Directrices Seguridad AdmE PDF

G03/D02/G
Directrices
Seguridad de la
informacin
Modelo de Gestin de Documentos y
Administracin de Archivos (MGD) para la
Red de transparencia y Acceso a la
Informacin (RTA)
Versin: 1.0
Fecha: diciembre de 2014
G03/D02/G Directrices Seguridad de la informacin
Coordinadores
Beatriz Franco Espio
Ricard Prez Alczar
Equipo
Blanca Desantes Fernndez
Francisco Fernndez Cuesta
Javier Requejo Zalama
De los textos: sus autores
Este documento se encuentra en fase borrador. Ni la RTA ni los autores se hacen responsables de un
mal uso de esta informacin
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
Estas Directrices se integran en el MGD segn se especifica en el siguiente Diagrama de

relaciones:
MODELO DE GESTIN DE
DOCUMENTOS Y ADMINISTRACIN
DE ARCHIVOS
G01/G
POLTICA DE
GESTIN DE
DOCUMENTOS
Y ARCHIVOS
G02/G
GOBIERNO
ABIERTO Y
TRANSPARENCIA
G07/O
G04/O
G03/G
ADMINISTRACIN
ELECTRNICA
CONTROL
INTELECTUAL Y
REPRESENTACIN
G05/O
VALORACIN
G06/O
CONTROL DE
ACCESO
CONTROL
FSICO Y
CONSERVACIN
G08/0
GUA DE
SERVICIOS DE
ARCHIVO
G03/D01/G. INTEROPERABILIDAD
G03/D02/G. SEGURIDAD DE LA INFORMACIN
G03/D03/G. ADMINISTRACIN DE
DOCUMENTOS ELECTRNICOS
Informacin (RTA)
1. Presentacin y objetivos
1.1. Finalidad
1.2. Alcance y contenido
1.3. Documentos relacionados
2. Concepto de seguridad de la informacin
3. Principios de la seguridad de la informacin
4. Poltica integral de seguridad
4.1.
Poltica de seguridad
4.2.
Aspectos organizativos de la seguridad de la informacin
4.3.
Seguridad ligada a los recursos humanos
4.4.
Seguridad fsica y ambiental
4.5.
Cumplimiento
4.6.
Gestin de activos
4.7.
Gestin de comunicaciones y operaciones
4.8.
Control de acceso
4.9.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
4.10.
Gestin de incidentes de seguridad de la informacin
4.11.
Gestin de la continuidad del negocio
5. Cuadros de compromisos de cumplimiento

6. Trminos y referencias
6.1.
Glosario
6.2.
Referencias y bibliografa
Informacin (RTA)

1.
Presentacin y objetivos
1.1. Finalidad
La finalidad de estas Directrices es proporcionar recomendaciones para la necesaria seguridad

de la informacin en el mbito de la administracin electrnica, con respeto a la autonoma de
las organizaciones y en el marco del Modelo de Gestin de Documentos y administracin de
archivos de la Red de Transparencia y Acceso a la informacin (RTA).
1.2. Alcance y contenido
Esta directriz sobre la Seguridad de la informacin se fundamenta en la norma ISO/IEC
27002:2013. Tecnologa de la informacin. Tcnicas de seguridad. Cdigo de buenas prcticas
para la gestin de la seguridad de la informacin, que es una reconversin de la antigua norma
ISO/IEC17799.
Organizativa
Lgica
Tctico
Fsica
Legal
Aspectos organizativos de la
seguridad de la informacin
Estratgico
Gestin de activos
Control de accesos
Cumplimiento
Operativo
Seguridad ligada a los

recursos humanos
Desarrollo y mantenimiento
de sistemas
Gestin de comunicaciones y
operaciones
Gestin de la continuidad
del negocio
VILLALN HUERTA, A. 2004. Cdigos de buenas prcticas de seguridad. UNE-ISO/IEC 17799. Disponible en:
http://www.shutdown.es/ISO17799.pdf
De este modo, tras una relacin de los principios bsicos que afectan a la seguridad de la
informacin, las entradas del captulo dedicado a la Poltica de seguridad respetarn en su
estructura las clusulas contempladas en la norme ISO/IEC27002:2013, a saber:
Aspectos organizativos de la seguridad de la informacin
Gestin de activos
Seguridad ligada a los recursos humanos
Gestin de comunicaciones y operaciones
Informacin (RTA)
Control de acceso
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Gestin de incidentes de seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
1.3. Documentos relacionados
2.
G03/G
Administracin electrnica
G03/D01/G
Interoperabilidad
G03/D03/G
Administracin de los documentos electrnicos
Concepto de seguridad de la informacin
Ante la imparable y necesaria interconexin, los sistemas y las redes de informacin presentan
una mayor vulnerabilidad. Su exposicin a una gran variedad de amenazas urge a la resolucin
de nuevos retos en el campo de la seguridad de la informacin. Se hace necesaria una mayor
concienciacin y comprensin de todos los aspectos relacionados con dicha seguridad, que se
deben conformar como premisas para una cultura de la seguridad.
Junto a la interoperabilidad, la seguridad adquiere un rol crtico en el marco de una
administracin electrnica, al deber soportar derechos como el de la garanta de la seguridad y
la confidencialidad de los datos contenidos en ficheros, sistemas y aplicaciones.
En el contexto de la administracin electrnica, la seguridad de la informacin se
define como aquella capacidad de las redes o de los sistemas de informacin para
resistir, manteniendo un adecuado nivel de confianza, los accidentes o las
acciones ilcitas o malintencionadas que comprometan la disponibilidad, la
autenticidad, la integridad y la confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen
accesibles.
3.
Principios de la seguridad de la informacin
En un documento publicado en 2002, la Organizacin para la Cooperacin y el Desarrollo

Econmicos (OCDE) estimaba que los principios relativos a la seguridad se podan resumir en
nueve apartados, que son los siguientes:
1. Concienciacin. Hay que adquirir conciencia de la necesidad de disponer de sistemas y
redes de informacin seguros, al tiempo que conocer los medios para ampliar la
seguridad.
2. Responsabilidad. Todos los actores implicados en la gestin de los documentos
electrnicos son responsables de la seguridad de la informacin.
3. Respuesta. Hay que desarrollar actuaciones conjuntas y pertinentes para prevenir,
detectar y responder a los incidentes que afecten a la seguridad.
Informacin (RTA)

4. tica. Hay que contemplar los intereses legtimos de terceros.
5. Democracia. Hay que compatibilizar la seguridad y los valores esenciales de una
sociedad democrtica.
6. Evaluacin del riesgo. Hay que llevar a cabo evaluaciones de riesgo.
7. Diseo y realizacin de la seguridad. Hay que incorporar la seguridad como un
elemento esencial de los sistemas y redes de la informacin.
8. Gestin de la seguridad. Hay que adoptar una visin integral de la seguridad en la
administracin electrnica.
9. Reevaluacin. Hay que revisar y reevaluar la seguridad de la informacin y realizar
aquellas modificaciones pertinentes sobre polticas, prcticas, medidas y
procedimientos relativos a la seguridad.
4.
Poltica integral de seguridad
La informacin que se gestiona mediante sistemas o redes, en el mbito de la administracin

electrnica, bsicamente se encuentra en tres estados: transmisin, almacenamiento y
proceso. Con independencia de su estado, sea cual sea la forma que adquiera y los medios
utilizados en cualquier situacin, esa informacin debe protegerse de manera correcta.
La poltica de seguridad debe garantizar las siguientes caractersticas fundamentales de la
informacin:
Confidencialidad. Seguridad de prevencin frente a la disposicin, la comunicacin y la

divulgacin de informacin a terceros no autorizados
Integridad. Seguridad de prevencin ante la transformacin o la modificacin no
autorizada durante su tratamiento o el almacenamiento de la informacin, con la
exigencia de una rpida observacin de alteraciones
Disponibilidad. Seguridad de facilitar el acceso a la informacin por parte de quien
est autorizado y seguridad de prevencin contra denegaciones a accesos autorizados
Autenticidad. Seguridad frente a la identidad del productor o emisor de la informacin
Conservacin. Seguridad frente al deterioro de la informacin, mediante medidas
preventivas y de preservacin durante todo el ciclo de vida de los documentos
Trazabilidad. Seguridad frente al conocimiento de operaciones, consultas o
modificaciones de la informacin.
4.1. Poltica de seguridad

Los equipos directivos de las organizaciones marcarn las directrices en materia de seguridad
de la informacin, de modo que se alineen con los objetivos de sus propios servicios. Dichos
equipos demostrarn su apoyo y su compromiso con la publicacin y mantenimiento de una
poltica de seguridad de la informacin en sus organizaciones, que deber garantizar la
confidencialidad, la integridad, la disponibilidad, la autenticidad, la conservacin y la
trazabilidad.
Esta voluntad poltica de la seguridad se materializar en un documento que recoja las
disposiciones vigentes sobre la materia, los estndares y los procedimientos de las
organizaciones, de modo que se defina un marco de aplicacin. Este documento debe ser
Informacin (RTA)

aprobado al ms alto nivel directivo y comunicado a toda la organizacin de modo
comprensible. Los contenidos del documento pueden ser:
Definicin, objetivos y alcance

Compromiso directivo
Marco referencial, con objetivos de control y evaluacin del riesgo
Principios, estndares y requerimientos de la seguridad
Definicin de responsabilidades
La poltica de seguridad de la informacin de las organizaciones se actualizar peridicamente,

en funcin de los cambios legislativos, del anlisis de riesgos, de los cambios estructurales o
como el fruto de la misma experiencia, en aras de su idoneidad, su eficiencia y su efectividad.
Para ello se establecern cronogramas o perodos de revisin.
4.2. Aspectos organizativos de la seguridad de la informacin
En el aspecto organizativo, se distinguir entre la gestin de la seguridad de la informacin en
el seno de la propia administracin y la seguridad que se mantenga respecto de los activos de
informacin que sean accesibles por usuarios externos u otras organizaciones.
En la primera de las situaciones, se parte de un documento formalmente aprobado y la
posterior asignacin de los roles de seguridad, as como la coordinacin y revisin de la
implementacin en toda la organizacin.
Compromiso del equipo directivo con la seguridad. La mejor declaracin de

compromiso es la asignacin especfica de roles, la asignacin de los recursos
necesarios y el inicio de planes de concienciacin.
Coordinacin de la seguridad. La coordinacin dentro de la organizacin requiere de
participacin de diferentes sectores, con roles y funciones relevantes.
Asignacin de roles. Es necesario que se definan las responsabilidades sobre la
seguridad. Las tareas pueden delegarse, pero no eximir de la responsabilidad.
Revisin independiente de la seguridad. La revisin del enfoque sobre la gestin de la
seguridad es necesario que se lleve a cabo por personal externo, para que se considere
realmente independiente.
En la segunda, se debe controlar el acceso, el tratamiento y la comunicacin de la informacin

efectuados por externos. La seguridad de la informacin y de sus medios de tratamiento no
debe reducirse ante la introduccin de productos o servicios externos.
En este sentido, se considerar lo siguiente:
Identificacin de los riesgos. Para lo cual se deben introducir controles apropiados

antes de permitir el acceso. Adems, cabe la firma de un contrato en el que se definan
los trminos y condiciones para la conexin y el acceso.
Tratamiento de la seguridad. Se tratarn los trminos de seguridad antes de permitir
cualquier acceso a los activos de la organizacin, que dependern segn los medios de
tratamiento y la informacin a la que se d acceso. Al igual que en el punto anterior, se
considerar la oportunidad de gestionar las condiciones mediante la firma de acuerdos
Informacin (RTA)

que contemplen requerimientos especficos de seguridad sobre la tecnologa y las
actividades.
4.3. Seguridad ligada a los recursos humanos
En este punto, el objetivo principal es asegurar que cualquier persona que participe en la
organizacin conozca y acepte la responsabilidad que conlleva la seguridad de la informacin,
de sus sistemas y sus redes. Se cubrir la confidencialidad con el recurso de clusulas
especficas, que refieran obligaciones y responsabilidades. De manera subsidiaria, se
perseguir la disminucin de fraudes o acciones malintencionadas. (Vase la directriz
G01/D03/G. Roles, responsabilidades y competencias).
El apartado de seguridad de la informacin respecto de los recursos humanos va ligado a la
necesidad de formacin del personal y el desarrollo de planes de concienciacin. Un
conocimiento de la importancia de la seguridad conllevar un mejor conocimiento de las
propias responsabilidades y de las medidas de control.
En cuanto a la seleccin del personal, estas medidas se orientarn a:
Roles y responsabilidades. Definicin y comunicacin documentada de los roles y las

responsabilidades de la seguridad a todo posible empleado de la organizacin durante
el proceso de seleccin de personal.
Trminos y condiciones del empleo. Inclusin de trminos y condiciones de seguridad
en el contenido de los contratos, donde se refieran las responsabilidades.
En cuanto al personal activo, estas medidas se orientarn a:
Responsabilidades del equipo directivo. Requerirn a todo el personal (interno y

externo) que apliquen por igual la seguridad, segn la poltica procedimientos
establecidos. Deben asegurarse de que el personal est apropiadamente informado de
sus roles, las expectativas de seguridad, adems de fomentar una concienciacin que
suponga una motivacin aadida.
Capacitacin en seguridad. El personal de la organizacin debe ser capacitado en
materia de seguridad de la informacin y sus conocimientos sobre polticas y
procedimientos deben actualizarse. Esta capacitacin incluir los requerimientos de
seguridad, las responsabilidades legales, el uso de los medios de tratamiento y la
informacin de los posibles procesos disciplinarios consecuentes a una deficiente
praxis. Esta capacitacin ser adecuada a los roles que desarrollen en la organizacin,
porque el objetivo ltimo es reconocer problemas y responder a las necesidades.
En cuanto al personal saliente, estas medidas se orientarn a:
Responsabilidades finales. Definicin de responsabilidades relacionadas tras el

abandono del puesto en la organizacin, con recordatorio de las relativas a la
seguridad y las legales, como pudieran ser acuerdos de confidencialidad.
Devolucin de activos. La terminacin de un contrato laboral implicar la devolucin
de aquellos activos que el personal saliente pudiera tener en su posesin, bien
software o documentos corporativos.
Informacin (RTA)
Retirada de derechos de acceso. De igual manera, debieran retirarse todos los

derechos de acceso tras la terminacin de contrato laboral al personal saliente. Haber
considerado documentalmente la relacin entre el acceso y la vigencia del contrato,
significar slo el recordatorio del cumplimiento de la legalidad.
4.4. Seguridad fsica y ambiental

Este apartado se centra en la proteccin de los activos fsicos a travs del control de acceso y la
proteccin contras posibles contingencias externas.
La infraestructura que sustentan las aplicaciones informticas que soportan la tramitacin,
como tambin los soportes de almacenamiento, bien se hallen en la misma sede de la
organizacin o bien externalizados, requieren de proteccin mediante un control de acceso
fsico que garantice un acceso del personal autorizado.
Para ello, la infraestructura se ubicar en reas de acceso restringido mediante niveles de
seguridad. Todo acceso se registrar por los mecanismos de control de acceso, como posible
prueba ante auditoras. Pero los sistemas y la informacin soportada tambin deben
protegerse ante amenazas fsicas o ambientales.
Las reas seguras son aqullas donde se encuentran los medios de tratamiento de informacin
crtica o confidencial y estn protegidas por permetros de seguridad, adems de barreras y
controles de entrada.
Permetro de seguridad fsica. Protegen las reas que contienen informacin y medios
de tratamiento de informacin. La proteccin fsica se conseguir creando barreras
fsicas alrededor de los locales. Los permetros tendrn, entre otras, las siguientes
caractersticas: definicin, solidez fsica, control fsico de acceso, salidas de emergencia
con alarma.
Controles de ingreso fsico. Permiso de ingreso slo a personal autorizado, con control
horario, limitaciones a salas con informacin sensible, uso de acreditaciones y
actualizacin de permisos.
Seguridad de oficinas y medios. Especial diseo de los lugares con especial control del
acceso.
Proteccin contra amenazas externas e internas. Proteccin contra daos motivados
por el fuego, inundaciones, terremotos, explosiones, revueltas u otros desastres
naturales o causados por el hombre.
reas de acceso pblico, entrega y carga. Control de los puntos de acceso donde
transiten personas externas a la organizacin, para evitar su acceso a zonas no
autorizadas.
En cuanto a la seguridad del equipo, el objetivo es evitar sustracciones o prdidas de los

activos y actividades de la organizacin. La proteccin sopesar amenazas fsicas y
ambientales.
Ubicacin y proteccin del equipo. Reduccin de amenazas, peligros ambientales y

accesos no autorizados. Algunas acciones sern, entre otras, las siguientes: reduccin
Informacin (RTA)
10
del acceso, monitoreo de las condiciones ambientales, especial proteccin de equipos

con informacin confidencial.
Servicios pblicos de soporte. Proteccin ante posibles fallas o interrupciones de
energa. Las rutinas de inspeccin y el desarrollo de planes de contingencia pueden
minimizar sus riesgos.
Seguridad del cableado. Proteccin ante su intercepcin o dao. Se considera
dedicarle una atencin y proteccin especial, ante posibles hurtos, interferencias o
manipulacin no autorizada.
Mantenimiento de equipos. Garantizar su integridad y continua disponibilidad. Cabr
seguir las indicaciones del proveedor, ordenar las reparaciones a personal cualificado,
registrar las incidencias, programar su mantenimiento
Seguridad del equipo fuera de la organizacin. Atender a los riesgos para la
organizacin. En todo caso, el uso externo debe autorizarse por el equipo directivo. Y
en cualquier caso, los equipos nunca sern desatendidos y se evaluarn los riesgos de
dicho uso.
4.5. Cumplimiento
Este apartado recuerda la necesidad del cumplimiento del marco normativo y de todo
requisito de seguridad que en l est implcito. En esta misma lnea de legalidad, la
organizacin tender a optimizar esta efectividad a travs del recurso de una auditora sobre
las infraestructuras y las aplicaciones.
Cumplimiento de los requisitos legales. Garanta de control sobre cualquier violacin

de las disposiciones legales vigentes, los estatutos propios, los contratos o los
requisitos de seguridad de la informacin. Se considerar que el diseo, la operacin,
el uso y la gestin de los sistemas de informacin pueden estar sujetos a requisitos de
seguridad. Se valorar la incorporacin de asesores legales especializados en la
materia, ya que la complejidad de cuestiones como son la propiedad intelectual, la
proteccin de datos y la privacidad lo requieren. Sin olvidar que es responsabilidad de
todas las reas de la organizacin el conocimiento de la legislacin vigente en sus
respectivos mbitos.
Cumplimiento de las polticas y estndares de seguridad y cumplimiento tcnico.
Garanta del cumplimiento con las polticas y estndares internos de seguridad en la
gestin de los sistemas de informacin. La evolucin de las polticas de seguridad, la
tecnologa y los propios sistemas de informacin necesitarn de una revisin en el
cumplimiento de los requisitos de seguridad.
Consideraciones de auditora de los sistemas de informacin. Garanta de maximizar
la efectividad del proceso de auditora y de minimizar las interferencias del propio
sistema de informacin. Se considerar la existencia de controles durante el proceso
de auditora que salvaguarden la integridad de las herramientas de la auditora y que
prevengan de su mal uso.
Informacin (RTA)
11

4.6. Gestin de activos
La gestin de los activos tiene como objetivo responsabilizarse de los activos mediante una
proteccin que incluya la identificacin de los propietarios; tambin asegurar la clasificacin,
segn un nivel adecuado de proteccin.
En cuanto a la responsabilidad de los activos, stos deben identificarse y ser gestionados
mediante el mantenimiento de unos controles adecuados.
Inventario de los activos. La organizacin debe identificar los activos y documentar su

importancia, para una mejor gestin en caso de desastres. No hay que duplicar
innecesariamente otro tipo de inventarios, pero s asegurar unos contenidos
consolidados. La responsabilidad tambin debe documentarse.
Responsabilidad de los activos. La informacin y los activos asociados con los medios
de tratamiento deben ser responsabilidad de la organizacin que, como tal, debe velar
por su correcta clasificacin y definir y revisar sus restricciones. Aunque se delegue la
custodia, la responsabilidad permanece en la organizacin propietaria.
Uso de los activos. Todo aquel que se relacione con la informacin debe seguir unas
pautas en su uso y sus activos asociados con los medios de tratamiento. Para ello, el
equipo directivo promover reglas especficas.
En el campo de la clasificacin se garantizar que la informacin recibe un nivel correcto de

proteccin. Los activos se clasifican segn su sensibilidad y criticidad para la organizacin. La
informacin tiene grados de confidencialidad que se regularn en un esquema de clasificacin,
que marcar niveles de proteccin y difundir las medidas especiales de uso.
Lineamientos de clasificacin. La informacin se clasificar segn el valor, los

requerimientos legales, la sensibilidad y la criticidad para la organizacin. Estos
lineamientos incluirn protocolos de revisin. Toda clasificacin debe ser ponderada y
proporcionada.
Etiquetado y manejo. La gestin de la informacin deber ser concordante con su
clasificacin. El etiquetado reflejar la clasificacin de acuerdo con los protocolos
establecidos. A su vez, cada nivel de proteccin debe aparejar unos procedimientos de
manejo determinados, incluyndose el tratamiento, el almacenamiento, la
transmisin, la desclasificacin y la eliminacin, si cabe. El etiquetado y manejo de la
informacin son claves para el intercambio de informacin clasificada.
4.7. Gestin de comunicaciones y operaciones

Este apartado persigue garantizar una segura y controlada explotacin de la infraestructura,
con su pertinente supervisin y registro de incidencias. Para lo cual existe el propsito de
controlar:
Procedimientos y responsabilidades operacionales. Garanta de una correcta

operacin de los medios de tratamiento de la informacin, mediante el
establecimiento de responsabilidades y procedimientos para la gestin y la operacin
de todos los medios de tratamiento.
Informacin (RTA)
12
Gestin de servicios de terceros. Garantizar un nivel apropiado de seguridad tras

acuerdos de entrega de servicios a terceros. Cabr un chequeo y monitorizacin, por
parte de la organizacin, de la implementacin de los acuerdos y del cumplimiento de
los estndares para asegurarse de que los entregables sean satisfactorios.
Planificacin y aceptacin de sistemas. Minimizar el riesgo de fallas. La planificacin
asegurar la capacidad y la disponibilidad de los recursos necesarios. La proyeccin de
capacidad futura prevendr riesgo de sobrecarga con el tiempo. Todo sistema nuevo,
antes de ser aceptado y utilizado, documentar y probar los requerimientos.
Proteccin contra cdigos maliciosos. Proteger la integridad del software con la toma
de precauciones ante cdigos maliciosos y cdigos mviles no autorizados. El personal
estar informado de los peligros y el equipo directivo introducir controles para su
eliminacin.
Copias de seguridad. Garanta de la integridad y la disponibilidad de la informacin y
sus medios de tratamiento. Establecimiento de procedimientos de rutina para
implementar el back-up y la estrategia de copias. Tambin se ensayar la restauracin.
Gestin de la seguridad de red. Garanta de la proteccin de la informacin en redes y
su infraestructura de soporte. Cabr considerar cuestiones legales y monitoreo,
adems de un control adicional respecto de la informacin confidencial. Se debe vigilar
una posible suplantacin del emisor y una posible prdida de informacin.
Gestin de dispositivos de almacenamiento. Control de la divulgacin no autorizada,
la modificacin o la interrupcin de actividades. Cabr un control y proteccin fsicos.
Intercambio de informacin entre organizaciones. Garanta de la seguridad en el
intercambio de informacin y software, al respaldarse en una poltica formal seguida
de lneas de acuerdos, as como del cumplimiento de las disposiciones legales vigentes.
Servicio de correo electrnico. Garanta de seguridad en el servicio y su uso seguro.
Cabr considerar la integridad y la disponibilidad de la informacin publicada
electrnicamente, as como las implicaciones de la seguridad asociada al correo
electrnico.
Monitorizacin de sistemas. Control sobre actividades de tratamiento de informacin
no autorizadas. Cabr el monitoreo de los sistemas y los informes de incidentes de
seguridad de la informacin, adems del propio chequeo de la efectividad de los
controles.
4.8. Control de acceso

El control de acceso a los sistemas de informacin se considera uno de los campos cruciales en
la seguridad de la informacin. En este campo se establecern procedimientos de control que
permitan el acceso segn la poltica de la organizacin, con especial atencin a los accesos
privilegiados y al acceso de software malicioso.
Requisitos del negocio para el control del acceso. Garanta del acceso a la
informacin. Los requisitos de la organizacin marcarn y sern la base del acceso a la
informacin. Las pautas de control del acceso respetarn la poltica de divulgacin del
propio organismo.
Gestin del acceso de los usuarios. Garanta de un acceso autorizado a los sistemas de
informacin y control ante el acceso no autorizado. Cabrn procedimientos formales
Informacin (RTA)
13
para controlar los derechos de acceso. Dichos procedimientos abarcarn todo el ciclo
del acceso, desde el registro de nuevos usuarios hasta el borrado de aqullos que ya
no requieren acceso. Se tender a minimizar el acceso restringido a la informacin
confidencial.
Responsabilidades del usuario. Garanta de control ante accesos no autorizados y
vigilancia ante el peligro que corre la informacin en su tratamiento. Cabr concienciar
a los usuarios autorizados de lo importante de su cooperacin en la consolidacin de la
seguridad de la informacin. Los usuarios deben ser responsables parciales de la
efectividad de los controles, por ejemplo mediante el correcto uso de sus claves
secretas, personales e intransferibles, y una correcta atencin de los equipos.
Control de acceso de red. Garanta de control ante el acceso no autorizado a los
servicios de las redes, internas y externas. El acceso autorizado a las redes no
comprometer la seguridad de los servicios, por lo que se vigilar la:
a. Existencia de interfaces apropiadas
b. Aplicacin de mecanismos de autenticacin adecuados
c. Obligacin del control de acceso del usuario a la informacin
Control de acceso del sistema operativo. Garanta de control ante el acceso no
autorizado a los sistemas operativos. Se considerar el uso de medios de seguridad
para restringir el acceso a usuarios no autorizados. Estos medios deben ser capaces de:
a. Autenticacin de usuarios autorizados, segn poltica de control de acceso
definida.
b. Registro de intentos, fallidos y exitosos, de autenticacin del sistema.
c. Registro del uso de privilegios especiales del sistema.
d. Emisin de alarmas ante la violacin de las polticas de seguridad del sistema.
e. Proporcionar los medios de autenticacin apropiados.
f. Restriccin, en su caso, del tiempo de conexin de los usuarios.
Control de acceso a las aplicaciones y a la informacin. Garanta de control ante
accesos no autorizados a la informacin de las aplicaciones. Se considerar el uso de
medios de seguridad para la restriccin del acceso a la informacin y a las aplicaciones.
Las aplicaciones debern estar capacitadas para:
a. Control del acceso del usuario a la informacin y a las aplicaciones, segn la
poltica de control de acceso definida.
b. Proporcionar proteccin ante accesos no autorizados al software del sistema
de operacin y de software malicioso que supere los controles del sistema.
c. No comprometer a otros sistemas con los que se comparten recursos.
Teletrabajo y movilidad. Garanta de la seguridad de la informacin ante el uso de
medios mviles. La proteccin ser proporcional al riesgo de estos modos de trabajo,
como puedan ser los ambientes desprotegidos, en el caso de la movilidad, y la
proteccin especfica del lugar, en el caso del teletrabajo.
4.9. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

En este apartado se trata de garantizar la integridad de la seguridad de la informacin en los
sistemas.
Informacin (RTA)
14
Requisitos de seguridad que afectan a los sistemas. Garanta de que la seguridad

forme parte integral de los sistemas de informacin. Los sistemas de informacin
pueden incluir sistemas de operacin, infraestructura o servicios, y aplicaciones
desarrolladas por el usuario. Por ello, el diseo del sistema debe identificar y acordar
requisitos de seguridad antes de su propio desarrollo.
Correcto tratamiento de las aplicaciones. Garanta contra errores, prdida,
modificacin no autorizada o mal uso de la informacin de las aplicaciones. Se
considerar el diseo de controles adecuados en las aplicaciones, incluyendo una
validacin de los datos de entrada y de salida. Se aplicar especial atencin al
tratamiento de la informacin confidencial mediante controles adicionales.
Controles criptogrficos. Garanta de la confidencialidad, la autenticidad o la
integridad por el uso de medios criptogrficos. Se considerar el desarrollo de una
poltica organizacional sobre los controles criptogrficos, como refuerzo a una posible
proteccin inadecuada por parte de otros controles.
Seguridad en los sistemas de ficheros. Garanta de seguridad e integridad de los
sistemas de ficheros. Se considerar el control del acceso a estos sistemas y del cdigo
fuente del programa.
Seguridad en los procesos de desarrollo y soporte. Garanta para el mantenimiento de
la seguridad del software y la informacin de las aplicaciones. Los responsables de las
aplicaciones cobrarn responsabilidad sobre la seguridad de los proyectos y del
soporte. Se estima bsica la revisin de cualquier cambio que se proyecte sobre el
sistema de informacin, para evitar colisionar con la seguridad.
Gestin de vulnerabilidades tcnicas. Garanta de reduccin de riesgos sobrevenidos
de la explotacin de vulnerabilidades tcnicas. La gestin de la vulnerabilidad tcnica
debe ser sistemtica, confirmando su efectividad tras la obtencin de la oportuna
informacin de los sistemas de informacin.
4.10. Gestin de incidentes de seguridad de la informacin

En este apartado, se persigue garantizar que los registros de incidencias y las debilidades en la
seguridad de la informacin y de sus sistemas se comuniquen de manera pertinente, como
medio que posibilite la debida correccin.
Informe de los eventos y debilidades de la seguridad de la informacin. Garanta de

que una correcta comunicacin de los eventos y debilidades de la seguridad, asociados
al sistema, permiten medidas correctoras. Se considerar el establecimiento de
procedimientos formales de informe, que afectarn a todo el personal de la
organizacin. Se requerir rapidez en la comunicacin de aquellos informes de eventos
que impacten en la seguridad de la informacin a travs de los canales adecuados.
Gestin de los incidentes y mejoras en la seguridad de la informacin. Garanta de
aplicacin de un enfoque consistente en la gestin de los incidentes de seguridad. Se
considerar el establecimiento de responsabilidades y procedimientos para gestionar
con eficacia los eventos y las debilidades de la seguridad. Cabr un proceso de mejora
continua para la respuesta al monitoreo, su evaluacin y la gestin de incidentes.
Informacin (RTA)
15

4.11. Gestin de la continuidad del negocio
Este apartado considera la importante cuestin de la disponibilidad de la informacin que
soportan las aplicaciones en caso de desastres. Para ello, el objetivo se centra en el
establecimiento de un plan de accin que minimice los efectos de cualquier catstrofe. La
organizacin debe saber responder a una interrupcin en sus actividades, proteger sus
procesos crticos y garantizar una pronta reanudacin de sus funciones.
Se considerar la implementacin de un proceso de gestin de la continuidad del negocio, que
minimice impactos y permita una rpida recuperacin de prdidas de activos de informacin a
niveles aceptables. El proceso deber identificar procesos crticos e integrar los requisitos de la
gestin de la seguridad de la informacin de la continuidad del negocio en otros requisitos de
continuidad parciales.
Las consecuencias de los desastres merecen un anlisis de su impacto en la organizacin. De lo
que se deriva que la seguridad de la informacin deber integrarse en el proceso general de
continuidad de negocio en toda organizacin.
Incluir la seguridad de la informacin en el proceso de gestin de continuidad del

negocio. Se considerar el desarrollo y el mantenimiento de un proceso integral para
la continuidad del negocio, en toda la organizacin, que trate los requisitos de
seguridad de la informacin.
Continuidad del negocio y evaluacin del riesgo. Se considerar la identificacin de
aquellos eventos que puedan interrumpir procesos de la organizacin, sopesando su
impacto y sus consecuencias.
Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la
informacin. Se considerar el desarrollo y la implementacin de planes que aseguren
la disponibilidad de la informacin en niveles aceptables y en plazos de tiempo
razonables, en caso de interrupcin del negocio.
Marco referencial de los planes de continuidad del negocio. Se considerar la opcin
de mantener un nico marco referencial en cuanto a los planes de continuidad del
negocio, para que los planes parciales sean consistentes respecto de la seguridad de la
informacin
Prueba, mantenimiento y reevaluacin de los planes de continuidad del negocio. Los
planes de continuidad del negocio sern debidamente probados y actualizados para
asegurar su efectividad. Se considerar la designacin de un responsable en las
revisiones regulares de cada plan de negocio que, con un proceso formal de control de
cambios parciales, dotar al plan completo de mayor consistencia y eficacia.
Informacin (RTA)
16
5.
Cuadro de compromisos de cumplimiento
Este cuadro identifica aquellos compromisos establecidos en las lneas de actuacin de la Gua
de Implementacin de Administracin electrnica y unas recomendaciones sobre cmo
cumplir con los mismos.
El nmero representado es el mismo con el que se identifica dicho compromiso en la Gua de
Implementacin.
N
Compromisos
Cmo cumplir con los compromisos
4.1
Adoptar una poltica de seguridad de Elaborar, los equipos directivos, una poltica
la informacin
de seguridad de la informacin
Publicar y difundir en la organizacin un
documento que defina el marco de aplicacin
Revisar y actualizar el documento, en
bsqueda de su mayor idoneidad, eficiencia y
efectividad
4.2
Observar una buena gestin de los A nivel interno:

aspectos organizativos de la
- Asumir, el equipo directivo, la
seguridad de la informacin, tanto
importancia de la seguridad
de la participacin interna como
- Coordinar la seguridad
externa
- Asignar roles
- Revisar con carcter independiente la
seguridad
A nivel externo:
- Identificar los riesgos
- Tratar la seguridad
4.3
Conocer y aceptar, el personal de la Para la seleccin de personal:

organizacin, la responsabilidad que
- Definir los roles y responsabilidades
conlleva la seguridad de la
- Incluir trminos y condiciones de
informacin
seguridad en el contenido de los
contratos
Para el personal interno:
- Requerir a todo el personal la
aplicacin de la seguridad, segn la
poltica procedimientos establecidos.
- Capacitar en materia de seguridad de
la informacin y actualizar los
conocimientos sobre polticas y
procedimientos
Informacin (RTA)
17
Compromisos

Para el personal saliente:
- Definir las responsabilidades tras el
abandono del puesto en la
organizacin
- Devolver activos, quien pudiera tener
en su posesin, bien software o
documentos corporativos
- Retirar derechos de acceso
4.4
4.5
Garantizar la proteccin fsica y Proteger las reas seguras, donde se

ambiental de los activos fsicos a encuentran los medios de tratamiento de
travs del control de acceso
informacin crtica o confidencial
- Proteger las reas que contienen
informacin y medios de tratamiento
de informacin
- Permitir el ingreso slo a personal
autorizado
- Disear los lugares con especial
control del acceso
- Proteger contra amenazas externas e
internas
- Controlar el trnsito de personas
externas
Cumplir el marco normativo y de Cumplir con los requisitos legales, mediante el
todo requisito de seguridad que en control sobre cualquier violacin de las
l est implcito
disposiciones legales vigentes, estatutos
propios, contratos o requisito de seguridad de
la informacin
Cumplir con las polticas y estndares de
seguridad y cumplimiento tcnico
Considerar auditoras de los sistemas de
informacin
4.6
Gestionar los activos como medio Identificar y gestionar los activos mediante el
para
cobrar
responsabilidad mantenimiento de unos controles adecuados:
mediante una proteccin que incluya
- Identificar los activos y documentar
la identificacin de los propietarios;
su importancia
tambin
para
asegurar
la
- Velar por su correcta clasificacin y
clasificacin,
segn
un
nivel
definir y revisar sus restricciones
adecuado de proteccin
- Seguir unas pautas en el uso
Informacin (RTA)
18
Compromisos

Garantizar que la informacin recibe un nivel
correcto de proteccin:
- Clasificar de manera ponderada y
proporcionada.
- Etiquetar y manejar, para un mejor
intercambio
de
informacin
clasificada
4.7
Garantizar una segura y controlada Establecer los siguientes controles:

explotacin de su infraestructura,
- Establecer
responsabilidades
y
con una pertinente supervisin y
procedimientos para la gestin y la
registro de incidencias
operacin de todos los medios de
tratamiento
- Chequear y monitorizar los servicios
de terceros
- Asegurar la capacidad y la
disponibilidad de los recursos
necesarios
- Proteger la integridad del software
con la toma de precauciones ante
cdigos maliciosos y cdigos mviles
no autorizados
- Establecer procedimientos de rutina
para implementar el back-up y la
estrategia de copias
- Gestionar la seguridad de red
mediante el monitoreo y la
consideracin de cuestiones legales
- Controlar y proteger fsicamente los
dispositivos de almacenamiento
- Intercambiar la informacin entre
organizaciones, como una poltica
formal
- Considerar la integridad y la
disponibilidad de la informacin
publicada electrnicamente
- Monitorear los sistemas y los
informes de incidentes de seguridad
de la informacin
Informacin (RTA)
19
Compromisos
4.8
Considerar el control de acceso a los Establecer los siguientes controles:

sistemas de informacin como uno
- Marcar los requisitos del negocio para
de los campos cruciales en la
el control del acceso
seguridad de la informacin
- Controlar los derechos de acceso de
los usuarios
- Concienciar a los usuarios autorizados
de lo importante de su cooperacin
en la consolidacin de la seguridad de
la informacin
- Controlar el acceso no autorizado a
los servicios de las redes, internas y
externas
- Usar medios de seguridad para
restringir el acceso a usuarios no
autorizados
- Usar medios de seguridad para la
restriccin del acceso a la informacin
y a las aplicaciones.
- Proteger proporcionalmente ante el
riesgo del teletrabajo y movilidad
4.9
Garantizar la integridad de la Establecer los siguientes controles:

seguridad de la informacin en los
- Disear los requisitos de seguridad
sistemas
que afectan a los sistemas
- Disear controles adecuados en las
aplicaciones,
incluyendo
una
validacin de los datos de entrada y
de salida
- Desarrollar una poltica organizacional
sobre los controles criptogrficos
- Controlar el acceso a los sistemas de
ficheros y del cdigo fuente del
programa
- Mantener la seguridad del software y
la informacin de las aplicaciones.
- Gestionar la vulnerabilidad tcnica
sistemticamente
4.10
Garantizar que los registros de Establecer los siguientes controles:

incidencias y las debilidades en la
- Establecer
procedimientos
de
seguridad de la informacin y de sus
informe, que afectarn a todo el
sistemas se comuniquen de manera
personal de la organizacin.
pertinente, como medio que
- Establecer
responsabilidades
y
posibilite la debida correccin
procedimientos para gestionar con
eficacia los eventos y debilidades de
la seguridad
Informacin (RTA)
20
N
4.11
Compromisos
Implementar un plan de continuidad
del negocio que responda a la
interrupcin de sus actividades y
proteja sus procesos crticos,
garantizando
una
pronta
reanudacin de sus funciones

Incluir la seguridad de la informacin en el
proceso de gestin de continuidad del
negocio
Asegurar la continuidad del negocio y una
evaluacin del riesgo
Desarrollar e implementar los planes de
continuidad incluyendo la seguridad de la
informacin
Establecer un marco referencial en los planes
de continuidad del negocio
Probar, mantener y reevaluar los planes de
continuidad del negocio
21
Informacin (RTA)

6.
Trminos y referencias
6.1. Glosario
Activo de informacin: cualquier recurso de informacin o datos con valor para el desarrollo
de las funciones de una organizacin, que puede ser comprendido y tratado como una nica
unidad a efectos de gestin, uso, proteccin e intercambio. Aunque puede designar piezas
aisladas de informacin (una imagen incluida en un documento, un registro de una base de
datos), suele emplearse para identificar y tratar conjuntos de informacin o datos, como
agrupaciones documentales, bases de datos, sitios web, colecciones de metadatos En el
mbito de la seguridad de la informacin se emplea tambin para designar el hardware y
software utilizado para su procesamiento o almacenamiento, los servicios utilizados para su
transmisin o recepcin y las herramientas y/o utilidades para el desarrollo y soporte de
sistemas de informacin.
Amenaza: causa potencial de un incidente no deseado, que puede provocar dao a un sistema
o a una organizacin.
Autenticacin: situacin en la cual se puede verificar que un documento ha sido elaborado (o
pertenece) a quien el documento dice. Aplicado a la verificacin de la identidad de un usuario,
la autenticacin se produce cuando el usuario puede verificar que es quien dice ser y, por ello,
pasa a ser considerado un usuario autorizado.
Control: medio para gestionar un riesgo, incluyendo polticas, procedimientos, lineamientos,
prcticas o estructuras de la organizacin, que pueden ser tcnicas, de gestin o naturaleza
legal. Tambin puede ser sinnimo de salvaguarda.
Medios de tratamiento de la informacin: cualquier sistema, servicio o infraestructura de
tratamiento de la informacin, o bien los locales fsicos donde se alojan.
No repudio: servicio de seguridad, estrechamente relacionado con la autenticacin, que
permite probar la participacin de las partes en una comunicacin. La diferencia esencial con
la autenticacin es que la primera se produce entre las partes que establecen la comunicacin
y el servicio de no repudio se produce frente a un tercero, de este modo, existirn dos
posibilidades: no repudio en origen y no repudio en destino. Si la autenticidad prueba quin es
el autor de un documento y cul es su destinatario, el no repudio prueba que el autor envi la
comunicacin (vase No repudio en origen) y que el destinatario la recibi (vase No repudio
en destino).
No repudio en destino: servicio de seguridad mediante el cual el receptor no puede negar que
recibi el mensaje porque el emisor tiene pruebas de la recepcin. Este servicio proporciona al
emisor la prueba de que el destinatario legtimo de un envo, realmente lo recibi, evitando
que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor
y la recibe el emisor.
No repudio en origen: servicio de seguridad mediante el cual el emisor no puede negar que
envo porque el destinatario tiene pruebas del envo, el receptor recibe una prueba
infalsificable del origen del envo, lo cual evita que el emisor, de negar tal envo, tenga xito
Informacin (RTA)
22

ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el
destinatario
Plan de continuidad del negocio: plan de proteccin dirigido a la solucin de los incidentes
que provoquen una interrupcin en la actividad de las organizaciones, reducir la probabilidad
de que se produzcan y garantizar la recuperacin de su empresa.
Riesgo: combinacin de la probabilidad de un evento y su ocurrencia.
Seguridad de la informacin: preservacin de la confidencialidad, la integridad y la
disponibilidad de la informacin, que tambin puede involucrar a otras propiedades como la
autenticidad, la trazabilidad, el no repudio y la fiabilidad.
Vulnerabilidad: debilidad de un activo que puede ser explotada por una amenaza.
6.2. Referencias y bibliografa

ESPAA. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica. Boletn Oficial de Estado [en lnea], 29
de enero de 2010, 25. [Consulta: 15 diciembre 2014]. Disponible en:
http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1330.pdf
ESPAA. GOBIERNO VASCO. 2010. Manual de seguridad [en lnea]. Vitoria-Gasteiz:
Departamento de Justicia y Administracin Pblica. [Consulta: 15 diciembre 2014]. Disponible
en:
https://euskadi.net/contenidos/informacion/bp_segurtasuna/es_dit/adjuntos/MSPLATEA_c.p
df
INTERNATIONAL ORGANIZATION FOR STANDARIZATION (ISO). 2013. ISO/IEC 27001:2013.
Information technology - Security techniques - Information security management systems Requirements. Ginebra: ISO.
INTERNATIONAL ORGANIZATION FOR STANDARIZATION (ISO). 2013. ISO/IEC 27002:2013.
Information technology - Security techniques - Code of practice for information security
controls. Ginebra: ISO.
ORGANIZACIN PARA LA COOPERACIN Y EL DESARROLLO ECONMICO (OCDE). 2004.
Directrices de la OCDE para la seguridad de sistemas y redes de informacin. Hacia una cultura
de la seguridad [en lnea]. Pars: OCDE; Madrid: Ministerio de Administraciones Pblicas.
[Consulta: 15 diciembre 2014]. Disponible en:
http://www.oecd.org/sti/ieconomy/34912912.pdf
UNIN EUROPEA. 2001. Decisin 2001/264/CE del Consejo, de 19 de marzo de 2001, por la
que se adoptan las normas de seguridad del Consejo [en lnea]. Diario Oficial de las
Comunidades Europeas, 11 de abril de 2001, L 101. [Consulta: 15 diciembre 2015]. Disponible
en:
http://eur-lex.europa.eu/legalcontent/ES/TXT/PDF/?uri=CELEX:32001D0264&qid=1401793082125&from=EN
Informacin (RTA)
23

VILLALN HUERTA, A. 2004. Cdigos de buenas prcticas de seguridad. UNE-ISO/IEC 17799 [en
lnea]. En: El Sistema de Gestin de Seguridad de la Informacin. La nueva norma UNE 71502,
Valencia, Espaa. Septiembre, 2004. [Consulta: 15 diciembre 2014]. Disponible en:
http://www.shutdown.es/ISO17799.pdf
24
Informacin (RTA)

Directrices Seguridad AdmE PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Directrices Seguridad AdmE PDF

Uploaded by

Copyright:

Available Formats

G03/D02/G

G03/D02/G Directrices Seguridad de la informacin

G03/D02/G Directrices Seguridad de la informacin

Estas Directrices se integran en el MGD segn se especifica en el siguiente Diagrama de

G03/D02/G. SEGURIDAD DE LA INFORMACIN

G03/D02/G Directrices Seguridad de la informacin

Aspectos organizativos de la seguridad de la informacin

Seguridad ligada a los recursos humanos

Seguridad fsica y ambiental

Gestin de comunicaciones y operaciones

Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

Gestin de incidentes de seguridad de la informacin

Gestin de la continuidad del negocio

5. Cuadros de compromisos de cumplimiento

G03/D02/G Directrices Seguridad de la informacin

La finalidad de estas Directrices es proporcionar recomendaciones para la necesaria seguridad

Seguridad ligada a los

Seguridad fsica y ambiental

G03/D02/G Directrices Seguridad de la informacin

1.3. Documentos relacionados

Administracin de los documentos electrnicos

Concepto de seguridad de la informacin

Principios de la seguridad de la informacin

En un documento publicado en 2002, la Organizacin para la Cooperacin y el Desarrollo

G03/D02/G Directrices Seguridad de la informacin

Poltica integral de seguridad

La informacin que se gestiona mediante sistemas o redes, en el mbito de la administracin

Confidencialidad. Seguridad de prevencin frente a la disposicin, la comunicacin y la

4.1. Poltica de seguridad

G03/D02/G Directrices Seguridad de la informacin

Definicin, objetivos y alcance

La poltica de seguridad de la informacin de las organizaciones se actualizar peridicamente,

Compromiso del equipo directivo con la seguridad. La mejor declaracin de

En la segunda, se debe controlar el acceso, el tratamiento y la comunicacin de la informacin

Identificacin de los riesgos. Para lo cual se deben introducir controles apropiados

G03/D02/G Directrices Seguridad de la informacin

Roles y responsabilidades. Definicin y comunicacin documentada de los roles y las

En cuanto al personal activo, estas medidas se orientarn a:

Responsabilidades del equipo directivo. Requerirn a todo el personal (interno y

En cuanto al personal saliente, estas medidas se orientarn a:

Responsabilidades finales. Definicin de responsabilidades relacionadas tras el

G03/D02/G Directrices Seguridad de la informacin

Retirada de derechos de acceso. De igual manera, debieran retirarse todos los

4.4. Seguridad fsica y ambiental

En cuanto a la seguridad del equipo, el objetivo es evitar sustracciones o prdidas de los

Ubicacin y proteccin del equipo. Reduccin de amenazas, peligros ambientales y

G03/D02/G Directrices Seguridad de la informacin

del acceso, monitoreo de las condiciones ambientales, especial proteccin de equipos

Cumplimiento de los requisitos legales. Garanta de control sobre cualquier violacin

G03/D02/G Directrices Seguridad de la informacin

Inventario de los activos. La organizacin debe identificar los activos y documentar su

En el campo de la clasificacin se garantizar que la informacin recibe un nivel correcto de

Lineamientos de clasificacin. La informacin se clasificar segn el valor, los

4.7. Gestin de comunicaciones y operaciones

Procedimientos y responsabilidades operacionales. Garanta de una correcta

G03/D02/G Directrices Seguridad de la informacin

Gestin de servicios de terceros. Garantizar un nivel apropiado de seguridad tras

4.8. Control de acceso

G03/D02/G Directrices Seguridad de la informacin

4.9. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

G03/D02/G Directrices Seguridad de la informacin

Requisitos de seguridad que afectan a los sistemas. Garanta de que la seguridad

4.10. Gestin de incidentes de seguridad de la informacin