igrado para !iltrar el tr!ico entre
los dominios 1*er 9$F$7 # 9$F$24 # para (lo%ear el acceso no atori:ado de acerdo con la pol;tica de
control de accesos de la organi:acin 1*er 9$14$ Un eNemplo de este tipo de VgateOa#W es lo %e
com'nmente se conoce como V!ireOallW$
)os criterios para la s(di*isin de redes en dominios de(en (asarse en la pol;tica de control de
accesos # los re%erimientos de acceso 1*er 9$14+ # tam(i<n tomar en centa el costo relati*o # el
impacto del desempeMo %e ocasiona la incorporacin de n enrtador de red o na tecnolog;a de
VgateOa#sW adecados 1*er 9$F$7 # 9$F$24$
0$)$- Con8rol de cone<in a la red
)os re%erimientos de la pol;tica de control de accesos para redes compartidas+ especialmente a%ellas
%e se e8tiendan mas all de los limites de la organi:acin+ peden re%erir la incorporacin de
controles para limitar la capacidad de cone8in de los sarios$ 5ic"os controles peden implementarse
mediante VgateOa#sW de red %e !iltren el tr!ico por medio de reglas o ta(las pre*iamente de!inidas$ )as
restricciones aplicadas de(en (asarse en la pol;tica # los re%erimientos de acceso de las aplicaciones
de la empresa 1*er 9$14+ # de(en mantenerse # actali:arse de con!ormidad$
A continacin se enmeran eNemplos de aplicaciones a las cales de(en aplicarse restricciones9
a4 correo electrnico R
(4 trans!erencia nidireccional de arc"i*os R
c4 trans!erencia de arc"i*os en am(as direcciones R
d4 acceso interacti*o R
**
Es%ema 1 I ,AM& 9
e4 acceso de red *inclado a "ora o !ec"a$
0$)$/ Con8rol de r38eo de red
)as redes compartidas+ especialmente a%ellas %e se e8tienden mas all de los limites
organi:acionales+ peden re%erir la incorporacin de controles de rteo para garanti:ar %e las
cone8iones in!ormticas # los !lNos de in!ormacin no *iolen la pol;tica de control de acceso de las
aplicaciones comerciales 1*er 9$14$ Este control es a mendo esencial para las redes compartidas con
sarios e8ternos 1no organi:adores4$
)os controles de rteo de(en (asarse en la *eri!icacin positi*a de direcciones de origen # destino$
)a tradccin de direcciones de red tam(i<n constit#e n mecanismo m# 'til para aislar redes # e*itar
%e las rtas se propagen desde la red de na organi:acin a la red de otra$ -eden implementarse en
so!tOare o "ardOare$ Qienes lle*en a ca(o la implementacin de(en estar al corriente de la !ortale:a
de los mecanismos tili:ados$
0$)$0 Seg3ridad de lo5 5er:icio5 de red
E8iste na amplia gama de ser*icios de red pri*ados o p'(licos+ algnos de los cales o!recen ser*icios
con *alor agregado$ )os ser*icios de red peden tener caracter;sticas de segridad 'nicas o compleNas$
)as organi:aciones %e tili:an ser*icios de red de(en garanti:ar %e se pro*ea de na clara
descripcin de los atri(tos de segridad de todos los ser*icios tili:ados$
0$* Con8rol de acce5o al 5i58ema o;era8i:o
O(Neti*o9 Impedir el acceso no atori:ado al comptador
)os mecanismos de segridad a ni*el del sistema operati*o de(en ser tili:ados para restringir el
acceso a los recrsos del comptador$ Estas !acilidades de(en tener la capacidad de lle*ar a ca(o
lo sigiente9
a4 identi!icar # *eri!icar la identidad #+ si !era necesario+ la terminal o (icacin de
cada sario atori:ado R
(4 registrar los accesos e8itosos # !allidos al sistema R
c4 sministrar medios de atenticacin apropiadosR si se tili:a n sistema de
administracin de contraseMas+ <ste de(e asegrar la calidad de las mismas
1*er 9$E$1 d4 R
d4 restringir los tiempos de cone8in de los sarios+ seg'n corresponda
Se de(e disponer de otros m<todos de control de acceso+ como Vc"allenge&responseW+ si estn
Nsti!icados por el riesgo comercial$$
0$*$% Iden8ificacin a38omD8ica de 8erminale5
Se de(e tener en centa la identi!icacin atomtica de terminales para atenticar cone8iones a
(icaciones espec;!icas # a e%ipamiento porta(le$ )a identi!icacin atomtica de terminales es na
t<cnica %e pede tili:arse si reslta importante %e la sesin solo peda iniciarse desde na
terminal in!ormtica o na (icacin determinadas$ -ede tili:arse n identi!icador en la terminal+ o
adNnto a la misma+ para indicar si esta terminal especi!ica esta atori:ada a iniciar o reci(ir ciertas
transacciones$ -ede resltar necesario aplicar proteccin !;sica a la terminal+ a !in de mantener la
segridad del identi!icador de la misma$ 7am(i<n peden tili:arse otras t<cnicas para atenticar
sarios 1*er 9$F$E4$
0$*$ !rocedimien8o5 de cone<in de 8erminale5
*,
El acceso a los ser*icios de in!ormacin de(e ser posi(le a tra*<s de n proceso de cone8in segro$ El
procedimiento de cone8in en n sistema in!ormtico de(e ser diseMado para minimi:ar la oportnidad
de acceso no atori:ado$ Este procedimiento+ por lo tanto de(e di*lgar la m;nima in!ormacin posi(le
acerca del sistema+ a !in de e*itar pro*eer de asistencia innecesaria a n sario no atori:ado$ Un
(en procedimiento de identi!icacin de(er;a9
a4 no desplegar identi!icadores de sistemas o aplicaciones "asta tanto se "alla lle*ado a ca(o
e8itosamente el proceso de cone8inR
(4 desplegar n a*iso general ad*irtiendo %e solo los sarios atori:ados peden acceder a la
comptadora R
c4 no dar mensaNes de a#da %e pdieran asistir a n sario no atori:ado drante el
procedimiento de cone8in R
d4 *alidar la in!ormacin de la cone8in slo al completarse la totalidad de los datos de entrada$ Si
srge na condicin de error+ el sistema no de(e indicar %e parte de los datos es correcta o
incorrecta R
e4 limitar el n'mero de intentos de cone8in no e8itosos permitidos 1se recomiendan tres4 #
considerar9
14 registrar los intentos no e8itosos R
24 implementar na demora o(ligatoria antes de permitir otros intentos de
identi!icacin+ o rec"a:ar otros intentos sin atori:acin especi!ica R
E4 desconectar cone8iones de data linQ R
!4 limitar el tiempo m8imo # m;nimo permitido para el procedimiento de cone8in$ Si este es
e8cedido+ el sistema de(e !inali:ar la cone8in R
g4 desplegar la sigiente in!ormacin al completarse na cone8in e8itosa9
14 !lec"as # "ora de la cone8in e8itosa anteriorR
24 detalles de los intentos de cone8in no e8itosos desde la 'ltima cone8in
e8itosa$
0$*$" Iden8ificacin = a38en8icacin de lo5 353ario5
7odos los sarios 1inclido el personal de soporte t<cnico+ como los operadores+ administradores de
red+ programadores de sistemas # administradores de (ases de datos4 de(en tener n identi!icador
'nico 1I5 de sario4 solamente para s so personal e8clsi*o+ de manera %e las acti*idades pedan
rastrearse con posterioridad "asta llegar al indi*ido responsa(le$ )os I5s de sario no de(en dar
ning'n inicio del ni*el de pri*ilegio del sario 1*er 9$2$24+ por eN$ gerente+ sper*isor+ etc$
En circnstancias e8cepcionales+ cando e8iste n claro (ene!icio para la empresa+ peda tili:arse n
I5 compartido para n grpo de sarios o na tarea especi!ica$ -ara casos de esta ;ndole+ se de(e
docmentar la apro(acin de la gerencia$ -odr;an re%erirse controles adicionales para mantener la
responsa(ilidad$
E8isten di*ersos procedimientos de atenticacin+ los cales peden ser tili:ados para sstentar la
identidad alegada del sario$ )as contraseMas 1*er tam(i<n 9$E$1 # ms a(aNo4 constit#en n medio
m# com'n para pro*eer la identi!icacin # atenticacin 1I # A4 so(re la (ase de n secreto %e solo
conoce el sario$ 7am(i<n se pede lle*ar a ca(o lo mismo con medios criptogr!icos # protocolos de
atenticacin$
)os o(Netos como VtoQensW con memoria o tarNetas inteligentes %e poseen los sarios tam(i<n peden
tili:arse para I # A$ )as tecnolog;as de atenticacin (iom<trica %e tili:an las caracter;sticas o
atri(tos 'nicos de n indi*ido tam(i<n peden tili:arse para atenticar la identidad de na persona$
Una com(inacin de tecnolog;as # mecanismos *inclados de manera segra tendr como resltado
na atenticacin ms !erte$
*-
Es%ema 1 I ,AM& 9
0$*$) Si58ema de admini58racin de con8ra5eFa5
)as contraseMas constit#en no de los principales medios de *alidacin de la atoridad de n sario
para acceder a n ser*icio in!ormtico$ )os sistemas de administracin de contraseMas de(en constitir
na "erramienta e!ica: e interacti*a %e garantice contraseMas de calidad 1*er 9$E$1 como orientacin
acerca del so de contraseMas4$
Algnas aplicaciones re%ieren %e las contraseMas de sario sean asignadas por na atoridad
independiente$ En la ma#or;a de los casos las contraseMas son seleccionadas # mantenidas por los
sarios$
Un (en sistema de administracin de contraseMas de(e9
a4 imponer el so de contraseMas indi*idales para determinar responsa(ilidadesR
(4 cando corresponda+ permitir %e los sarios seleccionen # cam(ien ss propias contraseMas e
inclir n procedimiento de con!irmacin para contemplar los errores de ingresoR
c4 imponer na seleccin de contraseMas de calidad seg'n lo seMalado en el pnto 9$E$1 R
d4 cando los sarios mantienen ss propias contraseMas+ imponer cam(ios en las mismas seg'n
lo seMalado en el pnto 9$E$1 R
e4 cando los sarios seleccionan contraseMas+ o(ligarlos a cam(iar las contraseMas temporarias
en s primer procedimiento de identi!icacin 1*er 9$2$E4 R
!4 mantener n registro de las contraseMas pre*ias del sario+ por eN$ de los 12 meses anteriores+
# e*itar la retili:acin de las mismas R
g4 no mostrar las contraseMas en pantalla+ cando son ingresadas R
"4 almacenar en !orma separada los arc"i*os de contraseMas # los datos de sistemas de aplicacinR
i4 almacenar las contraseMas en !orma ci!rada tili:ando n algoritmo de ci!rado nidireccional R
N4 modi!icar las contraseMas predeterminadas por el *endedor+ na *e: instalado el so!tOare$
0$*$* U5o de 38ili8ario5 de 5i58ema
)a ma#or;a de las instalaciones in!ormticas tienen no o ms programas tilitarios %e podr;an tener la
capacidad de pasar por alto los controles de sistemas # aplicaciones$ Es esencial %e s so sea
limitado # minciosamente controlado$ Se de(en considerar los sigientes controles9
a4 so de procedimientos de atenticacin para tilitarios del sistema R
(4 separacin entre tilitarios del sistema # so!tOare de aplicaciones R
c4 limitacin de so de tilitarios del sistema a la cantidad m;nima *ia(le de sarios !ia(les #
atori:ados R
d4 atori:acin para so ad "oc de tilitarios de sistema R
e4 limitacin de la disponi(ilidad de tilitarios de sistema+ por eN$ a la dracin de n cam(io
atori:ado R
!4 registro de todo so de tilitarios del sistema R
g4 de!inicin # docmentacin de los ni*eles de atori:acin para tilitarios del sistema R
"4 remocin de todo el so!tOare (asado en tilitarios # so!tOare de sistema innecesarios$
0$*$, Alarma5 5ilencio5a5 ;ara la ;ro8eccin de lo5 353ario5
5e(e considerarse la pro*isin de alarmas silenciosas para los sarios %e podr;an ser o(Netos de
coercin$ )a decisin de sministrarse na alarma de esta ;ndole de(e (asarse en na e*alacin de
riesgos$ Se de(en de!inir responsa(ilidades # procedimientos para responder a la acti*acin de na
alarma silenciosa$
*/
0$*$- De5cone<in de 8erminale5 ;or 8iem;o m3er8o
)as terminales inacti*as en (icaciones de alto riego+ por eN$ reas p'(licas o e8ternas !era del alcance
de la gestin de segridad de la organi:acin+ o %e sir*en a sistemas de alto riego+ de(en apagarse
desp<s de n periodo de!inido de inacti*idad+ para e*itar el acceso de personas no atori:adas$ Esta
"erramienta de descone8in por tiempo merto de(e limpiar la pantalla de la terminal # de(e cerrar
tanto la sesin de la aplicacin como la de red+ desp<s de n periodo de!inido de inacti*idad$ El lapso
por tiempo merto de(e responder a los riesgos de segridad del rea # de los sarios de la terminal$
-ara algnas -Cs+ pede sministrarse na "erramienta limitada de descone8in de terminal por tiempo
merto+ %e limpie la pantalla # e*ite el acceso no atori:ado+ pero %e no cierra las sesiones de
aplicacin o de red$
0$*$/ Limi8acin del Gorario de cone<in
)as restricciones al "orario de cone8in de(en sministrar segridad adicional a las aplicaciones de alto
riesgo$ )a limitacin del periodo drante el cal se permiten las cone8iones de terminal a los ser*icios
in!ormati*os redce el espectro de oportnidades para el acceso no atori:ado$ Se de(e considerar n
control de esta ;ndole para aplicaciones in!ormticas sensi(les+ especialmente a%ellas terminales
instaladas en (icaciones de alto riesgo+ por eN$ reas p(licas o e8ternas %e est<n !era del alcance
de la gestin de segridad de la organi:acin$ Entre los eNemplos de dic"as restricciones se peden
enmerar los sigientes9
a4 tili:acin de lapsos predeterminados+ por eN$ para transmisiones de arc"i*os e lote+ o sesiones
interacti*as peridicas de corta dracin R
(4 limitacin de los tiempos de cone8in al "orario normal de o!icina+ de no e8istir n re%erimiento
operati*o de "oras e8tras o e8tensin "oraria$$
0$, Con8rol de acce5o a la5 a;licacione5
O(Neti*o9 Impedir el acceso no atori:ado a la in!ormacin contenida en los sistemas de
in!ormacin$
)as "erramientas de segridad de(en ser tili:adas para limitar el acceso no dentro de los
sistemas de aplicacin$
El acceso lgico al so!tOare # a la in!ormacin de(e estar limitado a los sarios atori:ados$ )os
sistemas de aplicacin de(en9
a4 controlar el acceso de sarios a la in!ormacin # a las !nciones de los sistemas de
aplicacin+ de acerdo con la pol;tica de control de accesos de!inida por la organi:acin R
(4 (rindar proteccin contra el acceso no atori:ado de tilitarios # so!tOare del sistema
operati*o %e tengan la capacidad de pasar por alto los controles de sistemas o
aplicaciones R
c4 no comprometer la segridad de otros sistemas con los %e se comparten recrsos de
in!ormacin R
d4 tener la capacidad de otorgar acceso a la in!ormacin 'nicamente al propietario+ a otros
indi*idos atori:ados mediante designacin !ormal+ o a grpos de de!inidos de
sarios$
0$,$% Re58riccin del acce5o a la informacin
)os sarios de sistemas de aplicacin+ con inclsin del personal de soporte+ de(en tener acceso a la
in!ormacin # a las !nciones de los sistemas de aplicacin de con!ormidad con na pol;tica de control
de acceso de!inida+ so(re la (ase de los re%erimientos de cada aplicacin comercial+ # con!orme a la
*0
Es%ema 1 I ,AM& 9
pol;tica de la organi:acin para el acceso a la in!ormacin+ 1*er 9$14$ se de(e considerar la aplicacin de
los sigientes controles+ para (rindar apo#o a los re%erimientos de limitacin de accesos9
a4 pro*isin de men's para controlar el acceso a las !nciones de los sistemas de aplicacin R
(4 restriccin del conocimiento de los sarios acerca de la in!ormacin o de las !nciones de los
sistemas de aplicacin a las cales no sean atori:adas a acceder+ con la adecada edicin de
docmentacin de sario R
c4 control de los derec"os de acceso de los sarios+ por eN$ lectra+ escritra+ spresin #
eNeccin R
d4 garanti:ar %e las salidas 1otpts4 de los sistemas de aplicacin %e administran in!ormacin
sensi(le+ contengan solo la in!ormacin %e reslte pertinente para el so de la salida+ # %e la
misma se en*;e solamente a las terminales # (icaciones atori:adas+ # re*isar peridicamente
dic"as salidas a !in de garanti:ar la remocin de la in!ormacin redndante$
0$,$ Ai5lamien8o de 5i58ema5 5en5i9le5
)os sistemas sensi(les podr;an re%erir de n am(iente in!ormtico dedicado 1aislado4$ Algnos
sistemas de aplicacin son s!icientemente sensi(les a perdidas potenciales # re%ieren n tratamiento
especial$ )a sensi(ilidad pede seMalar %e el sistema de aplicacin de(e eNectarse en na
comptadora dedicada+ %e slo de(e compartir recrsos con los sistemas de aplicacin con!ia(les+ o
no tener limitaciones$ Son aplica(les las sigientes consideraciones9
a4 )a sensi(ilidad de n sistema de aplicacin de(e ser claramente identi!icada # docmentada por
el propietario de la aplicacin 1*er F$1$E4
(4 Cando na aplicacin sensi(le "a de eNectarse en n am(iente compartido+ los sistemas de
aplicacin con los cales esta compartir los recrsos de(en ser identi!icados # acordados con el
propietario de la aplicacin sensi(le$
0$- Moni8oreo del acce5o = 35o de lo5 5i58ema5
O(Neti*o9 detectar acti*idades no atori:adas
)os sistemas de(en ser monitoreados para detectar des*iaciones respecto de la pol;tica de control
de accesos # registrar e*entos para sministrar e*idencia en caso de prodcirse incidentes
relati*os a la segridad$
El monitoreo de los sistemas permite compro(ar la e!icacia de los controles adoptados # *eri!icar la
con!ormidad con el modelo de pol;tica de acceso 1*er 9$14
0$-$% Regi58ro de e:en8o5
5e(en generarse registros de aditoria %e contengan e8cepciones # otros e*entos relati*os a
segridad+ # de(en mantenerse drante n periodo de!inido para acceder en !tras in*estigaciones #
en el monitoreo de control de accesos$ )os registros de aditorias tam(i<n de(en inclir9
a4 I5 de sarioR
(4 ?ec"a # "ora de inicio # terminacin R
c4 Identidad o (icacin de la terminal+ si es posi(le R
d4 ,egistros de intentos e8itosos !allidos de acceso al sistema R
e4 ,egistros de intentos e8itosos # !allidos de acceso a datos # otros recrsos$
-odr;a re%erirse %e ciertos registros de aditoria sean arc"i*ados como parte de la pol;tica de
retencin de registros o de(ido a los re%erimientos de recoleccin de e*idencia 1*er tam(i<n el pnto
124$
,1
0$-$ Moni8oreo del 35o de lo5 5i58ema5
0$-$$% !rocedimien8o5 = Drea5 de rie5go
Se de(iera esta(lecer procedimientos para monitorear el so de las instalaciones de procesamiento de
la in!ormacin$ 5ic"os procedimientos son necesarios para garanti:ar %e los sarios solo est<n
desempeMando acti*idades %e "a#an sido atori:adas e8pl;citamente$ El ni*el de monitoreo re%erido
para cada na las instalaciones de(e determinarse mediante na e*alacin de riesgos$
Entre las reas %e de(en tenerse en centa se enmeran las sigientes9
a4 acceso no atori:ado+ incl#endo detalles como9
14 I5 de sarioR
24 ?ec"a # "ora de e*entos cla*eR
E4 7ipos de e*entosR
F4 Arc"i*os a los %e se accedeR
.4 Utilitarios # programas tili:ados
(4 todas las operaciones con pri*ilegio+ como9
14 Utili:acin de centa de sper*isorR
24 Inicio # cierre 1start&p and stop4 del sistemaR
E4 Cone8in # descone8in de dispositi*os I/OR
c4 intentos de acceso no atori:ado+ como9
14 Intentos !allidosR
24 Biolaciones de la pol;tica de accesos # noti!icaciones para VgateOa#sW de red #
V!ireOallsWR
E4 Alertas de sistemas patentados para detencin de intrsiones R
d4 alertas o !allas de sistema como9
14 alertas o mensaNes de consola R
24 e8cepciones del sistema de registroR
E4 alarmas del sistema de administracin de redes$
0$-$$ (ac8ore5 de rie5go
Se de(e re*isar peridicamente el resltado de las acti*idades de monitoreo$ )a !recencia de la
re*isin de(e depender de los riesgos in*olcrados$ Entre los !actores de riesgo %e se de(en
considerar se encentran9
a4 la criticidad de los procesos de aplicaciones R
(4 el *alor+ la sensi(ilidad o criticidad de la in!ormacin in*olcrada R
c4 la e8periencia acmlada en materia de in!iltracin # so inadecado del sistema R
d4 el alcance de la intercone8in del sistema 1en particlar las redes p(licas4
0$-$$" Regi58ro = re:i5in de e:en8o5
Una re*isin de los registros implica la comprensin de las amena:as %e a!ronta el sistema # las
maneras %e srgen$ En el pnto 9$7$1 se enmeran eNemplos de e*entos %e podr;an re%erir
in*estigacin adicional en caso de prodcirse incidentes relati*os a la segridad$
?recentemente+ los registros del sistema contienen n gran *olmen de in!ormacin+ gran parte de la
cal es aNena al monitoreo de segridad$ -ara asistir en la identi!icacin de e*entos signi!icati*os+ a !in
de desempeMar el monitoreo de segridad+ se de(e considerar la posi(ilidad de copiar atomticamente
los tipos de mensaNes adecados a n segndo registro+ #/o tili:ar "erramientas de aditoria o tilitarios
adecados para lle*ar a ca(o el e8amen de arc"i*o$
,%
Es%ema 1 I ,AM& 9
Al asignar la responsa(ilidad por la re*isin de registros+ se de(e considerar na separacin de
!nciones entre %ien/es emprende/n la re*isin # a%ellos c#as acti*idades estn siendo
monitoreadas$
Se de(e prestar especial atencin a la segridad de la "erramienta de registro+ de(ido a %e si se
accede a la misma en !orma no atori:ada+ esto pede propiciar na !alsa percepcin de la segridad$
)os controles de(en apntar a proteger contra cam(ios no atori:ados # pro(lemas operati*os$ Estos
incl#en9
a4 la desacti*acin de la "erramienta de registro R
(4 alteraciones a los tipos de mensaNes registrados R
c4 arc"i*os de registro editados o sprimidos R
d4 medio de soporte arc"i*os de registro satrado+ # !alla en el registro de e*entos o so(re
escritra de los mismos$
0$-$" Sincroni>acin de relo@e5
)a correcta con!igracin de los reloNes de las comptadoras es importante para garanti:ar la e8actitd
de los registros de aditoria+ %e peden re%erirse para in*estigaciones o como e*idencia en casos
legales o disciplinarios$ )os registros de aditorias ine8actos podr;an entorpecer tales in*estigaciones #
daMar la credi(ilidad de la e*idencia$
Cando na comptadora o dispositi*o de comnicaciones tiene la capacidad de operar n reloN en
tiempo real+ este se de(e con!igrar seg'n n estndar acordado+ por eN$ 7iempo Coordinado Uni*ersal
1UC74 o tiempo estndar local$ Como se sa(e %e algnos reloNes se desaNstan con el tiempo+ de(e
e8istir n procedimiento %e *eri!i%e # corriNa cal%ier *ariacin signi!icati*a$
0$/ Com;38acin m:il = 8ra9a@o remo8o
O(Neti*o9 >aranti:ar la segridad de la in!ormacin cando se tili:a comptacin m*il e instalaciones
de tra(aNo remotas$
)a proteccin re%erida de(e ser proporcional a los riesgos %e originan estas !ormas especi!icas de
tra(aNo$ Cando se tili:a comptacin m*il de(en tenerse en centa los riesgos %e implica tra(aNar
en n am(iente sin proteccin # se de(e implementar la proteccin adecada$ En el caso del tra(aNo
remoto la organi:acin de(e implementar la proteccin en el sitio de tra(aNo remoto 1VteleOorQing siteW4 #
garanti:ar %e se tomen las medidas adecadas para este tipo de tra(aNo$
0$/$% Com;38acin m:il
Cando se tili:an dispositi*os in!ormticas m*iles+ por eN$ note(ooQs+ palmtops+ laptops # tel<!onos
m*iles+ se de(e tener especial cidado en garanti:ar %e no se comprometa la in!ormacin de la
empresa$ Se de(e adoptar na pol;tica !ormal %e tome en centa los riesgos %e implica tra(aNar con
"erramientas in!ormticas m*iles+ en particlar en am(ientes no protegidos$ -or eNemplo+ dic"a pol;tica
de(e inclir los re%erimientos de proteccin !;sica+ controles de acceso+ t<cnicas criptogr!icas+
resgardos # proteccin contra *irs$ Esta pol;tica tam(i<n de(e inclir reglas # asesoramiento en
materia de cone8in de dispositi*os m*iles a redes # orientacin so(re so de estos dispositi*os en
lgares p'(licos$
Se de(en tomar recados al tili:ar dispositi*os in!ormticos m*iles en lgares p'(licos+ salas de
reniones # otras reas no protegidas !era de la sede de la organi:acin$ Se de(e implementar
proteccin para e*itar el acceso no atori:ado a la in!ormacin almacenada # procesada por estas
"erramientas+ o la di*lgacin de la misma+ por eN$ mediante t<cnicas criptogr!icas 1*er 10$E4$
,
Es importante %e cando dic"os dispositi*os+ son tili:adas en lgares p'(licos se tomen recados
para e*itar el riesgo de %e la in!ormacin %e aparece en pantalla+ sea *ista por personas no
atori:adas$ Se de(en implementar procedimientos contra so!tOare malicioso # estos de(en
mantenerse actali:ados 1*er 2$E4$ El e%ipamiento de(e estar disponi(le para permitir n procedimiento
de resgardo de la in!ormacin rpido # !cil$$ Estos procedimientos de(en estar adecadamente
protegidos contra+ por eN$+ ro(o o p<rdida de la in!ormacin$
Se de(e (rindar proteccin adecada para el so de dispositi*os m*iles conectadas a redes$ El acceso
remoto a la in!ormacin de la empresa a tra*<s de redes p(licas+ tili:ando "erramientas in!ormticas
m*iles+ solo de(e tener lgar desp<s de na identi!icacin # atenticacin e8itosas+ # con
mecanismos adecados de control de acceso implementados 1*er 9$F4$
)os dispositi*os in!ormticas m*iles tam(i<n de(en estar !;sicamente protegidas contra ro(o+
especialmente cando se deNan+ por eN$ en atom*iles # otros medios de transporte+ "a(itaciones de
"otel+ centros de con!erencias # m(itos de renin$ El e%ipamiento %e transporta in!ormacin
importante de la empresa+ sensi(le #/o critica no de(e deNarse desatendido #+ cando reslta posi(le+
de(e estar !;sicamente resgardado (aNo lla*e+ o de(en tili:arse cerradras especiales para asegrar
el e%ipamiento$ En el pnto 7$2$. se pede encontrar in!ormacin adicional so(re la proteccin !;sica
del e%ipamiento m*il$
Se de(e (rindar entrenamiento al personal %e tili:a comptacin m*il para incrementar s
cocimiento de los riesgos adicionales ocasionados por esta !orma de tra(aNo # de los controles %e se
de(en implementar$
0$/$ Tra9a@o remo8o
El tra(aNo remoto tili:a tecnolog;a de comnicaciones para permitir %e el personal tra(aNe en !orma
remota desde n lgar !iNo !era de la organi:acin$ Se de(e implementar la proteccin adecada del
sitio de tra(aNo remoto contra+ por eN$ el ro(o de e%ipamiento e in!ormacin+ la di*lgacin no atori:ada
de in!ormacin+ el acceso remoto no atori:ada a los sistemas internos de la organi:acin o el so
inadecado de los dispositi*os e instalaciones$ Es importante %e el tra(aNo remoto sea atori:ado #
controlado por la gerencia+ # %e se implementen disposiciones # acerdos para esta !orma de tra(aNo$
)as organi:aciones de(en considerar el desarrollo de na pol;tica+ de procedimientos # de estndares
para controlar las acti*idades de tra(aNo remoto$
)as organi:aciones slo de(en atori:ar acti*idades de tra(aNo remoto si "an compro(ado
satis!actoriamente %e se "an implementado disposiciones # controles adecados en materia de
segridad # %e estos cmplen con la pol;tica de segridad de la organi:acin$ Se de(en considerar los
sigientes ;tems9
a4 la segridad !;sica e8istente en el sitio de tra(aNo remoto+ tomando en centa la segridad !;sica
del edi!icio # del am(iente localR
(4 el am(iente de tra(aNo remoto propestoR
c4 los re%erimientos de segridad de comnicaciones+ tomando en centa la necesidad de acceso
remoto a los sistemas internos de la organi:acin+ la sensi(ilidad de la in!ormacin a la %e se
acceder # %e pasar a tra*<s del *inclo de comnicacin # la sensi(ilidad del sistema internoR
d4 la amena:a de acceso no atori:ado a in!ormacin o recrsos por parte de otras personas %e
tili:an el lgar+ por eN$ !amilia # amigos$
)os controles # disposiciones comprenden9
a4 la pro*isin de mo(iliario para almacenamiento # e%ipamiento+ adecado para las acti*idades
de tra(aNo remotoR
,"
Es%ema 1 I ,AM& 9
(4 na de!inicin del tra(aNo permitido+ el "orario de tra(aNo+ la clasi!icacin de la in!ormacin %e se
pede almacenar # los sistemas internos # ser*icio a los cales el tra(aNador remoto esta
atori:ado a accederR
c4 la pro*isin de n adecado e%ipamiento de comnicacin+ con inclsin de m<todos para
asegrar el acceso remotoR
d4 segridad !;sicaR
e4 reglas # orientacin para cando !amiliares # *isitantes accedan al e%ipamiento e in!ormacinR
!4 la pro*isin de "ardOare # el soporte # mantenimiento del so!tOareR
g4 los procedimientos de (acQ&p # para la continidad de las operacionesR
"4 aditor;a # monitoreo de la segridadR
i4 anlacin de la atoridad+ derec"os de acceso # de*olcin del e%ipo cando !inalicen las
acti*idades remotas$
%1 DESARROLLO ' MANTENIMIENTO DE SISTEMAS$
%1$% Re73erimien8o5 de 5eg3ridad de lo5 5i58ema5$
O(Neti*o9 Asegrar %e la segridad es incorporada a los sistemas de in!ormacin$
Esto inclir in!raestrctra+ aplicaciones comerciales # aplicaciones desarrolladas por el sario$ El
diseMo e implementacin de los procesos comerciales %e apo#en la aplicacin o ser*icio peden ser
crciales para la segridad$ )os re%erimientos de segridad de(en ser identi!icados # apro(ados antes
del desarrollo de los sistemas de in!ormacin$
7odos los re%erimientos de segridad+ incl#endo la necesidad de planes de reandacin+ de(en ser
identi!icados en la !ase de re%erimientos de n pro#ecto # Nsti!icados+ apro(ados # docmentados
como na parte de la totalidad del caso de negocios de n sistema de in!ormacin$
%1$%$% AnDli5i5 = e5;ecificacione5 de lo5 re73erimien8o5 de 5eg3ridad$
)as comnicaciones de re%erimientos comerciales para ne*os sistemas o meNoras a los sistemas
e8istentes de(en especi!icar las necesidades de controles$ 7ales especi!icaciones de(en considerar los
controles atomticos a incorporar al sistema # la necesidad de controles manales de apo#o$ Se de(en
aplicar consideraciones similares al e*alar pa%etes de so!tOare para aplicaciones comerciales$ Si se
considera adecado+ la administracin pede %erer tili:ar prodctos certi!icados # e*alados en !orma
independiente$
)os re%erimientos de segridad # los controles de(en re!leNar el *alor comercial de los recrsos de
in!ormacin in*olcrados # el potencial daMo al negocio %e pdiere resltar por na !alla o !alta de
segridad$ El marco para anali:ar los re%erimientos de segridad e identi!icar los controles %e los
satis!agan son la e*alacin # la administracin de riesgo$
)os controles introdcidos en la etapa de diseMo son signi!icati*amente ms (aratos de implementar #
mantener %e a%ellos inclidos drante o desp<s de la implementacin$
,)
%1$ Seg3ridad en lo5 5i58ema5 de a;licacin
O(Neti*o9 -re*enir la p<rdida+ modi!icaciones o so inadecado de los datos del sario en los sistemas
de aplicacin$
Se de(en diseMar en los sistemas de aplicacin+ incl#endo las aplicaciones reali:adas por el sario+
controles apropiados # pistas de aditoria o registros de acti*idad$ Esto de(e inclir la *alidacin de
datos de entrada+ procesamiento interno # salida de datos$
-eden ser necesarios controles adicionales para sistemas %e procesan o tienen impacto en recrsos
sensiti*os+ *aliosos o cr;ticos de la organi:acin$ 7ales controles de(en ser determinados so(re la (ase
de re%erimientos de segridad # e*alacin de riesgo$
%1$$% +alidacin de da8o5 de en8rada
)os datos de entrada en sistemas de aplicacin de(en ser *alidados para asegrar %e son correctos #
apropiados$ )os controles de(en ser aplicados a las entradas de las transacciones de negocios+ datos
permanentes 1nom(res # direcciones+ l;mites de cr<dito+ n'meros de re!erencia al cliente4 # ta(las de
parmetros 1precios de *enta+ tasa de impestos+ ;ndice de con*ersin de dinero4$ Se de(en considerar
los sigientes controles9
a4 entrada dal otros controles de entrada para detectar los sigientes errores9
14 *alores !era de rangoR
24 caracteres in*lidos en campos de datosR
E4 datos !altantes o incompletosR
F4 *ol'menes de datos %e e8ceden los limites in!erior # speriorR
.4 controles de datos no atori:ados o inconsistentesR
(4 re*isin peridica de los contenidos de campos cla*e o arc"i*os de datos para con!irmar s
*alide: e integridadR
c4 inspeccin de los docmentos de entrada para detectar cam(ios no atori:ados en los datos de
entrada 1todos los cam(ios a los docmentos de entrada de(en ser atori:ados4R
d4 procedimientos para responder a errores de *alidacinR
e4 procedimientos para determinar la *erosimilitd de los datosR
!4 determinacin de las responsa(ilidades de todo el personal in*olcrado en el proceso de entrada
de datos$
%1$$ Con8role5 de ;roce5amien8o in8erno$
%1$$$% Brea5 de rie5go$
)os datos %e "an sido correctamente ingresados peden *iciarse al procesar errores o a tra*<s de
actos deli(erados$ )os controles de *alidacin de(en ser incorporados a los sistemas para detectar tal
corrpcin$ El diseMo de aplicaciones de(e asegrar %e las restricciones se implementen para
minimi:ar los riesgos de !allas de procesamiento+ condcentes a na p<rdida de la integridad$ )as reas
espec;!icas a considerar incl#en9
a4 el so # locali:acin dentro de los programas+ de !nciones de sma # (orrado para reali:ar
cam(ios en los datosR
(4 los procedimientos para pre*enir la eNeccin de programas !era de secencia o cando !all el
procesamiento pre*io$
c4 el so de programas correctos para recperacin ante !allas+ a !in de garanti:ar el procesamiento
correcto de los datos$
,*
Es%ema 1 I ,AM& 9
%1$$$ Con8role5 = :erificacione5
)os controles re%eridos dependern de la natrale:a de la aplicacin # del impacto de e*entales
alteraciones de datos en el negocio$ Entre los eNemplos de *eri!icaciones %e peden ser incorporadas
se encentran los sigientes9
a4 controles de sesin o de lote+ para conciliar (alances 1saldos4 de arc"i*os de datos desp<s de
actali:aciones de transaccionesR
(4 controles de (alance+ para comparar (alances de apertra con (alances de cierre anteriores+ por
eNemplo9
1$ controles eNeccin a eNeccinR
2$ totales de actali:acin de arc"i*osR
E$ controles programa a programaR
c4 *alidacin de datos generados por el sistema 1*er 10$2$14R
d4 *eri!icaciones de la integridad de los datos o so!tOare (aNados+ o cargados+ entre comptadoras
centrales # remotas 1*er 10$E$E4R
e4 totales de control de registros # arc"i*osR
!4 *eri!icaciones para garanti:ar %e los programas de aplicacin se eNectan en el momento
correctoR
g4 compro(aciones para garanti:ar %e los programas se eNectan en el orden correcto # terminan
en caso de prodcirse na !alla+ # %e se detiene todo procesamiento posterior "asta %e se
resel*a el pro(lema$
%1$$" A38en8icacin de men5a@e5
)a atenticacin de mensaNes es na t<cnica tili:ada para detectar cam(ios no atori:ados en el
contenido de n mensaNe transmitido electrnicamente+ o para detectar alteraciones en el mismo$
-ede implementarse en "ardOare o so!tOare %e soporte n dispositi*o !;sico de atenticacin de
mensaNes o n algoritmo de so!tOare$
Se de(e tener en centa la atenticacin de mensaNes para aplicaciones en las cales e8ista n
re%erimiento de segridad para proteger la integridad del contenido del mensaNe+ por eN$ trans!erencias
electrnicas de !ondos otros intercam(ios electrnicos de datos similares$ Se de(e lle*ar a ca(o na
e*alacin de riesgos de segridad para determinar si se re%iere na atenticacin de mensaNes #
para identi!icar el m<todo de implementacin ms adecado$
)a atenticacin de mensaNes no esta diseMada para proteger el contenido de n mensaNe contra s
di*lgacin no atori:ada$ -eden tili:arse t<cnicas criptogr!icas 1*er 10$E$2 # 10$E$E4 como n medio
adecado de implementacin de la atenticacin de mensaNes$
%1$$) :alidacin de lo5 da8o5 de 5alida
)a salida de datos de n sistema de aplicacin de(e ser *alidada para garanti:ar %e el procesamiento
de la in!ormacin almacenada sea correcto # adecado a las circnstancias$ 6ormalmente+ los sistemas
se constr#en sponiendo %e si se "a lle*ado a ca(o na *alidacin+ *eri!icacin # pre(a apropiada+
la salida siempre ser correcta$ Esto no siempre se cmple$ )a *alidacin de salidas pede inclir9
a4 compro(aciones de la ra:ona(ilidad para pro(ar si los datos de salida son plasi(lesR
(4 control de conciliacin de centas para asegrar el procesamiento de todos los datosR
c4 pro*isin de in!ormacin s!iciente+ para %e el lector o sistema de procesamiento s(sigiente+
determine la e8actitd+ totalidad+ precisin # clasi!icacin de la in!ormacinR
d4 procedimientos para responder a las pre(as de *alidacin de salidasR
,,
e4 de!inicin de las responsa(ilidades de todo el personal in*olcrado en el proceso de salida de
datos$
%1$" Con8role5 cri;8ogrDfico5
O(Neti*o9 -roteger la con!idencialidad+ atenticidad o integridad de la in!ormacin$
5e(en tili:arse sistemas # t<cnicas criptogr!icas para la proteccin de la in!ormacin %e se
considera en estado de riesgo # para la cal otros controles no sministran na adecada proteccin$
%1$"$% !ol8ica de 38ili>acin de con8role5 cri;8ogrDfico5$
5ecidir si na solcin criptogr!ica es apropiada+ de(er ser *isto como parte de n proceso ms amplio
de e*alacin de riesgos+ para determinar el ni*el de proteccin %e de(e darse a la in!ormacin$ Esta
e*alacin pede tili:arse posteriormente para determinar si n control criptogr!ico es adecado+ %e
tipo de control de(e aplicarse # con%e propsito+ # los procesos de la empresa$
Una organi:acin de(e desarrollar na pol;tica so(re el so de controles criptogr!icos para la
proteccin de s in!ormacin$ 5ic"a pol;tica es necesaria para ma8imi:ar (ene!icios # minimi:ar los
riesgos %e ocasiona el so de t<cnicas criptogr!icas+ # para e*itar n so inadecado o incorrecto$ Al
desarrollar na pol;tica se de(e considerar lo sigiente9
a4 el en!o%e gerencial respecto del so de controles criptogr!icos en toda la organi:acin+ con
inclsin de los principios generales seg'n los cales de(e protegerse la in!ormacin de la
empresaR
(4 el en!o%e respecto de la administracin de cla*es+ con inclsin de los m<todos para
administrar la recperacin de la in!ormacin ci!rada en caso de perdida+ compromiso o daMo de
las cla*esR
c4 !nciones # responsa(ilidades+ por eN$ %ien es responsa(le de9
14 la implementacin de la pol;ticaR
24 la administracin de las cla*esR
d4 como se determinara el ni*el apropiado de proteccin criptogr!icaR
e4 los estndares %e "an de adoptarse para la e!ica: implementacin en toda la organi:acin 1%e
solcin se aplica para cada no de los procesos de negocio4$
%1$"$ Cifrado
El ci!rado es na t<cnica criptogr!ica %e pede tili:arse para proteger la con!idencialidad de la
in!ormacin$ Se de(e tener en centa para la proteccin de in!ormacin sensi(le o critica$
Mediante na e*alacin de riesgos se de(e identi!icar el ni*el re%erido de proteccin tomando en
centa el tipo # la calidad del algoritmo de ci!rado tili:ado # la longitd de las cla*es criptogr!icas a
tili:ar$
Al implementar la pol;tica de la organi:acin en materia criptogr!ica+ se de(en considerar las normas #
restricciones nacionales %e podr;an aplicarse al so de t<cnicas criptogr!icas+ en di!erentes partes del
mndo+ # las cestiones relati*as al !lNo de in!ormacin ci!rada a tra*<s de las !ronteras$ Asimismo+ se
de(en considerar los controles aplica(les a la e8portacin e importacin de tecnolog;a criptogr!ica 1*er
tam(i<n 12$1$04$
Se de(e procrar asesoramiento especiali:ado para identi!icar el ni*el apropiado de proteccin+ a !in de
seleccionar prodctos adecados %e sministren la proteccin re%erida+ # la implementacin de n
sistema segro de administracin de cla*es 1*er tam(i<n 10$E$.4$ Asimismo+ podr;a resltar necesario
,-
Es%ema 1 I ,AM& 9
o(tener asesoramiento Nr;dico con respecto a las le#es # normas %e podr;an aplicarse al so del
ci!rado %e intenta reali:ar la organi:acin$
%1$"$" (irma digi8al
)as !irmas digitales proporcionan n medio de proteccin de la atenticidad e integridad de los
docmentos electrnicos$ -or eNemplo+ pede tili:arse en comercio electrnico donde e8iste la
necesidad de *eri!icar %ien !irma n docmento electrnico # compro(ar si el contenido del docmento
!irmado "a sido modi!icado$
)as !irmas digitales peden aplicarse a cal%ier tipo de docmento %e se procese electrnicamente+
por eN$+ peden tili:arse para !irmar pagos+ trans!erencias de !ondos+ contratos # con*enios
electrnicos$ -eden implementarse tili:ando na t<cnica criptogr!ica so(re la (ase de n par de
cla*es relacionadas de manera 'nica+ donde na cla*e se tili:a para crear na !irma 1la cla*e pri*ada4
# la otra+ para *eri!icarla 1la cla*e p(lica4$
Se den tomar recados para proteger la con!idencialidad de la cla*e pri*ada$
Esta cla*e de(e mantenerse en secreto dado %e na persona %e tenga acceso a esta cla*e pede
!irmar docmentos+ por eN$9 pagos # contratos+ !alsi!icando as; la !irma del propietario de la cla*e$
Asimismo+ es importante proteger la integridad de la cla*e p(lica$ Esta proteccin se pro*ee mediante
el so de n certi!icado de cla*e p(lica 1*er 10$E$.4$
Es necesario considerar el tipo # la calidad del algoritmo de !irma tili:ado # la longitd de las cla*es a
tili:ar$ )as cla*es criptogr!icas aplicadas a !irmas digitales de(en ser distintas de las %e se tili:an
para el ci!rado 1*er 10$E$24$
Al tili:ar !irmas digitales+ se de(e considerar la legislacin pertinente %e descri(a las condiciones (aNo
las cales na !irma digital es legalmente *inclante$ -or eNemplo+ en el caso del comercio electrnico es
importante conocer la sitacin Nr;dica de las !irmas digitales$ -odr;a ser necesario esta(lecer contratos
de cmplimiento o(ligatorio otros acerdos para respaldar el so de las mismas+ cando el marco
legal es inadecado$ Se de(e o(tener asesoramiento legal con respecto a las le#es # normas %e
podr;an aplicarse al so de !irmas digitales %e pretende reali:ar la organi:acin$
%1$"$) Ser:icio5 de No Re;3dio
)os ser*icios de no repdio de(en tili:arse cando es necesario resol*er disptas acerca de la
ocrrencia o no ocrrencia de n e*ento o accin+ por eN$ na dispta %e in*olcre el so de na !irma
digital en n contrato o pago electrnico$ -eden a#dar a sentar e*idencia para pro(ar %e n e*ento o
accin determinados "an tenido lgar+ por eN$ cando se o(Neta "a(er en*iado na instrccin !irmada
digitalmente a tra*<s del correo electrnico$ Estos ser*icios estn (asados en el so de t<cnicas de
encriptacin # !irma digital 1*er tam(i<n 10+E+2 # 10$E$E4$
%1$"$* Admini58racin de cla:e5
%1$"$*$% !ro8eccin de cla:e5 cri;8ogrDfica5
)a administracin de cla*es criptogr!icas es esencial para el so e!ica: de las t<cnicas criptogr!icas$
Cal%ier compromiso o p<rdida de cla*es criptogr!icas pede condcir a n compromiso de la
con!idencialidad+ atenticidad #/o integridad de la in!ormacin$ Se de(e implementar n sistema de
administracin para respaldar el so por parte de la organi:acin+ de los dos tipos de t<cnicas
criptogr!icas+ los cales son9
,/
a4 t<cnicas de cla*e secreta+ cando dos o ms actores comparten la misma cla*e # esta se tili:a
tanto para ci!rar in!ormacin como para desci!rarla$ Esta cla*e tiene %e mantenerse en secreto
dado %e na persona %e tenga acceso a la misma podr desci!rar toda la in!ormacin ci!rada
con dic"a cla*e+ o introdcir in!ormacin no atori:adaR
(4 t<cnicas de cla*e p(lica+ cando cada sario tiene n par de cla*es9 na cla*e p(lica 1%e
pede ser re*elada a cal%ier persona4 # na cla*e pri*ada 1%e de(e mantenerse en secreto4$
)as t<cnicas de cla*e p(lica peden tili:arse para el ci!rado 1*er 10$E$24 # para generar !irmas
digitales 1*er 10$E$E4$
7odas las cla*es de(en ser protegidas contra modi!icacin # destrccin+ # las cla*es secretas #
pri*adas necesitan proteccin contra di*lgacin no atori:ada$
)as t<cnicas criptogr!icas tam(i<n peden aplicarse con este propsito$ Se de(e pro*eer de proteccin
!;sica al e%ipamiento tili:ado para generar+ almacenar # arc"i*ar cla*es$
%1$"$*$ Norma5C ;rocedimien8o5 = m48odo5
Un sistema de administracin de cla*es de(e estar (asado en n conNnto acordado de normas+
procedimientos # m<todos segros para9
a4 generar cla*es para di!erentes sistemas criptogr!icos # di!erentes aplicacionesR
(4 generar # o(tener certi!icados de cla*e p(licaR
c4 distri(ir cla*es a los sarios %e corresponda+ incl#endo como de(en acti*arse las cla*es
cando se reci(enR
d4 almacenar cla*es+ incl#endo como o(tienen acceso a las cla*es los sarios atori:adosR
e4 cam(iar o actali:ar cla*es incl#endo reglas so(re cando # como de(en cam(iarse las cla*esR
!4 ocparse de las cla*es comprometidasR
g4 re*ocar cla*es incl#endo como de(en retirarse o desacti*arse las mismas+ por eN$ cando las
cla*es estn comprometidas o cando n sario se des*incla de la organi:acin 1en c#o
caso las cla*es tam(i<n de(en arc"i*arse4R
"4 recperar cla*es perdidas o alteradas como parte de la administracin de la continidad del
negocio+ por eN$ la recperacin de la in!ormacin ci!radaR
i4 arc"i*ar cla*es+ por eN$ + para la in!ormacin arc"i*ada o resgardadaR
N4 destrir cla*esR
Q4 registrar 1logging4 # aditar las acti*idades relati*as a la administracin de cla*es$
A !in de redcir la pro(a(ilidad de compromiso+ las cla*es de(en tener !ec"as de entrada en *igencia #
de !in de *igencia+ de!inidas de manera %e solo pedan ser tili:adas por n periodo limitado de
tiempo$ Este periodo de(e de!inirse seg'n el riesgo perci(ido # las circnstancias (aNo las cales se
aplica el control criptogr!ico$
-odr;a resltar necesario considerar procedimientos para administrar re%erimientos legales de acceso
a cla*es criptogr!icas+ por eN$ pede resltar necesario poner a disposicin la in!ormacin ci!rada en na
!orma clara+ como e*idencia en n caso Ndicial$
Adems de la administracin segra de las cla*es secretas # pri*adas+ tam(i<n de(e tenerse en centa
la proteccin de las cla*es p(licas$ E8iste la amena:a de %e na persona !alsi!i%e na !irma digital
reempla:ando la cla*e p(lica de n sario con s propia cla*e$ Este pro(lema es a(ordado mediante
el so de n certi!icado de cla*e p(lica$ Estos certi!icados de(en generarse en na !orma %e *incle
de manera 'nica la in!ormacin relati*a al propietario del par de cla*es p(lica/pri*ada con la cla*e
p(lica$ En consecencia es importante %e el proceso de administracin %e genera estos certi!icados
sea con!ia(le$ 6ormalmente+ este proceso es lle*ado a ca(o por na atoridad de certi!icacin+ la cal
,0
Es%ema 1 I ,AM& 9
de(e residir en na organi:acin reconocida+ con adecados controles # procedimientos
implementados+ para o!recer el ni*el de con!ia(ilidad re%erido$
El contenido de los acerdos de ni*el de ser*icios o contratos con pro*eedores e8ternos de ser*icios
criptogr!icos+ por eN$ con na atoridad de certi!icacin+ de(en comprender los tpicos de
responsa(ilidad legal+ con!ia(ilidad del ser*icio # tiempos de respesta para la prestacin de los mismos
1*er F$2$24$
%1$) Seg3ridad de lo5 arcGi:o5 del 5i58ema
O(Neti*o9 >aranti:ar %e los pro#ectos # acti*idades de soporte de 7I se lle*en a ca(o de manera
segra$
Se de(e controlar el acceso a los arc"i*os del sistema$
El mantenimiento de la integridad del sistema de(e ser responsa(ilidad de la !ncin saria o grpo de
desarrollo a %ien pertenece el so!tOare o sistema de aplicacin$
%1$)$% Con8rol del 5of8Aare o;era8i:o
Se de(e pro*eer de control para la implementacin de so!tOare en los sistemas en operaciones$ A !in de
minimi:ar el riesgo de alteracin de los sistemas operacionales se de(en tener en centa los sigientes
controles9
a4 )a actali:acin de las (i(liotecas de programas operati*os solo de(e ser reali:ada por el
(i(liotecario designado na *e: atori:ada adecadamente por la gerencia 1*er 10$F$E4$
(4 Si es posi(le+ los sistemas en operaciones slo de(en gardar el cdigo eNecta(le$
c4 El cdigo eNecta(le no de(e ser implementado en n sistema operacional "asta tanto no se
o(tenga e*idencia del <8ito de las pre(as # de la aceptacin del sario+ # se "a#an
actali:ado las correspondientes (i(liotecas de programas !ente$
d4 Se de(e mantener n registro de aditoria de todas las actali:aciones a las (i(liotecas de
programas operati*os$
e4 )as *ersiones pre*ias de so!tOare de(en ser retenidas como medida de contingencia$
El mantenimiento del so!tOare sministrado por el pro*eedor # tili:ado en los sistemas operacionales
de(e contar con el soporte del mismo$ Cal%ier decisin re!erida a na actali:acin a na ne*a
*ersin de(e tomar en centa la segridad+ por eN$ la introdccin de na ne*a !ncionalidad de
segridad o el n'mero # la gra*edad de los pro(lemas de segridad %e a!ecten esa *ersin$ )os
parc"es de so!tOare de(en aplicarse cando peden a#dar a eliminar o redcir las de(ilidades en
materia de segridad$
Solo de(e otorgarse acceso lgico o !;sico a los pro*eedores con !ines de soporte # si reslta necesario+
# pre*ia apro(acin de la gerencia$ )as acti*idades del pro*eedor de(en ser monitoreadas$
%1$)$ !ro8eccin de lo5 da8o5 de ;r3e9a del 5i58ema
)os datos de pre(a de(en ser protegidos # controlados$ )as pre(as de aceptacin del sistema
normalmente re%ieren *ol'menes considera(les de datos de pre(a+ %e sean tan cercanos como sea
posi(le a los datos operati*os$ Se de(e e*itar el so de (ases de datos operati*as %e contengan
in!ormacin personal$ Si se tili:a in!ormacin de esta ;ndole+ esta de(e ser despersonali:ada antes del
so$ Se de(en aplicar los sigientes controles para proteger los datos operati*os+ cando los mismos se
tili:an con propsitos de pre(a$
a4 )os procedimientos de control de accesos+ %e se aplican a los sistemas de aplicacin en
operacin+ tam(i<n de(en aplicarse a los sistemas de aplicacin de pre(a$
-1
(4 Se de(e lle*ar a ca(o na atori:acin por separado cada *e: %e se copia in!ormacin
operati*a a n sistema de aplicacin de pre(as$
c4 Se de(e (orrar la in!ormacin operati*a de n sistema de aplicacin de pre(a inmediatamente
desp<s de completada la misma$
d4 )a copia # el so de in!ormacin operacional de(en ser registrado a !in de sministrar na pista
de aditoria$
%1$)$" Con8rol de acce5o a la5 9i9lio8eca5 de ;rograma f3en8e
A !in de redcir la pro(a(ilidad de alteracin de programas de comptadora+ se de(e mantener n
control estricto del acceso a las (i(liotecas de programa !ente+ seg'n los sigientes pntos 1*er
tam(i<n el pnto 2$E4$
a4 5entro de lo posi(le+ las (i(liotecas de programas !ente no de(en ser almacenadas en los
sistemas %e est operati*o$
(4 Se de(e designar a n (i(liotecario de programas para cada aplicacin$
c4 El personal de soporte de 7I no de(e tener acceso irrestricto a las (i(liotecas de programas
!ente$
d4 )os programas en desarrollo o mantenimiento no de(en ser almacenados en las (i(liotecas de
programas !ente operacional$
e4 )a actali:acin de (i(liotecas de programas !ente # la distri(cin de programas !ente a los
programadores+ solo de(e ser lle*ada a ca(o por el (i(liotecario designado+ con la atori:acin
del gerente de soporte de 7I para la aplicacin pertinente$
!4 )os listados de programas de(en ser almacenados en n am(iente segro 1*er 2$0$F4$
g4 Se de(e mantener n registro de aditoria de todos los accesos a las (i(liotecas de programa
!ente$
"4 )as *ieNas *ersiones de los programas !ente de(en ser arc"i*adas con na clara indicacin de
las !ec"as # "oras precisas en las cales esta(an en operaciones+ Nnto con todo el so!tOare de
soporte+ el control de tareas+ las de!iniciones de datos # los procedimientos$
i4 El mantenimiento # la copia de las (i(liotecas de programas !ente de(en estar sNeta a
procedimientos estrictos de control de cam(ios 1*er 10$F$14$
%1$* Seg3ridad de lo5 ;roce5o5 de de5arrollo = 5o;or8e
O(Neti*o9 Mantener la segridad del so!tOare # la in!ormacin del sistema de aplicacin$
Se de(en controlar estrictamente los entornos de los pro#ectos # el soporte a los mismos$
)os gerentes responsa(les de los sistemas de aplicacin tam(i<n de(en ser responsa(les de la
segridad del am(iente del pro#ecto # del soporte$ )os gerentes de(en garanti:ar %e todos los
cam(ios propestos para el sistema sean re*isados+ a !in de compro(ar %e los mismos no
comprometen la segridad del sistema o del am(iente operati*o$
%1$*$% !rocedimien8o5 de con8rol de cam9io5
A !in de minimi:ar la alteracin de los sistemas de in!ormacin+ de(e e8istir n control estricto de la
implementacin de los cam(ios$ Se de(e imponer el cmplimiento de los procedimientos !ormales de
control de cam(ios$ Estos de(en garanti:ar %e no se comprometan los procedimientos de segridad #
control+ %e los programadores de soporte solo tengan acceso a a%ellas partes del sistema necesarias
para el desempeMo de ss tareas+ # %e se o(tenga n acerdo # apro(acin !ormal para cal%ier
cam(io$ )os cam(ios en el so!tOare de aplicaciones peden tener repercsiones en el am(iente
operati*o$ Siempre %e reslte !acti(le+ los procedimientos de control de cam(ios operati*os # de
aplicaciones de(en estar integrados 1*er tam(i<n 2$1$24$ Este proceso de(e inclir9
a4 mantener n registro de los ni*eles de atori:acin acordadosR
-%
Es%ema 1 I ,AM& 9
(4 garanti:ar %e los cam(ios son propestos por sarios atori:adosR
c4 re*isar los controles # los procedimientos de integridad para garanti:ar %e no sern
comprometidos por los cam(iosR
d4 identi!icar todo el so!tOare+ la in!ormacin+ las entidades de (ases de datos # el "ardOare %e
re%ieran correccionesR
e4 o(tener apro(acin !ormal para las propestas detalladas antes de %e comiencen las tareasR
!4 garanti:ar %e el sario atori:ado acepte los cam(ios antes de cal%ier implementacinR
g4 garanti:ar %e la implementacin se lle*e a ca(o minimi:ando la discontinidad de las
acti*idades de la empresaR
"4 garanti:ar %e la docmentacin del sistema ser actali:ada cada *e: %e se completa n
cam(io # se arc"i*a o elimina la docmentacin *ieNaR
i4 mantener n control de *ersiones para todas las actali:aciones de so!tOareR
N4 mantener na pista de aditoria de todas las solicitdes de cam(iosR
Q4 garanti:ar %e la docmentacin operati*a 1*er 2$1$14 # los procedimientos de sarios se
modi!i%en seg'n las necesidades de adecacinR
l4 garanti:ar %e la implementacin de cam(ios tenga lgar en el momento adecado # no altere
los procesos comerciales in*olcrados$
Mc"as organi:aciones mantienen n am(iente en el cal los sarios pre(an ne*o so!tOare # %e
esta separado de los am(ientes de desarrollo # prodccin$ Esto proporciona n medio para controlar el
ne*o so!tOare # permitir la proteccin adicional de la in!ormacin operacional %e se tili:a con
propsitos de pre(a$
%1$*$ Re:i5in 84cnica de lo5 cam9io5 en el 5i58ema o;era8i:o
-eridicamente es necesario cam(iar el sistema operati*o+ por eN$ instalar na *ersin ne*a de
so!tOare o parc"es$ Cando se reali:an los cam(io+ los sistemas de aplicacin de(en ser re*isados #
pro(ados para garanti:ar %e no se prod:ca n impacto ad*erso en las operaciones o en la segridad$
Este proceso de(e c(rir9
a4 re*isin de procedimientos de integridad # control de aplicaciones para garanti:ar %e estos no
"a#an sido comprometidos por los cam(ios del sistema operati*oR
(4 garanti:ar %e el plan # prespesto de soporte anal contemple las re*isiones # las pre(as del
sistema %e de(an reali:arse como consecencia del cam(io en el sistema operati*oR
c4 garanti:ar %e se noti!i%en los cam(ios del sistema operati*o de manera oportna antes de la
implementacinR
d4 garanti:ar %e se realicen cam(ios apropiados en los planes de continidad de la empresa 1*er
pnto 114$
%1$*$" Re58riccin del cam9io en lo5 ;a73e8e5 de 5of8Aare
Se de(e desalentar la reali:acin de modi!icaciones a los pa%etes de so!tOare$ En la medida de lo
posi(le+ # de lo *ia(le+ los pa%etes de so!tOare sministrados por pro*eedores de(en ser tili:ados sin
modi!icacin$ Cando se considere esencial modi!icar n pa%ete de so!tOare+ se de(en tener en
centa los sigientes pntos9
a4 el riesgo de compromiso de los procesos de integridad # controles incorporadosR
(4 si se de(e o(tener el consentimiento del pro*eedorR
c4 la posi(ilidad de o(tener del pro*eedor los cam(ios re%eridos como actali:aciones estndar
de programasR
d4 el impacto %e se prodcir;a si la organi:acin se "ace responsa(le del mantenimiento !tro del
so!tOare como resltado de los cam(ios$
-
Si los cam(ios se consideran esenciales+ se de(e retener el so!tOare original # aplicar los cam(ios a na
copia claramente identi!icada$ 7odos los cam(ios de(en ser pro(ados # docmentados
e8"asti*amente+ de manera %e peden aplicarse ne*amente+ de ser necesario+ a !tras
actali:aciones de so!tOare$
%1$*$) Canale5 oc3l8o5 = cdigo 8ro=ano
Un canal oclto pede e8poner in!ormacin tili:ando algnos medios indirectos # desconocidos$
-ede acti*arse modi!icando n parmetro accesi(le mediante elementos tanto segros como no
segros de n sistema in!ormtico+ o incorporando in!ormacin a n !lNo de datos$ El cdigo tro#ano
esta diseMado para a!ectar n sistema en na !orma no atori:ada+ no !cilmente ad*ertida # no
re%erida por el destinatario o sario del programa$ )os canales ocltos # el cdigo tro#ano raramente
srgen por accidente$ Si se a(orda este tpico+ se de(en considerar los sigientes pntos9
a4 solo comprar programas de pro*eedores acreditadosR
(4 comprar programas en cdigo !ente de manera %e el mismo peda ser *eri!icadoR
c4 tili:ar prodctos e*aladosR
d4 e8aminar todo el cdigo !ente antes de tili:ar operati*amente el programaR
e4 controlar el acceso # las modi!icaciones al cdigo na *e: instalado el mismoR
!4 emplear personal de pro(ada con!ia(ilidad para tra(aNar en los sistemas cr;ticos$
%1$*$* De5arrollo e<8erno de 5of8Aare
Cando se terceri:a el desarrollo de so!tOare+ se de(en considerar los sigientes pntos9
a4 acerdos de licencias+ propiedad de cdigos # derec"os de propiedad intelectal 1*er 12$1$24R
(4 certi!icacin de la calidad # precisin del tra(aNo lle*ado a ca(oR
c4 acerdos de cstodia en caso de %ie(ra de la tercera parteR
d4 derec"os de acceso a na aditoria de la calidad # precisin del tra(aNo reali:adoR
e4 re%erimientos contractales con respecto a la calidad del cdigoR
!4 reali:acin de pre(as pre*ias a la instalacin para detectar cdigos tro#anos$
%% ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS
%%$% A5;ec8o5 de la admini58racin de la con8in3idad de lo5 negocio5
O(Neti*o9 Contrarrestar las interrpciones de las acti*idades comerciales # proteger los procesos
cr;ticos de los negocios de los e!ectos de !allas signi!icati*as o desastres$
Se de(e implementar n proceso de administracin de la continidad de los negocios para redcir la
discontinidad ocasionada por desastres # !allas de segridad 1%e peden ser el resltado de+ por
eN$+ desastres natrales+ accidentes+ !allas en el e%ipamiento+ # acciones deli(eradas4 a n ni*el
acepta(les mediante na com(inacin de controles pre*enti*os # de recperacin$
Se de(en anali:ar las consecencias de desastres+ !allas de segridad e interrpciones del ser*icio$
Se de(en desarrollar e implementar planes de contingencia para garanti:ar %e los procesos de
negocios pedan resta(lecerse dentro de los pla:os re%eridos$ 5ic"os planes de(en mantenerse en
*igencia # trans!ormarse en na parte integral del resto de los procesos de administracin # gestin$
)a administracin de la continidad de los negocios de(e inclir controles destinados a identi!icar #
redcir riesgos+ atenar las consecencias de los incidentes perNdiciales # asegrar la reandacin
oportna de las operaciones indispensa(les$
-"
Es%ema 1 I ,AM& 9
%%$%$% !roce5o de admini58racin de la con8in3idad de lo5 negocio5
Se de(e implementar n proceso controlado para el desarrollo # mantenimiento de la continidad de
los negocios en toda la organi:acin$ Este de(e contemplar los sigientes aspectos cla*e de la
administracin de la continidad9
a4 Comprensin de los riesgos %e en!renta la organi:acin en t<rminos de pro(a(ilidad de
ocrrencia e impacto+ incl#endo la identi!icacin # priori:acin de los procesos cr;ticos de los
negociosR
(4 comprensin del impacto %e na interrpcin pede tener en los negocios 1es importante
%e se encentren solciones para los incidentes menos signi!icati*os+ as; como para los
incidentes gra*es %e podr;an amena:ar la *ia(ilidad de la organi:acin 4 # de!inicin de los
o(Neti*os comerciales de las "erramientas de procesamiento de in!ormacinR
c4 considerar la contratacin de segros %e podr;an !ormar parte del proceso de continidad del
negocioR
d4 ela(oracin # docmentacin de na estrategia de continidad de los negocios consecente
con los o(Neti*os # prioridades de los negocios acordadosR
e4 ela(oracin # docmentacin de planes de continidad del negocio de con!ormidad con la
estrategia de continidad acordadaR
!4 pre(as # actali:acin peridicas de los planes # procesos implementadosR
g4 garanti:ar %e la administracin de la continidad de los negocios est< incorporada a los
procesos # estrctra de la organi:acin$ )a responsa(ilidad por la coordinacin del proceso
de administracin de la continidad de(e ser asignada a n ni*el Nerr%ico adecado dentro
de la organi:acin+ por eN$ al !oro de segridad de la in!ormacin 1*er F$1$14$
%%$%$ Con8in3idad del negocio = anDli5i5 del im;ac8o
)a continidad de los negocios de(e comen:ar por la identi!icacin de e*entos %e pedan ocasionar
interrpciones en los procesos de los negocios+ por eN$ !allas en el e%ipamiento+ inndacin e
incendio$ )ego de(e lle*arse a ca(o na e*alacin de riesgos para determinar el impacto de
dic"as interrpciones 1tanto en t<rminos de magnitd de daMo como del per;odo de recperacin4$
Estas dos acti*idades de(en lle*arse a ca(o con la acti*a participacin de los propietarios de los
procesos # recrsos de negocio$ Esta e*alacin considera todos los procesos de negocio # no se
limita a las instalaciones de procesamiento de la in!ormacin$
Seg'n los resltados de la e*alacin+ de(e desarrollarse n plan estrat<gico para determinar el
en!o%e glo(al con el %e se a(ordar la continidad de los negocios$ Una *e: %e se "a creado
este plan+ el mismo de(e ser apro(ado por la gerencia$
%%$%$" Ela9oracin e im;lemen8acin de ;lane5 de con8in3idad de lo5 negocio5
)os planes de(en ser desarrollados para mantener o resta(lecer las operaciones de los negocios en
los pla:os re%eridos na *e: ocrrida na interrpcin o !alla en los procesos cr;ticos de los
negocios$ El proceso de plani!icacin de la continidad de los negocios de(e considerar los
sigientes pntos9
a4 identi!icacin # acerdo con respecto a todas la responsa(ilidades # procedimientos de
emergenciaR
(4 implementacin de procedimientos de emergencia para permitir la recperacin #
resta(lecimiento en los pla:os re%eridos$ Se de(e dedicar especial atencin a la e*alacin
de la dependencias de negocios e8ternos # a los contratos *igentesR
c4 docmentacin de los procedimientos # procesos acordadosR
-)
d4 instrccin adecada del personal en materia de procedimientos # procesos de emergencia
acordados+ incl#endo el maneNo de crisisR
e4 pre(a # actali:acin de los planes$
El proceso de plani!icacin de(e concentrarse en los o(Neti*os de negocio re%eridos+ por eN$
resta(lecimiento de los ser*icios a clientes en n pla:o acepta(le$ 5e(en considerarse los ser*icios #
recrsos %e permitirn %e esto ocrra+ incl#endo dotacin de personal+ recrsos %e no procesan
in!ormacin+ as; como acerdos para reandacin de emergencia 1V!all(acQW4 en sitios alternati*os de
procesamiento de la in!ormacin$
%%$%$) Marco ;ara la ;lanificacin de la con8in3idad de lo5 negocio5
Se de(e mantener n solo marco para los planes de continidad de los negocios+ a !in de garanti:ar
%e los mismos sean ni!ormes e identi!icar prioridades de pre(a # mantenimiento$ Cada plan de
continidad de(e especi!icar claramente las condiciones para s pesta en marc"a+ as; como las
personas responsa(les de eNectar cada componente del mismo$ Cando se identi!ican ne*os
re%erimientos+ de(en modi!icarse de con!ormidad los procedimientos de emergencia esta(lecidos+
por eN$ los planes de e*acacin o los recrsos de emergencia 1V!all(acQW4 e8istentes$
El marco para la plani!icacin de la continidad de los negocios de(e tener en centa los sigientes
pntos9
a4 las condiciones de implementacin de los planes %e descri(an el proceso a segir 1cmo
e*alar la sitacin+ %< personas estarn in*olcradas+ etc$4 antes de poner en marc"a los
mismosR
(4 procedimientos de emergencia %e descri(an las acciones a emprender na *e: ocrrido n
incidente %e ponga en peligro las operaciones de la empresa #/o la *ida "mana$ Esto de(e
inclir disposiciones con respecto a la gestin de las relaciones p'(licas # a *;nclos e!icaces
a esta(lecer con las atoridades p'(licas pertinentes+ por eN$ polic;a+ (om(eros # atoridades
localesR
c4 procedimientos de emergencia 1V!all(acQW4 %e descri(an las acciones a emprender para el
traslado de acti*idades esenciales de la empresa o de ser*icios de soporte a (icaciones
transitorias alternati*as+ # para el resta(lecimiento de los procesos de negocio en los pla:os
re%eridosR
d4 procedimientos de recperacin %e descri(an las acciones a emprender para resta(lecer las
operaciones normales de la empresaR
e4 n cronograma de mantenimiento %e especi!i%e cmo # cndo ser pro(ado el plan+ # el
proceso para el mantenimiento del mismo9
!4 acti*idades de concienti:acin e instrccin %e est<n diseMadas para propiciar la
comprensin de los procesos de continidad del negocio # garanti:ar %e los procesos sigan
siendo e!icacesR
g4 las responsa(ilidades de las personas+ descri(iendo los responsa(les de la eNeccin de cada
no de los componentes del plan$ Se de(en mencionar alternati*as cando corresponda$
Cada plan de(e tener n propietario espec;!ico$ )os procedimientos de emergencia+ los planes de
reandacin 1V!all(acQW4 # los planes de recperacin de(en contarse entre las responsa(ilidades de
los propietarios de los recrsos o procesos de negocio pertinentes$ )as disposiciones de emergencia
para ser*icios t<cnicos alternati*os+ como instalaciones de comnicaciones o de procesamiento de
in!ormacin+ normalmente se centan entre las responsa(ilidades de los pro*eedores de ser*icios$
%%$%$* !r3e9aC man8enimien8o = ree:al3acin de lo5 ;lane5 de con8in3idad de lo5 negocio5
)os planes de continidad de los negocios peden !allar en el crso de las pre(as+ !recentemente
de(ido a sposiciones incorrectas+ negligencias o cam(ios en el e%ipamiento o el personal$ -or
-*
Es%ema 1 I ,AM& 9
consigiente de(en ser pro(ados peridicamente para garanti:ar %e estn actali:ados # son
e!icaces$ )as pre(as tam(i<n de(en garanti:ar %e todos los miem(ros del e%ipo de recperacin
# dems personal rele*ante est<n al corriente de los planes$
El cronograma de pre(as para los planes de continidad del negocio de(e indicar cmo # cndo
de(e pro(arse cada elemento del plan$ Se recomienda pro(ar con !recencia cada no de los
componentes del plan$ Se de(en tili:ar di*ersas t<cnicas para garanti:ar %e los planes
!ncionarn en la *ida real$ Estas de(en inclir9X
a4 pre(as de discsin de di*ersos escenarios 1disctiendo medidas para la recperacin del
negocio tili:ando eNemplo de interrpciones4R
(4 simlaciones 1especialmente para entrenar al personal en el desempeMo de ss roles de
gestin posterior a incidentes o crisis4R
c4 pre(as de recperacin t<cnica 1garanti:ando %e los sistemas de in!ormacin pedan ser
resta(lecidos con e!icacia4R
d4 pre(as de recperacin en n sitio alternati*o 1eNectando procesos de negocio en paralelo+
con operaciones de recperacin !era del sitio principal4R
e4 pre(as de instalaciones # ser*icios de pro*eedores 1garanti:ando %e los prodctos #
ser*icios de pro*eedores e8ternos cmplan con el compromiso contra;do4R
!4 ensa#os completos 1pro(ando %e la organi:acin+ el personal+ el e%ipamiento+ las
instalaciones # los procesos peden a!rontar las interrpciones4R
Estas t<cnicas peden ser tili:adas por cal%ier organi:acin # de(en re!leNar la natrale:a del
plan de recperacin pertinente$
%%$%$*$% Man8enimien8o = ree:al3acin del ;lan
)os planes de continidad de los negocios de(en mantenerse mediante re*isiones # actali:aciones
peridicas para garanti:ar s e!icacia permanente$ Se de(en inclir procedimientos en el programa
de administracin de cam(ios de la organi:acin para garanti:ar %e se a(orden adecadamente los
tpicos de continidad del negocio$
Se de(e asignar la responsa(ilidad por las re*isiones peridicas de cada no de los planes de
continidad del negocioR la identi!icacin de cam(ios en las disposiciones relati*as al negocio a'n no
re!leNadas en los planes de continidad de(e segirse de na adecada actali:acin del plan$ Este
proceso !ormal de control de cam(ios de(e garanti:ar %e se distri(#an los planes actali:ados #
%e se imponga el cmplimiento de los mismos mediante re*isiones peridicas de todos los planes$
Entre los eNemplos de sitaciones %e podr;an demandar la actali:acin de los planes se encentra
la ad%isicin de ne*o e%ipamiento+ o la actali:acin 1VpgradingW4 de los sistemas operacionales
# los cam(ios de9
a4 personal
(4 direcciones o n'meros tele!nicosR
c4 estrategia de los negociosR
d4 (icacin+ instalaciones # recrsosR
e4 legislacinR
!4 contratistas+ pro*eedores # clientes cla*eR
g4 procesos+ o procesos ne*os/eliminadosR
"4 riesgos 1operacionales # !inancieros4$
-,
% CUM!LIMIENTO
%$% C3m;limien8o de re73i5i8o5 legale5
O(Neti*o9 Impedir in!racciones # *iolaciones de las le#es del derec"o ci*il # penalR de las o(ligaciones
esta(lecidas por le#es+ estattos+ normas+ reglamentos o contratosR # de los re%isitos de segridad$
El diseMo+ operacin+ so # administracin de los sistemas de in!ormacin peden estar sNetos a
re%isitos de segridad legal+ normati*a # contractal$
Se de(e procrar asesoramiento so(re re%isitos legales espec;!icos por parte de los asesores
Nr;dicos de la organi:acin+ o de a(ogados con*enientemente cali!icados$ )os re%isitos legales
*ar;an seg'n el pa;s # en relacin con la in!ormacin %e se genera en n pa;s # se transmite a otro
1por eN$ !lNo de datos a tra*<s de !ronteras4$
%$%$% Iden8ificacin de la legi5lacin a;lica9le
Se de(en de!inir # docmentar claramente todos los re%isitos legales+ normati*os # contractales
pertinentes para cada sistema de in!ormacin$ 5el mismo modo de(en de!inirse # docmentarse los
controles espec;!icos # las responsa(ilidades indi*idales para cmplir con dic"os re%isitos$
%$%$ DerecGo5 de ;ro;iedad in8elec83al HD!II
%$%$$% DerecGo de ;ro;iedad in8elec83al
Se de(en implementar procedimientos adecados para garanti:ar el cmplimiento de las
restricciones legales al so del material respecto del cal pedan e8istir derec"os de propiedad
intelectal+ como derec"o de propiedad intelectal+ derec"os de diseMo o marcas registradas$ )a
in!raccin de derec"os de ator 1derec"o de propiedad intelectal4 pede tener como resltado
acciones legales %e podr;an deri*ar en demandas penales$
)os re%isitos legales+ normati*os # contractales peden poner restricciones a la copia de material
%e constit#a propiedad de na empresa$ En particlar+ peden re%erir %e slo peda tili:arse
material desarrollado por la organi:acin+ o material atori:ado o sministra&do a la misma por la
empresa %e lo "a desarrollado$
%$%$$ DerecGo de ;ro;iedad in8elec83al del 5of8Aare
)os prodctos de so!tOare %e constit#an propiedad de na empresa se sministran normalmente
(aNo n acerdo de licencia %e limita el so de los prodctos a m%inas espec;!icas # pede limitar
la copia a la creacin de copias de resgardo solamente$ Se de(en considerar los sigientes
controles9
a4 p(licacin de na pol;tica de cmplimiento del derec"o de propiedad intelectal de so!tOare
%e de!ina el so legal de prodctos de in!ormacin # de so!tOareR
(4 emisin de estndares para los procedimientos de ad%isicin de prodctos de so!tOareR
c4 mantenimiento de la concienti:acin respecto de las pol;ticas de ad%isicin # derec"o de
propiedad intelectal de so!tOare+ # noti!icacin de la determinacin de tomar acciones
disciplinarias contra el personal %e incrra en el cmplimiento de las mismasR
d4 mantenimiento adecados de registros de acti*osR
e4 mantenimiento de pre(as # e*idencias de propiedad de licencias+ discos maestros+
manales+ etc$
!4 implementacin de controles para garanti:ar %e no se e8ceda el n'mero m8imo permitido
de sariosR
--
Es%ema 1 I ,AM& 9
g4 compro(aciones para *eri!icar %e slo se instalan prodctos con licencia # so!tOare
atori:adoR
"4 emisin de na pol;tica para el mantenimiento de condiciones adecadas con respecto a las
licenciasR
i4 emisin de na pol;tica con respecto a la eliminacin o trans!erencia de so!tOare a tercerosR
N4 tili:acin de "erramientas de aditor;a adecadasR
Q4 cmplimiento de t<rminos # condiciones con respecto a la o(tencin de so!tOare e
in!ormacin en redes p'(licas 1*er tam(i<n el pnto 2$7$04$
%$%$" !ro8eccin de lo5 regi58ro5 de la organi>acin
)os registros importantes de la organi:acin de(en protegerse contra p<rdida+ destrccin #
!alsi!icacin$ Algnos registros peden re%erir na retencin segra para cmplir re%isitos legales o
normati*os+ as; como para respaldar acti*idades esenciales del negocio$ Un eNemplo de esto son los
registros %e peden re%erirse como e*idencia de %e na organi:acin opera dentro de n
determinado marco legal o normati*o+ o para garanti:ar na adecada de!ensa contra e*entales
acciones ci*iles o penales+ o para *alidar el estado !inanciero de na organi:acin ante accionistas+
socios # aditores$ El pla:o # el contenido de los datos para la retencin de in!ormacin peden ser
esta(lecidos por le#es o normas nacionales$
)os registros de(en ser clasi!icados en di!erentes tipos+ por eN$ registros conta(les+ registros de (ase
de datos+ VlogsW de transacciones+ VlogsW de aditor;a # procedimientos operati*os+ cada no de ellos
detallando los per;odos de retencin # el tipo de medios de almacenamiento+ por eN$ papel+
micro!ic"as+ medios magn<ticos pticos$ )as cla*es criptogr!icas asociadas con arc"i*os ci!rados
o !irmas digitales 1*er 10$E$2 # 10$E$E4 de(en mantenerse en !orma segra # estar disponi(les para s
so por parte de personas atori:adas cando reslte necesario$
Se de(e considerar la posi(ilidad de degradacin de los medios tili:ados para el almacenamiento
de los registros$ )os procedimientos de almacenamiento # maniplacin de(en implementarse de
acerdo con las recomendaciones del !a(ricante$
Si se seleccionan medios de almacenamiento electrnicos+ de(en inclirse procedimientos para
garanti:ar la capacidad de acceso a los datos 1tanto legi(ilidad de !ormato como medios4 drante
todo el per;odo de retencin+ a !in de sal*agardar los mismos contra e*entales p<rdidas
ocasionadas pro !tros cam(ios tecnolgicos$
)os sistemas de almacenamiento de datos de(en seleccionarse de modo tal %e los datos
re%eridos pedan recperarse de na manera %e reslte acepta(le para n tri(nal de Nsticia+ por
eN$ %e todos los registros re%eridos pedan recperarse en n pla:o # n !ormato acepta(le$
El sistema de almacenamiento # maniplacin de(e garanti:ar na clara identi!icacin de los
registros # de s per;odo de retencin legal o normati*a$ 5e(e permitir na adecada destrccin de
los registros na *e: transcrrido dic"o per;odo+ si #a no resltan necesarios para la organi:acin$
A !in de cmplir con estas o(ligaciones+ se de(en tomar las sigientes medidas dentro de la
organi:acin$
a4 Se de(e emitir lineamientos para la retencin+ almacenamiento+ maniplacin # eliminacin de
registros e in!ormacinR
(4 Se de(e preparar n cronograma de retencin identi!icando los tipos esenciales de registros #
el per;odo drante el cal de(en ser retenidos$
c4 Se de(e mantener n in*entario de !entes de in!ormacin cla*e$
-/
d4 Se de(e implementar adecados controles para proteger los registros # la in!ormacin
esenciales contra p<rdida+ destrccin # !alsi!icacin$
%$%$) !ro8eccin de da8o5 = ;ri:acidad de la informacin ;er5onal
5i*ersos pa;ses "an introdcido le#es %e esta(lecen controles so(re el procesamiento # transmisin
de datos personales 1generalmente in!ormacin so(re personas *i*as %e peden ser identi!icadas a
partir de esta in!ormacin4$ 5ic"os controles peden imponer responsa(ilidades a a%ellas personas
%e recopilan+ procesan # di*lgan in!ormacin personal+ # peden limitar la capacidad de trans!erir
dic"os datos a otros pa;ses$
El cmplimiento de la legislacin so(re proteccin de datos re%iere na estrctra # n control de
gestin adecados$ ?recentemente+ esto se logra de la meNor manera mediante la designacin de
n responsa(le a cargo de la proteccin de datos %e oriente a los gerentes+ sarios # prestadores
de ser*icios acerca de ss responsa(ilidades indi*idales # de los procedimientos espec;!icos %e
de(en segirse$ 5e(e ser responsa(ilidad del propietario de los datos+ in!ormar al responsa(le de la
proteccin de los mismos+ acerca de las propestas para mantener la in!ormacin personal+ en n
arc"i*o estrctrado+ # para garanti:ar el conocimiento de los principios de proteccin de datos+
de!inidos en la legislacin pertinente$
%$%$* !re:encin del 35o inadec3ado de lo5 rec3r5o5 de ;roce5amien8o de informacin
)os recrsos de procesamiento de in!ormacin de na organi:acin se sministran con propsitos de
negocio$ )a gerencia de(e atori:ar el so %e se da a los mismos$ )a tili:acin de estos recrsos
con propsitos no atori:ados o aNenos a los negocios+ sin la apro(acin de la gerencia+ de(e ser
considerada como so inde(ido$ Si dic"a acti*idad es identi!icada mediante monitoreo otros
medios+ se de(e noti!icar al gerente interesado para %e se tomen las acciones disciplinarias %e
correspondan$
)a legalidad del monitoreo del so de los recrsos mencionados *ar;a seg'n el pa;s # pede re%erir
%e los empleados sean ad*ertidos de dic"as acti*idades o %e se o(tenga el consentimiento de los
mismos$ Se de(e o(tener asesoramiento Nr;dico antes de implementar los procedimientos de
monitoreo$
Mc"os pa;ses tienen+ o estn en proceso de introdcir+ legislacin re!erida a la proteccin contra el
so inadecado de los recrsos in!ormticos$ El so de los mismos con propsitos no atori:ados
pede constitir n delito criminal$ -or consigiente+ es esencial %e todos los sarios est<n al
corriente del alcance preciso del acceso permitido$ Esto pede lograrse+ por eNemplo+ otorgando a
los sarios na atori:acin escrita+ na copia de la cal de(e ser !irmada por los mismos # retenida
en !orma segra por la organi:acin$ )os empleados # los sarios e8ternos de(er ser ad*ertidos de
la pro"i(icin de todo acceso %e no est< e8presamente atori:ado$
En el momento del inicio de sesin de(e aparecer n mensaNe de ad*ertencia en pantalla indicando
%e el sistema al %e se est ingresando es pri*ado # %e no se permite el acceso no atori:ado$ El
sario de(e acsar recepcin # responder en !orma adecada al mensaNe para continar con el
proceso de inicio de sesin$
%$%$, Reg3lacin de con8role5 ;ara el 35o de cri;8ografa
Algnos pa;ses "an implementado acerdos+ le#es+ normas # dems instrmentos para controlar el
acceso a los controles criptogr!icos o el so de los mismos$ 5ic"o control pede inclir9
a4 importacin #/o e8portacin de "ardOare # so!tOare para desempeMar !nciones
criptogr!icasR
-0
Es%ema 1 I ,AM& 9
(4 importacin #/o e8portacin de "ardOare # so!tOare diseMado para aceptar !nciones
criptogr!icasR
c4 m<todos o(ligatorios o discrecionales de acceso de los pa;ses a la in!ormacin ci!rada por
"ardOare # so!tOare para pro*eer de con!idencialidad al contenido$
Se de(e procrar asesoramiento Nr;dico para garanti:ar el cmplimiento de las le#es nacionales$
7am(i<n de(e o(tenerse asesoramiento antes de trans!erir a otro pa;s la in!ormacin ci!rada o los
controles criptogr!icos$
%$%$- Recoleccin de e:idencia
%$%$-$% Regla5 ;ara la recoleccin de e:idencia
Es necesario contar con adecada e*idencia para respaldar na accin contra na persona
organi:acin$ Siempre %e esta accin responda a na medida disciplinaria interna+ la e*idencia
necesaria estar descrita en los procedimientos internos$
Cando la accin implica la aplicacin de na le#+ tanto ci*il como penal+ la e*idencia presentada
de(e cmplir con las normas de e*idencia esta(lecidas en la le# pertinente o en las normas
espec;!icas del tri(nal en el cal se desarrollar el caso$ En general+ estas normas comprenden9
a4 *alide: de la e*idencia9 si pede o no tili:arse la misma en el tri(nalR
(4 peso de la e*idencia9 la calidad # totalidad de la mismaR
c4 adecada e*idencia de %e los controles "an !ncionado en !orma correcta # consistente 1por
eN$ e*idencia de control de procesos4 drante todo el per;odo en %e la e*idencia a recperar
!e almacenada # procesada por el sistema$
%$%$-$ +alide> de la e:idencia
-ara lograr la *alide: de la e*idencia+ las organi:aciones de(en garanti:ar %e ss sistemas de
in!ormacin cmplan con los estndares o cdigos de prctica relati*os a la prodccin de e*idencia
*lida$
%$%$-$" Calidad = 8o8alidad de la e:idencia
-ara lograr la calidad # totalidad de la e*idencia es necesaria na slida pista de la misma$ En
general+ esta pista pede esta(lecerse si se cmplen las sigientes condiciones9
a4 -ara docmentos en papel9 el original se almacena en !orma segra # se mantienen registros
acerca de %i<n lo "all+ dnde se "all+ cndo se "all # %i<n presenci el "alla:go$
Cal%ier in*estigacin de(e garanti:ar %e los originales no sean alterados$
(4 -ara in!ormacin en medios in!ormticos9 se de(en "acer copias de los medios remo*i(les #
de la in!ormacin en discos r;gidos o en memoria para garanti:ar s disponi(ilidad$ Se de(e
mantener n registro de todas las acciones reali:adas drante el proceso de copia # <ste
de(e ser presenciado$ Se de(e almacenar en !orma segra na copia de los medios # del
registro$
Cando se detecta n incidente pede no resltar o(*io si <ste deri*ar en na demanda legal$ -or
consigiente+ e8iste el riesgo de %e la e*idencia necesaria sea destrida accidentalmente antes de
%e se ad*ierta la gra*edad del incidente$ Es aconseNa(le in*olcrar a n a(ogado o a la polic;a en
la primera etapa de cal%ier accin legal contemplada # procrar asesoramiento acerca de la
e*idencia re%erida$
/1
%$ Re:i5ione5 de la ;ol8ica de 5eg3ridad = la com;a8i9ilidad 84cnica
O(Neti*o9 >aranti:ar la compati(ilidad de los sistemas con las pol;ticas # estndares 1normas4 de
segridad de la organi:acin$
)a segridad de los sistemas de in!ormacin de(e re*isarse peridicamente$ 5ic"as re*isiones
de(en lle*arse a ca(o con re!erencia a las pol;ticas de segridad pertinentes # las plata!ormas
t<cnicas # sistemas de in!ormacin de(en ser aditados para *eri!icar s compati(ilidad con los
estndares 1normas4 de implementacin de segridad$
%$$% C3m;limien8o de la ;ol8ica de 5eg3ridad
)a gerencia de(e garanti:ar %e se lle*en a ca(o correctamente todos los procedimientos de
segridad dentro de s rea de responsa(ilidad$ Asimismo+ se de(e considerar la implementacin de
na re*isin peridica de todas las reas de la organi:acin para garanti:ar el cmplimiento de las
pol;ticas # estndares de segridad$ Entre las reas a re*isar de(en inclirse las sigientes9
a4 sistemas de in!ormacinR
(4 pro*eedores de sistemasR
c4 propietarios de in!ormacin # de recrsos de in!ormacinR
d4 sariosR
e4 gerentes$
)os propietarios de los sistemas de in!ormacin 1*er .$14 de(en apo#ar la re*isin peridica de la
con!ormidad de ss sistemas con las pol;ticas+ estndares # otros re%isitos de segridad aplica(les$
El tpico re!erido al monitoreo operacional del so del sistema es tratado en el pnto 9$7$
%$$ +erificacin de la com;a8i9ilidad 84cnica
Se de(e *eri!icar peridicamente la compati(ilidad de los sistemas de in!ormacin con los estndares
de implementacin de la segridad$ )a *eri!icacin de la compati(ilidad t<cnica comprende la
re*isin de los sistemas operacionales a !in de garanti:ar %e los controles de "ardOare # so!tOare
"a#an sido correctamente implementados$ Este tipo de *eri!icacin de cmplimiento re%iere
asistencia t<cnica especiali:ada$ 5e(e ser reali:ada manalmente 1si es necesario+ con el apo#o de
adecadas "erramientas de so!tOare4 por n ingeniero en sistemas e8perimentado+ o por n pa%ete
de so!tOare atomati:ado %e genere n in!orme t<cnico para s lterior interpretacin por parte de
n especialista$
)a *eri!icacin de compati(ilidad tam(i<n pede comprender pre(as de penetracin+ las cales
podr;an ser reali:adas por e8pertos independientes contratados espec;!icamente con este propsito$
Esto pede resltar 'til para la deteccin de *lnera(ilidades en el sistema # para *eri!icar la e!icacia
de los controles con relacin a la pre*encin de accesos no atori:ados posi(ilitados por las
mismas$ Se de(en tomar recados en caso de %e na pre(a de penetracin e8itosa peda
comprometer la segridad del sistema e inad*ertidamente permita e8plotar otras *lnera(ilidades+
)as *eri!icaciones de compati(ilidad t<cnica slo de(en ser reali:adas por personas competentes #
atori:adas o (aNo la sper*isin de las mismas$
/%
Es%ema 1 I ,AM& 9
%$" Con5ideracione5 de a3di8oria de 5i58ema5
O(Neti*o9 Optimi:ar la e!icacia del proceso de aditoria de sistemas # minimi:ar los pro(lemas %e
pdiera ocasionar el mismo+ o los o(stclos %e pdieran a!ectarlo$
5e(en e8istir controles %e proteNan los sistemas de operaciones # las "erramientas de aditoria en
el transcrso de las aditorias de sistemas$
Asimismo+ se re%iere na proteccin adecada para sal*agardar la integridad # e*itar el so
inadecado de las "erramientas de aditoria$
%$"$% Con8role5 de a3di8oria de 5i58ema5
)os re%erimientos # acti*idades de aditoria %e in*olcran *eri!icaciones de los sistemas
operacionales de(en ser cidadosamente plani!icados # acordados a !in de minimi:ar el riesgo de
discontinidad de los procesos de negocio$ Se de(en contemplar los sigientes pntos9
a4 )os re%erimientos de aditoria de(en ser acordados con la gerencia %e correspondaR
(4 se de(e acordar # controlar el alcance de las *eri!icacionesR
c4 <stas de(en estar limitadas a n acceso de slo lectra del so!tOare de datosR
d4 el acceso %e no sea de slo lectra solamente de(e permitirse para copias aisladas de
arc"i*os del sistema+ las cales de(en ser eliminadas na *e: !inali:ada la aditor;a$
e4 se de(en identi!icar claramente # poner a disposicin los recrsos de 7I para lle*ar a ca(o las
*eri!icacionesR
!4 se de(en identi!icar # acordar los re%erimientos de procesamiento especial o adicionalR
g4 todos los accesos de(en ser monitoreados # registrados a !in de generar na pista de
re!erenciaR
"4 se de(en docmentar todos los procedimientos+ re%erimientos # responsa(ilidades$
%$"$ !ro8eccin de la5 Gerramien8a5 de a3di8ora de 5i58ema5
Se de(e proteger el acceso a las "erramientas de aditor;a de sistemas+ por eN$ arc"i*os de datos o
so!tOare+ a !in de e*itar el mal so o el compromiso de las mismas$ 5ic"as "erramientas de(en estar
separadas de los sistemas operacionales # de desarrollo # no de(en almacenarse en (i(liotecas de
cintas o en reas de sarios+ a menos %e se les otorge n ni*el adecado de proteccin
adicional$
/
Ane<o A
1In!ormati*o4
.i9liografa
ISO J INTERNATIONAL ORGANIZATION (OR STANDARDIZATION
IEC J INTERNATIONAL ELECTROTECKNICAL COMMISSION
ISO/IEC 1779992000 & In!ormation tec"nolog#$ Code o! practice !or in!ormation secrit#
management$
Ane<o .
1In!ormati*o4
El estdio de este es%ema "a estado a cargo del S(comit< de Segridad de la in!ormacin+
integrado de la !orma sigiente9
In8egran8e Re;re5en8a a?
)ic$ Adal(erto AI,A)A U6IB$ 7EC6$ 6AC$ & ?AC$ ,E>$ 3S$ AS$
5r$ 5aniel A)7MA,Y CO)E>IO 5E A3O>A5OS
)ic$ Han de 5ios 3E) ISACA & I6?O,MA7IO6 SIS7EMS AU5I7$
A65 CO67,O) ASSOCIA7IO6
Sr$ Os*aldo -=,EG IEEE A,>E67I6A
Sr$ ,odrigo SE>UE) SEC,E7$ 5E MO5E,6IGACI@6 5E) ES7A5O
5r$ -a(lo 7ISCO,6IA MI6IS7E,IO 5E HUS7ICIA I 5E,ECLOS
LUMA6OS
)ic$ Han Carlos MASOE,O I,AM
)ic$ Horge 6U6ES I,AM
)ic$ Espedito -ASSA,E))O I,AM
TRBMITE
El estdio de esta norma !e considerado por el S(comit< en ss reniones del 2002&02&22
1Acta 1&20024 # 2002&0E&21 1Acta 2&20024 en la %e se apro( como Es%ema 1 para s en*;o a
5iscsin -'(lica por F. d$
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
A-,O3A5O SU E6BIO A 5ISCUSI@6 -[3)ICA -O, E) SU3COMI7= 5E SE>U,I5A5 5E )A
I6?O,MACI@6+ E6 SU SESI@6 5E) 21 5E MA,GO 5E 2002 1Acta 2&20024$
?I,MA5O
)ic$ Horge 6nes
)ic$ Han C$ Masoero
Coordinador del S(comit<
?I,MA5O
)ic$ Han 3el
Secretario del S(comit<
?I,MA5O
)ic$ Marta ,$ de 3ar(ieri
B\ 3\ E%ipo A
/)

ISO17799 Castellano

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ISO17799 Castellano

Uploaded by

Copyright:

Available Formats

ESQUEMA 1

ISO IEC 17799

Es%ema 1 I ,AM& I SO I EC 17799 9 2002

Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond

You might also like