2002 Tecnologa de la informacin Cdigo de prctica para la administracin de la segridad de la in!ormacin In!ormation tec"nolog#$ Code o! practice !or in!ormation secrit# management$ Este es%ema est sometido a disc& sin p'(lica$ )as o(ser*aciones de& (en remitirse !ndadas # por escri& to+ al Institto I,AM+ -er' ..2 / ..0 & 1C1002AA34 3enos Aires antes del 2002&00&22 5OCUME67O E6 ES7U5IO
5E 6O,MA I,AM& 8888 de 2002 INSTITUTO ARGENTINO DE NORMALIZACIN
Es%ema 1 I ,AM& I SO I EC 17799 9 2002
!refacio El Institto Argentino de 6ormali:acin 1I,AM4 es na asociacin ci*il sin !ines de lcro c#as !inalidades espec;!icas+ en s carcter de Organismo Argentino de 6ormali:acin+ son esta(lecer normas t<cnicas+ sin limitaciones en los m(itos %e a(ar%en+ adems de propender al conocimiento # la aplicacin de la normali:acin como (ase de la calidad+ promo*iendo las acti*idades de certi!icacin de prodctos # de sistemas de la calidad en las empresas para (rindar segridad al consmidor$ I,AM es el representante de la Argentina en la International Organi:ation !or Standardi:ation 1ISO4+ en la Comisin -anamericana de 6ormas 7<cnicas 1CO-A674 # en la Asociacin ME,COSU, de 6ormali:acin 1AM64$ Esta norma I,AM es el !rto del consenso t<cnico entre los di*ersos sectores in*olcrados+ los %e a tra*<s de ss representantes "an inter*enido en los Organismos de Estdio de 6ormas correspondientes$ Esta norma es na adopcin id<ntica de la norma ISO 1779992000$ " Es%ema 1 I ,AM& 9 #ndice INTRODUCCIN$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ QU= ES )A SE>U,I5A5 5E )A I6?O,MACI@6 A$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ -O, QU= ES 6ECESA,IA )A SE>U,I5A5 5E )A I6?O,MACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$ C@MO ES7A3)ECE, )OS ,EQUE,IMIE67OS 5E SE>U,I5A5$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ EBA)UACI@6 5E )OS ,IES>OS E6 MA7E,IA 5E SE>U,I5A5$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ SE)ECCI@6 5E CO67,O)ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ -U67O 5E -A,7I5A -A,A )A SE>U,I5A5 5E )A I6?O,MACI@6$$$$$$$$$$$$$$$$$$$$$$$$$ ?AC7O,ES C,C7ICOS 5E) =DI7O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 5ESA,,O))O 5E )I6EAMIE67OS -,O-IOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ % ALCANCE$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ T&RMINOS ' DE(INICIONES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ " !OL#TICA DE SEGURIDAD$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ E$1 -O)C7ICA 5E SE>U,I5A5 5E )A I6?O,MACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 3.1.1 Documentacin de la poltica de seguridad de la informacin......................... 3.1.2 Revisin y evaluacin...................................................................................... ) ORGANIZACIN DE LA SEGURIDAD$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ F$1 I6?,AES7,UC7U,A 5E SE>U,I5A5 5E )A I6?O,MACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$ 4.1.1 Foro gerencial sobre seguridad de la informacin........................................... 4.1.2 Coordinacin de la seguridad de la informacin.............................................. 4.1.3 signacin de responsabilidades en materia de seguridad de la informacin............................................................................................................... 4.1.4 !roceso de autori"acin para instalaciones de procesamiento de informacin............................................................................................................... 4.1.# sesoramiento especiali"ado en materia de seguridad de la informacin .................................................................................................................................. 4.1.$ Cooperacin entre organi"aciones................................................................... 4.1.% Revisin independiente de la seguridad de la informacin.............................. F$2 SE>U,I5A5 ?,E67E A) ACCESO -O, -A,7E 5E 7E,CE,OS$$$$$$$$$$$$$$$$$$$$$$ 4.2.1 &dentificacin de riesgos del acceso de terceras partes................................... 4.2.2 Re'uerimientos de seguridad en contratos con terceros................................. F$E 7E,CE,IGACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 4.3.1 Re'uerimientos de seguridad en contratos de terceri"acin........................... * CLASI(ICACIN ' CONTROL DE ACTI+OS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ .$1 ,ES-O6SA3I)I5A5 -O, ,E65ICI@6 5E CUE67AS 5E )OS AC7IBOS$$$$$$$$$$ #.1.1 &nventario de activos........................................................................................ .$2 C)ASI?ICACI@6 5E )A I6?O,MACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ #.2.1 !autas de clasificacin..................................................................................... #.2.2 Rotulado y mane(o de la informacin............................................................... , SEGURIDAD DEL !ERSONAL$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 0$1 SE>U,I5A5 E6 )A 5E?I6ICI@6 5E -UES7OS 5E 7,A3AHO I )A ASI>6ACI@6 5E ,ECU,SOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ ) -gina Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond $.1.1 &nclusin de la seguridad en las responsabilidades de los puestos de traba(o....................................................................................................................... $.1.2 )eleccin y poltica de personal....................................................................... $.1.3 cuerdos de confidencialidad.......................................................................... $.1.4 *+rminos y condiciones de empleo.................................................................. 0$2 CA-ACI7ACI@6 5E) USUA,IO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ $.2.1 Formacin y capacitacin en materia de seguridad de la informacin............. 0$E ,ES-UES7A A I6CI5E67ES I A6OMA)CAS E6 MA7E,IA 5E SE>U,I5A5 $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ $.3.1 Comunicacin de incidentes relativos a la seguridad....................................... $.3.2 Comunicacin de debilidades en materia de seguridad................................... $.3.3 Comunicacin de anomalas del soft,are........................................................ $.3.4 prendiendo de los incidentes........................................................................ $.3.# !roceso disciplinario........................................................................................ - SEGURIDAD (#SICA ' AM.IENTAL$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 7$1 J,EAS SE>U,AS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ %.1.1 !ermetro de seguridad fsica.......................................................................... %.1.2 Controles de acceso fsico............................................................................... %.1.3 !roteccin de oficinas- recintos e instalaciones............................................... %.1.4 Desarrollo de tareas en .reas protegidas........................................................ %.1.# islamiento de las .reas de entrega y carga................................................... 7$2 SE>U,I5A5 5E) EQUI-AMIE67O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ %.2.1 /bicacin y proteccin del e'uipamiento......................................................... %.2.2 )uministros de energa.................................................................................... %.2.3 )eguridad del cableado................................................................................... %.2.4 0antenimiento de e'uipos............................................................................... %.2.# )eguridad del e'uipamiento fuera del .mbito de la organi"acin.................... %.2.$ 1a(a segura o reutili"acin de e'uipamiento.................................................... 7$E CO67,O)ES >E6E,A)ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ %.3.1 !olticas de escritorios y pantallas limpias....................................................... %.3.2 Retiro de bienes............................................................................................... / GESTIN DE COMUNICACIONES ' O!ERACIONES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2$1 -,OCE5IMIE67OS I ,ES-O6SA3I)I5A5ES O-E,A7IBAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2.1.1 Documentacin de los procedimientos operativos........................................... 2.1.2 Control de cambios en las operaciones........................................................... 2.1.3 !rocedimientos de mane(o de incidentes......................................................... 2.1.4 )eparacin de funciones.................................................................................. 2.1.# )eparacin entre instalaciones de desarrollo e instalaciones operativas........ 2.1.$ dministracin de instalaciones e3ternas........................................................ 2$2 -)A6I?ICACI@6 I A-,O3ACI@6 5E SIS7EMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2.2.1 !lanificacin de la capacidad.......................................................................... 2.2.2 probacin del sistema.................................................................................... 2$E -,O7ECCI@6 CO67,A SO?7KA,E MA)ICIOSO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2.3.1 Controles contra soft,are malicioso................................................................ 2$F MA67E6IMIE67O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2.4.1 Resguardo de la informacin........................................................................... 2.4.2 Registro de actividades del personal operativo................................................ 2.4.3 Registro de fallas............................................................................................. 2$. A5MI6IS7,ACI@6 5E )A ,E5$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2.#.1 Controles de redes........................................................................................... 2$0 A5MI6IS7,ACI@6 I SE>U,I5A5 5E )OS ME5IOS 5E A)MACE6AMIE67O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2.$.1 dministracin de medios inform.ticos removibles.......................................... 2.$.2 4liminacin de medios inform.ticos................................................................. 2.$.3 !rocedimientos de mane(o de la informacin.................................................. 2.$.4 )eguridad de la documentacin del sistema.................................................... * Es%ema 1 I ,AM& 9 2$7 I67E,CAM3IOS 5E I6?O,MACI@6 I SO?7KA,E$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2.%.1 cuerdos de intercambio de informacin y soft,are........................................ 2.%.2 )eguridad de los medios en tr.nsito................................................................ 2.%.3 )eguridad del comercio electrnico................................................................. 2.%.4 )eguridad del correo electrnico..................................................................... 2.%.# )eguridad de los sistemas electrnicos de oficina........................................... 2.%.$ )istemas de acceso p5blico............................................................................. 2.%.% 6tras formas de intercambio de informacin................................................... 0 CONTROL DE ACCESOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 9$1 ,EQUE,IMIE67OS 5E 6E>OCIO -A,A E) CO67,O) 5E ACCESOS$$$$$$$$$$$$$ 7.1.1 !oltica de control de accesos......................................................................... 9$2 A5MI6IS7,ACI@6 5E ACCESOS 5E USUA,IOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 7.2.1 Registracin de usuarios.................................................................................. 7.2.2 dministracin de privilegios............................................................................ 7.2.3 dministracin de contrase8as de usuario....................................................... 7.2.4 Revisin de derec9os de acceso de usuario.................................................... 9$E ,ES-O6SA3I)I5A5ES 5E) USUA,IO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 7.3.1 /so de contrase8as......................................................................................... 7.3.2 4'uipos desatendidos en .reas de usuarios................................................... 9$F CO67,O) 5E ACCESO A )A ,E5$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 7.4.1 !oltica de utili"acin de los servicios de red................................................... 7.4.2 Camino for"ado................................................................................................ 7.4.3 utenticacin de usuarios para cone3iones e3ternas...................................... 7.4.4 utenticacin de nodos.................................................................................... 7.4.# !roteccin de los puertos :ports; de diagnostico remoto................................. 7.4.$ )ubdivisin de redes........................................................................................ 7.4.% Control de cone3in a la red............................................................................ 7.4.2 Control de ruteo de red.................................................................................... 7.4.7 )eguridad de los servicios de red.................................................................... 9$. CO67,O) 5E ACCESO A) SIS7EMA O-E,A7IBO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 7.#.1 &dentificacin autom.tica de terminales........................................................... 7.#.2 !rocedimientos de cone3in de terminales...................................................... 7.#.3 &dentificacin y autenticacin de los usuarios.................................................. 7.#.4 )istema de administracin de contrase8as...................................................... 7.#.# /so de utilitarios de sistema............................................................................ 7.#.$ larmas silenciosas para la proteccin de los usuarios................................... 7.#.% Descone3in de terminales por tiempo muerto................................................ 7.#.2 <imitacin del 9orario de cone3in................................................................... 9$0 CO67,O) 5E ACCESO A )AS A-)ICACIO6ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 7.$.1 Restriccin del acceso a la informacin........................................................... 7.$.2 islamiento de sistemas sensibles................................................................... 9$7 MO6I7O,EO 5E) ACCESO I USO 5E )OS SIS7EMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 7.%.1 Registro de eventos......................................................................................... 7.%.2 0onitoreo del uso de los sistemas................................................................... 7.%.3 )incroni"acin de relo(es................................................................................. 9$2 COM-U7ACI@6 M@BI) I 7,A3AHO ,EMO7O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 7.2.1 Computacin mvil........................................................................................... 7.2.2 *raba(o remoto................................................................................................. %1 DESARROLLO ' MANTENIMIENTO DE SISTEMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 10$1 ,EQUE,IMIE67OS 5E SE>U,I5A5 5E )OS SIS7EMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1=.1.1 n.lisis y especificaciones de los re'uerimientos de seguridad.................... 10$2 SE>U,I5A5 E6 )OS SIS7EMAS 5E A-)ICACI@6$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1=.2.1 >alidacin de datos de entrada...................................................................... 1=.2.2 Controles de procesamiento interno.............................................................. 1=.2.3 utenticacin de mensa(es............................................................................ 1=.2.4 >alidacin de los datos de salida................................................................... , Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 10$E CO67,O)ES C,I-7O>,J?ICOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1=.3.1 !oltica de utili"acin de controles criptogr.ficos........................................... 1=.3.2 Cifrado........................................................................................................... 1=.3.3 Firma digital................................................................................................... 1=.3.4 )ervicios de no repudio.................................................................................. 1=.3.# dministracin de claves................................................................................ 10$F SE>U,I5A5 5E )OS A,CLIBOS 5E) SIS7EMA$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1=.4.1 Control del soft,are operativo....................................................................... 1=.4.2 !roteccin de los datos de prueba del sistema.............................................. 1=.4.3 Control de acceso a las bibliotecas de programa fuente................................ 10$. SE>U,I5A5 5E )OS -,OCESOS 5E 5ESA,,O))O I SO-O,7E$$$$$$$$$$$$$$$$ 1=.#.1 !rocedimientos de control de cambios.......................................................... 1=.#.2 Revisin t+cnica de los cambios en el sistema operativo.............................. 1=.#.3 Restriccin del cambio en los pa'uetes de soft,are..................................... 1=.#.4 Canales ocultos y cdigo troyano.................................................................. 1=.#.# Desarrollo e3terno de soft,are...................................................................... %% ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS$$$$$$$$$$$$$$$ 11$1 AS-EC7OS 5E )A A5MI6IS7,ACI@6 5E )A CO67I6UI5A5 5E )OS 6E>OCIOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 11.1.1 !roceso de administracin de la continuidad de los negocios....................... 11.1.2 Continuidad del negocio y an.lisis del impacto.............................................. 11.1.3 4laboracin e implementacin de planes de continuidad de los negocios .................................................................................................................................. 11.1.4 0arco para la planificacin de la continuidad de los negocios....................... 11.1.# !rueba- mantenimiento y reevaluacin de los planes de continuidad de los negocios.............................................................................................................. % CUM!LIMIENTO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 12$1 CUM-)IMIE67O 5E ,EQUISI7OS )E>A)ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 12.1.1 &dentificacin de la legislacin aplicable......................................................... 12.1.2 Derec9os de propiedad intelectual :dpi;......................................................... 12.1.3 !roteccin de los registros de la organi"acin............................................... 12.1.4 !roteccin de datos y privacidad de la informacin personal........................ 12.1.# !revencin del uso inadecuado de los recursos de procesamiento de informacin............................................................................................................... 12.1.$ Regulacin de controles para el uso de criptografa...................................... 12.1.% Recoleccin de evidencia.............................................................................. 12$2 ,EBISIO6ES 5E )A -O)C7ICA 5E SE>U,I5A5 I )A COM-A7I3I)I5A5 7=C6ICA$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 12.2.1 Cumplimiento de la poltica de seguridad...................................................... 12.2.2 >erificacin de la compatibilidad t+cnica........................................................ 12$E CO6SI5E,ACIO6ES 5E AU5I7O,IA 5E SIS7EMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 12.3.1 Controles de auditoria de sistemas................................................................ 12.3.2 !roteccin de las 9erramientas de auditora de sistemas.............................. Ane8o A 1In!ormati*o4 3i(liogra!;a$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ Ane8o 3 1In!ormati*o4 Integrantes del organismo de estdio$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ - Es%ema 1 I ,AM& 9 / Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond Tecnologa de la informacin Cdigo de prctica para la administracin de la segridad de la in!ormacin INTRODUCCIN 234 e5 la 5eg3ridad de la informacin 6 )a in!ormacin es n recrso %e+ como el resto de los importantes acti*os comerciales+ tiene *alor para na organi:acin # por consigiente de(e ser de(idamente protegida$ )a segridad de la in!ormacin protege <sta de na amplia gama de amena:as+ a !in de garanti:ar la continidad comercial+ minimi:ar el daMo al mismo # ma8imi:ar el retorno so(re las in*ersiones # las oportnidades$ )a in!ormacin pede e8istir en mc"as !ormas$ -ede estar impresa o escrita en papel+ almacenada electrnicamente+ transmitida por correo o tili:ando medios electrnicos+ presentada en imgenes+ o e8pesta en na con*ersacin$ Cal%iera sea la !orma %e ad%iere la in!ormacin+ o los medios por los cales se distri(#e o almacena+ siempre de(e ser protegida en !orma adecada$ )a segridad de la in!ormacin se de!ine a%; como la preser*acin de las sigientes caracter;sticas9 a4 con!idencialidad9 se garanti:a %e la in!ormacin sea accesi(le slo a a%ellas personas atori:adas a tener acceso a ella$ (4 integridad9 se sal*agarda la e8actitd # totalidad de la in!ormacin # los m<todos de procesamiento$ c4 disponi(ilidad9 se garanti:a %e los sarios atori:ados tengan acceso a la in!ormacin # a los recrsos relacionados con ella toda *e: %e se re%iera$ )a segridad de la in!ormacin se logra implementando n conNnto adecado de controles+ %e a(arca pol;ticas+ prcticas+ procedimientos+ estrctras organi:acionales # !nciones del so!tOare$ Se de(en esta(lecer estos controles para garanti:ar %e se logren los o(Neti*os espec;!icos de segridad de la organi:acin$ !or 734 e5 nece5aria la 5eg3ridad de la informacin )a in!ormacin # los procesos+ sistemas # redes %e le (rindan apo#o constit#en importantes recrsos de la empresa$ )a con!idencialidad+ integridad # disponi(ilidad de la in!ormacin peden ser esenciales para mantener la *entaNa competiti*a+ el !lNo de !ondos+ la renta(ilidad+ el cmplimiento de las le#es # la imagen comercial$ )as organi:aciones # ss redes # sistemas de in!ormacin+ se en!rentan en !orma creciente con amena:as relati*as a la segridad+ de di*ersos or;genes+ incl#endo el !rade asistido por comptadora+ espionaNe+ sa(otaNe+ *andalismo+ incendio o inndacin$ 5aMos tales como los ata%es mediante *irs in!ormticos+ P"acQingP # denegacin de ser*icio se "an *elto ms comnes+ am(iciosos # crecientemente so!isticados$ 0 Es%ema 1 I ,AM& 9 )a dependencia de las organi:aciones respecto de los sistemas # ser*icios de in!ormacin denota %e ellas son ms *lnera(les a las amena:as concernientes a segridad$ )a intercone8in de las redes p'(licas # pri*adas # el so compartido de los recrsos de in!ormacin incrementa la di!icltad de lograr el control de los accesos$ )a tendencia "acia el procesamiento distri(ido "a de(ilitado la e!icacia del control t<cnico centrali:ado$ Mc"os sistemas de in!ormacin no "an sido diseMados para ser segros$ )a segridad %e pede lograrse por medios t<cnicos es limitada # de(e ser respaldada por na gestin # procedimientos adecados$ )a identi!icacin de los controles %e de(en implementarse re%iere na cidadosa plani!icacin # atencin a todos los detalles$ )a administracin de la segridad de la in!ormacin+ e8ige+ como m;nimo+ la participacin de todos los empleados de la organi:acin$ 7am(i<n pede re%erir la participacin de pro*eedores+ clientes # accionistas$ Asimismo+ pede re%erirse el asesoramiento e8perto de organi:aciones e8ternas$ )os controles de segridad de la in!ormacin resltan considera(lemente ms econmicos # e!icaces si se incorporan en la etapa de especi!icacin de re%erimientos # diseMo$ Cmo e58a9lecer lo5 re73erimien8o5 de 5eg3ridad Es esencial %e na organi:acin identi!i%e ss re%erimientos de segridad$ E8isten tres recrsos principales para lograrlo$ El primer recrso consiste en e*alar los riesgos %e en!renta la organi:acin$ Mediante la e*alacin de riesgos se identi!ican las amena:as a los acti*os+ se e*al'an las *lnera(ilidades # pro(a(ilidades de ocrrencia+ # se estima el impacto potencial$ El segndo recrso est constitido por los re%isitos legales+ normati*os+ reglamentarios # contractales %e de(en cmplir la organi:acin+ ss socios comerciales+ los contratistas # los prestadores de ser*icios$ El tercer recrso es el conNnto espec;!ico de principios+ o(Neti*os # re%isitos para el procesamiento de la in!ormacin+ %e "a desarrollado la organi:acin para respaldar ss operaciones$ E:al3acin de lo5 rie5go5 en ma8eria de 5eg3ridad )os re%erimientos de segridad se identi!ican mediante na e*alacin metdica de los riesgos de segridad$ )as erogaciones deri*adas de la satis!accin de las necesidades de control de(en ser e%ili(radas con respecto al impacto potencial de las !allas de segridad en los negocios$ )as t<cnicas de e*alacin de riesgos peden aplicarse a toda la organi:acin+ o slo a partes de la misma+ as; como a los sistemas de in!ormacin indi*idales+ componentes de sistemas o ser*icios espec;!icos cando esto reslte !acti(le+ *ia(le # pro*ec"oso$ )a e*alacin de riesgos es na consideracin sistemtica de los sigientes pntosR a4 impacto potencial de na !alla de segridad en los negocios+ teniendo en centa las potenciales consecencias por na p<rdida de la con!idencialidad+ integridad o disponi(ilidad de la in!ormacin # otros recrsosR (4 pro(a(ilidad de ocrrencia de dic"a !alla tomando en centa las amena:as # *lnera(ilidades predominantes+ # los controles actalmente implementados$ )os resltados de esta e*alacin a#darn a orientar #a determinar las prioridades # acciones de gestin adecadas para la administracin de los riesgos concernientes a segridad de la in!ormacin+ # para la implementacin de los controles seleccionados a !in de (rindar proteccin contra dic"os riesgos$ %1 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond -ede resltar necesario %e el proceso de e*alacin de riesgos # seleccin de controles de(a lle*arse aca(o en *arias ocasiones+ a !in de c(rir di!erentes partes de la organi:acin o sistemas de in!ormacin indi*idales$ Es importante lle*ar a ca(o re*isiones peridicas de los riesgos de segridad # de los controles implementados a !in de9 a4 re!leNar los cam(ios en los re%erimientos # prioridades de la empresaR (4 considerar ne*as amena:as # *lnera(ilidadesR c4 corro(orar %e los controles sigen siendo e!icaces # apropiados$ )as re*isiones de(en lle*arse a ca(o con di!erentes ni*eles de pro!ndidad seg'n los resltados de e*alaciones anteriores # los ni*eles *aria(les de riesgo %e la gerencia est dispesta a aceptar$ ?recentemente+ las e*alaciones de riesgos se reali:an primero en n ni*el alto+ a !in de priori:ar recrsos en reas de alto riesgo+ # posteriormente en n ni*el ms detallado+ con el o(Neto de a(ordar riesgos espec;!icos$ Seleccin de con8role5 Una *e: identi!icados los re%erimientos de segridad+ de(en seleccionarse e implementarse controles para garanti:ar %e los riesgos sean redcidos a n ni*el acepta(le$ )os controles peden seleccionarse so(re la (ase de este docmento+ de otros estndares+ o peden diseMarse ne*os controles para satis!acer necesidades espec;!icas seg'n corresponda$ E8isten di*ersos modos de administrar riesgos # este docmento (rinda eNemplos de estrategias generales$ 6o o(stante+ es necesario reconocer %e algnos controles no son aplica(les a todos los sistemas o am(ientes de in!ormacin+ # podr;an no resltar *ia(les en todas las organi:aciones$ Como eNemplo+ el pnto 2$1$F descri(e cmo peden separarse las tareas para e*itar !rades # errores$ -odr;a no resltar posi(le para las organi:aciones ms pe%eMas separar todas las tareas+ pdiendo resltar necesarias otras !ormas de lograr el mismo o(Neti*o de control$ )os controles de(en seleccionarse teniendo en centa el costo de implementacin en relacin con los riesgos a redcir # las p<rdidas %e podr;an prodcirse de tener lgar na *iolacin de la segridad$ 7am(i<n de(en tenerse en centa los !actores no monetarios+ como el daMo en la reptacin$ Algnos controles de este docmento peden considerarse como principios rectores para la administracin de la segridad de la in!ormacin+ aplica(les a la ma#or;a de las organi:aciones$ Se e8plican con ma#or detalle en el sigiente prra!o+ (aNo el t;tlo de P-nto de partida para la segridad de la in!ormacinP$ !3n8o de ;ar8ida ;ara la 5eg3ridad de la informacin Algnos controles peden considerarse como principios rectores %e proporcionan n (en pnto de partida para la implementacin de la segridad de la in!ormacin$ Estn (asados en re%isitos legales !ndamentales+ o (ien se consideran como prctica recomendada de so !recente concerniente a la segridad de la in!ormacin$ )os controles %e se consideran esenciales para na organi:acin+ desde el pnto de *ista legal comprenden9 a4 proteccin de datos # con!idencialidad de la in!ormacin personal 1*er 12$1$F4R (4 proteccin de registros # docmentos de la organi:acin 1*er 12$1$E4 R %% Es%ema 1 I ,AM& 9 c4 derec"os de propiedad intelectal 1*er 12$1$24 R )os controles considerados como prctica recomendada de so !recente en la implementacin de la segridad de la in!ormacin comprenden9 a4 docmentacin de la pol;tica de segridad de la in!ormacin 1*er E$1$14R (4 asignacin de responsa(ilidades en materia de segridad de la in!ormacin 1*er F$1 $E4R c4 instrccin # entrenamiento en materia de segridad de la in!ormacin 1*er 0$2$14R d4 comnicacin de incidentes relati*os a la segridad 1*er 0$E$14R e4 administracin de la continidad de la empresa 1*er 11$1 4R Estos controles son aplica(les a la ma#or;a de las organi:aciones # en la ma#or;a de los am(ientes$ Se de(e o(ser*ar %e an%e todos los controles mencionados en este docmento son importantes+ la rele*ancia de cada no de ellos de(e ser determinada teniendo en centa los riesgos espec;!icos %e a!ronta la organi:acin$ -or ello+ si (ien el en!o%e delineado precedentemente se considera n (en pnto de partida+ <ste no pretende reempla:ar la seleccin de controles %e se reali:a so(re la (ase de na e*alacin de riesgos$ (ac8ore5 cr8ico5 del 4<i8o )a e8periencia "a demostrado %e los sigientes !actores+ a mendo resltan cr;ticos para la implementacin e8itosa de la segridad de la in!ormacin+ dentro de na organi:acin9 a4 pol;tica de segridad+ o(Neti*os # acti*idades %e re!leNen los o(Neti*os de la empresaR (4 na estrategia de implementacin de segridad %e sea consecente con la cltra organi:acionalR c4 apo#o # compromiso mani!iestos por parte de la gerenciaR d4 n claro entendimiento de los re%erimientos de segridad+ la e*alacin de riesgos # la administracin de los mismosR e4 comnicacin e!ica: de los temas de segridad a todos los gerentes # empleadosR !4 distri(cin de g;as so(re pol;ticas # estndares de segridad de la in!ormacin a todos los empleados # contratistasR g4 instrccin # entrenamiento adecadosR "4 n sistema integral # e%ili(rado de medicin %e se tilice para e*alar el desempeMo de la gestin de la segridad de la in!ormacin # para (rindar sgerencias tendientes a meNorarlo$ De5arrollo de lineamien8o5 ;ro;io5 Este cdigo de prctica pede ser considerado como n pnto de partida para el desarrollo de lineamientos espec;!icos+ aplica(les a cada organi:acin$ 6o todos los lineamientos # controles de este cdigo de prctica resltarn aplica(les$ Ms a'n+ es pro(a(le %e de(an agregarse controles %e no estn inclidos en este docmento$ Ante esta sitacin pede resltar 'til retener re!erencias cr:adas %e !aciliten la reali:acin de pre(as de cmplimiento por parte de aditores # socios$ % Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond % ALCANCE Esta parte del estndar (rinda recomendaciones para la gestin de la segridad de la in!ormacin %e "an de ser aplicadas por los responsa(les de iniciar+ implementar o mantener la segridad en ss organi:aciones$ S propsito es pro*eer de na (ase com'n para el desarrollo de estndares de segridad de la organi:acin # na prctica e!ecti*a de la administracin de la misma+ (rindando asimismo+ con!ian:a en las relaciones lle*adas a ca(o entre las organi:aciones$ T&RMINOS ' DE(INICIONES A los e!ectos de este docmento se aplican las sigientes de!iniciones9 $% Seg3ridad de la informacin )a preser*acin de la con!idencialidad+ integridad # disponi(ilidad de la in!ormacin$ Con!idencialidad9 garant;a de %e acceden a la in!ormacin+ slo a%ellas personas atori:adas a "acerlo$ Integridad9 mantenimiento de la e8actitd # totalidad de la in!ormacin # los m<todos de procesamiento$ 5isponi(ilidad9 garant;a de %e los sarios atori:ados tienen acceso a la in!ormacin # a los recrsos relacionados con la misma+ toda *e: %e lo re%ieran$ $ E:al3acin de rie5go5 )a e*alacin de las amena:as+ impactos # *lnera(ilidades relati*os a la in!ormacin # a las instalaciones de procesamiento de la misma+ # a la pro(a(ilidad de %e ocrran $" Admini58racin de rie5go5 El proceso de identi!icacin+ control # minimi:acin o eliminacin+ a n costo acepta(le+ de los riesgos de segridad %e podr;an a!ectar a los sistemas de in!ormacin$ " !OL#TICA DE SEGURIDAD "$% !ol8ica de 5eg3ridad de la informacin O(Neti*o9 -roporcionar direccin # apo#o gerencial para (rindar segridad de la in!ormacin$ El ni*el gerencial de(e esta(lecer na direccin pol;tica clara # demostrar apo#o # compromiso con respecto a la segridad de la in!ormacin+ mediante la !ormlacin # mantenimiento de na pol;tica de segridad de la in!ormacin a tra*<s de toda la organi:acin$ %" Es%ema 1 I ,AM& 9 "$%$% Doc3men8acin de la ;ol8ica de 5eg3ridad de la informacin )os responsa(les del ni*el gerencial de(en apro(ar # p(licar n docmento %e contenga la pol;tica de segridad # comnicarlo a todos los empleados+ seg'n corresponda$ =ste de(e poner de mani!iesto s compromiso # esta(lecer el en!o%e de la organi:acin con respecto a la gestin de la segridad de la in!ormacin$ Como m;nimo+ de(en inclirse las sigientes patas9 a4 de!inicin de la segridad de la in!ormacin+ ss o(Neti*os # alcance generales # la importancia de la segridad como n mecanismo %e permite la distri(cin de la in!ormacin 1*er introdccin4R (4 na declaracin del propsito de los responsa(les del ni*el gerencial+ apo#ando los o(Neti*os # principios de la segridad de la in!ormacinR c4 na (re*e e8plicacin de las pol;ticas+ principios+ normas # re%isitos de cmplimiento en materia de segridad+ %e son especialmente importantes para la organi:acin+ por eNemplo9 14 cmplimiento de re%isitos legales # contractalesR 24 re%isitos de instrccin en materia de segridadR E4 pre*encin # deteccin de *irs # dems so!tOare maliciosoR F4 administracin de la continidad comercialR .4 consecencias de las *iolaciones a la pol;tica de segridadR d4 na de!inicin de las responsa(ilidades generales # espec;!icas en materia de gestin de la segridad de la in!ormacin+ incl#endo la comnicacin de los incidentes relati*os a la segridadR e4 re!erencias a docmentos %e pedan respaldar la pol;tica+ por eN$ + pol;ticas # procedimientos de segridad ms detallados para sistemas de in!ormacin espec;!icos o normas de segridad %e de(en cmplir los sarios$ Esta pol;tica de(e ser comnicada a todos los sarios de la organi:acin de manera pertinente+ accesi(le # comprensi(le$ "$%$ Re:i5in = e:al3acin )a pol;tica de(e tener n propietario %e sea responsa(le del mantenimiento # re*isin de la misma de acerdo con n proceso de!inido$ Ese proceso de(e garanti:ar %e se lle*e aca(o na re*isin en respesta a cal%ier cam(io %e peda a!ectar la (ase original de e*alacin de riesgos+ por eN$+ incidentes de segridad signi!icati*os+ ne*as *lnera(ilidades o cam(ios en la in!raestrctra t<cnica o de la organi:acin$ 7am(i<n de(en programarse re*isiones peridicas de lo sigiente9 a4 la e!icacia de la pol;tica+ demostrada por la natrale:a+ n'mero e impacto de los incidentes de segridad registradosR (4 el costo e impacto de los controles en la e!iciencia del negocioR c4 los e!ectos de los cam(ios en la tecnolog;a$ %) Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond ) ORGANIZACIN DE LA SEGURIDAD )$% Infrae58r3c83ra de 5eg3ridad de la informacin O(Neti*o9 Administrar la segridad de la in!ormacin dentro de la organi:acin$ 5e(e esta(lecerse n marco gerencial para iniciar # controlar la implementacin de la segridad de la in!ormacin dentro de la organi:acin$ 5e(en esta(lecerse adecados !oros de gestin liderados por ni*eles gerenciales+ a !in de apro(ar la pol;tica de segridad de la in!ormacin+ asignar !nciones de segridad # coordinar la implementacin de la segridad en toda la organi:acin$ Si reslta necesario+ se de(e esta(lecer # "acer accesi(le dentro de la organi:acin+ na !ente de asesoramiento especiali:ado en materia de segridad de la in!ormacin$ 5e(en desarrollarse contactos con especialistas e8ternos en materia de segridad para estar al corriente de las tendencias de la indstria+ monitorear estndares # m<todos de e*alacin # pro*eer pntos de enlace adecados al a!rontar incidentes de segridad$ Se de(e alentar la aplicacin de n en!o%e mltidisciplinario de la segridad de la in!ormacin+ por eN$+ comprometiendo la cooperacin # cola(oracin de gerentes+ sarios+ administradores+ diseMadores de aplicaciones+ aditores # personal de segridad+ # e8pertos en reas como segros # administracin de riesgos$ )$%$% (oro gerencial 5o9re 5eg3ridad de la informacin )a segridad de la in!ormacin es na responsa(ilidad de la empresa compartida por todos los miem(ros del e%ipo gerencial$ -or consigiente+ de(e tenerse en centa la creacin de n !oro gerencial para garanti:ar %e e8iste na clara direccin # n apo#o mani!iesto de la gerencia a las iniciati*as de segridad$ Este !oro de(e promo*er la segridad dentro de la organi:acin mediante n adecado compromiso # na apropiada reasignacin de recrsos$ El !oro podr;a ser parte de n cerpo gerencial e8istente$ >eneralmente+ n !oro de esta ;ndole comprende las sigientes acciones9 a4 re*isar # apro(ar la pol;tica # las responsa(ilidades generales en materia de segridad de la in!ormacinR (4 monitorear cam(ios signi!icati*os en la e8posicin de los recrsos de in!ormacin !rente a las amena:as ms importantesR c4 re*isar # monitorear los incidentes relati*os a la segridadR d4 apro(ar las principales iniciati*as para incrementar la segridad de la in!ormacin$ Un gerente de(e ser responsa(le de todas las acti*idades relacionadas con la segridad$ )$%$ Coordinacin de la 5eg3ridad de la informacin En na gran organi:acin+ podr;a ser necesaria la creacin de n !oro ;nter !ncional %e comprenda representantes gerenciales de sectores rele*antes de la organi:acin para coordinar la implementacin de controles de segridad de la in!ormacin$ 6ormalmente+ dic"o !oro9 a4 acerda !nciones # responsa(ilidades espec;!icas relati*as a segridad de la in!ormacin para toda la organi:acinR (4 acerda metodolog;as # procesos espec;!icos relati*os a segridad de la in!ormacin+ por eN$+ e*alacin de riesgos+ sistema de clasi!icacin de segridadR %* Es%ema 1 I ,AM& 9 c4 acerda # (rinda apo#o a las iniciati*as de segridad de la in!ormacin de toda la organi:acin+ por eN$ programa de concienti:acin en materia de segridadR d4 garanti:a %e la segridad sea parte del proceso de plani!icacin de la in!ormacinR e4 e*al'a la pertinencia # coordina la implementacin de controles espec;!icos de segridad de la in!ormacin para ne*os sistemas o ser*iciosR !4 re*isa incidentes relati*os a la segridad de la in!ormacinR g4 prome*e la di!sin del apo#o de la empresa a la segridad de la in!ormacin dentro de la organi:acin$ )$%$" A5ignacin de re5;on5a9ilidade5 en ma8eria de 5eg3ridad de la informacin 5e(en de!inirse claramente las responsa(ilidades para la proteccin de cada no de los recrsos # por la implementacin de procesos espec;!icos de segridad$ )a pol;tica de segridad de la in!ormacin 1*er pnto E4 de(e sministrar na orientacin general acerca de la asignacin de !nciones de segridad # responsa(ilidades dentro la organi:acin$ Esto de(e complementarse+ cando corresponda+ con na g;a ms detallada para sitios+ sistemas o ser*icios espec;!icos$ 5e(en de!inirse claramente las responsa(ilidades locales para cada no de los procesos de segridad # recrsos !;sicos # de in!ormacin+ como la plani!icacin de la continidad de los negocios$ En mc"as organi:aciones+ se asigna a n gerente de segridad de la in!ormacin la responsa(ilidad general por el desarrollo e implementacin de la segridad # por el soporte a la identi!icacin de controles$ 6o o(stante+ la responsa(ilidad por la reasignacin e implementacin de controles a mendo es retenida por cada no de los gerentes$ Una prctica com'n es designar a n propietario para cada recrso de in!ormacin %e adems se "aga responsa(le de s segridad de manera permanente$ )os propietarios de los recrsos de in!ormacin peden delegar ss responsa(ilidades de segridad a cada no de los gerentes o pro*eedores de ser*icios$ 6o o(stante+ el propietario es en 'ltimo t<rmino responsa(le de la segridad del recrso # de(e estar en capacidad de determinar si las responsa(ilidades delegadas !eron cmplimentadas correctamente$ Es esencial %e se esta(le:can claramente las reas so(re las cales es responsa(le cada gerenteR en particlar se de(e cmplir lo sigiente$ a4 5e(en identi!icarse # de!inirse claramente los di*ersos recrsos # procesos de segridad relacionados con cada no de los sistemas$ (4 Se de(e designar al gerente responsa(le de cada recrso o proceso de segridad # se de(en docmentar los detalles de esta responsa(ilidad$ c4 )os ni*eles de atori:acin de(en ser claramente de!inidos # docmentados$ )$%$) !roce5o de a38ori>acin ;ara in58alacione5 de ;roce5amien8o de informacin 5e(e esta(lecerse n proceso de atori:acin gerencial para ne*as instalaciones de procesamiento de in!ormacin$ 5e(e considerarse lo sigiente$ a4 )as ne*as instalaciones de(en ser adecadamente apro(adas por la gerencia saria+ atori:ando s propsito # so$ )a apro(acin tam(i<n de(e o(tenerse del gerente responsa(le del mantenimiento del am(iente de segridad del sistema de in!ormacin local+ a !in de garanti:ar %e se cmplen todas las pol;ticas # re%erimientos de segridad pertinentes$ %, Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond (4 Cando corresponda+ de(e *eri!icarse el "ardOare # so!tOare para garanti:ar %e son compati(les con los componentes de otros sistemas$ No8a? -ede ser necesaria la compro(acin de categor;as para ciertas cone8iones$ c4 5e(en ser atori:ados el so de las instalaciones personales de procesamiento de in!ormacin+ para el procesamiento de in!ormacin de la empresa+ # los controles necesarios$ d4 El so de instalaciones personales de procesamiento de in!ormacin en el lgar de tra(aNo pede ocasionar ne*as *lnera(ilidades # en consecencia de(e ser e*alado # atori:ado$ Estos controles son especialmente importantes en n am(iente de red$ )$%$* A5e5oramien8o e5;eciali>ado en ma8eria de 5eg3ridad de la informacin Es pro(a(le %e mc"as organi:aciones re%ieran asesoramiento especiali:ado en materia de segridad$ Idealmente+ <ste de(e ser pro*isto por n asesor interno e8perimentado en segridad de la in!ormacin$ 6o todas las organi:aciones desean emplear an asesor especiali:ado$ En esos casos+ se recomienda %e se identi!i%e a na persona determinada para coordinar los conocimientos # e8periencias disponi(les en la organi:acin a !in de garanti:ar co"erencia+ # (rindar a#da para la toma de decisiones en materia de segridad$ 7am(i<n de(e tener acceso a cali!icados asesores e8ternos para (rindar asesoramiento especiali:ado ms all de s propia e8periencia$ )os asesores en segridad de la in!ormacin o pntos de contacto e%i*alentes sern los encargados de (rindar asesoramiento acerca de todos los aspectos de la segridad de la in!ormacin+ tili:ando ss propias recomendaciones o las e8ternas$ )a calidad de s e*alacin de las amena:as a la segridad # de s asesoramiento en materia de controles determinar la e!icacia de la segridad de la in!ormacin de la organi:acin$ -ara lograr la m8ima e!icacia e impacto se les de(e permitir acceso directo a los ni*eles gerenciales de toda la organi:acin$ El asesor de segridad de la in!ormacin o cargo e%i*alente de(e ser consltado lo ms tempranamente posi(le a partir de la deteccin de n spesto incidente o *iolacin de la segridad+ a !in de sministrar na !ente de conocimientos o recrsos de in*estigacin e8pertos$ Si (ien la ma#or;a de las in*estigaciones de segridad internas se lle*an a ca(o (aNo el control de la gerencia+ el asesor de segridad de la in!ormacin pede ser posteriormente con*ocado para asesorar+ liderar o dirigir la in*estigacin$ )$%$, Coo;eracin en8re organi>acione5 Se de(en mantener adecados contactos con atoridades policiales o de segridad+ organismos regladores+ pro*eedores de ser*icios de in!ormacin # operadores de telecomnicaciones+ a !in de garanti:ar %e+ en caso de prodcirse n incidente relati*o a la segridad+ pedan tomarse las medidas adecadas # o(tenerse asesoramiento con prontitd$ 5el mismo modo+ se de(e tener en centa a los miem(ros de grpos de segridad # !oros de la indstria$ Se de(en limitar los intercam(ios de in!ormacin de segridad+ para garanti:ar %e no se di*lge in!ormacin con!idencial+ perteneciente a organi:acin+ entre personas no atori:adas$ )$%$- Re:i5in inde;endien8e de la 5eg3ridad de la informacin El docmento %e !iNa la pol;tica de segridad de la in!ormacin 1*er E$1$14 esta(lece la pol;tica # las responsa(ilidades por la segridad de la in!ormacin$ S implementacin de(e ser re*isada independientemente para garanti:ar %e las prcticas de la organi:acin re!leNan adecadamente la pol;tica+ # %e <sta es *ia(le # e!ica: 1*er 12$2$4 %- Es%ema 1 I ,AM& 9 5ic"a re*isin pede ser lle*ada a ca(o por la !ncin de aditor;a interna+ por n gerente independiente o na organi:acin e8terna especiali:ados en re*isiones de esta ;ndole+ seg'n estos candidatos tengan la e8periencia # capacidad adecada$ )$ Seg3ridad fren8e al acce5o ;or ;ar8e de 8ercero5 O(Neti*o9 Mantener la segridad de las instalaciones de procesamiento de in!ormacin # de los recrsos de in!ormacin de la organi:acin a los %e acceden terceras partes$ El acceso a las instalaciones de procesamiento de in!ormacin de la organi:acin por parte de terceros de(e ser controlado$ Cando e8iste na necesidad de la empresa para permitir dic"o acceso+ de(e lle*arse a ca(o na e*alacin de riesgos para determinar las incidencias en la segridad # los re%erimientos de control$ )os controles de(en ser acordados # de!inidos en n contrato con la tercera parte$ El acceso de terceros tam(i<n pede in*olcrar otros participantes$ )os contratos %e con!ieren acceso a terceros de(en inclir n permiso para la designacin de otros participantes capacitados # las condiciones para s acceso$ Este estndar pede tili:arse como (ase para tales contratos # cando se considere la terceri:acin del procesamiento de in!ormacin$ )$$% Iden8ificacin de rie5go5 del acce5o de 8ercera5 ;ar8e5 )$$%$% Ti;o5 de acce5o El tipo de acceso otorgado a terceras partes es de especial importancia$ -or eNemplo+ los riesgos de acceso a tra*<s de na cone8in de red son di!erentes de los riesgos relati*os al acceso !;sico$ )os tipos de acceso %e de(en tenerse en centa son9 a4 acceso !;sico+ por eN$+ a o!icinas+ salas de cmptos+ armarios R (4 acceso lgico+ por eN$ a las (ases de datos # sistemas de in!ormacin de la organi:acin$ )$$%$ Ra>one5 ;ara el acce5o -ede otorgarse acceso a terceros por di*ersas ra:ones$ -or eNemplo+ e8isten terceros %e pro*een ser*icios a na organi:acin # no estn (icados dentro de la misma pero se les pede otorgar acceso !;sico # lgico+ tales como9 a4 personal de soporte de "ardOare # so!tOare+ %ienes necesitan acceso a ni*el de sistema o a !nciones de las aplicacionesR (4 socios comerciales o socios con riesgos compartidos 1PNoint *entresP4+ %ienes peden intercam(iar in!ormacin+ acceder a sistemas de in!ormacin o compartir (ases de datos$ )a in!ormacin pede ponerse en riesgo si el acceso de terceros se prodce en el marco de na inadecada administracin de la segridad$ Cando e8iste na necesidad de negocios %e in*olcran na cone8in con n sitio e8terno+ de(e lle*arse a ca(o na e*alacin de riesgos para identi!icar los re%erimientos de controles espec;!icos$ =sta de(e tener en centa el tipo de acceso re%erido+ el *alor de la in!ormacin+ los controles empleados por la tercera parte # la incidencia de este acceso en la segridad de la in!ormacin de la organi:acin$ %/ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond )$$%$" Con8ra8i58a5 in 5i83 )as terceras partes %e sean (icadas in sit por n per;odo de tiempo determinado seg'n contrato+ tam(i<n peden originar de(ilidades en materia de segridad$ Entre los eNemplos de terceras partes in sit se enmeran los sigientes9 a4 personal de mantenimiento # soporte de "ardOare # so!tOareR (4 limpie:a+ PcateringP+ gardia de segridad # otros ser*icios de soporte terceri:adosR c4 pasant;as de estdiantes # otras designaciones contingentes de corto pla:oR d4 consltores$ Es esencial determinar %< controles son necesarios para administrar el acceso de terceras partes a las instalaciones de procesamiento de in!ormacin$ En general+ todos los re%erimientos de segridad %e resltan de los controles internos o del acceso de terceros+ de(en estar re!leNados en los contratos cele(rados con los mismos 1*er tam(i<n F$2$24$ -or eNemplo+ si e8iste na necesidad espec;!ica de con!idencialidad de la in!ormacin+ podr;an implementarse acerdos de no&di*lgacin 1*er 0$1$E4$ 6o se de(e otorgar a terceros acceso a la in!ormacin ni a las instalaciones de procesamiento de la misma "asta tanto se "a#an implementado los controles apropiados # se "a#a !irmado n contrato %e de!ina las condiciones para la cone8in o el acceso$ )$$ Re73erimien8o5 de 5eg3ridad en con8ra8o5 con 8ercero5 )as disposiciones %e contemplan el acceso de terceros a las instalaciones de procesamiento de in!ormacin de la organi:acin de(en estar (asadas en n contrato !ormal %e contenga todos los re%erimientos de segridad+ o "aga re!erencia a los mismos+ a !in de asegrar el cmplimiento de las pol;ticas # estndares 1normas4 de segridad de la organi:acin$ El contrato de(e garanti:ar %e no srNan malentendidos entre la organi:acin # el pro*eedor$ )as organi:aciones de(en estar satis!ec"as con las garant;as de s pro*eedor$ Se de(en considerar las sigientes clslas para s inclsin en el contrato9 a4 la pol;tica general de segridad de la in!ormacinR (4 la proteccin de acti*os+ con inclsin de9 14 procedimientos de proteccin de los acti*os de la organi:acin+ incl#endo in!ormacin # so!tOareR 24 procedimientos para determinar si se "an comprometido los acti*os+ por eN$+ de(ido a p<rdida o modi!icacin de datosR E4 controles para garanti:ar la recperacin o destrccin de la in!ormacin # los acti*os al !inali:ar el contrato+ o en n momento con*enido drante la *igencia del mismoR F4 integridad # disponi(ilidadR .4 restricciones a la copia # di*lgacin de in!ormacinR c4 na descripcin de cada ser*icio del %e podr disponerseR d4 el ni*el de ser*icio al %e se aspira # los ni*eles de ser*icio %e se consideran inacepta(lesR e4 disposicin %e contemple la trans!erencia de personal cando correspondaR !4 las respecti*as o(ligaciones de las partes con relacin al acerdoR g4 responsa(ilidades con respecto a asntos legales+ por eN$+ legislacin re!erida a proteccin de datos+ especialmente teniendo en centa di!erentes sistemas legales nacionales si el contrato contempla la cooperacin con organi:aciones de otros pa;ses 1*er tam(i<n 12$14R %0 Es%ema 1 I ,AM& 9 "4 derec"os de propiedad intelectal # asignacin de derec"o de propiedad intelectal 1*er 12$1$24+ # proteccin de tra(aNos reali:ados en cola(oracin 1*er tam(i<n 0$1$E4 R i4 acerdos de control de accesos %e contemplen9 14 los m<todos de acceso permitidos+ # el control # so de identi!icadores 'nicos como I5s # contraseMas de sariosR 24 n proceso de atori:acin de acceso # pri*ilegios de sariosR E4 n re%erimiento para mantener actali:ada na lista de indi*idos atori:ados a tili:ar los ser*icios %e "an de implementarse # ss derec"os # pri*ilegios con respecto a dic"o soR N4 la de!inicin de criterios de desempeMo compro(a(les+ # el monitoreo # presentacin de in!ormes respecto de los mismosR Q4 el derec"o a monitorear+ # re*ocar 1impedir4+ la acti*idad del sarioR l4 el derec"o a aditar responsa(ilidades contractales o a contratar a n tercero para la reali:acin de dic"as aditor;asR m4 el esta(lecimiento de n proceso gradal para la resolcin de pro(lemasR tam(i<n de(en considerarse+ si corresponde+ disposiciones con relacin a sitaciones de contingenciaR n4 responsa(ilidades relati*as a la instalacin # el mantenimiento de "ardOare # so!tOareR o4 na clara estrctra de dependencia # del proceso de ela(oracin # presentacin de in!ormes %e contemple n acerdo con respecto a los !ormatos de los mismosR p4 n proceso claro # detallado de administracin de cam(iosR %4 los controles de proteccin !;sica re%eridos # los mecanismos %e asegren la implementacin de los mismosR r4 los m<todos # procedimientos de entrenamiento de sarios # administradores en materia de segridadR s4 los controles %e garanticen la proteccin contra so!tOare malicioso 1*er 2$E4R t4 las disposiciones con respecto a ela(oracin # presentacin de in!ormes+ noti!icacin e in*estigacin de incidentes # *iolaciones relati*os a la segridadR 4 la relacin entre pro*eedores # s(contratistas$ )$" Terceri>acin O(Neti*o9 Mantener la segridad de la in!ormacin cando la responsa(ilidad por el procesamiento de la misma !e delegada a otra organi:acin$ )os acerdos de terceri:acin de(en contemplar los riesgos+ los controles de segridad # los procedimientos para sistemas de in!ormacin+ redes #/o am(ientes de -C 1desQ top en*ironments4 en el contrato entre las partes$ )$"$% Re73erimien8o5 de 5eg3ridad en con8ra8o5 de 8erceri>acin )os re%erimientos de segridad de na organi:acin %e terceri:a la administracin # el control de todos ss sistemas de in!ormacin+ redes #/o am(ientes de -C+ o de parte de los mismos+ de(en ser contemplados en n contrato cele(rado entre las partes$ Entre otros ;tems+ el contrato de(e contemplar9 a4 cmo se cmplirn los re%isitos legales+ por eN$+ la legislacin so(re proteccin de datosR (4 %< disposiciones se implementarn para garanti:ar %e todas las partes in*olcradas en la terceri:acin+ incl#endo los s(contratistas+ estarn al corriente de ss responsa(ilidades en materia de segridadR c4 cmo se mantendr # compro(ar la integridad # con!idencialidad de los $acti*os de negocio de la organi:acin R 1 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond d4 %< controles !;sicos # lgicos se tili:arn para restringir # delimitar el acceso de los sarios atori:ados a la in!ormacin sensi(le de la organi:acinR e4 cmo se mantendr la disponi(ilidad de los ser*icios ante la ocrrencia de desastresR !4 %< ni*eles de segridad !;sica se asignarn al e%ipamiento terceri:adoR g4 el derec"o a la aditor;a$ Asimismo+ se de(en tener en centa las clslas enmeradas en el pnto F$2$2 como parte de este contrato$ El mismo de(e permitir la ampliacin de los re%erimientos # procedimientos de segridad en n plan de administracin de la segridad a ser acordado entre las partes$ Si (ien los contratos de terceri:acin peden plantear algnas cestiones compleNas en materia de segridad+ los controles inclidos en este cdigo de prctica peden ser*ir como pnto de partida para acordar la estrctra # el contenido del plan de gestin de la segridad$ * CLASI(ICACIN ' CONTROL DE ACTI+OS *$% Re5;on5a9ilidad ;or rendicin de c3en8a5 de lo5 ac8i:o5 O(Neti*o9 Mantener na adecada proteccin de los acti*os de la organi:acin$ Se de(e rendir centas por todos los recrsos de in!ormacin importantes # se de(e designar n propietario para cada no de ellos$ )a rendicin de centas por los acti*os a#da a garanti:ar %e se mantenga na adecada proteccin$ Se de(en identi!icar a los propietarios para todos los acti*os importantes # se de(e asignarse la responsa(ilidad por el mantenimiento de los controles apropiados$ )a responsa(ilidad por la implementacin de los controles pede ser delegada$ En 'ltimo t<rmino+ el propietario designado del acti*o de(e rendir centas por el mismo$ *$%$% In:en8ario de ac8i:o5 )os in*entarios de acti*os a#dan a garanti:ar la *igencia de na proteccin e!ica: de los recrsos+ # tam(i<n peden ser necesarios para otros propsitos de la empresa+ como los relacionados con sanidad # segridad+ segros o !inan:as 1administracin de recrsos4$ El proceso de compilacin de n in*entario de acti*os es n aspecto importante de la administracin de riesgos$ Una organi:acin de(e contar con la capacidad de identi!icar ss acti*os # el *alor relati*o e importancia de los mismos$ So(re la (ase de esta in!ormacin+ la organi:acin pede entonces+S asignar ni*eles de proteccin proporcionales al *alor e importancia de los acti*os$ + Se de(e ela(orar # mantener n in*entario de los acti*os importantes asociados a cada sistema de in!ormacin$ Cada acti*o de(e ser claramente identi!icado # s propietario # clasi!icacin en canto a segridad 1*er .$24 de(en ser acordados # docmentados+ Nnto con la (icacin *igente del mismo 1importante cando se emprende na recperacin posterior a na p<rdida o daMo4$ ENemplos de acti*os asociados a sistemas de in!ormacin son los sigientes9
a4 recrsos de in!ormacin9 (ases de datos # arc"i*os+ docmentacin de sistemas+ manales de sario+ material de capacitacin+ procedimientos operati*os o de soporte+ planes de continidad+ disposiciones relati*as a sistemas de emergencia para la reposicin de in!ormacin perdida 1P!all(acQP4+ in!ormacin arc"i*adaR % Es%ema 1 I ,AM& 9 (4 recrsos de so!tOare9 so!tOare de aplicaciones+ so!tOare de sistemas+ "erramientas de desarrollo # tilitariosR c4 acti*os !;sicos9 e%ipamiento in!ormtico 1procesadores+ monitores+ comptadoras porttiles+ mdems4+ e%ipos de comnicaciones 1roters+ -A3Ds+ m%inas de !a8+ contestadores atomticos4+ medios magn<ticos 1cintas # discos4+ otros e%ipos t<cnicos 1sministro de electricidad+ nidades de aire acondicionado4+ mo(iliario+ lgares de empla:amiento R d4 ser*icios9 ser*icios in!ormticos # de comnicaciones+ tilitarios generales+ por eN$+ cale!accin+ ilminacin+ energ;a el<ctrica+ aire acondicionado$ *$ Cla5ificacin de la informacin O(Neti*o9 >aranti:ar %e los recrsos de in!ormacin reci(an n apropiado ni*el de proteccin$ )a in!ormacin de(e ser clasi!icada para seMalar la necesidad+ la prioridades # el grado de proteccin$ )a in!ormacin tiene di*ersos grados de sensi(ilidad # criticidad$ Algnos ;tems peden re%erir n ni*el de proteccin adicional o n tratamiento especial$ Se de(e tili:ar n sistema de clasi!icacin de la in!ormacin para de!inir n conNnto apropiado de ni*eles de proteccin # comnicar la necesidad de medidas de tratamiento especial$ *$$% !a38a5 de cla5ificacin )as clasi!icaciones # controles de proteccin asociados de la in!ormacin+ de(en tomar centa de las necesidades de la empresa con respecto a la distri(cin 1so compartido4 o restriccin de la in!ormacin+ # de la incidencia de dic"as necesidades en las acti*idades de la organi:acin+ por eN$ acceso no atori:ado o daMo ala in!ormacin$ En general+ la clasi!icacin asignada a la in!ormacin es na !orma sencilla de seMalar cmo "a de ser tratada # protegida$ )a in!ormacin # las salidas de los sistemas %e administran datos clasi!icados de(en ser rotladas seg'n s *alor # grado de sensi(ilidad para la organi:acin$ Asimismo+ podr;a resltar con*eniente rotlar la in!ormacin seg'n s grado de criticidad+ por eN$ en t<rminos de integridad # disponi(ilidad$ ?recentemente+ la in!ormacin deNa de ser sensi(le o cr;tica desp<s de n cierto per;odo de tiempo+ *er(igracia+ cando la in!ormacin se "a "ec"o p'(lica$ Estos aspectos de(en tenerse en centa+ pesto %e la clasi!icacin por e8ceso 1Po*er& classi!icationP4 pede tradcirse en gastos adicionales innecesarios para la organi:acin$ )as patas de clasi!icacin de(en pre*er # contemplar el "ec"o de %e la clasi!icacin de n ;tem de in!ormacin determinado no necesariamente+ de(e mantenerse in*aria(le por siempre+ # %e <sta pede cam(iar de acerdo con na pol;tica predeterminada 1*er 9$14$ Se de(e considerar el n'mero de categor;as de clasi!icacin # los (ene!icios %e se o(tendrn con s so$ )os es%emas demasiado compleNos peden tornarse engorrosos # antieconmicos o resltar poco prcticos$ 5e(en interpretarse cidadosamente los rtlos de clasi!icacin de los docmentos de otras organi:aciones %e podr;an tener distintas de!iniciones para rtlos igales o similares$ )a responsa(ilidad por la de!inicin de la clasi!icacin de n ;tem de in!ormacin+ por eN$+ n docmento+ registro de datos+ arc"i*o de datos o dis%ete+ # por la re*isin peridica de dic"a clasi!icacin+ de(e ser asignada al creador o propietario designado de la in!ormacin$ *$$ Ro83lado = mane@o de la informacin Es importante %e se de!ina n conNnto de procedimientos adecados para el rotlado # maneNo de la in!ormacin+ seg'n el es%ema de clasi!icacin adoptado por la organi:acin$ Estos procedimientos de(en inclir los recrsos de in!ormacin en !ormatos !;sicos # electrnicos$ -ara
Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond
cada clasi!icacin+ se de(en de!inir procedimientos de maneNo %e incl#an los sigientes tipos de acti*idades de procesamiento de la in!ormacin9 a4 copiaR (4 almacenamientoR c4 transmisin por correo+ !a8 # correo electrnicoR d4 transmisin oral+ incl#endo tele!on;a m*il+ correo de *o:+ contestadores atomticosR , SEGURIDAD DEL !ERSONAL ,$% Seg3ridad en la definicin de ;3e58o5 de 8ra9a@o = la a5ignacin de rec3r5o5 O(Neti*o 9 ,edcir los riesgos de error "mano+ ro(o+ !rade o so inadecado de instalaciones$ )as responsa(ilidades en materia de segridad de(en ser e8plicitadas en la etapa de recltamiento+ inclidas en los contratos # monitoreadas drante el desempeMo del indi*ido como empleado$ )os candidatos a ocpar los pestos de tra(aNo de(en ser adecadamente seleccionados 1*er 0$1$24+ especialmente si se trata de tareas cr;ticas$ 7odos los empleados # sarios e8ternos de las instalaciones de procesamiento de in!ormacin de(en !irmar n acerdo de con!idencialidad 1no re*elacin4$ ,$%$% Incl35in de la 5eg3ridad en la5 re5;on5a9ilidade5 de lo5 ;3e58o5 de 8ra9a@o )as !nciones # responsa(ilidades en materia de segridad+ seg'n consta en la pol;tica de segridad de la in!ormacin de la organi:acin 1*er E$14+ de(en ser docmentadas seg'n corresponda$ =stas de(en inclir las responsa(ilidades generales por la implementacin o el mantenimiento de la pol;tica de segridad+ as; como las responsa(ilidades espec;!icas por la proteccin de cada no de los acti*os+ o por la eNeccin de procesos o acti*idades de segridad espec;!icos$ ,$%$ Seleccin = ;ol8ica de ;er5onal Se de(en lle*ar a ca(o controles de *eri!icacin del personal permanente en el momento en %e se solicita el pesto$ =stos de(en inclir los sigientes9 a4 disponi(ilidad de certi!icados de (ena condcta satis!actorios+ por eN$ no la(oral # no personal (4 na compro(acin 1de integridad # *eracidad4 del crriclm *itae del aspirante c4 constatacin de las aptitdes acad<micas # pro!esionales alegadas d4 *eri!icacin de la identidad 1pasaporte o docmento similar4$ Cando n pesto+ por asignacin inicial o por promocin+ in*olcra a na persona %e tiene acceso a las instalaciones de procesamiento de in!ormacin+ # en particlar si <stas maneNan in!ormacin sensi(le+ por eN$ in!ormacin !inanciera o altamente con!idencial+ la organi:acin tam(i<n de(e lle*ar a ca(o na *eri!icacin de cr<dito$ En el caso del personal con posiciones de Nerar%;a considera(le+ esta *eri!icacin de(e repetirse peridicamente$ Un proceso de seleccin similar de(e lle*arse a ca(o con contratistas # personal temporario$ Cando <ste es pro*isto a tra*<s de na agencia+ el contrato cele(rado con la misma de(e especi!icar claramente las responsa(ilidades de la agencia por la seleccin # los procedimientos de noti!icacin %e <sta de(e segir si la seleccin no "a sido e!ectada o si los resltados originan ddas o in%ietdes$ " Es%ema 1 I ,AM& 9 )a gerencia de(e e*alar la sper*isin re%erida para personal ne*o e ine8perto con atori:acin para acceder a sistemas sensi(les$ El tra(aNo de todo el personal de(e estar sNeto a re*isin peridica # a procedimientos de apro(acin por parte de n miem(ro del personal con ma#or Nerar%;a$ )os gerentes de(en estar al corriente de %e las circnstancias personales de ss empleados peden a!ectar s tra(aNo$ )os pro(lemas personales o !inancieros+ los cam(ios en s condcta o estilo de *ida+ las asencias recrrentes # la e*idencia de stress o depresin peden condcir a !rades+ ro(os+ errores otras implicaciones %e a!ecten la segridad$ Esta in!ormacin de(e maneNarse de acerdo con la legislacin pertinente %e riNa en la Nrisdiccin del caso$ ,$%$" Ac3erdo5 de confidencialidad )os acerdos de con!idencialidad o no di*lgacin se tili:an para reseMar %e la in!ormacin es con!idencial o secreta$ )os empleados de(en !irmar "a(italmente n acerdo de esta ;ndole como parte de ss t<rminos # condiciones iniciales de empleo$ El personal ocasional # los sarios e8ternos a'n no contemplados en n contrato !ormali:ado 1%e contenga el acerdo de con!idencialidad4 de(ern !irmar el acerdo mencionado antes de %e se les otorge acceso a las instalaciones de procesamiento de in!ormacin$ )os acerdos de con!idencialidad de(en ser re*isados cando se prodcen cam(ios en los t<rminos # condiciones de empleo o del contrato+ en particlar cando el empleado est pr8imo a des*inclarse de la organi:acin o el pla:o del contrato est por !inali:ar$ ,$%$) T4rmino5 = condicione5 de em;leo )os t<rminos # condiciones de empleo de(en esta(lecer la responsa(ilidad del empleado por la segridad de la in!ormacin$ Cando corresponda+ estas responsa(ilidades de(en continar por n per;odo de!inido na *e: !inali:ada la relacin la(oral$ Se de(en especi!icar las acciones %e se emprendern si el empleado "ace caso omiso de los re%erimientos de segridad$ )as responsa(ilidades # derec"os legales del empleado+ por eN$ en relacin con las le#es de derec"o de propiedad intelectal o la legislacin de proteccin de datos+ de(en ser clari!icados e inclidos en los t<rminos # condiciones de empleo$ 7am(i<n se de(e inclir la responsa(ilidad por la clasi!icacin # administracin de los datos del empleador$ Cando corresponda+ los t<rminos # condiciones de empleo de(en esta(lecer %e estas responsa(ilidades se e8tienden ms all de los l;mites de la sede de la organi:acin # del "orario normal de tra(aNo+ por eN$ cando el empleado desempeMa tareas en s domicilio 1*er tam(i<n 7$2$. # 9$2$14$ ,$ Ca;aci8acin del 353ario O(Neti*o 9 >aranti:ar %e los sarios estn al corriente de las amena:as e incm(encias en materia de segridad de la in!ormacin+ # estn capacitados para respaldar la pol;tica de segridad de la organi:acin en el transcrso de ss tareas normales$ )os sarios de(en ser capacitados en relacin con los procedimientos de segridad # el correcto so de las instalaciones de procesamiento de in!ormacin+ a !in de minimi:ar e*entales riesgos de segridad$ ) Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond ,$$% (ormacin = ca;aci8acin en ma8eria de 5eg3ridad de la informacin 7odos los empleados de la organi:acin #+ cando sea pertinente+ los sarios e8ternos+ de(en reci(ir na adecada capacitacin # actali:aciones peridicas en materia de pol;ticas # procedimientos de la organi:acin$ Esto comprende los re%erimientos de segridad+ las responsa(ilidades legales # controles del negocio+ as; como la capacitacin re!erida al so correcto de las instalaciones de procesamiento de in!ormacin+ por eN$ el procedimiento de entrada al sistema 1Plog&onP4 # el so de pa%etes de so!tOare+ antes de %e se les otorge acceso a la in!ormacin o a los ser*icios$ ,$" Re5;3e58a a inciden8e5 = anomala5 en ma8eria de 5eg3ridad O(Neti*o 9 Minimi:ar el daMo prodcido por incidentes # anomal;as en materia de segridad+ # monitorear dic"os incidentes # aprender de los mismos$ )os incidentes %e a!ectan la segridad de(en ser comnicados mediante canales gerenciales adecados tan pronto como sea posi(le$ Se de(e concienti:ar a todos los empleados # contratistas acerca de los procedimientos de comnicacin de los di!erentes tipos de incidentes 1*iolaciones+ amena:as+ de(ilidades o anomal;as en materia de segridad4 %e podr;an prodcir n impacto en la segridad de los acti*os de la organi:acin$ Se de(e re%erir %e los mismos comni%en cal%ier incidente ad*ertido o spesto al pnto de contacto designado tan pronto como sea posi(le$ )a organi:acin de(e esta(lecer n proceso disciplinario !ormal para ocparse de los empleados %e perpetren *iolaciones de la segridad$ -ara lograr a(ordar de(idamente los incidentes podr;a ser necesario recolectar e*idencia tan pronto como sea posi(le na *e: ocrrido el "ec"o 1*er 12$1$74$ ,$"$% Com3nicacin de inciden8e5 rela8i:o5 a la 5eg3ridad )os incidentes relati*os a la segridad de(en comnicarse a tra*<s de canales gerenciales apropiados tan pronto como sea posi(le$ Se de(e esta(lecer n procedimiento !ormal de comnicacin+ Nnto con n procedimiento de respesta a incidentes+ %e esta(le:ca la accin %e "a de emprenderse al reci(ir n in!orme so(re incidentes$ 7odos los empleados # contratistas de(en estar al corriente del procedimiento de comnicacin de incidentes de segridad+ # de(en in!ormar de los mismos tan pronto como sea posi(le$ 5e(ern implementarse adecados procesos de P!eed(acQP para garanti:ar %e las personas %e comnican los incidentes sean noti!icadas de los resltados na *e: tratados # reseltos los mismos$ Estos incidentes peden ser tili:ados drante la capacitacin a !in de crear conciencia de segridad en el sario 1*er 0$24 como eNemplos de lo %e pede ocrrir+ de cmo responder a dic"os incidentes # de cmo e*itarlos en el !tro 1*er tam(i<n 12$1$74$ ,$"$ Com3nicacin de de9ilidade5 en ma8eria de 5eg3ridad )os sarios de ser*icios de in!ormacin de(en ad*ertir+ registrar # comnicar las de(ilidades o amena:as spestas o(ser*adas en materia de segridad+ con relacin a los sistemas o ser*icios$ 5e(ern comnicar estos asntos a s gerencia+ o directamente a s pro*eedor de ser*icios+ tan pronto como sea posi(le$ Se de(e in!ormar a los sarios %e ellos no de(en+ (aNo ningna circnstancia+ intentar pro(ar na spesta de(ilidad$ Esto se lle*a a ca(o para s propia proteccin+ de(ido a %e el intentar pro(ar de(ilidades pede ser interpretado como n potencial mal maneNo del sistema$ * Es%ema 1 I ,AM& 9 ,$"$" Com3nicacin de anomala5 del 5of8Aare Se de(en esta(lecer procedimientos para la comnicacin de anomal;as del so!tOare$ Se de(en considerar las sigientes acciones9 a4 5e(en ad*ertirse # registrarse los s;ntomas del pro(lema # los mensaNes %e aparecen en pantalla$ (4 )a comptadora de(e ser aislada+ si es posi(le+ # de(e detenerse el so de la misma$ Se de(e alertar de inmediato a la persona pertinente 1contacto4$ Si se "a de e8aminar el e%ipo+ <ste de(e ser desconectado de las redes de la organi:acin antes de ser acti*ado ne*amente$ )os dis%etes no de(en trans!erirse a otras comptadoras$ c4 El asnto de(e ser comnicado inmediatamente al gerente de segridad de la in!ormacin$ )os sarios no de(en %itar el so!tOare %e spestamente tiene na anomal;a+ a menos %e est<n atori:ados a "acerlo$ )a recperacin de(e ser reali:ada por personal adecadamente capacitado # e8perimentado$ ,$"$) A;rendiendo de lo5 inciden8e5 5e(e "a(erse implementado mecanismos %e permitan canti!icar # monitorear los tipos+ *ol'menes # costos de los incidentes # anomal;as$ Esta in!ormacin de(e tili:arse para identi!icar incidentes o anomal;as recrrentes o de alto impacto$ Esto pede seMalar la necesidad de meNorar o agregar controles para limitar la !recencia+ daMo # costo de casos !tros+ o de tomarlos en centa en el proceso de re*isin de la pol;tica de segridad 1*er E$1$24$ ,$"$* !roce5o di5ci;linario 5e(e e8istir n proceso disciplinario !ormal para los empleados %e *iolen las pol;ticas # procedimientos de segridad de la organi:acin 1*er 0$1$F # para el tpico retencin de e*idencia+ *er 12$1$74$ 5ic"o proceso pede ser*ir de !actor disasi*o de los empleados %e+ de no mediar el mismo+ podr;an ser procli*es a pasar por alto los procedimientos de segridad$ Asimismo+ este proceso de(e garanti:ar n trato imparcial # correcto "acia los empleados sospec"osos de "a(er cometido *iolaciones gra*es o persistentes a la segridad$ - SEGURIDAD (#SICA ' AM.IENTAL -$% Brea5 5eg3ra5 O(Neti*o9 Impedir accesos no atori:ados+ daMos e inter!erencia a las sedes e in!ormacin de la empresa$ )as instalaciones de procesamiento de in!ormacin cr;tica o sensi(le de la empresa de(en estar (icadas en reas protegidas # resgardadas por n per;metro de segridad de!inido+ con *allas de segridad # controles de acceso apropiados$ 5e(en estar !;sicamente protegidas contra accesos no atori:ados+ daMos e intrsiones$ )a proteccin pro*ista de(e ser proporcional a los riesgos identi!icados$ Se recomienda la implementacin pol;ticas de escritorios # pantallas limpios para redcir el riesgo de acceso no atori:ado o de daMo a papeles+ medios de almacenamiento e instalaciones de procesamiento de in!ormacin$ , Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond -$%$% !erme8ro de 5eg3ridad f5ica )a proteccin !;sica pede lle*arse a ca(o mediante la creacin de di*ersas (arreras !;sicas alrededor de las sedes de la organi:acin # de las instalaciones de procesamiento de in!ormacin$ Cada (arrera esta(lece n per;metro de segridad+ cada no de los cales incrementa la proteccin total pro*ista$ )as organi:aciones de(en tili:ar per;metros de segridad para proteger las reas %e contienen instalaciones de procesamiento de in!ormacin 1*er 7$1$E4$ Un per;metro de segridad es algo delimitado por na (arrera+ por eN$ na pared+ na perta de acceso controlado por tarNeta o n escritorio o!icina de recepcin atendidos por personas$ El empla:amiento # la !ortale:a de cada (arrera dependern de los resltados de na e*alacin de riesgos$ Se de(en considerar e implementar los sigientes lineamientos # controles+ seg'n corresponda$ a4 El per;metro de segridad de(e estar claramente de!inido$ (4 El per;metro de n edi!icio o rea %e contenga instalaciones de procesamiento de in!ormacin de(e ser !;sicamente slido 1por eN$ no de(en e8istir claros To a(ertrasU en el per;metro o reas donde peda prodcirse !cilmente na irrpcin4$ )as paredes e8ternas del rea de(en ser de constrccin slida # todas las pertas %e comnican con el e8terior de(en ser adecadamente protegidas contra accesos no atori:ados+ por eN$+ mediante mecanismos de control+ *allas+ alarmas+ cerradras+ etc$ c4 5e(e e8istir n rea de recepcin atendida por personal otros medios de control de acceso !;sico al rea o edi!icio$ El acceso a las distintas reas # edi!icios de(e estar restringido e8clsi*amente al personal atori:ado$ d4 )as (arreras !;sicas de(en+ si es necesario+ e8tenderse desde el piso 1real4 "asta el tec"o 1real4+ a !in de impedir el ingreso no atori:ado # la contaminacin am(iental+ por eNemplo+ la ocasionada por incendio e inndacin$ e4 7odas las pertas de incendio de n per;metro de segridad de(en tener alarma # cerrarse atomticamente$ -$%$ Con8role5 de acce5o f5ico )as reas protegidas de(en ser resgardadas por adecados controles de acceso %e permitan garanti:ar %e slo se permite el acceso de personal atori:ado$ 5e(en tenerse en centa los sigientes controles9 a4 )os *isitantes de reas protegidas de(en ser sper*isados o inspeccionados # la !ec"a # "orario de s ingreso # egreso de(en ser registrados$ Slo se de(e permitir el acceso a los mismos con propsitos espec;!icos # atori:ados+ instr#<ndose en dic"o momento al *isitante so(re los re%erimientos de segridad del rea # los procedimientos de emergencia$ (4 El acceso a la in!ormacin sensi(le+ # a las instalaciones de procesamiento de in!ormacin+ de(e ser controlado # limitado e8clsi*amente a las personas atori:adas$ Se de(en tili:ar controles de atenticacin+ por eN$ tarNeta # n'mero de identi!icacin personal 1-I64+ para atori:ar # *alidar todos los accesos$ 5e(e mantenerse na pista protegida %e permita aditar todos los accesos$ c4 Se de(e re%erir %e todo el personal e8"i(a algna !orma de identi!icacin *isi(le # se lo de(e alentar a cestionar la presencia de desconocidos no escoltados # a cal%ier persona %e no e8"i(a na identi!icacin *isi(le$ d4 Se de(en re*isar # actali:ar peridicamente los derec"os de acceso a las reas protegidas$ - Es%ema 1 I ,AM& 9 -$%$" !ro8eccin de oficina5C recin8o5 e in58alacione5 Un rea protegida pede ser na o!icina cerrada con lla*e+ o di*ersos recintos dentro de n per;metro de segridad !;sica+ el cal pede estar (lo%eado # contener caNas !ertes o ga(inetes con cerradras$ -ara la seleccin # el diseMo de n rea protegida de(e tenerse en centa la posi(ilidad de daMo prodcido por incendio+ inndacin+ e8plosin+ agitacin ci*il+ # otras !ormas de desastres natrales o pro*ocados por el "om(re$ 7am(i<n de(en tomarse en centa las disposiciones # normas 1estndares4 en materia de sanidad # segridad$ Asimismo+ se de(ern considerar las amena:as a la segridad %e representan los edi!icios # :onas aledaMas+ por eN$ !iltracin de aga desde otras reas$ Se de(en considerar los sigientes controles a4 )as instalaciones cla*e de(en (icarse en lgares a los cales no peda acceder el p'(lico$ (4 )os edi!icios de(en ser discretos # o!recer n seMalamiento m;nimo de s propsito+ sin signos o(*ios+ e8teriores o interiores+ %e identi!i%en la presencia de acti*idades de procesamiento de in!ormacin$ c4 )as !nciones # el e%ipamiento de soporte+ por eN$ !otocopiadoras+ m%inas de !a8+ de(en estar (icados adecadamente dentro del rea protegida para e*itar solicitdes de acceso+ el cal podr;a comprometer la in!ormacin$ d4 )as pertas # *entanas de(en estar (lo%eadas cando no "a# *igilancia = de(e considerarse la posi(ilidad de agregar proteccin e8terna a las *entanas+ en particlar las %e se encentran al ni*el del selo$ e4 Se de(en implementar adecados sistemas de deteccin de intrsos$ )os mismos de(en ser instalados seg'n estndares pro!esionales # pro(ados peridicamente$ Estos sistemas comprendern todas las pertas e8teriores # *entanas accesi(les$ )as reas *ac;as de(en tener alarmas acti*adas en todo momento$ 7am(i<n de(en protegerse otras reas+ como la sala de cmptos o las salas de comnicaciones$ !4 )as instalaciones de procesamiento de in!ormacin administradas por la organi:acin de(en estar !;sicamente separadas de a%ellas administradas por terceros$ g4 )os g;as tele!nicas # listados de tel<!onos internos %e identi!ican las (icaciones de las instalaciones de procesamiento de in!ormacin sensi(le no de(en ser !cilmente accesi(les al p'(lico$ "4 )os materiales peligrosos o com(sti(les de(en ser almacenados en lgares segros a na distancia prdencial del rea protegida$ )os sministros a granel+ como los 'tiles de escritorio+ no de(en ser almacenados en el rea protegida "asta %e sean re%eridos$ i4 El e%ipamiento de sistemas de soporte U-C 1Usage -arameter Control4 de reposicin de in!ormacin perdida 1P!all(acQP4 # los medios in!ormticos de resgardo de(en estar sitados a na distancia prdencial para e*itar daMos ocasionados por e*entales desastres en el sitio principal$ -$%$) De5arrollo de 8area5 en Drea5 ;ro8egida5 -ara incrementar la segridad de n rea protegida peden re%erirse controles # lineamientos adicionales$ Esto incl#e controles para el personal o terceras partes %e tra(aNan en el rea protegida+ as; como para las acti*idades de terceros %e tengan lgar all;$ Se de(ern tener en centa los sigientes pntos9 a4 El personal slo de(e tener conocimiento de la e8istencia de n rea protegida+ o de las acti*idades %e se lle*an a ca(o dentro de la misma+ seg'n el criterio de necesidad de conocer$ (4 Se de(e e*itar el tra(aNo no controlado en las reas protegidas tanto por ra:ones de segridad como para e*itar la posi(ilidad de %e se lle*en a ca(o acti*idades maliciosas$ / Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond c4 )as reas protegidas desocpadas de(en ser !;sicamente (lo%eadas # peridicamente inspeccionadas$ d4 El personal del ser*icio de soporte e8terno de(e tener acceso limitado a las reas protegidas o a las instalaciones de procesamiento de in!ormacin sensi(le$ Este acceso de(e ser otorgado solamente cando sea necesario # de(e ser atori:ado # monitoreado$ -eden re%erirse (arreras # per;metros adicionales para controlar el acceso !;sico entre reas con di!erentes re%erimientos de segridad+ # %e estn (icadas dentro del mismo per;metro de segridad$ e4 A menos %e se atorice e8presamente+ no de(e permitirse el ingreso de e%ipos !otogr!icos+ de *;deo+ adio otro tipo de e%ipamiento %e registre in!ormacin$ -$%$* Ai5lamien8o de la5 Drea5 de en8rega = carga )as reas de entrega # carga de(en ser controladas #+ si es posi(le+ estar aisladas de las instalaciones de procesamiento de in!ormacin+ a !in de impedir accesos no atori:ados$ )os re%erimientos de segridad de dic"as reas de(en ser determinados mediante na e*alacin de riesgos$ Se de(en tener en centa los sigientes lineamientos9 a4 El acceso a las reas de depsito+ desde el e8terior de la sede de la organi:acin+ de(e estar limitado a personal %e sea pre*iamente identi!icado # atori:ado$ (4 El rea de depsito de(e ser diseMada de manera tal %e los sministros pedan ser descargados sin %e el personal %e reali:a la entrega acceda a otros sectores del edi!icio$ c4 7odas las pertas e8teriores de n rea de depsito de(en ser asegradas cando se a(re la perta interna$ d4 El material entrante de(e ser inspeccionado para descartar peligros potenciales 1*er 7$2$l d4 antes de ser trasladado desde el rea de depsito "asta el lgar de so$ e4 El material entrante de(e ser registrado+ si corresponde 1*er .$14+ al ingresar al sitio pertinente$ -$ Seg3ridad del e73i;amien8o O(Neti*o9 Impedir p<rdidas+ daMos o e8posiciones al riesgo de los acti*os e interrpcin de las acti*idades de la empresa$ El e%ipamiento de(e estar !;sicamente protegido de las amena:as a la segridad # los peligros del entorno Es necesaria la proteccin del e%ipamiento 1incl#endo el %e se tili:a en !orma e8terna4 para redcir el riesgo de acceso no atori:ado a los datos # para pre*enir p<rdidas o daMos$ Esto tam(i<n de(e tener en centa la (icacin # disposicin e%ipamiento$ -eden re%erirse controles especiales para pre*enir peligros o accesos no atori:ados+ # para proteger instalaciones de soporte+ como la in!raestrctra de ca(leado # sministro de energ;a el<ctrica$ -$$% U9icacin = ;ro8eccin del e73i;amien8o El e%ipamiento de(e ser (icado o protegido de tal manera %e se red:can los riesgos ocasionados por amena:as # peligros am(ientales+ # oportnidades de acceso no atori:ado$ Se de(en tener en centa los sigientes pntos9 a4 El e%ipamiento de(e ser (icado en n sitio %e permita minimi:ar el acceso innecesario a las reas de tra(aNo$ (4 )as instalaciones de procesamiento # almacenamiento de in!ormacin+ %e maneNan datos sensi(les+ de(en (icarse en n sitio %e permita redcir el riesgo de !alta de sper*isin de las mismas drante s so$ 0 Es%ema 1 I ,AM& 9 c4 )os ;tems %e re%ieren proteccin especial de(en ser aislados para redcir el ni*el general de proteccin re%erida$ d4 Se de(en adoptar controles para minimi:ar el riesgo de amena:as potenciales+ por eN$ 14 ro(o 24 incendio E4 e8plosi*os F4 "moR .4 aga 1o !alta de sministro4 04 pol*o 74 *i(raciones 24 e!ectos %;micos 94 inter!erencia en el sministro de energ;a el<ctrica$ 104 radiacin electromagn<tica$ e4 )a organi:acin de(e anali:ar s pol;tica respecto de comer+ (e(er # !mar cerca de las instalaciones de procesamiento de in!ormacin$ !4 Se de(en monitorear las condiciones am(ientales para *eri!icar %e las mismas no a!ecten de manera ad*ersa el !ncionamiento de las instalaciones de procesamiento de la in!ormacin$ g4 Se de(e tener en centa el so de m<todos de proteccin especial+ como las mem(ranas de teclado+ para los e%ipos (icados en am(ientes indstriales$ "4 Se de(e considerar el impacto de n e*ental desastre %e tenga lgar en :onas pr8imas a la sede de la organi:acin+ por eN$ n incendio en n edi!icio cercano+ la !iltracin de aga desde el cielo raso o en pisos por de(aNo del ni*el del selo o na e8plosin en la calle$ -$$ S3mini58ro5 de energa El e%ipamiento de(e estar protegido con respecto a las posi(les !allas en el sministro de energ;a otras anomal;as el<ctricas$ Se de(e contar con n adecado sministro de energ;a %e est< de acerdo con las especi!icaciones del !a(ricante o pro*eedor de los e%ipos$ Entre las alternati*as para asegrar la continidad del sministro de energ;a podemos enmerar las sigientes9 a4 m'ltiples (ocas de sministro para e*itar n 'nico pnto de !alla en el sministro de energ;a (4 sministro de energ;a ininterrmpi(le 1U-S4 c4 generador de respaldo$ Se recomienda na U-S para asegrar el apagado reglado # sistemtico o la eNeccin contina del e%ipamiento %e sstenta las operaciones cr;ticas de la organi:acin$ )os planes de contingencia de(en contemplar las acciones %e "an de emprenderse ante na !alla de la U-S$ )os e%ipos de U-S de(en inspeccionarse peridicamente para asegrar %e tienen la capacidad re%erida # se de(en pro(ar de con!ormidad con las recomendaciones del !a(ricante o pro*eedor$ Se de(e tener en centa el empleo de n generador de respaldo si el procesamiento "a de continar en caso de na !alla prolongada en el sministro de energ;a$ 5e instalarse+ los generadores de(en ser pro(ados peridicamente de acerdo con las instrcciones del !a(ricante o pro*eedor$ Se de(e disponer de n adecado sministro de com(sti(le para garanti:ar %e el generador peda !ncionar por n per;odo prolongado$ Asimismo+ los interrptores de emergencia de(en (icarse cerca de las salidas de emergencia de las salas donde se encentra el e%ipamiento+ a !in de !acilitar n corte rpido de la energ;a en caso de prodcirse na sitacin cr;tica$ Se de(e pro*eer de ilminacin de emergencia en caso de prodcirse na !alla en el sministro principal de energ;a$ Se de(e implementar proteccin contra ra#os en todos los edi!icios # se de(en adaptar !iltros de proteccin contra ra#os en todas las l;neas de comnicaciones e8ternas$ "1 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond -$$" Seg3ridad del ca9leado El ca(leado de energ;a el<ctrica # de comnicaciones %e transporta datos o (rinda apo#o a los ser*icios de in!ormacin de(e ser protegido contra interceptacin o daMo$ Se de(en tener en centa los sigientes controles9 a4 )as l;neas de energ;a el<ctrica # telecomnicaciones %e se conectan con las instalaciones de procesamiento de in!ormacin de(en ser s(terrneas+ siempre %e sea posi(le+ o sNetas a na adecada proteccin alternati*a$ (4 El ca(leado de red de(e estar protegido contra interceptacin no atori:ada o daMo+ por eNemplo mediante el so de condctos o e*itando tra#ectos %e atra*iesen reas p'(licas$ c4 )os ca(les de energ;a de(en estar separados de los ca(les de comnicaciones para e*itar inter!erencias$ d4 Entre los controles adicionales a considerar para los sistemas sensi(les o cr;ticos se encentran los sigientes 14 instalacin de condctos (lindados # recintos o caNas con cerradra en los pntos terminales # de inspeccin$ 24 so de rtas o medios de transmisin alternati*os E4 so de ca(leado de !i(ra ptica F4 iniciar (arridos para eliminar dispositi*os no atori:ados conectados a los ca(les$ -$$) Man8enimien8o de e73i;o5 El e%ipamiento de(e mantenerse en !orma adecada para asegrar %e s disponi(ilidad e integridad sean permanentes$ Se de(en considerar los sigientes lineamientos9 a4 El e%ipamiento de(e mantenerse de acerdo con los inter*alos ser*icio # especi!icaciones recomendados por el pro*eedor$ (4 Slo el personal de mantenimiento atori:ado pede (rindar mantenimiento # lle*ar a ca(o reparaciones en el e%ipamiento$ c4 Se de(en mantener registros de todas las !allas spestas o reales # de todo el mantenimiento pre*enti*o # correcti*o$ e4 5e(en implementarse controles cando se retiran e%ipos de la sede de la organi:acin para s mantenimiento 1*er tam(i<n 7$2$0 con respecto a (orrado+ (orrado permanente # so(re escritra de datos4$ Se de(e cmplir con todos los re%isitos impestos por las pli:as de segro$ -$$* Seg3ridad del e73i;amien8o f3era del Dm9i8o de la organi>acin El so de e%ipamiento destinado al procesamiento de in!ormacin+ !era del m(ito de la organi:acin+ de(e ser atori:ado por el ni*el gerencial+ sin importar %ien es el propietario del mismo$ )a segridad pro*ista de(e ser e%i*alente a la sministrada dentro del m(ito de la organi:acin+ para n propsito similar+ teniendo en centa los riesgos de tra(aNar !era de la misma$ El e%ipamiento de procesamiento de la in!ormacin incl#e todo tipo de comptadoras personales+ organi:adores+ tel<!onos m*iles+ papel otros !ormlarios+ necesarios para el tra(aNo en el domiciliario o %e es transportado !era del lgar "a(ital de tra(aNo$ Se de(en considerar los sigientes lineamientos9 a4 El e%ipamiento # dispositi*os retirados del m(ito de la organi:acin no de(en permanecer desatendidos en lgares p'(licos$ )as comptadoras personales de(en ser transportadas como e%ipaNe de mano # de ser posi(le enmascaradas+ drante el *iaNe$ "% Es%ema 1 I ,AM& 9 (4 Se de(en respetar permanentemente las instrcciones del !a(ricante+ por eN$ proteccin por e8posicin a campos electromagn<ticos !ertes$ c4 )os controles de tra(aNo en domicilio de(en ser determinados a partir de n anlisis de riesgo # se aplicarn controles adecados seg'n corresponda+ por eN$ ga(inetes de arc"i*o con cerradra+ pol;tica de escritorios limpios # control de acceso a comptadoras$ d4 Una adecada co(ertra de segro de(e estar en orden para proteger el e%ipamiento !era del m(ito de la organi:acin$ )os riesgos de segridad+ por eN$ el daMo+ ro(o o escc"a s(repticia+ peden *ariar considera(lemente seg'n las (icaciones # de(en ser tenidas en centa al determinar los controles ms apropiados$ Se pede encontrar ms in!ormacin so(re otros aspectos de proteccin del e%ipamiento m*il+ en 9$2$1 -$$, .a@a 5eg3ra o re38ili>acin de e73i;amien8o$ )a in!ormacin pede *erse comprometida por na desa!ectacin descidada o na retili:acin del e%ipamiento 1*<ase tam(i<n 2$0$F4$ )os medios de almacenamiento conteniendo material sensiti*o+ de(en ser !;sicamente destridos o so(rescritos en !orma segra en *e: de tili:ar las !nciones de (orrado estndar$ 7odos los elementos del e%ipamiento %e contengan dispositi*os de almacenamiento+ por eN$ discos r;gidos no remo*i(les+ de(en ser controlados para asegrar %e todos los datos sensiti*os # el so!tOare (aNo licencia+ "an sido eliminados o so(rescritos antes de s (aNa$ -ede ser necesario reali:ar n anlisis de riesgo a !in de determinar si medios de almacenamiento daMados+ conteniendo datos sensiti*os+ de(en ser destridos+ reparados o desec"ados$ -$" Con8role5 generale5 O(Neti*o 9 Impedir la e8posicin al riesgo o ro(o de la in!ormacin o de las instalaciones de procesamiento de la misma$ )as instalaciones de procesamiento de la in!ormacin # la in!ormacin de(en ser protegidas contra la di*lgacin+ modi!icacin o ro(o por parte de personas no atori:adas+ de(i<ndose implementar controles para minimi:ar p<rdidas o daMos$ )os procedimientos de administracin # almacenamiento son considerados en el pnto 2$0$E$ -$"$% !ol8ica5 de e5cri8orio5 = ;an8alla5 lim;ia5$ )as organi:aciones de(en considerar la adopcin de na pol;tica de escritorios limpios para proteger docmentos en papel # dispositi*os de almacenamiento remo*i(les # na pol;tica de pantallas limpias en las instalaciones de procesamiento de in!ormacin+ a !in de redcir los riesgos de acceso no atori:ado+ perdida # daMo de la in!ormacin drante el "orario normal de tra(aNo # !era del mismo$ )a pol;tica de(e contemplar las clasi!icaciones de segridad de la in!ormacin 1*er .$24+ los riesgos correspondientes # los aspectos cltrales de la organi:acin$ )a in!ormacin %e se deNa so(re los escritorios tam(i<n est e8pesta a s!rir daMos o destro:os en caso de prodcirse n desastre como incendio+ inndacin o e8plosin$ " Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond Se de(en aplicar los sigientes lineamientos$ a4 Cando corresponda+ los docmentos en papel # los medios in!ormticos de(en ser almacenados (aNo lla*e en ga(inetes #/ otro tipo de mo(iliario segro cando no estn siendo tili:ados+ especialmente !era del "orario de tra(aNo$ (4 )a in!ormacin sensi(le o cr;tica de la empresa de(e gardarse (aNo lla*e 1pre!erentemente en na caNa !erte o ga(inete a pre(a de incendios4 cando no est en so+ especialmente cando no "a# personal en la o!icina c4 )as comptadoras personales+ terminales e impresoras no de(en deNarse conectadas cando estn desatendidas # las mismas de(en ser protegidas mediante cerradras de segridad+ contraseMas otros controles cando no estn en so$ d4 Se de(en proteger los pntos de recepcin # en*;o de correo # las m%inas de !a8 # tele8 no atendidas e4 )as !otocopiadoras de(en estar (lo%eadas 1o protegidas de algna manera+ del so no atori:ado4 !era del "orario normal de tra(aNo+ !4 )a in!ormacin sensi(le o con!idencial+ na *e: impresa+ de(e ser retirada de la impresora inmediatamente$ -$"$ Re8iro de 9iene5 El e%ipamiento+ la in!ormacin o el so!tOare no de(en ser retirados de la sede de la organi:acin sin atori:acin$ Cando sea necesario # procedente+ los e%ipos de(ern ser desconectados 1Plogged otP4 # ne*amente conectados 1Plogged inP4 cando se reingresen$ Se de(en lle*ar a ca(o compro(aciones pntales para detectar el retiro no atori:ado de acti*os de la organi:acin$ El personal de(e conocer la posi(ilidad de reali:acin de dic"as compro(aciones$ / GESTIN DE COMUNICACIONES ' O!ERACIONES /$% !rocedimien8o5 = re5;on5a9ilidade5 o;era8i:a5 O(Neti*o9 >aranti:ar el !ncionamiento correcto # segro de las instalaciones de procesamiento de la in!ormacin$ Se de(en esta(lecer las responsa(ilidades # procedimientos para la gestin # operacin de todas las instalaciones de procesamiento de in!ormacin$ Esto incl#e el desarrollo de instrcciones operati*as # procedimientos apropiados de respesta a incidentes$ Se de(e implementar la separacin de !nciones 1*er 2$1$F4+ cando corresponda+ a !in de redcir el riesgo del so negligente o mal so deli(erado del sistema$ /$%$% Doc3men8acin de lo5 ;rocedimien8o5 o;era8i:o5 Se de(en docmentar # mantener los procedimientos operati*os identi!icados por s pol;tica de segridad$ )os procedimientos operati*os de(en ser tratados como docmentos !ormales # los cam(ios de(en ser atori:ados por el ni*el gerencial$ )os procedimientos de(en especi!icar las instrcciones para la eNeccin detallada de cada tarea+ con inclsin de9 a4 procesamiento # maneNo de la in!ormacin (4 re%erimientos de programacin 1Psc"edllingP4+ incl#endo interdependencias con otros sistemas+ tiempos de inicio de primeras tareas # tiempos de terminacin de 'ltimas tareasR "" Es%ema 1 I ,AM& 9 c4 instrcciones para el maneNo de errores otras condiciones e8cepcionales %e podr;an srgir drante la eNeccin de tareas+ incl#endo restricciones en el so de tilitarios del sistema 1*er 9$.$.4 d4 personas de soporte a contactar en caso de di!icltades operati*as o t<cnicas impre*istas e4 instrcciones especiales para el maneNo de salidas 1PotptsP4+ como el so de papeler;a especial o la administracin de salidas con!idenciales+ incl#endo procedimientos para la eliminacin segra de salidas de tareas !allidas !4 reinicio del sistema # procedimientos de recperacin en caso de prodcirse !allas en el sistema$ 7am(i<n de(e prepararse docmentacin so(re procedimientos re!eridos a acti*idades de mantenimiento del sistema+ relacionadas con las instalaciones de procesamiento de in!ormacin # comnicaciones+ tales como los procedimientos de inicio # cierre+ resgardo+ mantenimiento de e%ipos+ salas de cmptos # administracin # segridad del maneNo de correo$ /$%$ Con8rol de cam9io5 en la5 o;eracione5 Se de(en controlar los cam(ios en los sistemas e instalaciones de procesamiento de in!ormacin$ El control inadecado de estos cam(ios es na casa com'n de las !allas de segridad # de sistemas$ Se de(en implementar responsa(ilidades # procedimientos gerenciales !ormales para garanti:ar n control satis!actorio de todos los cam(ios en el e%ipamiento+ el so!tOare o los procedimientos$ )os programas operati*os de(en estar sNetos a n control estricto de los cam(ios$ Cando se cam(ian los programas+ se de(e retener n registro de aditor;a %e contenga toda la in!ormacin rele*ante$ )os cam(ios en el am(iente operati*o peden tener impacto en las aplicaciones$ Siempre %e sea !acti(le+ los procedimientos de control de cam(ios en las operaciones # aplicaciones de(en estar integrados 1*er tam(i<n 10$.$14$ En particlar+ se de(en considerar los sigientes ;tems9 a4 identi!icacin # registro de cam(ios signi!icati*os (4 e*alacin del posi(le impacto de dic"os cam(ios c4 procedimiento de apro(acin !ormal de los cam(ios propestos d4 comnicacin de detalles de cam(ios a todas las personas pertinentes e4 procedimientos %e identi!ican las responsa(ilidades por la cancelacin de los cam(ios !allidos # la recperacin respecto de los mismos$ /$%$" !rocedimien8o5 de mane@o de inciden8e5 Se de(en esta(lecer responsa(ilidades # procedimientos de maneNo de incidentes para garanti:ar na respesta rpida+ e!ica: # sistemtica a los incidentes relati*os a segridad 1*er tam(i<n 0$E$ l4$ Se de(en considerar los sigientes controles$ a4 Se de(en esta(lecer procedimientos %e contemplen todos los tipos pro(a(les de incidentes relati*os a segridad+ incl#endo 14 !allas en los sistemas de in!ormacin # p<rdida del ser*icioR 24 negacin del ser*icioR E4 errores ocasionados por datos comerciales incompletos o ine8actosR F4 *iolaciones de la con!idencialidadR (4 Adems de los planes de contingencia normales 1diseMados para recperar sistemas # ser*icios tan pronto como sea posi(le4+ los procedimientos tam(i<n de(en contemplar 1*er tam(i<n 0$E$F49 14 anlisis e identi!icacin de la casa del incidenteR ") Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 24 plani!icacin e implementacin de solciones para e*itar la repeticin del mismo+ si reslta necesarioR E4 recoleccin de pistas de aditor;a # e*idencia similarR F4 comnicacin con las personas a!ectadas o in*olcradas con la recperacin+ del incidenteR .4 noti!icacin de la accin a la atoridad pertinenteR c4 Se de(en recolectar 1*er 12$1$74 # proteger pistas de aditor;a # e*idencia similar+ seg'n corresponda+ para9 14 anlisis de pro(lemas internos9 24 so como e*idencia en relacin con na pro(a(le *iolacin de contrato+ de re%isito normati*o+ o en el caso de n proceso Ndicial ci*il o criminal+ por eN$ por aplicacin de legislacin so(re proteccin de datos o !rade in!ormticoR E4 negociacin de compensaciones por parte de los pro*eedores de so!tOare # de ser*iciosR d4 Se de(en implementar controles detallados # !ormali:ados de las acciones de recperacin respecto de las *iolaciones de la segridad # de correccin de !allas del sistema$ )os procedimientos de(en garanti:ar %e 9 14 slo se otorga acceso a los sistemas # datos e8istentes al personal claramente identi!icado # atori:ado 1*er tam(i<n F$2$2 en relacin con el acceso de terceros4R 24 todas las acciones de emergencia emprendidas son docmentadas en !orma detallada E4 la acciones de emergencia se comnican a la gerencia # se re*isan sistemticamenteR F4 la integridad de los controles # sistemas de la empresa se constata en n pla:o m;nimo$ /$%$) Se;aracin de f3ncione5 )a separacin de !nciones es n m<todo para redcir el riesgo de mal so+ accidental o deli(erado del sistema$ Se de(e considerar la separacin de la gestin o eNeccin de ciertas tareas o reas de responsa(ilidad+ a !in de redcir las oportnidades de modi!icacin no atori:ada o mal so de la in!ormacin o los ser*icios$ )as pe%eMas organi:aciones peden encontrar este m<todo de control di!;cil de cmplir+ pero el principio de(e aplicarse en la medida de lo posi(le$ Siempre %e sea di!;cil lle*ar a ca(o la separacin+ se de(en tener en centa otros controles como el monitoreo de las acti*idades+ las pistas de aditor;a # la sper*isin gerencial$ Es importante %e la aditor;a de segridad permane:ca independiente$ Se de(en tomar recados para %e ningna persona peda perpetrar n !rade en reas de responsa(ilidad 'nica sin ser detectada$ El inicio de n e*ento de(e estar separado de s atori:acin$ Se de(en considerar los sigientes pntos$ a4 Es importante separar acti*idades %e re%ieren conni*encia para de!radar+ por eN$ e!ectar na orden de compra # *eri!icar %e la mercader;a !e reci(ida$ (4 Si e8iste peligro de conni*encia+ los controles de(en ser diseMados de manera tal %e dos o ms personas de(an estar in*olcradas+ redciendo de ese modo la posi(ilidad de conspiracin$ /$%$* Se;aracin en8re in58alacione5 de de5arrollo e in58alacione5 o;era8i:a5 )a separacin entre las instalaciones de desarrollo+ pre(a # operaciones es importante para lograr la separacin de los roles in*olcradas$ Se de(en de!inir # docmentar las reglas para la trans!erencia de so!tOare desde el estado de desarrollo "acia el estado operati*o$ )as acti*idades de desarrollo # pre(a peden ocasionar pro(lemas gra*es+ como la modi!icacin no deseada de arc"i*os o sistemas+ o la recti!icacin no deseada de !allas de sistemas$ Se de(e "* Es%ema 1 I ,AM& 9 considerar el ni*el de separacin %e reslta necesario entre los am(ientes operati*os+ de pre(a # de desarrollo+ a !in de pre*enir pro(lemas operati*os$ 7am(i<n se de(e implementar na separacin similar entre las !nciones de desarrollo # pre(a$ En este caso+ e8iste la necesidad de mantener n am(iente conocido # esta(le en el cal pedan lle*arse a ca(o pre(as signi!icati*as e impedirse accesos inadecados por parte del personal de desarrollo$ Si el personal de desarrollo # pre(a tiene acceso al sistema %e esta operati*o # a s in!ormacin+ <ste pede ser capa: de introdcir l;neas de cdigos no atori:ados o no pro(ados+ o alterar los datos de las operaciones$ En algnos sistemas esta capacidad pede ser tili:ada inadecadamente para perpetrar !rade+ o para introdcir programas no pro(ados o maliciosos$ Estos programas peden ocasionar gra*es pro(lemas operati*os$ El personal de desarrollo # pre(as tam(i<n plantea na amena:a a la con!idencialidad de la in!ormacin operati*o$ )as acti*idades de desarrollo # pre(as peden prodcir cam(ios no plani!icados en el so!tOare # la in!ormacin si los sistemas comparten el mismo am(iente in!ormtico$ )a separacin entre las instalaciones de desarrollo+ pre(as # operaciones es por tanto desea(le+ a !in de redcir el riesgo de cam(ios accidentales o accesos no atori:ados al so!tOare operati*o # a los datos del negocio$ Se de(en tener en centa los sigientes controles$ a4 El so!tOare en desarrollo # en operaciones de(e+ en la medida de lo posi(le+ eNectarse en di!erentes procesadores o en di!erentes dominios o directorios$ (4 En la medida de lo posi(le+ las acti*idades de desarrollo # pre(a de(en estar separadas$ c4 Cando no es re%erido+ los compiladores+ editores # otros tilitarios del sistema no de(en ser accesi(les desde los sistemas %e estn operati*os$ d4 Se de(en tili:ar di!erentes procedimientos de cone8in 1Plog&onP4 para sistemas en operaciones # de pre(a+ a !in de redcir el riesgo de error$ Se de(e alentar a los sarios a tili:ar di!erentes contraseMas para estos sistemas+ # los men's de(en desplegar adecados mensaNes de identi!icacin$ e4 El personal de desarrollo slo de(e tener acceso a las contraseMas operati*as+ por%e all; estn adecadamente (icados los controles de emisin de contraseMas para el apo#o de los sistemas %e se encentran operati*os$ Estos controles de(en garanti:ar %e dic"as contraseMas se modi!i%en na *e: tili:adas$ /$%$, Admini58racin de in58alacione5 e<8erna5 El empleo de n contratista e8terno para la administracin de las instalaciones de procesamiento de in!ormacin pede introdcir potenciales e8posiciones al riesgo en materia de segridad+ como la posi(ilidad de compromiso+ daMo o p<rdida de datos en la sede del contratista$ Estos riesgos de(en ser identi!icados con anticipacin+ # de(en acordarse controles adecados con el contratista e inclirse en el contrato 1*er tam(i<n F$2$2 # F$E para orientacin con respecto a contratos con terceros %e contemplan el acceso a instalaciones de la organi:acin # contratos de terceri:acin4 Se de(en a(ordar+ entre otras+ las sigientes cestiones espec;!icas9 a4 identi!icar las aplicaciones sensi(les o cr;ticas %e con*ienen retener en la organi:acinR (4 o(tener la apro(acin de los propietarios de aplicaciones comercialesR c4 implicancias para la continidad de los planes comercialesR d4 estndares de segridad a especi!icar+ # el proceso de medicin del cmplimientoR e4 asignacin de responsa(ilidades espec;!icas # procedimientos para monitorear con e!icacia todas las acti*idades de segridad pertinentes !4 responsa(ilidades # procedimientos de comnicacin # maneNo de incidentes relati*os a la segridad 1*er 2$1$E4$ ", Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond /$ !lanificacin = a;ro9acin de 5i58ema5 O(Neti*o 9 Minimi:ar el riesgo de !allas en los sistemas$ Se re%iere na plani!icacin # preparacin anticipada para garanti:ar la disponi(ilidad de capacidad # recrsos adecados$ 5e(en reali:arse pro#ecciones para !tros re%erimientos de capacidad+ a !in de redcir el riesgo de so(recarga del sistema$ Se de(en esta(lecer+ docmentar # pro(ar los re%erimientos operati*os de ne*os sistemas antes de s apro(acin # so$ /$$% !lanificacin de la ca;acidad Se de(en monitorear las demandas de capacidad # reali:ar pro#ecciones de los !tros re%erimientos de capacidad+ a !in de garanti:ar la disponi(ilidad del poder de procesamiento # almacenamiento adecados$ Estas pro#ecciones de(en tomar en centa los ne*os re%erimientos de negocios # sistemas # las tendencias actales # pro#ectadas en el procesamiento de la in!ormacin de la organi:acin$ )as comptadoras Pmain!rameP re%ieren especial atencin+ de(ido al ma#or costo # pla:o de espera para la o(tencin de ne*a capacidad$ )os administradores de ser*icios main!rame de(en monitorear la tili:acin de los recrsos cla*e del sistema+ incl#endo procesadores+ almacenamiento principal+ almacenamiento de arc"i*os+ impresoras # otros medios de salida 1PotptP4+ # sistemas de comnicaciones$ =stos de(en identi!icar las tendencias de so+ particlarmente en relacin con las aplicaciones comerciales o las "erramientas de sistemas de in!ormacin de gestin$ )os gerentes de(en tili:ar esta in!ormacin para identi!icar # e*itar potenciales cellos de (otella %e podr;an plantear na amena:a a la segridad del sistema o a los ser*icios del sario+ # plani!icar na adecada accin correcti*a$$ /$$ A;ro9acin del 5i58ema Se de(en esta(lecer criterios de apro(acin para ne*os sistemas de in!ormacin+ actali:aciones 1PpgradesP4 # ne*as *ersiones+ # se de(en lle*ar a ca(o adecadas pre(as de los sistemas antes de s apro(acin$ )os gerentes de(en garanti:ar %e los re%erimientos # criterios de apro(acin de ne*os sistemas sean claramente de!inidos+ acordados+ docmentados # pro(ados$ Se de(en considerar los sigientes pntos9 a4 desempeMo # re%erimientos de capacidad de las comptadorasR (4 recperacin ante errores # procedimientos de reinicio+ # planes de contingenciaR c4 preparacin # pre(a de procedimientos operati*os de rtina seg'n estndares de!inidos d4 conNnto acordado de controles de segridad implementados e4 procedimientos manales e!icacesR !4 disposiciones relati*as a la continidad de los negocios+ seg'n lo re%erido en el pnto 11$1 g4 e*idencia %e la instalacin del ne*o sistema no a!ectar negati*amente los sistemas e8istentes+ especialmente en los per;odos pico de procesamiento+ como drante los 'ltimos d;as del mes "4 e*idencia de %e se "a tomado en centa el e!ecto %e tiene el ne*o sistema en la segridad glo(al de la organi:acin i4 entrenamiento en la operacin o so de ne*os sistemas$ -ara los principales ne*os desarrollos+ las !nciones # sarios de operaciones de(en ser consltados en todas las etapas del proceso de desarrollo para garanti:ar la e!iciencia operati*a del diseMo propesto del sistema$ 5e(en lle*arse a ca(o pre(as apropiadas para constatar el cmplimiento ca(al de todos los criterios de apro(acin$ "- Es%ema 1 I ,AM& 9 /$" !ro8eccin con8ra 5of8Aare malicio5o O(Neti*o 9 -roteger la integridad del so!tOare # la in!ormacin$ Es necesario tomar precaciones para pre*enir # detectar la introdccin de so!tOare malicioso$ El so!tOare # las instalaciones de procesamiento de in!ormacin son *lnera(les a la introdccin de so!tOare malicioso como+ por eN$+ *irs in!ormticos+ POormsP de red+ Ptro#anosP 1*er tam(i<n 10$.$F4 # (om(as lgicas$ Se de(e concienti:ar a los sarios acerca de los peligros del so!tOare no atori:ado o malicioso+ # los administradores de(en+ cando corresponda+ introdcir controles especiales para detectar o pre*enir la introdccin de los mismos$ En particlar+ es esencial %e se tomen precaciones para detectar # pre*enir *irs in!ormticos en comptadoras personales$ /$"$% Con8role5 con8ra 5of8Aare malicio5o Se de(en implementar controles de deteccin # pre*encin para la proteccin contra so!tOare malicioso+ # procedimientos adecados de concienti:acin de sarios$ )a proteccin contra so!tOare malicioso de(e (asarse en la concienti:acin en materia de segridad # en controles adecados de acceso al sistema # administracin de cam(ios$ Se de(en tener en centa los sigientes controles9 a4 na pol;tica !ormal %e re%iera el so de so!tOare con licencia # pro";(a el so de so!tOare no atori:ado 1*er 12$1$2$24R (4 na pol;tica !ormal con el !in de proteger contra los riesgos relacionados con la o(tencin de arc"i*os # so!tOare desde o a tra*<s de redes e8ternas+ o por cal%ier otro medio+ seMalando %< medidas de proteccin de(er;an tomarse 1*er tam(i<n 10$.+ especialmente 10$.$F # 1 0$.$.4R c4 instalacin # actali:acin peridica de so!tOare de deteccin # reparacin anti&*irs+ para e8aminar comptadoras # medios in!ormticos+ #a sea como medida precatoria o rtinaria+ d4 reali:acin de re*isiones peridicas del contenido de so!tOare # datos de los sistemas %e sstentan procesos cr;ticos de al empresa$ )a presencia de arc"i*os no apro(ados o modi!icaciones no atori:adas de(e ser in*estigada !ormalmenteR e4 *eri!icacin de la presencia de *irs en arc"i*os de medios electrnicos de origen incierto o no atori:ado+ o en arc"i*os reci(idos a tra*<s de redes no con!ia(les+ antes de s soR !4 *eri!icacin de la presencia de so!tOare malicioso en arc"i*os adNntos a mensaNes de correo electrnico # arc"i*os descargados por Internet 1PdoOnloadsP4 antes de s so$ Esta *eri!icacin pede lle*arse a ca(o en di!erentes lgares+ por eN$ en ser*idores de correo electrnico+ comptadoras de escritorio o al ingresar en la red de la organi:acinR g4 procedimientos # responsa(ilidades gerenciales para administrar la proteccin contra *irs en los sistemas+ el entrenamiento con respecto a s so+ la comnicacin # la recperacin !rente a ata%es 1*er 0$E # 2$1$E4 "4 adecados planes de continidad de los negocios para la recperacin respecto de ata%es de *irs+ incl#endo todos los datos necesarios+ el resgardo del so!tOare # las disposiciones para la recperacin 1*er el pnto 114 i4 procedimientos para *eri!icar toda la in!ormacin relati*a a so!tOare malicioso+ # garanti:ar %e los (oletines de alerta sean e8actos e in!ormati*os$ )os gerentes de(en garanti:ar %e se tili:an !entes cali!icadas+ por eN$ p(licaciones acreditadas+ sitios de Internet o pro*eedores de so!tOare anti&*irs con!ia(les+ para di!erenciar entre *irs !alaces # reales$ Se de(e concienti:ar al personal acerca del pro(lema de los *irs !alsos 1"oa84 # de %< "acer al reci(irlos$ Estos controles son especialmente importantes para ser*idores de arc"i*os de red %e (rindan soporte a n gran n'mero de estaciones de tra(aNo$ "/ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond /$) Man8enimien8o O(Neti*o9 Mantener la integridad # disponi(ilidad de los ser*icios de procesamiento # comnicacin de in!ormacin$ Se de(en esta(lecer procedimientos de rtina para lle*ar a ca(o la estrategia de resgardo acordada 1*er 11$14 reali:ando copias de resgardo de los datos # ensa#ando s resta(lecimiento oportno+ registrando e*entos # !allas #+ cando corresponda+ monitoreando el entorno del e%ipamiento$ /$)$% Re5g3ardo de la informacin Se de(en reali:ar peridicamente copias de resgardo de la in!ormacin # el so!tOare esenciales para la empresa$ Se de(e contar con adecadas instalaciones de resgardo para garanti:ar %e toda la in!ormacin # el so!tOare esencial de la empresa pede recperarse na *e: ocrrido n desastre o !alla de los dispositi*os$ )as disposiciones para el resgardo de cada no de los sistemas de(en ser pro(adas peridicamente para garanti:ar %e cmplen con los re%erimientos de los planes de continidad de los negocios 1*er pnto 114$ Se de(en tener en centa los sigientes controles$ a4 Se de(e almacenar en na (icacin remota n ni*el m;nimo de in!ormacin de resgardo+ Nnto con registros e8actos # completos de las copias de resgardo # los procedimientos docmentados de restaracin+ a na distancia s!iciente como para e*itar daMos pro*enientes de n desastre en el sitio principal$ Se de(en retener al menos tres generaciones o ciclos de in!ormacin de resgardo para aplicaciones importantes de la empresa$ (4 Se de(e asignar a la in!ormacin de resgardo n ni*el adecado de proteccin !;sica # am(iental 1*er pnto 74 consecente con los estndares aplicados en el sitio principal$ )os controles aplicados a los dispositi*os en el sitio principal de(en e8tenderse para c(rir el sitio de resgardo$ c4 )os medios de resgardo de(en pro(arse peridicamente+ cando sea !acti(le+ a !in de garanti:ar la con!ia(ilidad de los mismos con relacin a s e*ental so en casos de emergencia$ d4 )os procedimientos de restaracin de(en *eri!icarse # pro(arse peridicamente para garanti:ar s e!icacia # cmplimiento dentro del tiempo asignado a la recperacin en los procedimientos operati*os$ Se de(e determinar el per;odo de garda de la in!ormacin esencial para la empresa+ # tam(i<n los re%erimientos de copias de arc"i*os %e "an de gardarse en !orma permanente 1*er 12$1$E4$ /$)$ Regi58ro de ac8i:idade5 del ;er5onal o;era8i:o El personal operati*o de(e mantener n registro de ss acti*idades$ )os registros de(en inclir+ seg'n corresponda9 a4 tiempos de inicio # cierre del sistema (4 errores del sistema # medidas correcti*as tomadas c4 con!irmacin del maneNo correcto de arc"i*os de datos # salidas d4 el nom(re de la persona %e lle*a a ca(o la actali:acin del registro )os registros de acti*idades del personal operati*o de(en estar sNetos a *eri!icaciones peridicas e independientes con relacin a los procedimientos operati*os$ /$)$" Regi58ro de falla5 "0 Es%ema 1 I ,AM& 9 Se de(en comnicar las !allas # tomar medidas correcti*as$ Se de(e registrar las !allas comnicadas por los sarios+ con respecto a pro(lemas con el procesamiento de la in!ormacin o los sistemas de comnicaciones$ 5e(en e8istir reglas claras para el maneNo de las !allas comnicadas+ con inclsin de9 a4 re*isin de registros de !allas para garanti:ar %e las mismas !eron reseltas satis!actoriamente (4 re*isin de medidas correcti*as para garanti:ar %e los controles no !eron comprometidos+ # %e las medidas tomadas !eron de(idamente atori:adas$ /$* Admini58racin de la red O(Neti*o9 >aranti:ar la segridad de la in!ormacin en las redes # la proteccin de la in!raestrctra de apo#o$ Es de sma importancia la administracin de segridad de las redes %e peden atra*esar el per;metro de la organi:acin$ 7am(i<n peden re%erirse controles adicionales para los datos sensi(les %e circlen por redes p'(licas$ /$*$% Con8role5 de rede5 Se re%iere n conNnto de controles para lograr # mantener la segridad de las redes in!ormticas$ )os administradores de redes de(en implementar controles para garanti:ar la segridad de los datos en la misma+ # la proteccin de los ser*icios conectados contra el acceso no atori:ado+ En particlar+ se de(en considerar los sigientes ;tems$ a4 Cando corresponda+ la responsa(ilidad operati*a de las redes de(e estar separada de las de operaciones del comptador 1*er 2$1$F4$ (4 Se de(en esta(lecer los procedimientos # responsa(ilidades para la administracin del e%ipamiento remoto+ incl#endo los e%ipos en las reas sarias c4 Si reslta necesario+ de(en esta(lecerse controles especiales para sal*agardar la con!idencialidad e integridad del procesamiento de los datos %e pasan a tra*<s de redes p'(licas+ # para proteger los sistemas conectados 1*er 9$F # 10$E4$ 7am(i<n peden re%erirse controles especiales para mantener la disponi(ilidad de los ser*icios de red # comptadoras conectadas$ d4 )as acti*idades gerenciales de(en estar estrec"amente coordinadas tanto para optimi:ar el ser*icio a la acti*idad de la empresa canto para garanti:ar %e los controles se aplican ni!ormemente en toda la in!raestrctra de procesamiento de in!ormacin$ /$, Admini58racin = 5eg3ridad de lo5 medio5 de almacenamien8o O(Neti*o 9 Impedir el daMo a los acti*os # las interrpciones en las acti*idades de la empresa$ )os medios de almacenamiento de(en ser controlados # protegidos !;sicamente$ Se de(en esta(lecer procedimientos operati*os apropiados para proteger docmentos+ medios de almacenamiento 1cintas+ discos+ casetes4+ datos de entrada/salida # docmentacin del sistema contra daMo+ ro(o # acceso no atori:ado$ /$,$% Admini58racin de medio5 informD8ico5 remo:i9le5 5e(en e8istir procedimientos para la administracin de medios in!ormticos remo*i(les+ como cintas+ discos+ casetes e in!ormes impresos$ Se de(en considerar los sigientes lineamientos9 )1 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond a4 si #a no son re%eridos+ de(en (orrarse los contenidos pre*ios de cal%ier medio retili:a(le %e "a de ser retirado de la organi:acin$ (4 Se de(e re%erir atori:acin para retirar cal%ier medio de la organi:acin # se de(e reali:ar n registro de todos los retiros a !in de mantener na pista de aditor;a 1*er 2$7$24$ c4 7odos los medios de(en almacenarse en n am(iente segro # protegido+ de acerdo con las especi!icaciones de los !a(ricantes o pro*eedores$ 7odos los procedimientos # ni*eles de atori:acin de(en ser claramente docmentados$ /$,$ Eliminacin de medio5 informD8ico5 Cando #a no son re%eridos+ los medios in!ormticos de(en eliminarse de manera segra$ Si los mismos no se eliminan cidadosamente+ la in!ormacin sensi(le pede !iltrarse a personas aNenas a la organi:acin$ Se de(en esta(lecer procedimientos !ormales para la eliminacin segra de los medios in!ormticos+ a !in de minimi:ar este riesgo$ 5e(en considerarse los sigientes controles$ a4 )os medios %e contienen in!ormacin sensi(le de(en ser almacenados # eliminados de manera segra+ por eN$ incinerndolos o "aci<ndolos tri:as+ o eliminando los datos # tili:ando los medios en otra aplicacin dentro de la organi:acin$ (4 El sigiente listado identi!ica ;tems %e podr;an re%erir na eliminacin segra9 14 docmentos en papel+ 24 *oces otras gra(acionesR E4 papel car(nicoR F4 in!ormes de salida+ .4 cintas de impresora de n solo soR 04 cintas magn<ticasR 74 discos o casetes remo*i(lesR 24 medios de almacenamiento ptico 1todos los !ormatos incl#endo todos los medios de distri(cin de so!tOare del !a(ricante o pro*eedor4R 94 listados de programasR 104 datos de pre(aR 114 docmentacin del sistema+ c4 -ede resltar ms !cil disponer %e todos los medios sean recolectados # eliminados de manera segra+ antes %e intentar separar los ;tems sensi(les$ d4 Mc"as organi:aciones o!recen ser*icios de recoleccin # eliminacin de papeles+ e%ipos # medios$ Se de(e seleccionar cidadosamente a n contratista apto con adecados controles # e8periencia$ e4 Cando sea posi(le+ se de(e registrar la eliminacin de los ;tems sensi(les+ a !in de mantener na pista de aditor;a$ Al acmlar medios para s eliminacin+ se de(e considerar el e!ecto de acmlacin+ %e pede ocasionar %e na gran cantidad de in!ormacin no clasi!icada se torne ms sensi(le %e na pe%eMa cantidad de in!ormacin clasi!icada$ /$,$" !rocedimien8o5 de mane@o de la informacin Se de(en esta(lecer procedimientos para el maneNo # almacenamiento de la in!ormacin para protegerla contra s so inadecado o di*lgacin no atori:ada$ )os procedimientos de maneNo de in!ormacin de(en ela(orarse seg'n la clasi!icacin de la misma 1*er .$24 en docmentos+ sistemas in!ormticos+ redes+ comptacin m*il+ comnicaciones m*iles+ correo+ correo de *o:+ comnicaciones de *o: en general+ mltimedia+ ser*icios e instalaciones postales+ so de m%inas de !a8 # cal%ier otro ;tem sensi(le+ por eN$ !actras # c"e%es en (lanco$ Se de(en tener en centa los sigientes controles 1*er tam(i<n .$2 # 2$7$249 )% Es%ema 1 I ,AM& 9 a4 maneNo # rotlado de todos los medios 1*er tam(i<n 2$7$2 a4R (4 restriccin de acceso para identi!icar al personal no atori:adoR c4 mantenimiento de n registro !ormal de los receptores atori:ados de datosR d4 garanti:ar %e los datos de entrada son completos+ %e el procesamiento se lle*a a ca(o correctamente # %e se aplica la *alidacin de salidasR e4 proteccin de datos en espera 1Pspooled dataP4 en n ni*el consecente con el grado de sensi(ilidad de los mismos !4 almacenamiento de medios en n am(iente %e concerda con las especi!icaciones de los !a(ricantes o pro*eedores g4 mantener la distri(cin de datos en n ni*el m;nimo "4 marcacin clara de todas las copias de datos a !in de ser ad*ertidas por el receptor atori:ado i4 re*isin de listados de distri(cin # listados de receptores atori:ados a inter*alos reglares$ /$,$) Seg3ridad de la doc3men8acin del 5i58ema )a docmentacin del sistema pede contener cierta cantidad de in!ormacin sensi(le+ por eN$ descripcin de procesos de aplicaciones+ procedimientos+ estrctras de datos+ procesos de atori:acin 1*er tam(i<n 9$14$ Se de(en considerar los sigientes controles para proteger la docmentacin del sistema de accesos no atori:ados$ a4 )a docmentacin del sistema de(e ser almacenada en !orma segraR (4 El listado de acceso a la docmentacin del sistema de(e restringirse al m;nimo # de(e ser atori:ado por el propietario de la aplicacinR c4 )a docmentacin del sistema almacenada en na red p'(lica+ o sministrada a tra*<s de na red p'(lica+ de(e ser protegida de manera adecadaR /$- In8ercam9io5 de informacin = 5of8Aare O(Neti*o9 Impedir la p<rdida+ modi!icacin o so inadecado de la in!ormacin %e intercam(ian las organi:aciones$ )os intercam(ios de in!ormacin # so!tOare entre organi:aciones de(en ser controlados+ # de(en ser consecentes con la legislacin aplica(le 1*er pnto 124$ )os intercam(ios de(en lle*arse a ca(o de con!ormidad con los acerdos e8istentes$ Se de(en esta(lecer procedimientos # estndares para proteger la in!ormacin # los medios en trnsito$ Se de(en considerar las implicancias comerciales # de segridad relacionadas con el intercam(io electrnico de datos+ el comercio electrnico # el correo electrnico+ adems de los re%erimientos de controles$ /$-$% Ac3erdo5 de in8ercam9io de informacin = 5of8Aare Se de(en esta(lecer acerdos+ algnos de los cales peden ser !ormales+ incl#endo los acerdos de cstodia de so!tOare cando corresponda+ para el intercam(io de in!ormacin # so!tOare 1tanto electrnico como manal4 entre organi:aciones$ )as especi!icaciones de segridad de los acerdos de esta ;ndole de(en re!leNar el grado de sensi(ilidad de la in!ormacin de negocio in*olcrada$ )os acerdos so(re re%isitos de segridad de(en tener en centa a4 responsa(ilidades gerenciales por el control # la noti!icacin de transmisiones+ en*;os # recepciones R (4 procedimientos de noti!icacin de emisor+ transmisin+ en*;o # recepcinR c4 estndares t<cnicos m;nimos para armado de pa%etes # transmisinR d4 estndares de identi!icacin de mensaNeros 1VcorierW4R e4 responsa(ilidades # o(ligaciones en caso de p<rdida de datos ) Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond !4 so de n sistema con*enido para el rotlado de in!ormacin cr;tica o sensi(le+ garanti:ando %e el signi!icado de los rtlos sea inmediatamente comprendido # %e la in!ormacin sea adecadamente protegidaR g4 in!ormacin so(re la propiedad de la in!ormacin # el so!tOare+ # responsa(ilidades por la proteccin de los datos+ el cmplimiento del Pderec"o de propiedad intelectalP del so!tOare # consideraciones similares 1*er 12$1$2 # 12$1$F4 R 1 "4 estndares t<cnicos para la gra(acin # lectra de la in!ormacin # so!tOare R i4 controles especiales %e peden re%erirse para proteger ;tems sensi(les+ como las cla*es criptogr!icas 1*er 10$E$.4$ /$-$ Seg3ridad de lo5 medio5 en 8rDn5i8o )a in!ormacin pede ser *lnera(le a accesos no atori:ados+ mal so o alteracin drante el transporte !;sico+ por eNemplo cando se en*;an medios a tra*<s de ser*icios postales o de mensaNer;a$ )os sigientes controles de(en ser aplicados para sal*agardar los medios in!ormticos %e se transportan entre distintos pntos$ a4 Se de(en tili:ar medios de transporte o ser*icios de mensaNer;a con!ia(les$ Se de(e acordar con la gerencia na lista de ser*icios de mensaNer;a atori:ados e implementar n procedimiento para *eri!icar la identi!icacin de los mismos$ (4 El em(alaNe de(e ser s!iciente como para proteger el contenido contra e*entales daMos !;sicos drante el trnsito # de(e segir las especi!icaciones de los !a(ricantes o pro*eedores$ c4 Se de(en adoptar controles especiales+ cando reslte necesario+ a !in de proteger la in!ormacin sensi(le contra di*lgacin o modi!icacin no atori:adas$ Entre los eNemplos se incl#en 14 so de recipientes cerradosR 24 entrega en manoR E4 em(alaNe a pre(a de apertra no atori:ada 1%e re*ele cal%ier intento de acceso4R F4 en casos e8cepcionales+ di*isin de la mercader;a a en*iar en ms de na entrega # en*;o por di!erentes rtas$ /$-$" Seg3ridad del comercio elec8rnico El comercio electrnico pede comprender el so de intercam(io electrnico de datos 1E5I4+ correo electrnico # transacciones en l;nea a tra*<s de redes p'(licas como Internet$ El comercio electrnico es *lnera(le a di*ersas amena:as relati*as a redes+ %e peden tener como resltado acti*idades !radlentas+ disptas contractales # di*lgacin o modi!icacin de in!ormacin$ Se de(en aplicar controles para proteger al comercio electrnico de dic"as amena:as$ )as consideraciones en materia de segridad con respecto al comercio electrnico de(en inclir las sigientes9 a4 Atenticacin$ Q< ni*el de con!ian:a rec;proca de(en re%erir el cliente # comerciante con respecto a la identidad alegada por cada no de ellosA (4 Atori:acin$ Qi<n est atori:ado a !iNar precios+ emitir o !irmar los docmentos comerciales cla*eA Cmo conoce este pnto el otro participante de la transaccin$ c4 -rocesos de o!erta # contratacin$ Cles son los re%erimientos de con!idencialidad+ integridad # pre(a de en*;o # recepcin de docmentos cla*e # de no repdio de contratosA d4 In!ormacin so(re !iNacin de precios$ Q< ni*el de con!ian:a pede depositarse en la integridad del listado de precios p(licado # en la con!idencialidad de los acerdos relati*as a descentosA )" Es%ema 1 I ,AM& 9 e4 7ransacciones de compra$ Cmo es la con!idencialidad e integridad de los datos sministrados con respecto a rdenes+ pagos # direcciones de entrega+ # con!irmacin de recepcinA !4 Beri!icacin$ Q< grado de *eri!icacin es apropiado para constatar la in!ormacin de pago sministrada por el clienteA g4 Cierre de la transaccin$ Cl es !orma de pago ms adecada para e*itar !radesA "4 Ordenes$ Q< proteccin se re%iere para mantener la con!idencialidad e integridad de la in!ormacin so(re rdenes de compra # para e*itar la p<rdida o dplicacin de transacciones$ i4 ,esponsa(ilidad$ Qi<n asme el riesgo de e*entales transacciones !radlenta >ran parte de las consideraciones mencionadas peden resol*erse mediante la aplicacin de las t<cnicas criptogr!icas enmeradas en el pnto 10$E+ tomando en centa el cmplimiento de los re%isitos legales 1*er 12$1+ en particlar los pntos 12$1$0 para legislacin so(re criptogra!;a4$ )os acerdos de comercio electrnico entre partes+ de(en ser respaldados por n acerdo docmentado %e comprometa a las mismas a respetar los t<rminos # condiciones acordados+ incl#endo los detalles de atori:acin T*er el pnto (4+ ms arri(aU$ -eden re%erirse otros acerdos con pro*eedores de ser*icios de in!ormacin # de redes %e aporten (ene!icios adicionales$ )os sistemas p'(licos de transacciones de(en dar a conocer a ss clientes ss t<rminos # condiciones comerciales$ Se de(e tomar en centa la resistencia a ata%es con %e centa el P"ostP tili:ado para el comercio electrnico+ # las implicancias de segridad de las intercone8iones de red %e se re%ieren para s implementacin 1*er 9$F$74$ /$-$) Seg3ridad del correo elec8rnico /$-$)$% Rie5go5 de 5eg3ridad El correo electrnico se est tili:ando para las comnicaciones comerciales+ en reempla:o de las !ormas tradicionales de comnicacin como el tele8 # el correo postal$ El correo electrnico di!iere de las !ormas tradicionales de comnicaciones comerciales por s *elocidad+ estrctra de mensaNes+ grado de in!ormalidad # *lnera(ilidad a las acciones no atori:adas$ Se de(e tener en centa la necesidad de controles para redcir los riesgos de segridad creados por el correo electrnico$ )os riesgos relati*os a la segridad comprenden 9 a4 *lnera(ilidad de los mensaNes al acceso o modi!icacin no atori:ados o a la negacin de ser*icio (4 *lnera(ilidad a errores+ por eN$+ consignacin incorrecta de la direccin o direccin errnea+ # la con!ia(ilidad # disponi(ilidad general del ser*icio R c4 impacto de n cam(io en el medio de comnicacin en los procesos de negocio+ por eN$+ el e!ecto del incremento en la *elocidad de en*;o o el e!ecto de en*iar mensaNes !ormales de persona a persona en lgar de mensaNes entre organi:aciones d4 consideraciones legales+ como la necesidad potencial de contar con pre(a de origen+ en*;o+ entrega # aceptacin e4 implicancias de la p(licacin e8terna de listados de personal+ accesi(les al p'(lico R !4 control del acceso de sarios remotos a las centas de correo electrnico$ /$-$)$ !ol8ica de correo elec8rnico )) Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond )as organi:aciones de(en ela(orar na pol;tica clara con respecto al so del correo electrnico+ %e incl#a los sigientes tpicos9 a4 ata%es al correo electrnico+ por eN$ *irs+ interceptacin (4 proteccin de arc"i*os adNntos de correo electrnicoR c4 lineamientos so(re cando no tili:ar correo electrnicoR d4 responsa(ilidad del empleado de no comprometer a la organi:acin+ por eN$ en*iando correos electrnicos di!amatorios+ lle*ando a ca(o prcticas de "ostigamiento+ o reali:ando compras no atori:adasR e4 so de t<cnicas criptogr!icas para proteger la con!idencialidad e integridad de los mensaNes electrnicos 1*er 10$E4 !4 retencin de mensaNes %e+ si se almacenaran+ podr;an ser "allados en caso de litigioR g4 controles adicionales para e8aminar mensaNes electrnicos %e no peden ser atenticados$ /$-$* Seg3ridad de lo5 5i58ema5 elec8rnico5 de oficina Se de(en preparar e implementar pol;ticas # lineamientos para controlar las acti*idades de la empresa # riesgos de segridad relacionados con los sistemas electrnicos de o!icina$ =stos propician la di!sin # distri(cin ms rpidas de la in!ormacin de la empresa mediante na com(inacin de docmentos+ comptadoras+ comptacin m*il+ comnicaciones m*iles+ correo+ correo de *o:+ comnicaciones de *o: en general+ mltimedia+ ser*icios o instalaciones postales # m%inas de !a8$ )as consideraciones respecto de las implicancias de segridad # comerciales al interconectar tales ser*icios+ de(en inclir9 a4 *lnera(ilidades de la in!ormacin en los sistemas de o!icina+ por eN$ la gra(acin de llamadas tele!nicas o tele con!erencias+ la con!idencialidad de las llamadas+ el almacenamiento de !a8es+ la apertra o distri(cin del correoR (4 pol;tica # controles apropiados para administrar la distri(cin de in!ormacin+ por eN$ el so de (oletines electrnicos corporati*os 1*er 9$14 c4 e8clsin de categor;as de in!ormacin sensi(le de la empresa+ si el sistema no (rinda n adecado ni*el de proteccin 1*er .$24 d4 limitacin del acceso a la in!ormacin de agenda de personas determinadas+ por eN$ el personal %e tra(aNa en pro#ectos sensi(les R e4 la aptitd del sistema para dar soporte a las aplicaciones de la empresa+ como la comnicacin de rdenes o atori:aciones !4 categor;as de personal+ contratistas o socios a los %e se permite el so del sistema # las (icaciones desde las cales se pede acceder al mismo 1*er F$24R g4 restriccin de determinadas instalaciones a espec;!icas categor;as de sariosR "4 identi!icacin de la posicin o categor;a de los sarios+ por eN$ empleados de la organi:acin o contratistas en directorios a (ene!icio de otros sarios R i4 retencin # resgardo de la in!ormacin almacenada en el sistema 1*er 12$1$E # 2$F$14 N4 re%erimientos # disposiciones relati*os a sistemas de soporte U-C de reposicin de in!ormacin perdida 1*er 1 1$14$ /$-$, Si58ema5 de acce5o ;E9lico Se de(en tomar recados para la proteccin de la integridad de la in!ormacin p(licada electrnicamente+ a !in de pre*enir la modi!icacin no atori:ada %e podr;a daMar la reptacin de la organi:acin %e emite la p(licacin$ Es posi(le %e la in!ormacin de n sistema de acceso p'(lico+ por eN$ la in!ormacin en n ser*idor Ke( accesi(le por Internet+ de(a cmplir con le#es+ normas # estattos de la Nrisdiccin en la cal se locali:a el sistema o en la cal tiene lgar la )* Es%ema 1 I ,AM& 9 transaccin$ 5e(e e8istir n proceso de atori:acin !ormal antes de %e la in!ormacin se ponga a disposicin del p'(lico$ El so!tOare+ los datos # dems in!ormacin %e re%iera n alto ni*el de integridad+ # %e est< disponi(le en n sistema de acceso p'(lico+ de(en ser protegidos+ mediante mecanismos adecados+ por eN$ !irmas digitales 1*er 10$E$E4$ )os sistemas de p(licacin electrnica+ en particlar a%ellos %e permiten P!eed(acQP e ingreso directo de in!ormacin+ de(en ser cidadosamente controlados de manera %e9 a4 la in!ormacin se o(tenga de acerdo con la legislacin de proteccin de datos 1*er 12$1$F4R (4 la in!ormacin %e se ingresa al sistema de p(licacin+ o a%ella %e procesa el mismo+ sea procesada en !orma completa+ e8acta # oportnaR c4 la in!ormacin sensi(le sea protegida drante el proceso de recoleccin # drante s almacenamientoR d4 el acceso al sistema de p(licacin no permita el acceso accidental a las redes a las cales se conecta el mismo$ /$-$- O8ra5 forma5 de in8ercam9io de informacin Se de(en implementar procedimientos # controles para proteger el intercam(io de in!ormacin a tra*<s de medios de comnicaciones de *o:+ !a8 # *;deo$ )a in!ormacin pede *erse comprometida de(ido a la !alta de concienti:acin+ pol;ticas o procedimientos acerca del so de dic"os medios+ por eN$ al escc"arse na con*ersacin por tel<!ono m*il en n lgar p'(lico+ al escc"arse los mensaNes gra(ados en n contestador atomtico+ mediante el acceso no atori:ado a sistemas de correo de *o: por discado+ o al en*iar accidentalmente !a8es a la persona e%i*ocada$ Si los ser*icios de comnicaciones !allan+ se so(recargan o se interrmpen+ las operaciones de la empresa podr;an *erse interrmpidas # la in!ormacin comprometerse 1*er pntos 7$2 # 1 l4$ )a in!ormacin tam(i<n podr;a comprometerse si sarios no atori:ados acceden a estos ser*icios 1*er pnto 94$ Se de(e esta(lecer na pol;tica clara con respecto a los procedimientos %e de(er segir el personal al esta(lecer comnicaciones de *o:+ !a8 # *;deo$ Esta de(e inclir lo sigiente9 a4 recordar al personal %e de(e tomar las de(idas precaciones+ por eN$ no re*elar in!ormacin sensi(le como para e*itar ser escc"ado o interceptado+ al "acer na llamada tele!nica+ por9 14 personas cercanas+ en especial al tili:ar tel<!onos m*ilesR 24 inter*encin de la l;nea tele!nica+ # otras !ormas de escc"a s(repticias+ a tra*<s del acceso !;sico al aparato o a la l;nea tele!nica+ o mediante e%ipos de (arrido de !recencias 1VscannersW4 al tili:ar tel<!onos m*iles anlogosR E4 personas en el lado receptorR (4 recordar al personal %e no de(e sostener con*ersaciones con!idenciales en lgares p'(licos o!icinas a(iertas # lgares de renin con paredes delgadasR c4 no deNar mensaNes en contestadores atomticos pesto %e <stos peden ser escc"ados por personas no atori:adas+ almacenados en sistemas p'(licos o almacenados incorrectamente como resltado de n error de discado d4 recordar al personal los pro(lemas ocasionados por el so de m%inas de !a8+ en particlar9 14 el acceso no atori:ado a sistemas incorporados de almacenamiento de mensaNes con el o(Neto de recperarlosR 24 la programacin deli(erada o accidental de e%ipos para en*iar mensaNes a determinados n'meros R E4 el en*;o de docmentos # mensaNes a n n'mero e%i*ocado por errores de discado o por tili:ar el n'mero almacenado e%i*ocado$ ), Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond )- Es%ema 1 I ,AM& 9 0 CONTROL DE ACCESOS 0$% Re73erimien8o5 de negocio ;ara el con8rol de acce5o5 O(Neti*o9 Controlar el acceso de in!ormacin$ El acceso a la in!ormacin # los procesos de negocio de(en ser controlados so(re la (ase de los re%erimientos la segridad # de los negocios$ -ara esta se de(en tener en centa las pol;ticas de di!sin # atori:acin de la in!ormacin9 0$%$% !ol8ica de con8rol de acce5o5 0$%$%$% Re73erimien8o5 ;ol8ico5 = de negocio5$ Se de(en de!inir # docmentar los re%erimientos de negocio para el control de accesos$ )as reglas # derec"os del control de accesos+ para cada sario o grpo de sarios+ de(en ser claramente esta(lecidos en na declaracin de pol;tica de accesos$ Se de(e otorgar a los sarios # pro*eedores de ser*icio na clara ennciacin de los re%erimientos comerciales %e de(ern satis!acer los controles de acceso$ )a pol;tica de(e contemplar lo sigiente9 a4 re%erimientos de segridad de cada na de las aplicaciones comercialesR (4 identi!icacin de toda in!ormacin relacionada con las aplicaciones comercialesR c4 las pol;ticas de di*lgacin # atori:acin de in!ormacin+ por eN$+ el principio de necesidad de conocer+ # los ni*eles de segridad # la clasi!icacin de la in!ormacinR d4 co"erencia entre las pol;ticas de control de acceso # de clasi!icacin de in!ormacin de los di!erentes sistemas # redes R e4 legislacin aplica(le # o(ligaciones contractales con respecto a la proteccin del acceso a datos # ser*icios 1*er pnto 124 R !4 per!iles de acceso de sarios estndar+ comnes a cada categor;a de pestos de tra(aNo R g4 administracin de derec"os de acceso en n am(iente distri(ido # de red %e recono:can todos los tipos de cone8iones disponi(les$ 0$%$%$ Regla5 de con8rol de acce5o5 Al especi!icar las reglas de control de acceso+ se de(e considerar cidadosamente lo sigiente9 a4 di!erenciar entre reglas %e siempre de(en imponerse # reglas optati*as o condicionalesR (4 esta(lecer reglas so(re la (ase de la premisa VQ< de(e estar generalmente pro"i(ido a menos %e se permita e8presamenteAW+ antes %e la regla mas d<(il V7odo esta generalmente permitido a menos %e se pro";(a e8presamenteW R c4 los cam(ios en los rtlos de in!ormacin 1*er .$24 %e son iniciados atomticamente por las instalaciones de procesamiento de in!ormacin # a%ellos el sario inicia seg'n s criterioR d4 los cam(ios en los permisos de sario %e son iniciados atomticamente por el sistema de in!ormacin # a%ellos %e inicia el administradorR e4 las reglas %e re%ieren la apro(acin del administrador o de otros antes de entrar en *igencia # a%ellas %e no$ )/ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 0$ Admini58racin de acce5o5 de 353ario5 O(Neto9 Impedir el acceso no atori:ado en los sistemas de in!ormacin$ Se de(en implementar procedimientos !ormales para controlar la asignacin de derec"os de acceso a los sistemas # ser*icios de in!ormacin$ )os procedimientos de(en comprender todas las etapas del ciclo de *ida de los accesos de sario+ desde el registro inicial de ne*os sarios "asta la pri*acin !inal de derec"os de los sarios %e #a no re%ieren acceso a los sistemas # ser*icios de in!ormacin$ Se de(e conceder especial atencin+ cando corresponda+ a la necesidad de controlar la asignacin de derec"os de acceso de pri*ilegio+ %e permiten a los sarios pasar por alto los controles de sistema$ 0$$% Regi58racin de 353ario5 5e(e e8istir n procedimiento !ormal de registracin # desregistracin de sarios para otorgar acceso a todos los sistemas # ser*icios de in!ormacin mlti&sario$ El acceso a ser*icios de in!ormacin mlti&sario de(e ser controlado a tra*<s de n proceso !ormal de registracin de sarios+ el cal de(e inclir los sigientes pntos9 a4 tili:ar I5s de sario 'nicos de manera %e se peda *inclar # "acer responsa(les a los sarios por ss acciones$ El so de I5s grpales solo de(e ser permitido cando son con*enientes para el tra(aNo a desarrollar R (4 *eri!icar %e el sario tiene atori:acin del propietario del sistema para el so del sistema o ser*icio de in!ormacin$ 7am(i<n pede resltar apropiada na apro(acin adicional de derec"os de acceso por parte de la gerenciaR c4 *eri!icar %e el ni*el de acceso otorgado es adecado para el propsito del negocios 1*er 9$14 # es co"erente con la pol;tica de segridad de la organi:acin+ por eN$ %e no compromete la separacin de tareas 1*er 2$1$F4 R d4 entregar a los sarios n detalle escrito de ss derec"os de accesoR e4 re%erir %e los sarios !irmen declaraciones seMalando %e comprenden las condiciones para el acceso R !4 garanti:ar %e los pro*eedores de ser*icios no otorgan acceso "asta %e se "a#an completado los procedimientos de atori:acin R g4 mantener n registro !ormal de todas las personas registradas para tili:ar el ser*icio R "4 cancelar inmediatamente los derec"os de acceso de los sarios %e cam(iaron ss tareas o se des*inclaron de la organi:acin R i4 *eri!icar peridicamente+ # cancelar I5s # centas de sarios redndantesR N4 garanti:ar %e los I5s de sario redndantes no se asignen a otros sariosR Se de(e considerar la inclsin de clslas en los contratos de personal # de ser*icios %e especi!i%en sanciones si el personal o los agentes %e prestan n ser*icio intentan accesos no atori:ados 1*er tam(i<n 0$1$F$ # 0$E$.$4 0$$ Admini58racin de ;ri:ilegio5 Se de(e limitar # controlar la asignacin # so de pri*ilegios 1cal%ier caracter;stica o ser*icio de n sistema de in!ormacin mlti&sario %e permita %e el sario pase por alto los controles de sistemas o aplicaciones4$ El so inadecado de los pri*ilegios del sistema reslta !recentemente en el ms importante !actor %e contri(#e a la !alla de los sistemas a los %e se "a accedido ilegalmente$ )0 Es%ema 1 I ,AM& 9 )os sistemas mlti&sario %e re%ieren proteccin contra accesos no atori:ados+ de(en pre*er na asignacin de pri*ilegios controlada mediante n proceso de atori:acin !ormal$ Se de(en tener en centa los sigientes pasos9 a4 5e(en identi!icarse los pri*ilegios asociados a cada prodcto del sistema por eN$ sistema operati*o+ sistema de administracin de (ases de datos # aplicaciones+ # las categor;as de personal a las cales de(en asignarse los prodctos$ (4 )os pri*ilegios de(en asignarse a indi*idos so(re las (ases de la necesidad de so # e*ento por e*ento+ por eN$ el re%erimiento m;nimo para s rol !ncional solo cando sea necesario$ c4 Se de(e mantener n proceso de atori:acin # n registro de todos los pri*ilegios asignados$ )os pri*ilegios no de(en ser otorgados "asta %e se "a#a completado el proceso de atori:acin$ d4 Se de(e promo*er el desarrollo # so de rtinas del sistema para e*itar la necesidad de otorgar pri*ilegios a los sarios$ e4 )os pri*ilegios de(en asignarse a na identidad de sario di!erente de a%ellas tili:adas en los acti*idades comerciales normales$ 0$$" Admini58racin de con8ra5eFa5 de 353ario )as contraseMas constit#en n medio com'n de *alidacin de la identidad de n sario para acceder a n sistema o ser*icio de in!ormacin$ )a asignacin de contraseMas de(e controlarse a tra*<s de n proceso de administracin !ormal+ mediante el cal de(e lle*arse a ca(o lo sigiente9 a4 re%erir %e los sarios !irmen na declaracin por la cal se comprometen a mantener ss contraseMas personales en secreto # las contraseMas de los grpos de tra(aNo e8clsi*amente entre los miem(ros del grpo 1esto podr;a inclirse en los t<rminos # condiciones de empleo+ *er 0$1$F4R (4 garanti:ar+ cando se re%iera %e los sarios mantengan a ss propias contraseMas+ %e se pro*ea inicialmente a los mismos de na contraseMa pro*isoria segra+ %e de(ern cam(iar de inmediato$ )as contraseMas pro*isorias+ %e se asignan cando los sarios ol*idan s contraseMa+ solo de(e sministrarse na *e: identi!icado el sarioR c4 re%erir contraseMas pro*isorias para otorgar a los sarios de manera segra$ Se de(e e*itar la participacin de terceros o el so de mensaNes de correo electrnico sin proteccin 1te8to claro4$ )os sarios de(en acsar reci(o de la recepcin de la cla*e 1passOord4R )as contraseMas nnca de(en ser almacenadas en sistemas in!ormati*os sin proteccin 1*er 9$.$F4$ Se reslta pertinente+ se de(e considerar el so de otras tecnolog;as de identi!icacin # atenticacin de sarios+ como la (iom<trica+ por EN$$$ *eri!icacin de "ellas dactilares+ *eri!icacin de !irma # so de VtoQensW de "ardOare+ como las tarNetas de circito integrado 1Vc"ip&cardsW4$ 0$$) Re:i5in de derecGo5 de acce5o de 353ario A !in de mantener n control e!ica: del acceso a los datos # ser*icios de in!ormacin+ la gerencia de(e lle*ar a ca(o n proceso !ormal a inter*alos reglares+ a !in de re*isar los derec"os de acceso de los sarios+ de manera tal %e9 a4 los derec"os de acceso de los sarios se re*isen a inter*alos reglares 1se recomienda n periodo de seis meses4 # desp<s de cal%ier cam(io 1*er 9$2$14R (4 las atori:aciones de pri*ilegios especiales de derec"os de acceso 1*er 9$2$24 se re*isen a inter*alos mas !recentes 1se recomienda n periodo de tres meses4 R c4 las asignaciones de pri*ilegios se *eri!i%en a inter*alos reglares+ a !in de garanti:ar %e no se o(tengan pri*ilegios no atori:ados$ *1 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond *% Es%ema 1 I ,AM& 9 0$" Re5;on5a9ilidade5 del 353ario O(Neto9 Impedir el acceso sarios no atori:ados )a cooperacin de los sarios atori:ados en esencial para la e!icacia de la segridad$ Se de(e concienciar a los sarios acerca de ss responsa(ilidades por el mantenimiento de controles de acceso e!icaces+ en particlar a%ellos relacionados con el so de contraseMas # la segridad del e%ipamiento$ 0$"$% U5o de con8ra5eFa5 )os sarios de(en segir (enas prcticas de segridad en la seleccin # so de contraseMas$ )as contraseMas constit#en n medio de *alidacin de la identidad de n sario # consecente& mente n medio para esta(lecer derec"os de acceso a las instalaciones o ser*icios de procesamiento de in!ormacin$ Se de(e noti!icar a los sarios %e de(en cmplir con los sigientes pntos9 a4 mantener las contraseMas en secretoR (4 e*itar mantener n registro en papel de las contraseMas+ a menos %e este peda ser almacenado en !orma segraR c4 cam(iar las contraseMas siempre %e e8ista n posi(le indicio de compromiso del sistema o de las contraseMasR d4 seleccionar contraseMas de calidad+ con na longitd m;nima de seis caracteres %e9 14 sean !cil de recordarR 24 no est<n (asadas en alg'n dato %e otra persona peda adi*inar o(tener !cilmente mediante in!ormacin relacionada con la persona+ por eN$ nom(res+ n'meros de tel<& !ono+ !ec"a de nacimiento+ etc$ R E4 no tengan caracteres id<nticos consecti*os o grpos totalmente nm<ricos o total& mente al!a(<ticos$ e4 cam(iar las contraseMas a inter*alos reglares o seg'n el n'mero de acceso 1las contraseMas de centas con pri*ilegios de(en ser modi!icadas con ma#or !recencia %e las contraseMas comnes4+ # e*itar retili:ar o reciclar *ieNas contraseMas R !4 cam(iar las contraseMas pro*isorias en el primer inicio de sesin 1Vlog onW4 R g4 no inclir contraseMas en los procesos atomati:ados de inicio de sesin+ por eN$ a%ellas almacenadas en na tecla de !ncin o macro R "4 no compartir las contraseMas indi*idales de sario$ Si los sarios necesitan acceder a m'ltiples ser*icios o plata!ormas # se re%iere %e mantengan m'ltiples contraseMas+ se de(e noti!icar a los mismos %e peden tili:ar na contraseMa de calidad 'nica 1*er 9$E$14 para todos los ser*icios %e (rinden n ni*el ra:ona(le de proteccin de las contraseMas almacenadas$ 0$"$ E73i;o5 de5a8endido5 en Drea5 de 353ario5 )os sarios de(en garanti:ar %e los e%ipos desatendidos sean protegidos adecadamente$ )os e%ipos instalados en reas de sarios+ por eN$ estaciones de tra(aNo o ser*idores de arc"i*os+ peden re%erir na proteccin espec;!ica contra accesos no atori:ados+ cando se encentran desatendidos drante n periodo e8tenso$ Se de(e concienti:ar a todos los sarios # contratistas+ acerca de los re%erimientos # procedimientos de segridad+ para la proteccin de e%ipos desatendidos+ as; como de ss responsa(ilidades por la implementacin de dic"a proteccin$ * Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond Se de(e noti!icar a los sarios %e de(en cmplir con los sigientes pntos9 a4 conclir las sesiones acti*as al !inali:ar las tareas+ a menos %e pedan protegerse mediante n mecanismo de (lo%eo adecado+ por eN$ n preser*ador de pantallas protegido por contraseMa R (4 lle*ar a ca(o el procedimiento de salida de los procesadores centrales cando !inali:a la sesin 1no solo apagar la -C o terminal4 R c4 proteger las -Cs o terminales contra sos no atori:ados mediante n (lo%eo de segridad o control e%i*alente+ por eN$ contraseMa de acceso+ cando no se tili:an$ 0$) Con8rol de acce5o a la red O(Neti*o9 )a proteccin de los ser*icios de red$ Se de(e controlar el acceso a los ser*icios de red tanto internos como e8ternos$ Esto es necesario para garanti:ar %e los sarios %e tengan acceso a las redes # a los ser*icios de red no comprometan la segridad de estos ser*icios+ garanti:ando9 a4 inter!aces inadecadas entre la red de la organi:acin # las redes de otras organi:aciones+ o redes p(licas R (4 mecanismos de atenticacin apropiados para sarios # e%ipamiento R c4 control de acceso de sarios a los ser*icios de in!ormacin$ 0$)$% !ol8ica de 38ili>acin de lo5 5er:icio5 de red )as cone8iones no segras a los ser*icios de red peden a!ectar a toda la organi:acin$ )os sarios solo de(en contar con acceso directo a los ser*icios para los cales "an sido e8presamente atori:ados$ Este control es particlarmente importante para las cone8iones de red a aplicaciones comerciales sensi(les o cr;ticas o a sarios en sitios de alto riesgo+ por eN$ reas p'(licas o e8ternas %e estn !era de la administracin # el control de segridad de la organi:acin$ Se de(e !ormlar na pol;tica concerniente al so de redes # ser*icios de red$ Esta de(e comprender9 a4 las redes # ser*icios de red a los cales se permite el acceso R (4 procedimientos de atori:acin para determinar las personas # las redes # ser*icios de red a los cales tienen permitido el acceso R c4 controles # procedimientos de gestin para proteger el acceso a las cone8iones # ser*icios de red$ Esta pol;tica de(e ser co"erente con la pol;tica de control de accesos de la organi:acin 1*er 9$14$ 0$)$ Camino for>ado -ede resltar necesario controlar el camino desde la terminal de sario "asta el ser*icio in!ormtico$ )as redes estn diseMadas para permitir el m8imo alcance de distri(cin de recrsos # !le8i(ilidad de rteo$ Estas caracter;sticas tam(i<n peden o!recer oportnidades para el acceso no atori:ado a las aplicaciones de negocios+ o para el so no atori:ado de ser*icios de in!ormacin$ Estos riesgos peden redcirse mediante la incorporacin de controles+ %e limiten la rta entre na terminal de sario # los ser*icios del comptador+ a los cales ss sarios estn atori:ados a acceder+ por eN$ creando n camino !or:ado$ El o(Neti*o de n camino !or:ado es e*itar %e los sarios seleccionen rtas !era de la tra:ada entre la terminal de sario # los ser*icios a los cales el mismo esta atori:ado a acceder$ *" Es%ema 1 I ,AM& 9 Esto normalmente re%iere la implementacin de *arios controles en di!erentes pntos de la rta$ El principio es limitar las opciones de rteo en cada pnto de la red+ a tra*<s de elecciones prede!inidas$ A continacin se enmeran los eNemplos pertinentes9 a4 asignacin de n'meros tele!nicos o l;neas dedicadas R (4 cone8in atomtica de pertos a gateOa#s de segridad o a sistemas de aplicacin espec;!icosR c4 limitar las opciones de men' # s(men' de cada no de los sarios R d4 e*itar la na*egacin ilimitada por la red R e4 imponer el so de sistemas de aplicacin #/o gateOa#s de segridad espec;!icos para sarios e8ternos de la red R !4 controlar acti*amente las comnicaciones con origen # destino atori:ados a tra*<s de n gateOa#+ por eN+ !ireOallsR g4 restringir el acceso a redes+ esta(leciendo dominios lgicos separados+ por eN$+ redes pri*adas *irtales para grpos de sarios dentro de la organi:acin 1*er tam(i<n 9$F$04R )os re%erimientos relati*os a enrtamientos !or:ados de(en (asarse en la pol;tica de control de accesos de la organi:acin$ 19$14$ 0$)$" A38en8icacin de 353ario5 ;ara cone<ione5 e<8erna5 )as cone8iones e8ternas son de gran potencial para accesos no atori:ados a la in!ormacin de la empresa+ por eN$+ accesos mediante discado$ -or consigiente+ el acceso de sarios remotos de(e estar sNeto a la atenticacin$ E8isten di!erentes m<todos de atenticacin+ algnos de los cales (rindan n ma#or ni*el de proteccin %e otros+ por eN$ los m<todos (asados en el so de t<cnicas criptogr!icas peden pro*eer de na !erte atenticacin$ Es importante determinar mediante na e*alacin de riesgos el ni*el de proteccin re%erido$ Esto es necesario para la adecada seleccin del m<todo$ )a atenticacin de sarios remotos pede lle*arse a ca(o tili:ando+ por eNemplo+ na t<cnica (asada en criptogra!;a+ VtoQensW de "ardOare+ o n protocolo de pregnta/respesta$ 7am(i<n peden tili:arse l;neas dedicadas pri*adas o na "erramienta de *eri!icacin de la direccin del sario de red+ a !in de constatar el origen de la cone8in$ )os procedimientos # controles de rellamada o dail&(acQ+ por eN$ tili:ando mdems de dial&(acQ+ peden (rindar proteccin contra cone8iones no atori:adas # no deseadas a las instalaciones de procesamiento de in!ormacin de la organi:acin$ Este tipo de control atentica a los sarios %e intentan esta(lecer na cone8in con na red de la organi:acin desde locaciones remotas$ Al aplicar este control+ la organi:acin no de(e tili:ar ser*icios de red %e incl#an des*;o de llamadas o+ si lo "acen+ de(en in"a(ilitar el so de dic"as "erramientas para e*itar las de(ilidades asociadas con la misma$ Asimismo+ es importante %e el proceso de rellamada garantice %e se prod:ca na descone8in real del lado de la organi:acin$ 5e otro modo+ el sario remoto podr;a mantener la l;nea a(ierta !ingiendo %e se "a lle*ado a ca(o la *eri!icacin de rellamada$ )os procedimientos # controles de rellamada de(en ser pro(ados e8"asti*amente respecto de esta posi(ilidad$ 0$)$) A38en8icacin de nodo5 Una "erramienta de cone8in atomtica a na comptadora remota podr;a (rindar n medio para o(tener acceso no atori:ado a na aplicacin de la empresa$ -or consigiente+ las cone8iones a sistemas in!ormati*os remotos de(en ser atenticadas$ Esto es particlarmente importante si la cone8in tili:a na red %e esta !era de control de la gestin de segridad de la organi:acin$ En el pnto 9$F$E se enmeran algnos eNemplos de atenticacin # de cmo pde lograrse$ )a *) Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond atenticacin de nodos pede ser*ir como n medio alternati*o de atenticacin de grpos de sarios remotos+ cando <stos estn conectados a n ser*icio in!ormtico segro # compartido 1*er 9$F$E4$ 0$)$* !ro8eccin de lo5 ;3er8o5 H;or85I de diagno58ico remo8o El acceso a los pertos de diagnostico de(e ser controlado de manera segra$ Mc"as comptadoras # sistemas de comnicacin son instalados con na "erramienta de diagnostico remoto por discado+ para so de los ingenieros de mantenimiento$ Si no estn protegidos+ estos pertos de diagnostico proporcionan n medio de acceso no atori:ado$ -or consigiente+ de(en ser protegidos por n mecanismo de segridad apropiado+ por eN$ na cerradra de segridad # n procedimiento %e garantice %e solo son accesi(les mediante n acerdo entre el gerente de ser*icios in!ormati*os # el personal de soporte de "ardOare # so!tOare %e re%iere acceso$ 0$)$, S39di:i5in de rede5 )as redes se estn e8tendiendo en !orma creciente mas all de los limites tradicionales de la organi:acin+ a medida %e se constit#en sociedades con re%erimientos de intercone8in+ o so compartido de instalaciones de procesamiento de in!ormacin # redes$ 5ic"as e8tensiones peden incrementar el riesgo de acceso no atori:ado a sistemas de in!ormacin #a e8istentes %e tili:an la red+ algnos de los cales podr;an re%erir de proteccin contra otros sarios de red+ de(ido a s sensi(ilidad o criticidad$ En tales circnstancias+ se de(e considerar la introdccin de controles dentro de la red+ a !in de segregar grpos de ser*icios de in!ormacin+ sarios # sistemas de in!ormacin$ Un m<todo para controlar la segridad de redes e8tensas es di*idirlas en dominios lgicos separados+ por eN$ dominios de red internos # e8ternos de na organi:acin+ cada no protegido por n per;metro de segridad de!inido$ 5ic"o per;metro pede ser implementado mediante la instalacin de na comperta 1VgateOa#W4 segra entre las dos redes %e "an de ser interconectadas+ para controlar el acceso # !lNo de in!ormacin entre los dos dominios$ Este VgateOa#W de(e ser con!igrado para !iltrar el tr!ico entre los dominios 1*er 9$F$7 # 9$F$24 # para (lo%ear el acceso no atori:ado de acerdo con la pol;tica de control de accesos de la organi:acin 1*er 9$14$ Un eNemplo de este tipo de VgateOa#W es lo %e com'nmente se conoce como V!ireOallW$ )os criterios para la s(di*isin de redes en dominios de(en (asarse en la pol;tica de control de accesos # los re%erimientos de acceso 1*er 9$14+ # tam(i<n tomar en centa el costo relati*o # el impacto del desempeMo %e ocasiona la incorporacin de n enrtador de red o na tecnolog;a de VgateOa#sW adecados 1*er 9$F$7 # 9$F$24$ 0$)$- Con8rol de cone<in a la red )os re%erimientos de la pol;tica de control de accesos para redes compartidas+ especialmente a%ellas %e se e8tiendan mas all de los limites de la organi:acin+ peden re%erir la incorporacin de controles para limitar la capacidad de cone8in de los sarios$ 5ic"os controles peden implementarse mediante VgateOa#sW de red %e !iltren el tr!ico por medio de reglas o ta(las pre*iamente de!inidas$ )as restricciones aplicadas de(en (asarse en la pol;tica # los re%erimientos de acceso de las aplicaciones de la empresa 1*er 9$14+ # de(en mantenerse # actali:arse de con!ormidad$ A continacin se enmeran eNemplos de aplicaciones a las cales de(en aplicarse restricciones9 a4 correo electrnico R (4 trans!erencia nidireccional de arc"i*os R c4 trans!erencia de arc"i*os en am(as direcciones R d4 acceso interacti*o R ** Es%ema 1 I ,AM& 9 e4 acceso de red *inclado a "ora o !ec"a$ 0$)$/ Con8rol de r38eo de red )as redes compartidas+ especialmente a%ellas %e se e8tienden mas all de los limites organi:acionales+ peden re%erir la incorporacin de controles de rteo para garanti:ar %e las cone8iones in!ormticas # los !lNos de in!ormacin no *iolen la pol;tica de control de acceso de las aplicaciones comerciales 1*er 9$14$ Este control es a mendo esencial para las redes compartidas con sarios e8ternos 1no organi:adores4$ )os controles de rteo de(en (asarse en la *eri!icacin positi*a de direcciones de origen # destino$ )a tradccin de direcciones de red tam(i<n constit#e n mecanismo m# 'til para aislar redes # e*itar %e las rtas se propagen desde la red de na organi:acin a la red de otra$ -eden implementarse en so!tOare o "ardOare$ Qienes lle*en a ca(o la implementacin de(en estar al corriente de la !ortale:a de los mecanismos tili:ados$ 0$)$0 Seg3ridad de lo5 5er:icio5 de red E8iste na amplia gama de ser*icios de red pri*ados o p'(licos+ algnos de los cales o!recen ser*icios con *alor agregado$ )os ser*icios de red peden tener caracter;sticas de segridad 'nicas o compleNas$ )as organi:aciones %e tili:an ser*icios de red de(en garanti:ar %e se pro*ea de na clara descripcin de los atri(tos de segridad de todos los ser*icios tili:ados$ 0$* Con8rol de acce5o al 5i58ema o;era8i:o O(Neti*o9 Impedir el acceso no atori:ado al comptador )os mecanismos de segridad a ni*el del sistema operati*o de(en ser tili:ados para restringir el acceso a los recrsos del comptador$ Estas !acilidades de(en tener la capacidad de lle*ar a ca(o lo sigiente9 a4 identi!icar # *eri!icar la identidad #+ si !era necesario+ la terminal o (icacin de cada sario atori:ado R (4 registrar los accesos e8itosos # !allidos al sistema R c4 sministrar medios de atenticacin apropiadosR si se tili:a n sistema de administracin de contraseMas+ <ste de(e asegrar la calidad de las mismas 1*er 9$E$1 d4 R d4 restringir los tiempos de cone8in de los sarios+ seg'n corresponda Se de(e disponer de otros m<todos de control de acceso+ como Vc"allenge&responseW+ si estn Nsti!icados por el riesgo comercial$$ 0$*$% Iden8ificacin a38omD8ica de 8erminale5 Se de(e tener en centa la identi!icacin atomtica de terminales para atenticar cone8iones a (icaciones espec;!icas # a e%ipamiento porta(le$ )a identi!icacin atomtica de terminales es na t<cnica %e pede tili:arse si reslta importante %e la sesin solo peda iniciarse desde na terminal in!ormtica o na (icacin determinadas$ -ede tili:arse n identi!icador en la terminal+ o adNnto a la misma+ para indicar si esta terminal especi!ica esta atori:ada a iniciar o reci(ir ciertas transacciones$ -ede resltar necesario aplicar proteccin !;sica a la terminal+ a !in de mantener la segridad del identi!icador de la misma$ 7am(i<n peden tili:arse otras t<cnicas para atenticar sarios 1*er 9$F$E4$ 0$*$ !rocedimien8o5 de cone<in de 8erminale5 *, Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond El acceso a los ser*icios de in!ormacin de(e ser posi(le a tra*<s de n proceso de cone8in segro$ El procedimiento de cone8in en n sistema in!ormtico de(e ser diseMado para minimi:ar la oportnidad de acceso no atori:ado$ Este procedimiento+ por lo tanto de(e di*lgar la m;nima in!ormacin posi(le acerca del sistema+ a !in de e*itar pro*eer de asistencia innecesaria a n sario no atori:ado$ Un (en procedimiento de identi!icacin de(er;a9 a4 no desplegar identi!icadores de sistemas o aplicaciones "asta tanto se "alla lle*ado a ca(o e8itosamente el proceso de cone8inR (4 desplegar n a*iso general ad*irtiendo %e solo los sarios atori:ados peden acceder a la comptadora R c4 no dar mensaNes de a#da %e pdieran asistir a n sario no atori:ado drante el procedimiento de cone8in R d4 *alidar la in!ormacin de la cone8in slo al completarse la totalidad de los datos de entrada$ Si srge na condicin de error+ el sistema no de(e indicar %e parte de los datos es correcta o incorrecta R e4 limitar el n'mero de intentos de cone8in no e8itosos permitidos 1se recomiendan tres4 # considerar9 14 registrar los intentos no e8itosos R 24 implementar na demora o(ligatoria antes de permitir otros intentos de identi!icacin+ o rec"a:ar otros intentos sin atori:acin especi!ica R E4 desconectar cone8iones de data linQ R !4 limitar el tiempo m8imo # m;nimo permitido para el procedimiento de cone8in$ Si este es e8cedido+ el sistema de(e !inali:ar la cone8in R g4 desplegar la sigiente in!ormacin al completarse na cone8in e8itosa9 14 !lec"as # "ora de la cone8in e8itosa anteriorR 24 detalles de los intentos de cone8in no e8itosos desde la 'ltima cone8in e8itosa$ 0$*$" Iden8ificacin = a38en8icacin de lo5 353ario5 7odos los sarios 1inclido el personal de soporte t<cnico+ como los operadores+ administradores de red+ programadores de sistemas # administradores de (ases de datos4 de(en tener n identi!icador 'nico 1I5 de sario4 solamente para s so personal e8clsi*o+ de manera %e las acti*idades pedan rastrearse con posterioridad "asta llegar al indi*ido responsa(le$ )os I5s de sario no de(en dar ning'n inicio del ni*el de pri*ilegio del sario 1*er 9$2$24+ por eN$ gerente+ sper*isor+ etc$ En circnstancias e8cepcionales+ cando e8iste n claro (ene!icio para la empresa+ peda tili:arse n I5 compartido para n grpo de sarios o na tarea especi!ica$ -ara casos de esta ;ndole+ se de(e docmentar la apro(acin de la gerencia$ -odr;an re%erirse controles adicionales para mantener la responsa(ilidad$ E8isten di*ersos procedimientos de atenticacin+ los cales peden ser tili:ados para sstentar la identidad alegada del sario$ )as contraseMas 1*er tam(i<n 9$E$1 # ms a(aNo4 constit#en n medio m# com'n para pro*eer la identi!icacin # atenticacin 1I # A4 so(re la (ase de n secreto %e solo conoce el sario$ 7am(i<n se pede lle*ar a ca(o lo mismo con medios criptogr!icos # protocolos de atenticacin$ )os o(Netos como VtoQensW con memoria o tarNetas inteligentes %e poseen los sarios tam(i<n peden tili:arse para I # A$ )as tecnolog;as de atenticacin (iom<trica %e tili:an las caracter;sticas o atri(tos 'nicos de n indi*ido tam(i<n peden tili:arse para atenticar la identidad de na persona$ Una com(inacin de tecnolog;as # mecanismos *inclados de manera segra tendr como resltado na atenticacin ms !erte$ *- Es%ema 1 I ,AM& 9 0$*$) Si58ema de admini58racin de con8ra5eFa5 )as contraseMas constit#en no de los principales medios de *alidacin de la atoridad de n sario para acceder a n ser*icio in!ormtico$ )os sistemas de administracin de contraseMas de(en constitir na "erramienta e!ica: e interacti*a %e garantice contraseMas de calidad 1*er 9$E$1 como orientacin acerca del so de contraseMas4$ Algnas aplicaciones re%ieren %e las contraseMas de sario sean asignadas por na atoridad independiente$ En la ma#or;a de los casos las contraseMas son seleccionadas # mantenidas por los sarios$ Un (en sistema de administracin de contraseMas de(e9 a4 imponer el so de contraseMas indi*idales para determinar responsa(ilidadesR (4 cando corresponda+ permitir %e los sarios seleccionen # cam(ien ss propias contraseMas e inclir n procedimiento de con!irmacin para contemplar los errores de ingresoR c4 imponer na seleccin de contraseMas de calidad seg'n lo seMalado en el pnto 9$E$1 R d4 cando los sarios mantienen ss propias contraseMas+ imponer cam(ios en las mismas seg'n lo seMalado en el pnto 9$E$1 R e4 cando los sarios seleccionan contraseMas+ o(ligarlos a cam(iar las contraseMas temporarias en s primer procedimiento de identi!icacin 1*er 9$2$E4 R !4 mantener n registro de las contraseMas pre*ias del sario+ por eN$ de los 12 meses anteriores+ # e*itar la retili:acin de las mismas R g4 no mostrar las contraseMas en pantalla+ cando son ingresadas R "4 almacenar en !orma separada los arc"i*os de contraseMas # los datos de sistemas de aplicacinR i4 almacenar las contraseMas en !orma ci!rada tili:ando n algoritmo de ci!rado nidireccional R N4 modi!icar las contraseMas predeterminadas por el *endedor+ na *e: instalado el so!tOare$ 0$*$* U5o de 38ili8ario5 de 5i58ema )a ma#or;a de las instalaciones in!ormticas tienen no o ms programas tilitarios %e podr;an tener la capacidad de pasar por alto los controles de sistemas # aplicaciones$ Es esencial %e s so sea limitado # minciosamente controlado$ Se de(en considerar los sigientes controles9 a4 so de procedimientos de atenticacin para tilitarios del sistema R (4 separacin entre tilitarios del sistema # so!tOare de aplicaciones R c4 limitacin de so de tilitarios del sistema a la cantidad m;nima *ia(le de sarios !ia(les # atori:ados R d4 atori:acin para so ad "oc de tilitarios de sistema R e4 limitacin de la disponi(ilidad de tilitarios de sistema+ por eN$ a la dracin de n cam(io atori:ado R !4 registro de todo so de tilitarios del sistema R g4 de!inicin # docmentacin de los ni*eles de atori:acin para tilitarios del sistema R "4 remocin de todo el so!tOare (asado en tilitarios # so!tOare de sistema innecesarios$ 0$*$, Alarma5 5ilencio5a5 ;ara la ;ro8eccin de lo5 353ario5 5e(e considerarse la pro*isin de alarmas silenciosas para los sarios %e podr;an ser o(Netos de coercin$ )a decisin de sministrarse na alarma de esta ;ndole de(e (asarse en na e*alacin de riesgos$ Se de(en de!inir responsa(ilidades # procedimientos para responder a la acti*acin de na alarma silenciosa$ */ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 0$*$- De5cone<in de 8erminale5 ;or 8iem;o m3er8o )as terminales inacti*as en (icaciones de alto riego+ por eN$ reas p'(licas o e8ternas !era del alcance de la gestin de segridad de la organi:acin+ o %e sir*en a sistemas de alto riego+ de(en apagarse desp<s de n periodo de!inido de inacti*idad+ para e*itar el acceso de personas no atori:adas$ Esta "erramienta de descone8in por tiempo merto de(e limpiar la pantalla de la terminal # de(e cerrar tanto la sesin de la aplicacin como la de red+ desp<s de n periodo de!inido de inacti*idad$ El lapso por tiempo merto de(e responder a los riesgos de segridad del rea # de los sarios de la terminal$ -ara algnas -Cs+ pede sministrarse na "erramienta limitada de descone8in de terminal por tiempo merto+ %e limpie la pantalla # e*ite el acceso no atori:ado+ pero %e no cierra las sesiones de aplicacin o de red$ 0$*$/ Limi8acin del Gorario de cone<in )as restricciones al "orario de cone8in de(en sministrar segridad adicional a las aplicaciones de alto riesgo$ )a limitacin del periodo drante el cal se permiten las cone8iones de terminal a los ser*icios in!ormati*os redce el espectro de oportnidades para el acceso no atori:ado$ Se de(e considerar n control de esta ;ndole para aplicaciones in!ormticas sensi(les+ especialmente a%ellas terminales instaladas en (icaciones de alto riesgo+ por eN$ reas p(licas o e8ternas %e est<n !era del alcance de la gestin de segridad de la organi:acin$ Entre los eNemplos de dic"as restricciones se peden enmerar los sigientes9 a4 tili:acin de lapsos predeterminados+ por eN$ para transmisiones de arc"i*os e lote+ o sesiones interacti*as peridicas de corta dracin R (4 limitacin de los tiempos de cone8in al "orario normal de o!icina+ de no e8istir n re%erimiento operati*o de "oras e8tras o e8tensin "oraria$$ 0$, Con8rol de acce5o a la5 a;licacione5 O(Neti*o9 Impedir el acceso no atori:ado a la in!ormacin contenida en los sistemas de in!ormacin$ )as "erramientas de segridad de(en ser tili:adas para limitar el acceso no dentro de los sistemas de aplicacin$ El acceso lgico al so!tOare # a la in!ormacin de(e estar limitado a los sarios atori:ados$ )os sistemas de aplicacin de(en9 a4 controlar el acceso de sarios a la in!ormacin # a las !nciones de los sistemas de aplicacin+ de acerdo con la pol;tica de control de accesos de!inida por la organi:acin R (4 (rindar proteccin contra el acceso no atori:ado de tilitarios # so!tOare del sistema operati*o %e tengan la capacidad de pasar por alto los controles de sistemas o aplicaciones R c4 no comprometer la segridad de otros sistemas con los %e se comparten recrsos de in!ormacin R d4 tener la capacidad de otorgar acceso a la in!ormacin 'nicamente al propietario+ a otros indi*idos atori:ados mediante designacin !ormal+ o a grpos de de!inidos de sarios$ 0$,$% Re58riccin del acce5o a la informacin )os sarios de sistemas de aplicacin+ con inclsin del personal de soporte+ de(en tener acceso a la in!ormacin # a las !nciones de los sistemas de aplicacin de con!ormidad con na pol;tica de control de acceso de!inida+ so(re la (ase de los re%erimientos de cada aplicacin comercial+ # con!orme a la *0 Es%ema 1 I ,AM& 9 pol;tica de la organi:acin para el acceso a la in!ormacin+ 1*er 9$14$ se de(e considerar la aplicacin de los sigientes controles+ para (rindar apo#o a los re%erimientos de limitacin de accesos9 a4 pro*isin de men's para controlar el acceso a las !nciones de los sistemas de aplicacin R (4 restriccin del conocimiento de los sarios acerca de la in!ormacin o de las !nciones de los sistemas de aplicacin a las cales no sean atori:adas a acceder+ con la adecada edicin de docmentacin de sario R c4 control de los derec"os de acceso de los sarios+ por eN$ lectra+ escritra+ spresin # eNeccin R d4 garanti:ar %e las salidas 1otpts4 de los sistemas de aplicacin %e administran in!ormacin sensi(le+ contengan solo la in!ormacin %e reslte pertinente para el so de la salida+ # %e la misma se en*;e solamente a las terminales # (icaciones atori:adas+ # re*isar peridicamente dic"as salidas a !in de garanti:ar la remocin de la in!ormacin redndante$ 0$,$ Ai5lamien8o de 5i58ema5 5en5i9le5 )os sistemas sensi(les podr;an re%erir de n am(iente in!ormtico dedicado 1aislado4$ Algnos sistemas de aplicacin son s!icientemente sensi(les a perdidas potenciales # re%ieren n tratamiento especial$ )a sensi(ilidad pede seMalar %e el sistema de aplicacin de(e eNectarse en na comptadora dedicada+ %e slo de(e compartir recrsos con los sistemas de aplicacin con!ia(les+ o no tener limitaciones$ Son aplica(les las sigientes consideraciones9 a4 )a sensi(ilidad de n sistema de aplicacin de(e ser claramente identi!icada # docmentada por el propietario de la aplicacin 1*er F$1$E4 (4 Cando na aplicacin sensi(le "a de eNectarse en n am(iente compartido+ los sistemas de aplicacin con los cales esta compartir los recrsos de(en ser identi!icados # acordados con el propietario de la aplicacin sensi(le$ 0$- Moni8oreo del acce5o = 35o de lo5 5i58ema5 O(Neti*o9 detectar acti*idades no atori:adas )os sistemas de(en ser monitoreados para detectar des*iaciones respecto de la pol;tica de control de accesos # registrar e*entos para sministrar e*idencia en caso de prodcirse incidentes relati*os a la segridad$ El monitoreo de los sistemas permite compro(ar la e!icacia de los controles adoptados # *eri!icar la con!ormidad con el modelo de pol;tica de acceso 1*er 9$14 0$-$% Regi58ro de e:en8o5 5e(en generarse registros de aditoria %e contengan e8cepciones # otros e*entos relati*os a segridad+ # de(en mantenerse drante n periodo de!inido para acceder en !tras in*estigaciones # en el monitoreo de control de accesos$ )os registros de aditorias tam(i<n de(en inclir9 a4 I5 de sarioR (4 ?ec"a # "ora de inicio # terminacin R c4 Identidad o (icacin de la terminal+ si es posi(le R d4 ,egistros de intentos e8itosos !allidos de acceso al sistema R e4 ,egistros de intentos e8itosos # !allidos de acceso a datos # otros recrsos$ -odr;a re%erirse %e ciertos registros de aditoria sean arc"i*ados como parte de la pol;tica de retencin de registros o de(ido a los re%erimientos de recoleccin de e*idencia 1*er tam(i<n el pnto 124$ ,1 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 0$-$ Moni8oreo del 35o de lo5 5i58ema5 0$-$$% !rocedimien8o5 = Drea5 de rie5go Se de(iera esta(lecer procedimientos para monitorear el so de las instalaciones de procesamiento de la in!ormacin$ 5ic"os procedimientos son necesarios para garanti:ar %e los sarios solo est<n desempeMando acti*idades %e "a#an sido atori:adas e8pl;citamente$ El ni*el de monitoreo re%erido para cada na las instalaciones de(e determinarse mediante na e*alacin de riesgos$ Entre las reas %e de(en tenerse en centa se enmeran las sigientes9 a4 acceso no atori:ado+ incl#endo detalles como9 14 I5 de sarioR 24 ?ec"a # "ora de e*entos cla*eR E4 7ipos de e*entosR F4 Arc"i*os a los %e se accedeR .4 Utilitarios # programas tili:ados (4 todas las operaciones con pri*ilegio+ como9 14 Utili:acin de centa de sper*isorR 24 Inicio # cierre 1start&p and stop4 del sistemaR E4 Cone8in # descone8in de dispositi*os I/OR c4 intentos de acceso no atori:ado+ como9 14 Intentos !allidosR 24 Biolaciones de la pol;tica de accesos # noti!icaciones para VgateOa#sW de red # V!ireOallsWR E4 Alertas de sistemas patentados para detencin de intrsiones R d4 alertas o !allas de sistema como9 14 alertas o mensaNes de consola R 24 e8cepciones del sistema de registroR E4 alarmas del sistema de administracin de redes$ 0$-$$ (ac8ore5 de rie5go Se de(e re*isar peridicamente el resltado de las acti*idades de monitoreo$ )a !recencia de la re*isin de(e depender de los riesgos in*olcrados$ Entre los !actores de riesgo %e se de(en considerar se encentran9 a4 la criticidad de los procesos de aplicaciones R (4 el *alor+ la sensi(ilidad o criticidad de la in!ormacin in*olcrada R c4 la e8periencia acmlada en materia de in!iltracin # so inadecado del sistema R d4 el alcance de la intercone8in del sistema 1en particlar las redes p(licas4 0$-$$" Regi58ro = re:i5in de e:en8o5 Una re*isin de los registros implica la comprensin de las amena:as %e a!ronta el sistema # las maneras %e srgen$ En el pnto 9$7$1 se enmeran eNemplos de e*entos %e podr;an re%erir in*estigacin adicional en caso de prodcirse incidentes relati*os a la segridad$ ?recentemente+ los registros del sistema contienen n gran *olmen de in!ormacin+ gran parte de la cal es aNena al monitoreo de segridad$ -ara asistir en la identi!icacin de e*entos signi!icati*os+ a !in de desempeMar el monitoreo de segridad+ se de(e considerar la posi(ilidad de copiar atomticamente los tipos de mensaNes adecados a n segndo registro+ #/o tili:ar "erramientas de aditoria o tilitarios adecados para lle*ar a ca(o el e8amen de arc"i*o$ ,% Es%ema 1 I ,AM& 9 Al asignar la responsa(ilidad por la re*isin de registros+ se de(e considerar na separacin de !nciones entre %ien/es emprende/n la re*isin # a%ellos c#as acti*idades estn siendo monitoreadas$ Se de(e prestar especial atencin a la segridad de la "erramienta de registro+ de(ido a %e si se accede a la misma en !orma no atori:ada+ esto pede propiciar na !alsa percepcin de la segridad$ )os controles de(en apntar a proteger contra cam(ios no atori:ados # pro(lemas operati*os$ Estos incl#en9 a4 la desacti*acin de la "erramienta de registro R (4 alteraciones a los tipos de mensaNes registrados R c4 arc"i*os de registro editados o sprimidos R d4 medio de soporte arc"i*os de registro satrado+ # !alla en el registro de e*entos o so(re escritra de los mismos$ 0$-$" Sincroni>acin de relo@e5 )a correcta con!igracin de los reloNes de las comptadoras es importante para garanti:ar la e8actitd de los registros de aditoria+ %e peden re%erirse para in*estigaciones o como e*idencia en casos legales o disciplinarios$ )os registros de aditorias ine8actos podr;an entorpecer tales in*estigaciones # daMar la credi(ilidad de la e*idencia$ Cando na comptadora o dispositi*o de comnicaciones tiene la capacidad de operar n reloN en tiempo real+ este se de(e con!igrar seg'n n estndar acordado+ por eN$ 7iempo Coordinado Uni*ersal 1UC74 o tiempo estndar local$ Como se sa(e %e algnos reloNes se desaNstan con el tiempo+ de(e e8istir n procedimiento %e *eri!i%e # corriNa cal%ier *ariacin signi!icati*a$ 0$/ Com;38acin m:il = 8ra9a@o remo8o O(Neti*o9 >aranti:ar la segridad de la in!ormacin cando se tili:a comptacin m*il e instalaciones de tra(aNo remotas$ )a proteccin re%erida de(e ser proporcional a los riesgos %e originan estas !ormas especi!icas de tra(aNo$ Cando se tili:a comptacin m*il de(en tenerse en centa los riesgos %e implica tra(aNar en n am(iente sin proteccin # se de(e implementar la proteccin adecada$ En el caso del tra(aNo remoto la organi:acin de(e implementar la proteccin en el sitio de tra(aNo remoto 1VteleOorQing siteW4 # garanti:ar %e se tomen las medidas adecadas para este tipo de tra(aNo$ 0$/$% Com;38acin m:il Cando se tili:an dispositi*os in!ormticas m*iles+ por eN$ note(ooQs+ palmtops+ laptops # tel<!onos m*iles+ se de(e tener especial cidado en garanti:ar %e no se comprometa la in!ormacin de la empresa$ Se de(e adoptar na pol;tica !ormal %e tome en centa los riesgos %e implica tra(aNar con "erramientas in!ormticas m*iles+ en particlar en am(ientes no protegidos$ -or eNemplo+ dic"a pol;tica de(e inclir los re%erimientos de proteccin !;sica+ controles de acceso+ t<cnicas criptogr!icas+ resgardos # proteccin contra *irs$ Esta pol;tica tam(i<n de(e inclir reglas # asesoramiento en materia de cone8in de dispositi*os m*iles a redes # orientacin so(re so de estos dispositi*os en lgares p'(licos$ Se de(en tomar recados al tili:ar dispositi*os in!ormticos m*iles en lgares p'(licos+ salas de reniones # otras reas no protegidas !era de la sede de la organi:acin$ Se de(e implementar proteccin para e*itar el acceso no atori:ado a la in!ormacin almacenada # procesada por estas "erramientas+ o la di*lgacin de la misma+ por eN$ mediante t<cnicas criptogr!icas 1*er 10$E4$ , Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond Es importante %e cando dic"os dispositi*os+ son tili:adas en lgares p'(licos se tomen recados para e*itar el riesgo de %e la in!ormacin %e aparece en pantalla+ sea *ista por personas no atori:adas$ Se de(en implementar procedimientos contra so!tOare malicioso # estos de(en mantenerse actali:ados 1*er 2$E4$ El e%ipamiento de(e estar disponi(le para permitir n procedimiento de resgardo de la in!ormacin rpido # !cil$$ Estos procedimientos de(en estar adecadamente protegidos contra+ por eN$+ ro(o o p<rdida de la in!ormacin$ Se de(e (rindar proteccin adecada para el so de dispositi*os m*iles conectadas a redes$ El acceso remoto a la in!ormacin de la empresa a tra*<s de redes p(licas+ tili:ando "erramientas in!ormticas m*iles+ solo de(e tener lgar desp<s de na identi!icacin # atenticacin e8itosas+ # con mecanismos adecados de control de acceso implementados 1*er 9$F4$ )os dispositi*os in!ormticas m*iles tam(i<n de(en estar !;sicamente protegidas contra ro(o+ especialmente cando se deNan+ por eN$ en atom*iles # otros medios de transporte+ "a(itaciones de "otel+ centros de con!erencias # m(itos de renin$ El e%ipamiento %e transporta in!ormacin importante de la empresa+ sensi(le #/o critica no de(e deNarse desatendido #+ cando reslta posi(le+ de(e estar !;sicamente resgardado (aNo lla*e+ o de(en tili:arse cerradras especiales para asegrar el e%ipamiento$ En el pnto 7$2$. se pede encontrar in!ormacin adicional so(re la proteccin !;sica del e%ipamiento m*il$ Se de(e (rindar entrenamiento al personal %e tili:a comptacin m*il para incrementar s cocimiento de los riesgos adicionales ocasionados por esta !orma de tra(aNo # de los controles %e se de(en implementar$ 0$/$ Tra9a@o remo8o El tra(aNo remoto tili:a tecnolog;a de comnicaciones para permitir %e el personal tra(aNe en !orma remota desde n lgar !iNo !era de la organi:acin$ Se de(e implementar la proteccin adecada del sitio de tra(aNo remoto contra+ por eN$ el ro(o de e%ipamiento e in!ormacin+ la di*lgacin no atori:ada de in!ormacin+ el acceso remoto no atori:ada a los sistemas internos de la organi:acin o el so inadecado de los dispositi*os e instalaciones$ Es importante %e el tra(aNo remoto sea atori:ado # controlado por la gerencia+ # %e se implementen disposiciones # acerdos para esta !orma de tra(aNo$ )as organi:aciones de(en considerar el desarrollo de na pol;tica+ de procedimientos # de estndares para controlar las acti*idades de tra(aNo remoto$ )as organi:aciones slo de(en atori:ar acti*idades de tra(aNo remoto si "an compro(ado satis!actoriamente %e se "an implementado disposiciones # controles adecados en materia de segridad # %e estos cmplen con la pol;tica de segridad de la organi:acin$ Se de(en considerar los sigientes ;tems9 a4 la segridad !;sica e8istente en el sitio de tra(aNo remoto+ tomando en centa la segridad !;sica del edi!icio # del am(iente localR (4 el am(iente de tra(aNo remoto propestoR c4 los re%erimientos de segridad de comnicaciones+ tomando en centa la necesidad de acceso remoto a los sistemas internos de la organi:acin+ la sensi(ilidad de la in!ormacin a la %e se acceder # %e pasar a tra*<s del *inclo de comnicacin # la sensi(ilidad del sistema internoR d4 la amena:a de acceso no atori:ado a in!ormacin o recrsos por parte de otras personas %e tili:an el lgar+ por eN$ !amilia # amigos$ )os controles # disposiciones comprenden9 a4 la pro*isin de mo(iliario para almacenamiento # e%ipamiento+ adecado para las acti*idades de tra(aNo remotoR ," Es%ema 1 I ,AM& 9 (4 na de!inicin del tra(aNo permitido+ el "orario de tra(aNo+ la clasi!icacin de la in!ormacin %e se pede almacenar # los sistemas internos # ser*icio a los cales el tra(aNador remoto esta atori:ado a accederR c4 la pro*isin de n adecado e%ipamiento de comnicacin+ con inclsin de m<todos para asegrar el acceso remotoR d4 segridad !;sicaR e4 reglas # orientacin para cando !amiliares # *isitantes accedan al e%ipamiento e in!ormacinR !4 la pro*isin de "ardOare # el soporte # mantenimiento del so!tOareR g4 los procedimientos de (acQ&p # para la continidad de las operacionesR "4 aditor;a # monitoreo de la segridadR i4 anlacin de la atoridad+ derec"os de acceso # de*olcin del e%ipo cando !inalicen las acti*idades remotas$ %1 DESARROLLO ' MANTENIMIENTO DE SISTEMAS$ %1$% Re73erimien8o5 de 5eg3ridad de lo5 5i58ema5$ O(Neti*o9 Asegrar %e la segridad es incorporada a los sistemas de in!ormacin$ Esto inclir in!raestrctra+ aplicaciones comerciales # aplicaciones desarrolladas por el sario$ El diseMo e implementacin de los procesos comerciales %e apo#en la aplicacin o ser*icio peden ser crciales para la segridad$ )os re%erimientos de segridad de(en ser identi!icados # apro(ados antes del desarrollo de los sistemas de in!ormacin$ 7odos los re%erimientos de segridad+ incl#endo la necesidad de planes de reandacin+ de(en ser identi!icados en la !ase de re%erimientos de n pro#ecto # Nsti!icados+ apro(ados # docmentados como na parte de la totalidad del caso de negocios de n sistema de in!ormacin$ %1$%$% AnDli5i5 = e5;ecificacione5 de lo5 re73erimien8o5 de 5eg3ridad$ )as comnicaciones de re%erimientos comerciales para ne*os sistemas o meNoras a los sistemas e8istentes de(en especi!icar las necesidades de controles$ 7ales especi!icaciones de(en considerar los controles atomticos a incorporar al sistema # la necesidad de controles manales de apo#o$ Se de(en aplicar consideraciones similares al e*alar pa%etes de so!tOare para aplicaciones comerciales$ Si se considera adecado+ la administracin pede %erer tili:ar prodctos certi!icados # e*alados en !orma independiente$ )os re%erimientos de segridad # los controles de(en re!leNar el *alor comercial de los recrsos de in!ormacin in*olcrados # el potencial daMo al negocio %e pdiere resltar por na !alla o !alta de segridad$ El marco para anali:ar los re%erimientos de segridad e identi!icar los controles %e los satis!agan son la e*alacin # la administracin de riesgo$ )os controles introdcidos en la etapa de diseMo son signi!icati*amente ms (aratos de implementar # mantener %e a%ellos inclidos drante o desp<s de la implementacin$ ,) Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond %1$ Seg3ridad en lo5 5i58ema5 de a;licacin O(Neti*o9 -re*enir la p<rdida+ modi!icaciones o so inadecado de los datos del sario en los sistemas de aplicacin$ Se de(en diseMar en los sistemas de aplicacin+ incl#endo las aplicaciones reali:adas por el sario+ controles apropiados # pistas de aditoria o registros de acti*idad$ Esto de(e inclir la *alidacin de datos de entrada+ procesamiento interno # salida de datos$ -eden ser necesarios controles adicionales para sistemas %e procesan o tienen impacto en recrsos sensiti*os+ *aliosos o cr;ticos de la organi:acin$ 7ales controles de(en ser determinados so(re la (ase de re%erimientos de segridad # e*alacin de riesgo$ %1$$% +alidacin de da8o5 de en8rada )os datos de entrada en sistemas de aplicacin de(en ser *alidados para asegrar %e son correctos # apropiados$ )os controles de(en ser aplicados a las entradas de las transacciones de negocios+ datos permanentes 1nom(res # direcciones+ l;mites de cr<dito+ n'meros de re!erencia al cliente4 # ta(las de parmetros 1precios de *enta+ tasa de impestos+ ;ndice de con*ersin de dinero4$ Se de(en considerar los sigientes controles9 a4 entrada dal otros controles de entrada para detectar los sigientes errores9 14 *alores !era de rangoR 24 caracteres in*lidos en campos de datosR E4 datos !altantes o incompletosR F4 *ol'menes de datos %e e8ceden los limites in!erior # speriorR .4 controles de datos no atori:ados o inconsistentesR (4 re*isin peridica de los contenidos de campos cla*e o arc"i*os de datos para con!irmar s *alide: e integridadR c4 inspeccin de los docmentos de entrada para detectar cam(ios no atori:ados en los datos de entrada 1todos los cam(ios a los docmentos de entrada de(en ser atori:ados4R d4 procedimientos para responder a errores de *alidacinR e4 procedimientos para determinar la *erosimilitd de los datosR !4 determinacin de las responsa(ilidades de todo el personal in*olcrado en el proceso de entrada de datos$ %1$$ Con8role5 de ;roce5amien8o in8erno$ %1$$$% Brea5 de rie5go$ )os datos %e "an sido correctamente ingresados peden *iciarse al procesar errores o a tra*<s de actos deli(erados$ )os controles de *alidacin de(en ser incorporados a los sistemas para detectar tal corrpcin$ El diseMo de aplicaciones de(e asegrar %e las restricciones se implementen para minimi:ar los riesgos de !allas de procesamiento+ condcentes a na p<rdida de la integridad$ )as reas espec;!icas a considerar incl#en9 a4 el so # locali:acin dentro de los programas+ de !nciones de sma # (orrado para reali:ar cam(ios en los datosR (4 los procedimientos para pre*enir la eNeccin de programas !era de secencia o cando !all el procesamiento pre*io$ c4 el so de programas correctos para recperacin ante !allas+ a !in de garanti:ar el procesamiento correcto de los datos$ ,* Es%ema 1 I ,AM& 9 %1$$$ Con8role5 = :erificacione5 )os controles re%eridos dependern de la natrale:a de la aplicacin # del impacto de e*entales alteraciones de datos en el negocio$ Entre los eNemplos de *eri!icaciones %e peden ser incorporadas se encentran los sigientes9 a4 controles de sesin o de lote+ para conciliar (alances 1saldos4 de arc"i*os de datos desp<s de actali:aciones de transaccionesR (4 controles de (alance+ para comparar (alances de apertra con (alances de cierre anteriores+ por eNemplo9 1$ controles eNeccin a eNeccinR 2$ totales de actali:acin de arc"i*osR E$ controles programa a programaR c4 *alidacin de datos generados por el sistema 1*er 10$2$14R d4 *eri!icaciones de la integridad de los datos o so!tOare (aNados+ o cargados+ entre comptadoras centrales # remotas 1*er 10$E$E4R e4 totales de control de registros # arc"i*osR !4 *eri!icaciones para garanti:ar %e los programas de aplicacin se eNectan en el momento correctoR g4 compro(aciones para garanti:ar %e los programas se eNectan en el orden correcto # terminan en caso de prodcirse na !alla+ # %e se detiene todo procesamiento posterior "asta %e se resel*a el pro(lema$ %1$$" A38en8icacin de men5a@e5 )a atenticacin de mensaNes es na t<cnica tili:ada para detectar cam(ios no atori:ados en el contenido de n mensaNe transmitido electrnicamente+ o para detectar alteraciones en el mismo$ -ede implementarse en "ardOare o so!tOare %e soporte n dispositi*o !;sico de atenticacin de mensaNes o n algoritmo de so!tOare$ Se de(e tener en centa la atenticacin de mensaNes para aplicaciones en las cales e8ista n re%erimiento de segridad para proteger la integridad del contenido del mensaNe+ por eN$ trans!erencias electrnicas de !ondos otros intercam(ios electrnicos de datos similares$ Se de(e lle*ar a ca(o na e*alacin de riesgos de segridad para determinar si se re%iere na atenticacin de mensaNes # para identi!icar el m<todo de implementacin ms adecado$ )a atenticacin de mensaNes no esta diseMada para proteger el contenido de n mensaNe contra s di*lgacin no atori:ada$ -eden tili:arse t<cnicas criptogr!icas 1*er 10$E$2 # 10$E$E4 como n medio adecado de implementacin de la atenticacin de mensaNes$ %1$$) :alidacin de lo5 da8o5 de 5alida )a salida de datos de n sistema de aplicacin de(e ser *alidada para garanti:ar %e el procesamiento de la in!ormacin almacenada sea correcto # adecado a las circnstancias$ 6ormalmente+ los sistemas se constr#en sponiendo %e si se "a lle*ado a ca(o na *alidacin+ *eri!icacin # pre(a apropiada+ la salida siempre ser correcta$ Esto no siempre se cmple$ )a *alidacin de salidas pede inclir9 a4 compro(aciones de la ra:ona(ilidad para pro(ar si los datos de salida son plasi(lesR (4 control de conciliacin de centas para asegrar el procesamiento de todos los datosR c4 pro*isin de in!ormacin s!iciente+ para %e el lector o sistema de procesamiento s(sigiente+ determine la e8actitd+ totalidad+ precisin # clasi!icacin de la in!ormacinR d4 procedimientos para responder a las pre(as de *alidacin de salidasR ,, Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond e4 de!inicin de las responsa(ilidades de todo el personal in*olcrado en el proceso de salida de datos$ %1$" Con8role5 cri;8ogrDfico5 O(Neti*o9 -roteger la con!idencialidad+ atenticidad o integridad de la in!ormacin$ 5e(en tili:arse sistemas # t<cnicas criptogr!icas para la proteccin de la in!ormacin %e se considera en estado de riesgo # para la cal otros controles no sministran na adecada proteccin$ %1$"$% !ol8ica de 38ili>acin de con8role5 cri;8ogrDfico5$ 5ecidir si na solcin criptogr!ica es apropiada+ de(er ser *isto como parte de n proceso ms amplio de e*alacin de riesgos+ para determinar el ni*el de proteccin %e de(e darse a la in!ormacin$ Esta e*alacin pede tili:arse posteriormente para determinar si n control criptogr!ico es adecado+ %e tipo de control de(e aplicarse # con%e propsito+ # los procesos de la empresa$ Una organi:acin de(e desarrollar na pol;tica so(re el so de controles criptogr!icos para la proteccin de s in!ormacin$ 5ic"a pol;tica es necesaria para ma8imi:ar (ene!icios # minimi:ar los riesgos %e ocasiona el so de t<cnicas criptogr!icas+ # para e*itar n so inadecado o incorrecto$ Al desarrollar na pol;tica se de(e considerar lo sigiente9 a4 el en!o%e gerencial respecto del so de controles criptogr!icos en toda la organi:acin+ con inclsin de los principios generales seg'n los cales de(e protegerse la in!ormacin de la empresaR (4 el en!o%e respecto de la administracin de cla*es+ con inclsin de los m<todos para administrar la recperacin de la in!ormacin ci!rada en caso de perdida+ compromiso o daMo de las cla*esR c4 !nciones # responsa(ilidades+ por eN$ %ien es responsa(le de9 14 la implementacin de la pol;ticaR 24 la administracin de las cla*esR d4 como se determinara el ni*el apropiado de proteccin criptogr!icaR e4 los estndares %e "an de adoptarse para la e!ica: implementacin en toda la organi:acin 1%e solcin se aplica para cada no de los procesos de negocio4$ %1$"$ Cifrado El ci!rado es na t<cnica criptogr!ica %e pede tili:arse para proteger la con!idencialidad de la in!ormacin$ Se de(e tener en centa para la proteccin de in!ormacin sensi(le o critica$ Mediante na e*alacin de riesgos se de(e identi!icar el ni*el re%erido de proteccin tomando en centa el tipo # la calidad del algoritmo de ci!rado tili:ado # la longitd de las cla*es criptogr!icas a tili:ar$ Al implementar la pol;tica de la organi:acin en materia criptogr!ica+ se de(en considerar las normas # restricciones nacionales %e podr;an aplicarse al so de t<cnicas criptogr!icas+ en di!erentes partes del mndo+ # las cestiones relati*as al !lNo de in!ormacin ci!rada a tra*<s de las !ronteras$ Asimismo+ se de(en considerar los controles aplica(les a la e8portacin e importacin de tecnolog;a criptogr!ica 1*er tam(i<n 12$1$04$ Se de(e procrar asesoramiento especiali:ado para identi!icar el ni*el apropiado de proteccin+ a !in de seleccionar prodctos adecados %e sministren la proteccin re%erida+ # la implementacin de n sistema segro de administracin de cla*es 1*er tam(i<n 10$E$.4$ Asimismo+ podr;a resltar necesario ,- Es%ema 1 I ,AM& 9 o(tener asesoramiento Nr;dico con respecto a las le#es # normas %e podr;an aplicarse al so del ci!rado %e intenta reali:ar la organi:acin$ %1$"$" (irma digi8al )as !irmas digitales proporcionan n medio de proteccin de la atenticidad e integridad de los docmentos electrnicos$ -or eNemplo+ pede tili:arse en comercio electrnico donde e8iste la necesidad de *eri!icar %ien !irma n docmento electrnico # compro(ar si el contenido del docmento !irmado "a sido modi!icado$ )as !irmas digitales peden aplicarse a cal%ier tipo de docmento %e se procese electrnicamente+ por eN$+ peden tili:arse para !irmar pagos+ trans!erencias de !ondos+ contratos # con*enios electrnicos$ -eden implementarse tili:ando na t<cnica criptogr!ica so(re la (ase de n par de cla*es relacionadas de manera 'nica+ donde na cla*e se tili:a para crear na !irma 1la cla*e pri*ada4 # la otra+ para *eri!icarla 1la cla*e p(lica4$ Se den tomar recados para proteger la con!idencialidad de la cla*e pri*ada$ Esta cla*e de(e mantenerse en secreto dado %e na persona %e tenga acceso a esta cla*e pede !irmar docmentos+ por eN$9 pagos # contratos+ !alsi!icando as; la !irma del propietario de la cla*e$ Asimismo+ es importante proteger la integridad de la cla*e p(lica$ Esta proteccin se pro*ee mediante el so de n certi!icado de cla*e p(lica 1*er 10$E$.4$ Es necesario considerar el tipo # la calidad del algoritmo de !irma tili:ado # la longitd de las cla*es a tili:ar$ )as cla*es criptogr!icas aplicadas a !irmas digitales de(en ser distintas de las %e se tili:an para el ci!rado 1*er 10$E$24$ Al tili:ar !irmas digitales+ se de(e considerar la legislacin pertinente %e descri(a las condiciones (aNo las cales na !irma digital es legalmente *inclante$ -or eNemplo+ en el caso del comercio electrnico es importante conocer la sitacin Nr;dica de las !irmas digitales$ -odr;a ser necesario esta(lecer contratos de cmplimiento o(ligatorio otros acerdos para respaldar el so de las mismas+ cando el marco legal es inadecado$ Se de(e o(tener asesoramiento legal con respecto a las le#es # normas %e podr;an aplicarse al so de !irmas digitales %e pretende reali:ar la organi:acin$ %1$"$) Ser:icio5 de No Re;3dio )os ser*icios de no repdio de(en tili:arse cando es necesario resol*er disptas acerca de la ocrrencia o no ocrrencia de n e*ento o accin+ por eN$ na dispta %e in*olcre el so de na !irma digital en n contrato o pago electrnico$ -eden a#dar a sentar e*idencia para pro(ar %e n e*ento o accin determinados "an tenido lgar+ por eN$ cando se o(Neta "a(er en*iado na instrccin !irmada digitalmente a tra*<s del correo electrnico$ Estos ser*icios estn (asados en el so de t<cnicas de encriptacin # !irma digital 1*er tam(i<n 10+E+2 # 10$E$E4$ %1$"$* Admini58racin de cla:e5 %1$"$*$% !ro8eccin de cla:e5 cri;8ogrDfica5 )a administracin de cla*es criptogr!icas es esencial para el so e!ica: de las t<cnicas criptogr!icas$ Cal%ier compromiso o p<rdida de cla*es criptogr!icas pede condcir a n compromiso de la con!idencialidad+ atenticidad #/o integridad de la in!ormacin$ Se de(e implementar n sistema de administracin para respaldar el so por parte de la organi:acin+ de los dos tipos de t<cnicas criptogr!icas+ los cales son9 ,/ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond a4 t<cnicas de cla*e secreta+ cando dos o ms actores comparten la misma cla*e # esta se tili:a tanto para ci!rar in!ormacin como para desci!rarla$ Esta cla*e tiene %e mantenerse en secreto dado %e na persona %e tenga acceso a la misma podr desci!rar toda la in!ormacin ci!rada con dic"a cla*e+ o introdcir in!ormacin no atori:adaR (4 t<cnicas de cla*e p(lica+ cando cada sario tiene n par de cla*es9 na cla*e p(lica 1%e pede ser re*elada a cal%ier persona4 # na cla*e pri*ada 1%e de(e mantenerse en secreto4$ )as t<cnicas de cla*e p(lica peden tili:arse para el ci!rado 1*er 10$E$24 # para generar !irmas digitales 1*er 10$E$E4$ 7odas las cla*es de(en ser protegidas contra modi!icacin # destrccin+ # las cla*es secretas # pri*adas necesitan proteccin contra di*lgacin no atori:ada$ )as t<cnicas criptogr!icas tam(i<n peden aplicarse con este propsito$ Se de(e pro*eer de proteccin !;sica al e%ipamiento tili:ado para generar+ almacenar # arc"i*ar cla*es$ %1$"$*$ Norma5C ;rocedimien8o5 = m48odo5 Un sistema de administracin de cla*es de(e estar (asado en n conNnto acordado de normas+ procedimientos # m<todos segros para9 a4 generar cla*es para di!erentes sistemas criptogr!icos # di!erentes aplicacionesR (4 generar # o(tener certi!icados de cla*e p(licaR c4 distri(ir cla*es a los sarios %e corresponda+ incl#endo como de(en acti*arse las cla*es cando se reci(enR d4 almacenar cla*es+ incl#endo como o(tienen acceso a las cla*es los sarios atori:adosR e4 cam(iar o actali:ar cla*es incl#endo reglas so(re cando # como de(en cam(iarse las cla*esR !4 ocparse de las cla*es comprometidasR g4 re*ocar cla*es incl#endo como de(en retirarse o desacti*arse las mismas+ por eN$ cando las cla*es estn comprometidas o cando n sario se des*incla de la organi:acin 1en c#o caso las cla*es tam(i<n de(en arc"i*arse4R "4 recperar cla*es perdidas o alteradas como parte de la administracin de la continidad del negocio+ por eN$ la recperacin de la in!ormacin ci!radaR i4 arc"i*ar cla*es+ por eN$ + para la in!ormacin arc"i*ada o resgardadaR N4 destrir cla*esR Q4 registrar 1logging4 # aditar las acti*idades relati*as a la administracin de cla*es$ A !in de redcir la pro(a(ilidad de compromiso+ las cla*es de(en tener !ec"as de entrada en *igencia # de !in de *igencia+ de!inidas de manera %e solo pedan ser tili:adas por n periodo limitado de tiempo$ Este periodo de(e de!inirse seg'n el riesgo perci(ido # las circnstancias (aNo las cales se aplica el control criptogr!ico$ -odr;a resltar necesario considerar procedimientos para administrar re%erimientos legales de acceso a cla*es criptogr!icas+ por eN$ pede resltar necesario poner a disposicin la in!ormacin ci!rada en na !orma clara+ como e*idencia en n caso Ndicial$ Adems de la administracin segra de las cla*es secretas # pri*adas+ tam(i<n de(e tenerse en centa la proteccin de las cla*es p(licas$ E8iste la amena:a de %e na persona !alsi!i%e na !irma digital reempla:ando la cla*e p(lica de n sario con s propia cla*e$ Este pro(lema es a(ordado mediante el so de n certi!icado de cla*e p(lica$ Estos certi!icados de(en generarse en na !orma %e *incle de manera 'nica la in!ormacin relati*a al propietario del par de cla*es p(lica/pri*ada con la cla*e p(lica$ En consecencia es importante %e el proceso de administracin %e genera estos certi!icados sea con!ia(le$ 6ormalmente+ este proceso es lle*ado a ca(o por na atoridad de certi!icacin+ la cal ,0 Es%ema 1 I ,AM& 9 de(e residir en na organi:acin reconocida+ con adecados controles # procedimientos implementados+ para o!recer el ni*el de con!ia(ilidad re%erido$ El contenido de los acerdos de ni*el de ser*icios o contratos con pro*eedores e8ternos de ser*icios criptogr!icos+ por eN$ con na atoridad de certi!icacin+ de(en comprender los tpicos de responsa(ilidad legal+ con!ia(ilidad del ser*icio # tiempos de respesta para la prestacin de los mismos 1*er F$2$24$ %1$) Seg3ridad de lo5 arcGi:o5 del 5i58ema O(Neti*o9 >aranti:ar %e los pro#ectos # acti*idades de soporte de 7I se lle*en a ca(o de manera segra$ Se de(e controlar el acceso a los arc"i*os del sistema$ El mantenimiento de la integridad del sistema de(e ser responsa(ilidad de la !ncin saria o grpo de desarrollo a %ien pertenece el so!tOare o sistema de aplicacin$ %1$)$% Con8rol del 5of8Aare o;era8i:o Se de(e pro*eer de control para la implementacin de so!tOare en los sistemas en operaciones$ A !in de minimi:ar el riesgo de alteracin de los sistemas operacionales se de(en tener en centa los sigientes controles9 a4 )a actali:acin de las (i(liotecas de programas operati*os solo de(e ser reali:ada por el (i(liotecario designado na *e: atori:ada adecadamente por la gerencia 1*er 10$F$E4$ (4 Si es posi(le+ los sistemas en operaciones slo de(en gardar el cdigo eNecta(le$ c4 El cdigo eNecta(le no de(e ser implementado en n sistema operacional "asta tanto no se o(tenga e*idencia del <8ito de las pre(as # de la aceptacin del sario+ # se "a#an actali:ado las correspondientes (i(liotecas de programas !ente$ d4 Se de(e mantener n registro de aditoria de todas las actali:aciones a las (i(liotecas de programas operati*os$ e4 )as *ersiones pre*ias de so!tOare de(en ser retenidas como medida de contingencia$ El mantenimiento del so!tOare sministrado por el pro*eedor # tili:ado en los sistemas operacionales de(e contar con el soporte del mismo$ Cal%ier decisin re!erida a na actali:acin a na ne*a *ersin de(e tomar en centa la segridad+ por eN$ la introdccin de na ne*a !ncionalidad de segridad o el n'mero # la gra*edad de los pro(lemas de segridad %e a!ecten esa *ersin$ )os parc"es de so!tOare de(en aplicarse cando peden a#dar a eliminar o redcir las de(ilidades en materia de segridad$ Solo de(e otorgarse acceso lgico o !;sico a los pro*eedores con !ines de soporte # si reslta necesario+ # pre*ia apro(acin de la gerencia$ )as acti*idades del pro*eedor de(en ser monitoreadas$ %1$)$ !ro8eccin de lo5 da8o5 de ;r3e9a del 5i58ema )os datos de pre(a de(en ser protegidos # controlados$ )as pre(as de aceptacin del sistema normalmente re%ieren *ol'menes considera(les de datos de pre(a+ %e sean tan cercanos como sea posi(le a los datos operati*os$ Se de(e e*itar el so de (ases de datos operati*as %e contengan in!ormacin personal$ Si se tili:a in!ormacin de esta ;ndole+ esta de(e ser despersonali:ada antes del so$ Se de(en aplicar los sigientes controles para proteger los datos operati*os+ cando los mismos se tili:an con propsitos de pre(a$ a4 )os procedimientos de control de accesos+ %e se aplican a los sistemas de aplicacin en operacin+ tam(i<n de(en aplicarse a los sistemas de aplicacin de pre(a$ -1 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond (4 Se de(e lle*ar a ca(o na atori:acin por separado cada *e: %e se copia in!ormacin operati*a a n sistema de aplicacin de pre(as$ c4 Se de(e (orrar la in!ormacin operati*a de n sistema de aplicacin de pre(a inmediatamente desp<s de completada la misma$ d4 )a copia # el so de in!ormacin operacional de(en ser registrado a !in de sministrar na pista de aditoria$ %1$)$" Con8rol de acce5o a la5 9i9lio8eca5 de ;rograma f3en8e A !in de redcir la pro(a(ilidad de alteracin de programas de comptadora+ se de(e mantener n control estricto del acceso a las (i(liotecas de programa !ente+ seg'n los sigientes pntos 1*er tam(i<n el pnto 2$E4$ a4 5entro de lo posi(le+ las (i(liotecas de programas !ente no de(en ser almacenadas en los sistemas %e est operati*o$ (4 Se de(e designar a n (i(liotecario de programas para cada aplicacin$ c4 El personal de soporte de 7I no de(e tener acceso irrestricto a las (i(liotecas de programas !ente$ d4 )os programas en desarrollo o mantenimiento no de(en ser almacenados en las (i(liotecas de programas !ente operacional$ e4 )a actali:acin de (i(liotecas de programas !ente # la distri(cin de programas !ente a los programadores+ solo de(e ser lle*ada a ca(o por el (i(liotecario designado+ con la atori:acin del gerente de soporte de 7I para la aplicacin pertinente$ !4 )os listados de programas de(en ser almacenados en n am(iente segro 1*er 2$0$F4$ g4 Se de(e mantener n registro de aditoria de todos los accesos a las (i(liotecas de programa !ente$ "4 )as *ieNas *ersiones de los programas !ente de(en ser arc"i*adas con na clara indicacin de las !ec"as # "oras precisas en las cales esta(an en operaciones+ Nnto con todo el so!tOare de soporte+ el control de tareas+ las de!iniciones de datos # los procedimientos$ i4 El mantenimiento # la copia de las (i(liotecas de programas !ente de(en estar sNeta a procedimientos estrictos de control de cam(ios 1*er 10$F$14$ %1$* Seg3ridad de lo5 ;roce5o5 de de5arrollo = 5o;or8e O(Neti*o9 Mantener la segridad del so!tOare # la in!ormacin del sistema de aplicacin$ Se de(en controlar estrictamente los entornos de los pro#ectos # el soporte a los mismos$ )os gerentes responsa(les de los sistemas de aplicacin tam(i<n de(en ser responsa(les de la segridad del am(iente del pro#ecto # del soporte$ )os gerentes de(en garanti:ar %e todos los cam(ios propestos para el sistema sean re*isados+ a !in de compro(ar %e los mismos no comprometen la segridad del sistema o del am(iente operati*o$ %1$*$% !rocedimien8o5 de con8rol de cam9io5 A !in de minimi:ar la alteracin de los sistemas de in!ormacin+ de(e e8istir n control estricto de la implementacin de los cam(ios$ Se de(e imponer el cmplimiento de los procedimientos !ormales de control de cam(ios$ Estos de(en garanti:ar %e no se comprometan los procedimientos de segridad # control+ %e los programadores de soporte solo tengan acceso a a%ellas partes del sistema necesarias para el desempeMo de ss tareas+ # %e se o(tenga n acerdo # apro(acin !ormal para cal%ier cam(io$ )os cam(ios en el so!tOare de aplicaciones peden tener repercsiones en el am(iente operati*o$ Siempre %e reslte !acti(le+ los procedimientos de control de cam(ios operati*os # de aplicaciones de(en estar integrados 1*er tam(i<n 2$1$24$ Este proceso de(e inclir9 a4 mantener n registro de los ni*eles de atori:acin acordadosR -% Es%ema 1 I ,AM& 9 (4 garanti:ar %e los cam(ios son propestos por sarios atori:adosR c4 re*isar los controles # los procedimientos de integridad para garanti:ar %e no sern comprometidos por los cam(iosR d4 identi!icar todo el so!tOare+ la in!ormacin+ las entidades de (ases de datos # el "ardOare %e re%ieran correccionesR e4 o(tener apro(acin !ormal para las propestas detalladas antes de %e comiencen las tareasR !4 garanti:ar %e el sario atori:ado acepte los cam(ios antes de cal%ier implementacinR g4 garanti:ar %e la implementacin se lle*e a ca(o minimi:ando la discontinidad de las acti*idades de la empresaR "4 garanti:ar %e la docmentacin del sistema ser actali:ada cada *e: %e se completa n cam(io # se arc"i*a o elimina la docmentacin *ieNaR i4 mantener n control de *ersiones para todas las actali:aciones de so!tOareR N4 mantener na pista de aditoria de todas las solicitdes de cam(iosR Q4 garanti:ar %e la docmentacin operati*a 1*er 2$1$14 # los procedimientos de sarios se modi!i%en seg'n las necesidades de adecacinR l4 garanti:ar %e la implementacin de cam(ios tenga lgar en el momento adecado # no altere los procesos comerciales in*olcrados$ Mc"as organi:aciones mantienen n am(iente en el cal los sarios pre(an ne*o so!tOare # %e esta separado de los am(ientes de desarrollo # prodccin$ Esto proporciona n medio para controlar el ne*o so!tOare # permitir la proteccin adicional de la in!ormacin operacional %e se tili:a con propsitos de pre(a$ %1$*$ Re:i5in 84cnica de lo5 cam9io5 en el 5i58ema o;era8i:o -eridicamente es necesario cam(iar el sistema operati*o+ por eN$ instalar na *ersin ne*a de so!tOare o parc"es$ Cando se reali:an los cam(io+ los sistemas de aplicacin de(en ser re*isados # pro(ados para garanti:ar %e no se prod:ca n impacto ad*erso en las operaciones o en la segridad$ Este proceso de(e c(rir9 a4 re*isin de procedimientos de integridad # control de aplicaciones para garanti:ar %e estos no "a#an sido comprometidos por los cam(ios del sistema operati*oR (4 garanti:ar %e el plan # prespesto de soporte anal contemple las re*isiones # las pre(as del sistema %e de(an reali:arse como consecencia del cam(io en el sistema operati*oR c4 garanti:ar %e se noti!i%en los cam(ios del sistema operati*o de manera oportna antes de la implementacinR d4 garanti:ar %e se realicen cam(ios apropiados en los planes de continidad de la empresa 1*er pnto 114$ %1$*$" Re58riccin del cam9io en lo5 ;a73e8e5 de 5of8Aare Se de(e desalentar la reali:acin de modi!icaciones a los pa%etes de so!tOare$ En la medida de lo posi(le+ # de lo *ia(le+ los pa%etes de so!tOare sministrados por pro*eedores de(en ser tili:ados sin modi!icacin$ Cando se considere esencial modi!icar n pa%ete de so!tOare+ se de(en tener en centa los sigientes pntos9 a4 el riesgo de compromiso de los procesos de integridad # controles incorporadosR (4 si se de(e o(tener el consentimiento del pro*eedorR c4 la posi(ilidad de o(tener del pro*eedor los cam(ios re%eridos como actali:aciones estndar de programasR d4 el impacto %e se prodcir;a si la organi:acin se "ace responsa(le del mantenimiento !tro del so!tOare como resltado de los cam(ios$ - Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond Si los cam(ios se consideran esenciales+ se de(e retener el so!tOare original # aplicar los cam(ios a na copia claramente identi!icada$ 7odos los cam(ios de(en ser pro(ados # docmentados e8"asti*amente+ de manera %e peden aplicarse ne*amente+ de ser necesario+ a !tras actali:aciones de so!tOare$ %1$*$) Canale5 oc3l8o5 = cdigo 8ro=ano Un canal oclto pede e8poner in!ormacin tili:ando algnos medios indirectos # desconocidos$ -ede acti*arse modi!icando n parmetro accesi(le mediante elementos tanto segros como no segros de n sistema in!ormtico+ o incorporando in!ormacin a n !lNo de datos$ El cdigo tro#ano esta diseMado para a!ectar n sistema en na !orma no atori:ada+ no !cilmente ad*ertida # no re%erida por el destinatario o sario del programa$ )os canales ocltos # el cdigo tro#ano raramente srgen por accidente$ Si se a(orda este tpico+ se de(en considerar los sigientes pntos9 a4 solo comprar programas de pro*eedores acreditadosR (4 comprar programas en cdigo !ente de manera %e el mismo peda ser *eri!icadoR c4 tili:ar prodctos e*aladosR d4 e8aminar todo el cdigo !ente antes de tili:ar operati*amente el programaR e4 controlar el acceso # las modi!icaciones al cdigo na *e: instalado el mismoR !4 emplear personal de pro(ada con!ia(ilidad para tra(aNar en los sistemas cr;ticos$ %1$*$* De5arrollo e<8erno de 5of8Aare Cando se terceri:a el desarrollo de so!tOare+ se de(en considerar los sigientes pntos9 a4 acerdos de licencias+ propiedad de cdigos # derec"os de propiedad intelectal 1*er 12$1$24R (4 certi!icacin de la calidad # precisin del tra(aNo lle*ado a ca(oR c4 acerdos de cstodia en caso de %ie(ra de la tercera parteR d4 derec"os de acceso a na aditoria de la calidad # precisin del tra(aNo reali:adoR e4 re%erimientos contractales con respecto a la calidad del cdigoR !4 reali:acin de pre(as pre*ias a la instalacin para detectar cdigos tro#anos$ %% ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS %%$% A5;ec8o5 de la admini58racin de la con8in3idad de lo5 negocio5 O(Neti*o9 Contrarrestar las interrpciones de las acti*idades comerciales # proteger los procesos cr;ticos de los negocios de los e!ectos de !allas signi!icati*as o desastres$ Se de(e implementar n proceso de administracin de la continidad de los negocios para redcir la discontinidad ocasionada por desastres # !allas de segridad 1%e peden ser el resltado de+ por eN$+ desastres natrales+ accidentes+ !allas en el e%ipamiento+ # acciones deli(eradas4 a n ni*el acepta(les mediante na com(inacin de controles pre*enti*os # de recperacin$ Se de(en anali:ar las consecencias de desastres+ !allas de segridad e interrpciones del ser*icio$ Se de(en desarrollar e implementar planes de contingencia para garanti:ar %e los procesos de negocios pedan resta(lecerse dentro de los pla:os re%eridos$ 5ic"os planes de(en mantenerse en *igencia # trans!ormarse en na parte integral del resto de los procesos de administracin # gestin$ )a administracin de la continidad de los negocios de(e inclir controles destinados a identi!icar # redcir riesgos+ atenar las consecencias de los incidentes perNdiciales # asegrar la reandacin oportna de las operaciones indispensa(les$ -" Es%ema 1 I ,AM& 9 %%$%$% !roce5o de admini58racin de la con8in3idad de lo5 negocio5 Se de(e implementar n proceso controlado para el desarrollo # mantenimiento de la continidad de los negocios en toda la organi:acin$ Este de(e contemplar los sigientes aspectos cla*e de la administracin de la continidad9 a4 Comprensin de los riesgos %e en!renta la organi:acin en t<rminos de pro(a(ilidad de ocrrencia e impacto+ incl#endo la identi!icacin # priori:acin de los procesos cr;ticos de los negociosR (4 comprensin del impacto %e na interrpcin pede tener en los negocios 1es importante %e se encentren solciones para los incidentes menos signi!icati*os+ as; como para los incidentes gra*es %e podr;an amena:ar la *ia(ilidad de la organi:acin 4 # de!inicin de los o(Neti*os comerciales de las "erramientas de procesamiento de in!ormacinR c4 considerar la contratacin de segros %e podr;an !ormar parte del proceso de continidad del negocioR d4 ela(oracin # docmentacin de na estrategia de continidad de los negocios consecente con los o(Neti*os # prioridades de los negocios acordadosR e4 ela(oracin # docmentacin de planes de continidad del negocio de con!ormidad con la estrategia de continidad acordadaR !4 pre(as # actali:acin peridicas de los planes # procesos implementadosR g4 garanti:ar %e la administracin de la continidad de los negocios est< incorporada a los procesos # estrctra de la organi:acin$ )a responsa(ilidad por la coordinacin del proceso de administracin de la continidad de(e ser asignada a n ni*el Nerr%ico adecado dentro de la organi:acin+ por eN$ al !oro de segridad de la in!ormacin 1*er F$1$14$ %%$%$ Con8in3idad del negocio = anDli5i5 del im;ac8o )a continidad de los negocios de(e comen:ar por la identi!icacin de e*entos %e pedan ocasionar interrpciones en los procesos de los negocios+ por eN$ !allas en el e%ipamiento+ inndacin e incendio$ )ego de(e lle*arse a ca(o na e*alacin de riesgos para determinar el impacto de dic"as interrpciones 1tanto en t<rminos de magnitd de daMo como del per;odo de recperacin4$ Estas dos acti*idades de(en lle*arse a ca(o con la acti*a participacin de los propietarios de los procesos # recrsos de negocio$ Esta e*alacin considera todos los procesos de negocio # no se limita a las instalaciones de procesamiento de la in!ormacin$ Seg'n los resltados de la e*alacin+ de(e desarrollarse n plan estrat<gico para determinar el en!o%e glo(al con el %e se a(ordar la continidad de los negocios$ Una *e: %e se "a creado este plan+ el mismo de(e ser apro(ado por la gerencia$ %%$%$" Ela9oracin e im;lemen8acin de ;lane5 de con8in3idad de lo5 negocio5 )os planes de(en ser desarrollados para mantener o resta(lecer las operaciones de los negocios en los pla:os re%eridos na *e: ocrrida na interrpcin o !alla en los procesos cr;ticos de los negocios$ El proceso de plani!icacin de la continidad de los negocios de(e considerar los sigientes pntos9 a4 identi!icacin # acerdo con respecto a todas la responsa(ilidades # procedimientos de emergenciaR (4 implementacin de procedimientos de emergencia para permitir la recperacin # resta(lecimiento en los pla:os re%eridos$ Se de(e dedicar especial atencin a la e*alacin de la dependencias de negocios e8ternos # a los contratos *igentesR c4 docmentacin de los procedimientos # procesos acordadosR -) Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond d4 instrccin adecada del personal en materia de procedimientos # procesos de emergencia acordados+ incl#endo el maneNo de crisisR e4 pre(a # actali:acin de los planes$ El proceso de plani!icacin de(e concentrarse en los o(Neti*os de negocio re%eridos+ por eN$ resta(lecimiento de los ser*icios a clientes en n pla:o acepta(le$ 5e(en considerarse los ser*icios # recrsos %e permitirn %e esto ocrra+ incl#endo dotacin de personal+ recrsos %e no procesan in!ormacin+ as; como acerdos para reandacin de emergencia 1V!all(acQW4 en sitios alternati*os de procesamiento de la in!ormacin$ %%$%$) Marco ;ara la ;lanificacin de la con8in3idad de lo5 negocio5 Se de(e mantener n solo marco para los planes de continidad de los negocios+ a !in de garanti:ar %e los mismos sean ni!ormes e identi!icar prioridades de pre(a # mantenimiento$ Cada plan de continidad de(e especi!icar claramente las condiciones para s pesta en marc"a+ as; como las personas responsa(les de eNectar cada componente del mismo$ Cando se identi!ican ne*os re%erimientos+ de(en modi!icarse de con!ormidad los procedimientos de emergencia esta(lecidos+ por eN$ los planes de e*acacin o los recrsos de emergencia 1V!all(acQW4 e8istentes$ El marco para la plani!icacin de la continidad de los negocios de(e tener en centa los sigientes pntos9 a4 las condiciones de implementacin de los planes %e descri(an el proceso a segir 1cmo e*alar la sitacin+ %< personas estarn in*olcradas+ etc$4 antes de poner en marc"a los mismosR (4 procedimientos de emergencia %e descri(an las acciones a emprender na *e: ocrrido n incidente %e ponga en peligro las operaciones de la empresa #/o la *ida "mana$ Esto de(e inclir disposiciones con respecto a la gestin de las relaciones p'(licas # a *;nclos e!icaces a esta(lecer con las atoridades p'(licas pertinentes+ por eN$ polic;a+ (om(eros # atoridades localesR c4 procedimientos de emergencia 1V!all(acQW4 %e descri(an las acciones a emprender para el traslado de acti*idades esenciales de la empresa o de ser*icios de soporte a (icaciones transitorias alternati*as+ # para el resta(lecimiento de los procesos de negocio en los pla:os re%eridosR d4 procedimientos de recperacin %e descri(an las acciones a emprender para resta(lecer las operaciones normales de la empresaR e4 n cronograma de mantenimiento %e especi!i%e cmo # cndo ser pro(ado el plan+ # el proceso para el mantenimiento del mismo9 !4 acti*idades de concienti:acin e instrccin %e est<n diseMadas para propiciar la comprensin de los procesos de continidad del negocio # garanti:ar %e los procesos sigan siendo e!icacesR g4 las responsa(ilidades de las personas+ descri(iendo los responsa(les de la eNeccin de cada no de los componentes del plan$ Se de(en mencionar alternati*as cando corresponda$ Cada plan de(e tener n propietario espec;!ico$ )os procedimientos de emergencia+ los planes de reandacin 1V!all(acQW4 # los planes de recperacin de(en contarse entre las responsa(ilidades de los propietarios de los recrsos o procesos de negocio pertinentes$ )as disposiciones de emergencia para ser*icios t<cnicos alternati*os+ como instalaciones de comnicaciones o de procesamiento de in!ormacin+ normalmente se centan entre las responsa(ilidades de los pro*eedores de ser*icios$ %%$%$* !r3e9aC man8enimien8o = ree:al3acin de lo5 ;lane5 de con8in3idad de lo5 negocio5 )os planes de continidad de los negocios peden !allar en el crso de las pre(as+ !recentemente de(ido a sposiciones incorrectas+ negligencias o cam(ios en el e%ipamiento o el personal$ -or -* Es%ema 1 I ,AM& 9 consigiente de(en ser pro(ados peridicamente para garanti:ar %e estn actali:ados # son e!icaces$ )as pre(as tam(i<n de(en garanti:ar %e todos los miem(ros del e%ipo de recperacin # dems personal rele*ante est<n al corriente de los planes$ El cronograma de pre(as para los planes de continidad del negocio de(e indicar cmo # cndo de(e pro(arse cada elemento del plan$ Se recomienda pro(ar con !recencia cada no de los componentes del plan$ Se de(en tili:ar di*ersas t<cnicas para garanti:ar %e los planes !ncionarn en la *ida real$ Estas de(en inclir9X a4 pre(as de discsin de di*ersos escenarios 1disctiendo medidas para la recperacin del negocio tili:ando eNemplo de interrpciones4R (4 simlaciones 1especialmente para entrenar al personal en el desempeMo de ss roles de gestin posterior a incidentes o crisis4R c4 pre(as de recperacin t<cnica 1garanti:ando %e los sistemas de in!ormacin pedan ser resta(lecidos con e!icacia4R d4 pre(as de recperacin en n sitio alternati*o 1eNectando procesos de negocio en paralelo+ con operaciones de recperacin !era del sitio principal4R e4 pre(as de instalaciones # ser*icios de pro*eedores 1garanti:ando %e los prodctos # ser*icios de pro*eedores e8ternos cmplan con el compromiso contra;do4R !4 ensa#os completos 1pro(ando %e la organi:acin+ el personal+ el e%ipamiento+ las instalaciones # los procesos peden a!rontar las interrpciones4R Estas t<cnicas peden ser tili:adas por cal%ier organi:acin # de(en re!leNar la natrale:a del plan de recperacin pertinente$ %%$%$*$% Man8enimien8o = ree:al3acin del ;lan )os planes de continidad de los negocios de(en mantenerse mediante re*isiones # actali:aciones peridicas para garanti:ar s e!icacia permanente$ Se de(en inclir procedimientos en el programa de administracin de cam(ios de la organi:acin para garanti:ar %e se a(orden adecadamente los tpicos de continidad del negocio$ Se de(e asignar la responsa(ilidad por las re*isiones peridicas de cada no de los planes de continidad del negocioR la identi!icacin de cam(ios en las disposiciones relati*as al negocio a'n no re!leNadas en los planes de continidad de(e segirse de na adecada actali:acin del plan$ Este proceso !ormal de control de cam(ios de(e garanti:ar %e se distri(#an los planes actali:ados # %e se imponga el cmplimiento de los mismos mediante re*isiones peridicas de todos los planes$ Entre los eNemplos de sitaciones %e podr;an demandar la actali:acin de los planes se encentra la ad%isicin de ne*o e%ipamiento+ o la actali:acin 1VpgradingW4 de los sistemas operacionales # los cam(ios de9 a4 personal (4 direcciones o n'meros tele!nicosR c4 estrategia de los negociosR d4 (icacin+ instalaciones # recrsosR e4 legislacinR !4 contratistas+ pro*eedores # clientes cla*eR g4 procesos+ o procesos ne*os/eliminadosR "4 riesgos 1operacionales # !inancieros4$ -, Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond % CUM!LIMIENTO %$% C3m;limien8o de re73i5i8o5 legale5 O(Neti*o9 Impedir in!racciones # *iolaciones de las le#es del derec"o ci*il # penalR de las o(ligaciones esta(lecidas por le#es+ estattos+ normas+ reglamentos o contratosR # de los re%isitos de segridad$ El diseMo+ operacin+ so # administracin de los sistemas de in!ormacin peden estar sNetos a re%isitos de segridad legal+ normati*a # contractal$ Se de(e procrar asesoramiento so(re re%isitos legales espec;!icos por parte de los asesores Nr;dicos de la organi:acin+ o de a(ogados con*enientemente cali!icados$ )os re%isitos legales *ar;an seg'n el pa;s # en relacin con la in!ormacin %e se genera en n pa;s # se transmite a otro 1por eN$ !lNo de datos a tra*<s de !ronteras4$ %$%$% Iden8ificacin de la legi5lacin a;lica9le Se de(en de!inir # docmentar claramente todos los re%isitos legales+ normati*os # contractales pertinentes para cada sistema de in!ormacin$ 5el mismo modo de(en de!inirse # docmentarse los controles espec;!icos # las responsa(ilidades indi*idales para cmplir con dic"os re%isitos$ %$%$ DerecGo5 de ;ro;iedad in8elec83al HD!II %$%$$% DerecGo de ;ro;iedad in8elec83al Se de(en implementar procedimientos adecados para garanti:ar el cmplimiento de las restricciones legales al so del material respecto del cal pedan e8istir derec"os de propiedad intelectal+ como derec"o de propiedad intelectal+ derec"os de diseMo o marcas registradas$ )a in!raccin de derec"os de ator 1derec"o de propiedad intelectal4 pede tener como resltado acciones legales %e podr;an deri*ar en demandas penales$ )os re%isitos legales+ normati*os # contractales peden poner restricciones a la copia de material %e constit#a propiedad de na empresa$ En particlar+ peden re%erir %e slo peda tili:arse material desarrollado por la organi:acin+ o material atori:ado o sministra&do a la misma por la empresa %e lo "a desarrollado$ %$%$$ DerecGo de ;ro;iedad in8elec83al del 5of8Aare )os prodctos de so!tOare %e constit#an propiedad de na empresa se sministran normalmente (aNo n acerdo de licencia %e limita el so de los prodctos a m%inas espec;!icas # pede limitar la copia a la creacin de copias de resgardo solamente$ Se de(en considerar los sigientes controles9 a4 p(licacin de na pol;tica de cmplimiento del derec"o de propiedad intelectal de so!tOare %e de!ina el so legal de prodctos de in!ormacin # de so!tOareR (4 emisin de estndares para los procedimientos de ad%isicin de prodctos de so!tOareR c4 mantenimiento de la concienti:acin respecto de las pol;ticas de ad%isicin # derec"o de propiedad intelectal de so!tOare+ # noti!icacin de la determinacin de tomar acciones disciplinarias contra el personal %e incrra en el cmplimiento de las mismasR d4 mantenimiento adecados de registros de acti*osR e4 mantenimiento de pre(as # e*idencias de propiedad de licencias+ discos maestros+ manales+ etc$ !4 implementacin de controles para garanti:ar %e no se e8ceda el n'mero m8imo permitido de sariosR -- Es%ema 1 I ,AM& 9 g4 compro(aciones para *eri!icar %e slo se instalan prodctos con licencia # so!tOare atori:adoR "4 emisin de na pol;tica para el mantenimiento de condiciones adecadas con respecto a las licenciasR i4 emisin de na pol;tica con respecto a la eliminacin o trans!erencia de so!tOare a tercerosR N4 tili:acin de "erramientas de aditor;a adecadasR Q4 cmplimiento de t<rminos # condiciones con respecto a la o(tencin de so!tOare e in!ormacin en redes p'(licas 1*er tam(i<n el pnto 2$7$04$ %$%$" !ro8eccin de lo5 regi58ro5 de la organi>acin )os registros importantes de la organi:acin de(en protegerse contra p<rdida+ destrccin # !alsi!icacin$ Algnos registros peden re%erir na retencin segra para cmplir re%isitos legales o normati*os+ as; como para respaldar acti*idades esenciales del negocio$ Un eNemplo de esto son los registros %e peden re%erirse como e*idencia de %e na organi:acin opera dentro de n determinado marco legal o normati*o+ o para garanti:ar na adecada de!ensa contra e*entales acciones ci*iles o penales+ o para *alidar el estado !inanciero de na organi:acin ante accionistas+ socios # aditores$ El pla:o # el contenido de los datos para la retencin de in!ormacin peden ser esta(lecidos por le#es o normas nacionales$ )os registros de(en ser clasi!icados en di!erentes tipos+ por eN$ registros conta(les+ registros de (ase de datos+ VlogsW de transacciones+ VlogsW de aditor;a # procedimientos operati*os+ cada no de ellos detallando los per;odos de retencin # el tipo de medios de almacenamiento+ por eN$ papel+ micro!ic"as+ medios magn<ticos pticos$ )as cla*es criptogr!icas asociadas con arc"i*os ci!rados o !irmas digitales 1*er 10$E$2 # 10$E$E4 de(en mantenerse en !orma segra # estar disponi(les para s so por parte de personas atori:adas cando reslte necesario$ Se de(e considerar la posi(ilidad de degradacin de los medios tili:ados para el almacenamiento de los registros$ )os procedimientos de almacenamiento # maniplacin de(en implementarse de acerdo con las recomendaciones del !a(ricante$ Si se seleccionan medios de almacenamiento electrnicos+ de(en inclirse procedimientos para garanti:ar la capacidad de acceso a los datos 1tanto legi(ilidad de !ormato como medios4 drante todo el per;odo de retencin+ a !in de sal*agardar los mismos contra e*entales p<rdidas ocasionadas pro !tros cam(ios tecnolgicos$ )os sistemas de almacenamiento de datos de(en seleccionarse de modo tal %e los datos re%eridos pedan recperarse de na manera %e reslte acepta(le para n tri(nal de Nsticia+ por eN$ %e todos los registros re%eridos pedan recperarse en n pla:o # n !ormato acepta(le$ El sistema de almacenamiento # maniplacin de(e garanti:ar na clara identi!icacin de los registros # de s per;odo de retencin legal o normati*a$ 5e(e permitir na adecada destrccin de los registros na *e: transcrrido dic"o per;odo+ si #a no resltan necesarios para la organi:acin$ A !in de cmplir con estas o(ligaciones+ se de(en tomar las sigientes medidas dentro de la organi:acin$ a4 Se de(e emitir lineamientos para la retencin+ almacenamiento+ maniplacin # eliminacin de registros e in!ormacinR (4 Se de(e preparar n cronograma de retencin identi!icando los tipos esenciales de registros # el per;odo drante el cal de(en ser retenidos$ c4 Se de(e mantener n in*entario de !entes de in!ormacin cla*e$ -/ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond d4 Se de(e implementar adecados controles para proteger los registros # la in!ormacin esenciales contra p<rdida+ destrccin # !alsi!icacin$ %$%$) !ro8eccin de da8o5 = ;ri:acidad de la informacin ;er5onal 5i*ersos pa;ses "an introdcido le#es %e esta(lecen controles so(re el procesamiento # transmisin de datos personales 1generalmente in!ormacin so(re personas *i*as %e peden ser identi!icadas a partir de esta in!ormacin4$ 5ic"os controles peden imponer responsa(ilidades a a%ellas personas %e recopilan+ procesan # di*lgan in!ormacin personal+ # peden limitar la capacidad de trans!erir dic"os datos a otros pa;ses$ El cmplimiento de la legislacin so(re proteccin de datos re%iere na estrctra # n control de gestin adecados$ ?recentemente+ esto se logra de la meNor manera mediante la designacin de n responsa(le a cargo de la proteccin de datos %e oriente a los gerentes+ sarios # prestadores de ser*icios acerca de ss responsa(ilidades indi*idales # de los procedimientos espec;!icos %e de(en segirse$ 5e(e ser responsa(ilidad del propietario de los datos+ in!ormar al responsa(le de la proteccin de los mismos+ acerca de las propestas para mantener la in!ormacin personal+ en n arc"i*o estrctrado+ # para garanti:ar el conocimiento de los principios de proteccin de datos+ de!inidos en la legislacin pertinente$ %$%$* !re:encin del 35o inadec3ado de lo5 rec3r5o5 de ;roce5amien8o de informacin )os recrsos de procesamiento de in!ormacin de na organi:acin se sministran con propsitos de negocio$ )a gerencia de(e atori:ar el so %e se da a los mismos$ )a tili:acin de estos recrsos con propsitos no atori:ados o aNenos a los negocios+ sin la apro(acin de la gerencia+ de(e ser considerada como so inde(ido$ Si dic"a acti*idad es identi!icada mediante monitoreo otros medios+ se de(e noti!icar al gerente interesado para %e se tomen las acciones disciplinarias %e correspondan$ )a legalidad del monitoreo del so de los recrsos mencionados *ar;a seg'n el pa;s # pede re%erir %e los empleados sean ad*ertidos de dic"as acti*idades o %e se o(tenga el consentimiento de los mismos$ Se de(e o(tener asesoramiento Nr;dico antes de implementar los procedimientos de monitoreo$ Mc"os pa;ses tienen+ o estn en proceso de introdcir+ legislacin re!erida a la proteccin contra el so inadecado de los recrsos in!ormticos$ El so de los mismos con propsitos no atori:ados pede constitir n delito criminal$ -or consigiente+ es esencial %e todos los sarios est<n al corriente del alcance preciso del acceso permitido$ Esto pede lograrse+ por eNemplo+ otorgando a los sarios na atori:acin escrita+ na copia de la cal de(e ser !irmada por los mismos # retenida en !orma segra por la organi:acin$ )os empleados # los sarios e8ternos de(er ser ad*ertidos de la pro"i(icin de todo acceso %e no est< e8presamente atori:ado$ En el momento del inicio de sesin de(e aparecer n mensaNe de ad*ertencia en pantalla indicando %e el sistema al %e se est ingresando es pri*ado # %e no se permite el acceso no atori:ado$ El sario de(e acsar recepcin # responder en !orma adecada al mensaNe para continar con el proceso de inicio de sesin$ %$%$, Reg3lacin de con8role5 ;ara el 35o de cri;8ografa Algnos pa;ses "an implementado acerdos+ le#es+ normas # dems instrmentos para controlar el acceso a los controles criptogr!icos o el so de los mismos$ 5ic"o control pede inclir9 a4 importacin #/o e8portacin de "ardOare # so!tOare para desempeMar !nciones criptogr!icasR -0 Es%ema 1 I ,AM& 9 (4 importacin #/o e8portacin de "ardOare # so!tOare diseMado para aceptar !nciones criptogr!icasR c4 m<todos o(ligatorios o discrecionales de acceso de los pa;ses a la in!ormacin ci!rada por "ardOare # so!tOare para pro*eer de con!idencialidad al contenido$ Se de(e procrar asesoramiento Nr;dico para garanti:ar el cmplimiento de las le#es nacionales$ 7am(i<n de(e o(tenerse asesoramiento antes de trans!erir a otro pa;s la in!ormacin ci!rada o los controles criptogr!icos$ %$%$- Recoleccin de e:idencia %$%$-$% Regla5 ;ara la recoleccin de e:idencia Es necesario contar con adecada e*idencia para respaldar na accin contra na persona organi:acin$ Siempre %e esta accin responda a na medida disciplinaria interna+ la e*idencia necesaria estar descrita en los procedimientos internos$ Cando la accin implica la aplicacin de na le#+ tanto ci*il como penal+ la e*idencia presentada de(e cmplir con las normas de e*idencia esta(lecidas en la le# pertinente o en las normas espec;!icas del tri(nal en el cal se desarrollar el caso$ En general+ estas normas comprenden9 a4 *alide: de la e*idencia9 si pede o no tili:arse la misma en el tri(nalR (4 peso de la e*idencia9 la calidad # totalidad de la mismaR c4 adecada e*idencia de %e los controles "an !ncionado en !orma correcta # consistente 1por eN$ e*idencia de control de procesos4 drante todo el per;odo en %e la e*idencia a recperar !e almacenada # procesada por el sistema$ %$%$-$ +alide> de la e:idencia -ara lograr la *alide: de la e*idencia+ las organi:aciones de(en garanti:ar %e ss sistemas de in!ormacin cmplan con los estndares o cdigos de prctica relati*os a la prodccin de e*idencia *lida$ %$%$-$" Calidad = 8o8alidad de la e:idencia -ara lograr la calidad # totalidad de la e*idencia es necesaria na slida pista de la misma$ En general+ esta pista pede esta(lecerse si se cmplen las sigientes condiciones9 a4 -ara docmentos en papel9 el original se almacena en !orma segra # se mantienen registros acerca de %i<n lo "all+ dnde se "all+ cndo se "all # %i<n presenci el "alla:go$ Cal%ier in*estigacin de(e garanti:ar %e los originales no sean alterados$ (4 -ara in!ormacin en medios in!ormticos9 se de(en "acer copias de los medios remo*i(les # de la in!ormacin en discos r;gidos o en memoria para garanti:ar s disponi(ilidad$ Se de(e mantener n registro de todas las acciones reali:adas drante el proceso de copia # <ste de(e ser presenciado$ Se de(e almacenar en !orma segra na copia de los medios # del registro$ Cando se detecta n incidente pede no resltar o(*io si <ste deri*ar en na demanda legal$ -or consigiente+ e8iste el riesgo de %e la e*idencia necesaria sea destrida accidentalmente antes de %e se ad*ierta la gra*edad del incidente$ Es aconseNa(le in*olcrar a n a(ogado o a la polic;a en la primera etapa de cal%ier accin legal contemplada # procrar asesoramiento acerca de la e*idencia re%erida$ /1 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond %$ Re:i5ione5 de la ;ol8ica de 5eg3ridad = la com;a8i9ilidad 84cnica O(Neti*o9 >aranti:ar la compati(ilidad de los sistemas con las pol;ticas # estndares 1normas4 de segridad de la organi:acin$ )a segridad de los sistemas de in!ormacin de(e re*isarse peridicamente$ 5ic"as re*isiones de(en lle*arse a ca(o con re!erencia a las pol;ticas de segridad pertinentes # las plata!ormas t<cnicas # sistemas de in!ormacin de(en ser aditados para *eri!icar s compati(ilidad con los estndares 1normas4 de implementacin de segridad$ %$$% C3m;limien8o de la ;ol8ica de 5eg3ridad )a gerencia de(e garanti:ar %e se lle*en a ca(o correctamente todos los procedimientos de segridad dentro de s rea de responsa(ilidad$ Asimismo+ se de(e considerar la implementacin de na re*isin peridica de todas las reas de la organi:acin para garanti:ar el cmplimiento de las pol;ticas # estndares de segridad$ Entre las reas a re*isar de(en inclirse las sigientes9 a4 sistemas de in!ormacinR (4 pro*eedores de sistemasR c4 propietarios de in!ormacin # de recrsos de in!ormacinR d4 sariosR e4 gerentes$ )os propietarios de los sistemas de in!ormacin 1*er .$14 de(en apo#ar la re*isin peridica de la con!ormidad de ss sistemas con las pol;ticas+ estndares # otros re%isitos de segridad aplica(les$ El tpico re!erido al monitoreo operacional del so del sistema es tratado en el pnto 9$7$ %$$ +erificacin de la com;a8i9ilidad 84cnica Se de(e *eri!icar peridicamente la compati(ilidad de los sistemas de in!ormacin con los estndares de implementacin de la segridad$ )a *eri!icacin de la compati(ilidad t<cnica comprende la re*isin de los sistemas operacionales a !in de garanti:ar %e los controles de "ardOare # so!tOare "a#an sido correctamente implementados$ Este tipo de *eri!icacin de cmplimiento re%iere asistencia t<cnica especiali:ada$ 5e(e ser reali:ada manalmente 1si es necesario+ con el apo#o de adecadas "erramientas de so!tOare4 por n ingeniero en sistemas e8perimentado+ o por n pa%ete de so!tOare atomati:ado %e genere n in!orme t<cnico para s lterior interpretacin por parte de n especialista$ )a *eri!icacin de compati(ilidad tam(i<n pede comprender pre(as de penetracin+ las cales podr;an ser reali:adas por e8pertos independientes contratados espec;!icamente con este propsito$ Esto pede resltar 'til para la deteccin de *lnera(ilidades en el sistema # para *eri!icar la e!icacia de los controles con relacin a la pre*encin de accesos no atori:ados posi(ilitados por las mismas$ Se de(en tomar recados en caso de %e na pre(a de penetracin e8itosa peda comprometer la segridad del sistema e inad*ertidamente permita e8plotar otras *lnera(ilidades+ )as *eri!icaciones de compati(ilidad t<cnica slo de(en ser reali:adas por personas competentes # atori:adas o (aNo la sper*isin de las mismas$ /% Es%ema 1 I ,AM& 9 %$" Con5ideracione5 de a3di8oria de 5i58ema5 O(Neti*o9 Optimi:ar la e!icacia del proceso de aditoria de sistemas # minimi:ar los pro(lemas %e pdiera ocasionar el mismo+ o los o(stclos %e pdieran a!ectarlo$ 5e(en e8istir controles %e proteNan los sistemas de operaciones # las "erramientas de aditoria en el transcrso de las aditorias de sistemas$ Asimismo+ se re%iere na proteccin adecada para sal*agardar la integridad # e*itar el so inadecado de las "erramientas de aditoria$ %$"$% Con8role5 de a3di8oria de 5i58ema5 )os re%erimientos # acti*idades de aditoria %e in*olcran *eri!icaciones de los sistemas operacionales de(en ser cidadosamente plani!icados # acordados a !in de minimi:ar el riesgo de discontinidad de los procesos de negocio$ Se de(en contemplar los sigientes pntos9 a4 )os re%erimientos de aditoria de(en ser acordados con la gerencia %e correspondaR (4 se de(e acordar # controlar el alcance de las *eri!icacionesR c4 <stas de(en estar limitadas a n acceso de slo lectra del so!tOare de datosR d4 el acceso %e no sea de slo lectra solamente de(e permitirse para copias aisladas de arc"i*os del sistema+ las cales de(en ser eliminadas na *e: !inali:ada la aditor;a$ e4 se de(en identi!icar claramente # poner a disposicin los recrsos de 7I para lle*ar a ca(o las *eri!icacionesR !4 se de(en identi!icar # acordar los re%erimientos de procesamiento especial o adicionalR g4 todos los accesos de(en ser monitoreados # registrados a !in de generar na pista de re!erenciaR "4 se de(en docmentar todos los procedimientos+ re%erimientos # responsa(ilidades$ %$"$ !ro8eccin de la5 Gerramien8a5 de a3di8ora de 5i58ema5 Se de(e proteger el acceso a las "erramientas de aditor;a de sistemas+ por eN$ arc"i*os de datos o so!tOare+ a !in de e*itar el mal so o el compromiso de las mismas$ 5ic"as "erramientas de(en estar separadas de los sistemas operacionales # de desarrollo # no de(en almacenarse en (i(liotecas de cintas o en reas de sarios+ a menos %e se les otorge n ni*el adecado de proteccin adicional$ / Ane<o A 1In!ormati*o4 .i9liografa ISO J INTERNATIONAL ORGANIZATION (OR STANDARDIZATION IEC J INTERNATIONAL ELECTROTECKNICAL COMMISSION ISO/IEC 1779992000 & In!ormation tec"nolog#$ Code o! practice !or in!ormation secrit# management$ Ane<o . 1In!ormati*o4 El estdio de este es%ema "a estado a cargo del S(comit< de Segridad de la in!ormacin+ integrado de la !orma sigiente9 In8egran8e Re;re5en8a a? )ic$ Adal(erto AI,A)A U6IB$ 7EC6$ 6AC$ & ?AC$ ,E>$ 3S$ AS$ 5r$ 5aniel A)7MA,Y CO)E>IO 5E A3O>A5OS )ic$ Han de 5ios 3E) ISACA & I6?O,MA7IO6 SIS7EMS AU5I7$ A65 CO67,O) ASSOCIA7IO6 Sr$ Os*aldo -=,EG IEEE A,>E67I6A Sr$ ,odrigo SE>UE) SEC,E7$ 5E MO5E,6IGACI@6 5E) ES7A5O 5r$ -a(lo 7ISCO,6IA MI6IS7E,IO 5E HUS7ICIA I 5E,ECLOS LUMA6OS )ic$ Han Carlos MASOE,O I,AM )ic$ Horge 6U6ES I,AM )ic$ Espedito -ASSA,E))O I,AM TRBMITE El estdio de esta norma !e considerado por el S(comit< en ss reniones del 2002&02&22 1Acta 1&20024 # 2002&0E&21 1Acta 2&20024 en la %e se apro( como Es%ema 1 para s en*;o a 5iscsin -'(lica por F. d$ ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ A-,O3A5O SU E6BIO A 5ISCUSI@6 -[3)ICA -O, E) SU3COMI7= 5E SE>U,I5A5 5E )A I6?O,MACI@6+ E6 SU SESI@6 5E) 21 5E MA,GO 5E 2002 1Acta 2&20024$ ?I,MA5O )ic$ Horge 6nes )ic$ Han C$ Masoero Coordinador del S(comit< ?I,MA5O )ic$ Han 3el Secretario del S(comit< ?I,MA5O )ic$ Marta ,$ de 3ar(ieri B\ 3\ E%ipo A /)