Upload
armando-reniery-rodas
View
269
Download
0
Embed Size (px)
Citation preview
7/23/2019 Articles 5482 Controles
1/18
Gua: Controles de Seguridad y
Privacidad de la Informacin
Gua Tcnic
7/23/2019 Articles 5482 Controles
2/18
HISTORIA
VERSI N FECHA CAMBIOS INTRODUCIDOS
1.0.0 15/12/2010 Versin inicial del documento
2.0.0 30/09/2011 Restructuracin de forma
2.0.1 30/11/2011 Actualizacin del documento
3.0.0 08/01/2015 Actualizacin segn restructuracin del modelo
7/23/2019 Articles 5482 Controles
3/18
TABLA DE CONTENIDO
PG.
DERECHOS DE AUTOR ...................................................................................................................... 4
AUDIENCIA ............................................................................................................................................ 5
................................................................................................................................... 6
GENERALIDADES ................................................................................................................................. 7
OBJETIVO ............................................................................................................................................... 8
Objetivo de las entidades................................................................................................................. 8
ALCANCE ................................................................................................................................................ 9
Terceros.................................................................................................................................................. 9
TABLA DE CONTROLES ................................................................................................................. 10
7/23/2019 Articles 5482 Controles
4/18
DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad y Privacidad deTI, con derechos reservados por parte del Ministerio de Tecnologas de laInformacin y las Comunicaciones, a travs de la estrategia de Gobierno en Lnea.
Todas las referencias a las polticas, definiciones o contenido relacionado,publicadas en la norma tcnica colombiana NTC ISO/IEC 27001:2013, as como alos anexos con derechos reservados por parte de ISO/ICONTEC.
7/23/2019 Articles 5482 Controles
5/18
AUDIENCIA
Entidades pblicas de orden nacional y entidades pblicas del orden territorial, ascomo proveedores de servicios de Gobierno en Lnea, y terceros que deseenadoptar el Modelo de Seguridad y Privacidad de TI en el marco de la Estrategia deGobierno en Lnea.
7/23/2019 Articles 5482 Controles
6/18
El Modelo de Seguridad y Privacidad de la Informacin en la fase de Planificacinse realiza la seleccin de controles, y durante la fase Implementacin se ejecuta laimplementacin de controles de seguridad de la informacin, por lo cual se cuentacon el anexo de controles del estndar ISO 27002.
El documento presenta los objetivos de control del estndar ISO 27002.
7/23/2019 Articles 5482 Controles
7/18
GENERALIDADES
La informacin es un recurso que, como el resto de los activos, tiene valor para elorganismo y por consiguiente debe ser debidamente protegida. Las polticas deseguridad y privacidad de la informacin protegen a la misma de una amplia gamade amenazas, a fin de garantizar la continuidad de los sistemas de informacin,minimizar los riesgos de dao y asegurar el eficiente cumplimiento de los objetivosde las entidades del Estado.
Es importante que los principios de la poltica de seguridad y privacidad descritosen el presente documento se entiendan y se asimilen al interior de las entidades
como una directriz de Gobierno que ser exitosa en la medida que se cuente conun compromiso manifiesto de la mxima autoridad en cada entidad.
7/23/2019 Articles 5482 Controles
8/18
OBJETIVO
Proteger la informacin de las entidades del Estado, los mecanismos utilizados parael procesamiento de la informacin, frente a amenazas internas o externas,deliberadas o accidentales, con el fin de asegurar el cumplimiento de laconfidencialidad, integridad, disponibilidad y confiabilidad de la informacin.
Objetivo de las entidadesEstablecer, implementar, operar, monitorear, revisar, mantener y mejorar unsistema de gestin de seguridad de la informacin dentro de las entidades delEstado, que reporte a nivel central su estado de avance.
Fomentar la consulta y cooperacin con organismos especializados para laobtencin de asesora en materia de seguridad de la informacin.
Garantizar la aplicacin de medidas de seguridad adecuadas en los accesos a lainformacin propiedad de las entidades del Estado.
7/23/2019 Articles 5482 Controles
9/18
ALCANCE
Este documento de polticas aplica a todas las entidades del Estado que estnvinculadas de alguna manera, como usuarios o prestadores de servicios de laestrategia de Gobierno en lnea, a sus recursos, a sus procesos y al personal internoo externo vinculado a la entidad a travs de contratos o acuerdos.
TercerosLas entidades pueden requerir que terceros accedan a informacin interna, lacopien, la modifiquen, o bien puede ser necesaria la tercerizacin de ciertasfunciones relacionadas con el procesamiento de la informacin. En estos casos, losterceros deben tener y las entidades les deben exigir, que se establezcan lasmedidas adecuadas para la proteccin de la informacin de acuerdo a suclasificacin y anlisis de riesgo.
7/23/2019 Articles 5482 Controles
10/18
TABLA DE CONTROLES
La siguiente tabla, muestra la organizacin de los controles detallando los dominiosdefinidos en el componente de Planificacin. SIEMPRE se deben mencionar loscontroles correspondientes al Anexo A de la norma NTC: ISO/IEC 27001, cual tratade los objetivos de control, y se estructurarn tal como lo muestra la Tabla 1:
Tabla 1Estructura de controles
Cada campo se define as:
Nm.: Este campo identifica cada uno de los controles correspondientes al
Anexo A de la norma NTC: ISO/IEC 27001. Nombre: Este campo hace referencia al nombre del control que se debe
aplicar para dar cumplimiento a la poltica definida.
Control: Este campo describe el control que se debe implementar con el finde dar cumplimiento a la poltica definida.
Dominio: Este campo describe si el control aplica para uno o mltiplesdominios.
Seleccionado / Excepcin: El listado de controles adems debe ser utilizadopara la generacin de la declaracin de aplicabilidad, donde cada uno de los
controles es justificado tanto si se implementa como si se excluye de serimplementado, lo cual ayuda a que la entidad tenga documentado y de fcilacceso el inventario de controles.
Descripcin / Justificacin: El listado de controles cuenta con la descripcinde cada control en la tabla. Adicionalmente, es posible utilizarlo para lageneracin de la declaracin de aplicabilidad, donde cada uno de los
Poltica general
Nm. Nombre Seleccionado
/ ExcepcinDescripcin / Justificacin
Nombre Control
7/23/2019 Articles 5482 Controles
11/18
controles es justificado tanto si se implementa como si se excluye de serimplementado.
Tabla 2Controles del Anexo A del estndar ISO/IEC 27001:2013 y dominios a los que pertenece
Nm. Nombre
Seleccin
/
Descripcin / Justificacin
1Objeto y campo deaplicacin
Seleccionar los controles dentro del proceso de implementacin delSistema de Gestin de Seguridad de la Informacin - SGSI
2 Referencias normativasLa ISO/IEC 27000, es referenciada parcial o totalmente en eldocumento y es indispensable para su aplicacin.
3 Trminos y definicionesPara los propsitos de este documento se aplican los trminos ydefiniciones presentados en la norma ISO/IEC 27000.
4 Estructura de la norma La norma ISO/IEC 27000, contiene 14 numrales de control deseguridad de la informacin que en su conjunto contienen ms de 35categoras de seguridad principales y 114 controles.
5Polticas de seguridad de lainformacin
5.1Directrices establecidas porla direccin para laseguridad de la informacin
Objetivo: Brindar orientacin y apoyo por parte de la direccin, para laseguridad de la informacin de acuerdo con los requisitos del negocioy con las leyes y reglamentos pertinentes.
5.1.1Polticas para la seguridadde la informacin
Control: Se debera definir un conjunto de polticas para la seguridadde la informacin, aprobada por la direccin, publicada y comunicadaa los empleados y partes externas pertinentes.
5.1.2Revisin de las polticaspara seguridad de lainformacin
Control: Las polticas para seguridad de la informacin se deberanrevisar a intervalos planificados o si ocurren cambios significativos,para asegurar su conveniencia, adecuacin y eficacia continuas.
6Organizacin de laseguridad de la informacin
6.1 Organizacin interna Objetivo: Establecer un marco de referencia de gestin para iniciar ycontrolar la implementacin y la operacin de la seguridad de lainformacin dentro de la organizacin.
6.1.1Roles y responsabilidadespara la seguridad deinformacin
Control: Se deberan definir y asignar todas las responsabilidades dela seguridad de la informacin.
6.1.2 Separacin de deberes
Control: Los deberes y reas de responsabilidad en conflicto sedeberan separar para reducir las posibilidades de modificacin noautorizada o no intencional, o el uso indebido de los activos de laorganizacin.
6.1.3Contacto con lasautoridades
Control: Se deberan mantener los contactos apropiados con lasautoridades pertinentes.
6.1.4Contacto con grupos deinters especial
Control: Es conveniente mantener contactos apropiados con gruposde inters especial u otros foros y asociaciones profesionalesespecializadas en seguridad.
6.1.5Seguridad de la informacinen la gestin de proyectos
Control: La seguridad de la informacin se debera tratar en la gestinde proyectos, independientemente del tipo de proyecto.
6.2 Dispositivos mviles yteletrabajo
Objetivo: Garantizar la seguridad del teletrabajo y el uso dedispositivos mviles.
6.2.1Poltica para dispositivosmviles
Control: Se deberan adoptar una poltica y unas medidas deseguridad de soporte, para gestionar los riesgos introducidos por eluso de dispositivos mviles.
6.2.2 Teletrabajo
Control: Se deberan implementar una poltica y unas medidas deseguridad de soporte, para proteger la informacin a la que se tieneacceso, que es procesada o almacenada en los lugares en los que serealiza teletrabajo.
7/23/2019 Articles 5482 Controles
12/18
7Seguridad de los recursoshumanos
7.1 Antes de asumir el empleoObjetivo: Asegurar que los empleados y contratistas comprenden susresponsabilidades y son idneos en los roles para los que seconsideran.
7.1.1 Seleccin
Control: Las verificaciones de los antecedentes de todos loscandidatos a un empleo se deberan llevar a cabo de acuerdo con lasleyes, reglamentos y tica pertinentes, y deberan ser proporcionalesa los requisitos de negocio, a la clasificacin de la informacin a quese va a tener acceso, y a los riesgos percibidos.
7.1.2Trminos y condiciones delempleo
Control: Los acuerdos contractuales con empleados y contratistas,deberan establecer sus responsabilidades y las de la organizacin encuanto a la seguridad de la informacin.
7.2Durante la ejecucin delempleo
Objetivo: Asegurarse de que los empleados y contratistas tomenconciencia de sus responsabilidades de seguridad de la informacin ylas cumplan.
7.2.1Responsabilidades de ladireccin
Control: La direccin debera exigir a todos los empleados ycontratistas la aplicacin de la seguridad de la informacin de acuerdocon las polticas y procedimientos establecidos por la organizacin.
7.2.2Toma de conciencia,educacin y formacin en laseguridad de la informacin
Control: Todos los empleados de la organizacin, y en donde seapertinente, los contratistas, deberan recibir la educacin y laformacin en toma de conciencia apropiada, y actualizacionesregulares sobre las polticas y procedimientos pertinentes para sucargo.
7.2.3 Proceso disciplinarioControl: Se debera contar con un proceso disciplinario formal el cualdebera ser comunicado, para emprender acciones contra empleadosque hayan cometido una violacin a la seguridad de la informacin.
7.3Terminacin o cambio deempleo
Objetivo: Proteger los intereses de la organizacin como parte delproceso de cambio o terminacin del contrato.
7.3.1Terminacin o cambio deresponsabilidades deempleo
Control: Las responsabilidades y los deberes de seguridad de lainformacin que permanecen validos despus de la terminacin ocambio de contrato se deberan definir, comunicar al empleado ocontratista y se deberan hacer cumplir.
8 Gestin de activos
8.1Responsabilidad por losactivos
Objetivo: Identificar los activos organizacionales y definir lasresponsabilidades de proteccin apropiadas.
8.1.1 Inventario de activos
Control: Se deberan identificar los activos asociados con la
informacin y las instalaciones de procesamiento de informacin, y sedebera elaborar y mantener un inventario de estos activos.
8.1.2 Propiedad de los activosControl: Los activos mantenidos en el inventario deberan tener unpropietario.
8.1.3 Uso aceptable de los activosControl: Se deberan identificar, documentar e implementar reglaspara el uso aceptable de informacin y de activos asociados coninformacin e instalaciones de procesamiento de informacin.
8.1.4 Devolucin de activosControl: Todos los empleados y usuarios de partes externas deberandevolver todos los activos de la organizacin que se encuentren a sucargo, al terminar su empleo, contrato o acuerdo.
8.2Clasificacin de lainformacin
Objetivo: Asegurar que la informacin recibe un nivel apropiado deproteccin, de acuerdo con su importancia para la organizacin.
8.2.1Clasificacin de lainformacin
Control: La informacin se debera clasificar en funcin de losrequisitos legales, valor, criticidad y susceptibilidad a divulgacin o amodificacin no autorizada.
8.2.2 Etiquetado de la informacin
Control: Se debera desarrollar e implementar un conjunto adecuadode procedimientos para el etiquetado de la informacin, de acuerdocon el esquema de clasificacin de informacin adoptado por laorganizacin.
8.2.3 Manejo de activosControl: Se deberan desarrollar e implementar procedimientos para elmanejo de activos, de acuerdo con el esquema de clasificacin deinformacin adoptado por la organizacin.
8.3.1Gestin de mediosremovibles
Control: Se deberan implementar procedimientos para la gestin demedios removibles, de acuerdo con el esquema de clasificacinadoptado por la organizacin.
7/23/2019 Articles 5482 Controles
13/18
8.3.2 Disposicin de los mediosControl: Se debera disponer en forma segura de los medios cuandoya no se requieran, utilizando procedimientos formales.
8.3.3Transferencia de mediosfsicos
Control: Los medios que contienen informacin se deberan protegercontra acceso no autorizado, uso indebido o corrupcin durante eltransporte.
9 Control de acceso
9.1Requisitos del negocio paracontrol de acceso
Objetivo: Limitar el acceso a informacin y a instalaciones deprocesamiento de informacin.
9.1.1 Poltica de control de acceso
Control: Se debera establecer, documentar y revisar una poltica decontrol de acceso con base en los requisitos del negocio y deseguridad de la informacin.
9.1.2Poltica sobre el uso de losservicios de red
Control: Solo se debera permitir acceso de los usuarios a la red y alos servicios de red para los que hayan sido autorizadosespecficamente.
9.2Gestin de acceso deusuarios
Objetivo: Asegurar el acceso de los usuarios autorizados y evitar elacceso no autorizado a sistemas y servicios.
9.2.1Registro y cancelacin delregistro de usuarios
Control: Se debera implementar un proceso formal de registro y decancelacin de registro de usuarios, para posibilitar la asignacin delos derechos de acceso.
9.2.2 Suministro de acceso deusuarios
Control: Se debera implementar un proceso de suministro de acceso
formal de usuarios para asignar o revocar los derechos de acceso atodo tipo de usuarios para todos los sistemas y servicios.
9.2.3Gestin de derechos deacceso privilegiado
Control: Se debera restringir y controlar la asignacin y uso dederechos de acceso privilegiado.
9.2.4Gestin de informacin deautenticacin secreta deusuarios
Control: La asignacin de la informacin secreta se debera controlarpor medio de un proceso de gestin formal.
9.2.5Revisin de los derechos deacceso de usuarios
Control: Los propietarios de los activos deberan revisar los derechosde acceso de los usuarios, a intervalos regulares.
9.2.6Retiro o ajuste de losderechos de acceso
Control: Los derechos de acceso de todos los empleados y deusuarios externos a la informacin y a las instalaciones deprocesamiento de informacin se deberan retirar al terminar suempleo, contrato o acuerdo, o se deberan ajustar cuando se hagancambios.
9.3Responsabilidades de losusuarios
Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda desu informacin de autenticacin.
9.3.1 Uso de la informacin deautenticacin secreta Control: Se debera exigir a los usuarios que cumplan las prcticas dela organizacin para el uso de informacin de autenticacin secreta.
9.4Control de acceso asistemas y aplicaciones
Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.
9.4.1Restriccin de accesoInformacin
Control: El acceso a la informacin y a las funciones de los sistemasde las aplicaciones se debera restringir de acuerdo con la poltica decontrol de acceso.
9.4.2Procedimiento de ingresoseguro
Control: Cuando lo requiere la poltica de control de acceso, el accesoa sistemas y aplicaciones se debera controlar mediante un procesode ingreso seguro.
9.4.3Sistema de gestin decontraseas
Control: Los sistemas de gestin de contraseas deberan serinteractivos y deberan asegurar la calidad de las contraseas.
9.4.4Uso de programas utilitariosprivilegiados
Control: Se debera restringir y controlar estrictamente el uso deprogramas utilitarios que pudieran tener capacidad de anular elsistema y los controles de las aplicaciones.
9.4.5Control de acceso a cdigosfuente de programas
Control: Se debera restringir el acceso a los cdigos fuente de losprogramas.
10 Criptografa
10.1 Controles criptogrficosObjetivo: Asegurar el uso apropiado y eficaz de la criptografa paraproteger la confidencialidad, la autenticidad y/o la integridad de lainformacin.
10.1.1Poltica sobre el uso decontroles criptogrficos
Control: Se debera desarrollar e implementar una poltica sobre eluso de controles criptogrficos para la proteccin de la informacin.
7/23/2019 Articles 5482 Controles
14/18
10.1.2 Gestin de llavesControl: Se debera desarrollar e implementar una poltica sobre eluso, proteccin y tiempo de vida de las llaves criptogrficas durantetodo su ciclo de vida.
11Seguridad fsica y delentorno
11.1 reas seguras Objetivo: Prevenir el acceso fsico no autorizado, el dao y lainterferencia a la informacin y a las instalaciones de procesamientode informacin de la organizacin.
11.1.1Permetro de seguridadfsica
Control: Se deberan definir y usar permetros de seguridad, y usarlospara proteger reas que contengan informacin sensible o critica, einstalaciones de manejo de informacin.
11.1.2 Controles fsicos de entradaControl: Las reas seguras se deberan proteger mediante controlesde entrada apropiados para asegurar que solamente se permite elacceso a personal autorizado.
11.1.3Seguridad de oficinas,recintos e instalaciones
Control: Se debera disear y aplicar seguridad fsica a oficinas,recintos e instalaciones.
11.1.4Proteccin contra amenazasexternas y ambientales
Control: Se debera disear y aplicar proteccin fsica contradesastres naturales, ataques maliciosos o accidentes.
11.1.5 Trabajo en reas segurasControl: Se deberan disear y aplicar procedimientos para trabajo enreas seguras.
11.1.6 reas de despacho y carga
Control: Se deberan controlar los puntos de acceso tales como reas
de despacho y de carga, y otros puntos en donde pueden entrarpersonas no autorizadas, y si es posible, aislarlos de las instalacionesde procesamiento de informacin para evitar el acceso no autorizado.
11.2 EquiposObjetivo: Prevenir la perdida, dao, robo o compromiso de activos, yla interrupcin de las operaciones de la organizacin.
11.2.1Ubicacin y proteccin delos equipos
Control: Los equipos deberan estar ubicados y protegidos parareducir los riesgos de amenazas y peligros del entorno, y lasoportunidades para acceso no autorizado.
11.2.2 Servicios de suministroControl: Los equipos se deberan proteger contra fallas de energa yotras interrupciones causadas por fallas en los servicios desuministro.
11.2.3 Seguridad del cableadoControl: El cableado de potencia y de telecomunicaciones que portadatos o soporta servicios de informacin debera estar protegidocontra interceptacin, interferencia o dao.
11.2.4 Mantenimiento de equiposControl: Los equipos se deberan mantener correctamente paraasegurar su disponibilidad e integridad continuas.
11.2.5 Retiro de activosControl: Los equipos, informacin o software no se deberan retirar desu sitio sin autorizacin previa.
11.2.6Seguridad de equipos yactivos fuera de lasinstalaciones
Control: Se deberan aplicar medidas de seguridad a los activos quese encuentran fuera de las instalaciones de la organizacin, teniendoen cuenta los diferentes riesgos de trabajar fuera de dichasinstalaciones.
11.2.7Disposicin segura oreutilizacin de equipos
Control: Se deberan verificar todos los elementos de equipos quecontengan medios de almacenamiento, para asegurar que cualquierdato sensible o software con licencia haya sido retirado o sobrescritoen forma segura antes de su disposicin o reutilizacin.
11.2.8Equipos de usuariodesatendidos
Control: Los usuarios deberan asegurarse de que a los equiposdesatendidos se les d proteccin apropiada.
11.2.9Poltica de escritorio limpio ypantalla limpia
Control: Se debera adoptar una poltica de escritorio limpio para lospapeles y medios de almacenamiento removibles, y una poltica depantalla limpia en las instalaciones de procesamiento de informacin.
12Seguridad de lasoperaciones
12.1Procedimientosoperacionales yresponsabilidades
Objetivo: Asegurar las operaciones correctas y seguras de lasinstalaciones de procesamiento de informacin.
12.1.1Procedimientos deoperacin documentados
Control: Los procedimientos de operacin se deberan documentar yponer a disposicin de todos los usuarios que los necesiten.
12.1.2 Gestin de cambios
Control: Se deberan controlar los cambios en la organizacin, en losprocesos de negocio, en las instalaciones y en los sistemas deprocesamiento de informacin que afectan la seguridad de lainformacin.
7/23/2019 Articles 5482 Controles
15/18
12.1.3 Gestin de capacidadControl: Para asegurar el desempeo requerido del sistema sedebera hacer seguimiento al uso de los recursos, hacer los ajustes, yhacer proyecciones de los requisitos sobre la capacidad futura.
12.1.4Separacin de losambientes de desarrollo,
pruebas y operacin
Control: Se deberan separar los ambientes de desarrollo, prueba yoperacin, para reducir los riesgos de acceso o cambios no
autorizados al ambiente de operacin.
12.2Proteccin contra cdigosmaliciosos
Objetivo: Asegurarse de que la informacin y las instalaciones deprocesamiento de informacin estn protegidas contra cdigosmaliciosos.
12.2.1Controles contra cdigosmaliciosos
Control: Se deberan implementar controles de deteccin, deprevencin y de recuperacin, combinados con la toma de concienciaapropiada de los usuarios, para proteger contra cdigos maliciosos.
12.3 Copias de respaldo Objetivo: Proteger contra la perdida de datos.
12.3.1Respaldo de informacin
Control: Se deberan hacer copias de respaldo de la informacin, delsoftware e imgenes de los sistemas, y ponerlas a pruebaregularmente de acuerdo con una poltica de copias de respaldoaceptada.
12.4 Registro y seguimiento Objetivo: Registrar eventos y generar evidencia.
12.4.1 Registro de eventos
Control: Se deberan elaborar, conservar y revisar regularmente los
registros acerca de actividades del usuario, excepciones, fallas yeventos de seguridad de la informacin.
12.4.2Proteccin de la informacinde registro
Control: Las instalaciones y la informacin de registro se deberanproteger contra alteracin y acceso no autorizado.
12.4.3Registros del administradory del operador
Control: Las actividades del administrador y del operador del sistemase deberan registrar, y los registros se deberan proteger y revisarcon regularidad.
12.4.4 sincronizacin de relojes
Control: Los relojes de todos los sistemas de procesamiento deinformacin pertinentes dentro de una organizacin o mbito deseguridad se deberan sincronizar con una nica fuente de referenciade tiempo.
12.5Control de softwareoperacional
Objetivo: Asegurar la integridad de los sistemas operacionales.
12.5.1Instalacin de software ensistemas operativos
Control: Se deberan implementar procedimientos para controlar lainstalacin de software en sistemas operativos.
12.6Gestin de la vulnerabilidad
tcnica
Objetivo: Prevenir el aprovechamiento de las vulnerabilidades
tcnicas.
12.6.1Gestin de lasvulnerabilidades tcnicas
Control: Se debera obtener oportunamente informacin acerca de lasvulnerabilidades tcnicas de los sistemas de informacin que se usen;evaluar la exposicin de la organizacin a estas vulnerabilidades, ytomar las medidas apropiadas para tratar el riesgo asociado.
12.6.2Restricciones sobre lainstalacin de software
Control: Se deberan establecer e implementar las reglas para lainstalacin de software por parte de los usuarios.
12.7Consideraciones sobreauditorias de sistemas deinformacin
Objetivo: Minimizar el impacto de las actividades de auditora sobrelos sistemas operacionales.
12.7.1Informacin controles deauditora de sistemas
Control: Los requisitos y actividades de auditora que involucran laverificacin de los sistemas operativos se deberan planificar yacordar cuidadosamente para minimizar las interrupciones en losprocesos del negocio.
13Seguridad de lascomunicaciones
13.1Gestin de la seguridad delas redes
Objetivo: Asegurar la proteccin de la informacin en las redes, y susinstalaciones de procesamiento de informacin de soporte.
13.1.1 Controles de redesControl: Las redes se deberan gestionar y controlar para proteger lainformacin en sistemas y aplicaciones.
13.1.2Seguridad de los serviciosde red
Control: Se deberan identificar los mecanismos de seguridad, losniveles de servicio y los requisitos de gestin de todos los servicios dered, e incluirlos en los acuerdos de servicios de red, ya sea que losservicios se presten internamente o se contraten externamente.
13.1.3 Separacin en las redesControl: Los grupos de servicios de informacin, usuarios y sistemasde informacin se deberan separar en las redes.
7/23/2019 Articles 5482 Controles
16/18
13.2Transferencia deinformacin
Objetivo: Mantener la seguridad de la informacin transferida dentrode una organizacin y con cualquier entidad externa.
13.2.1Polticas y procedimientosde transferencia deinformacin
Control: Se debera contar con polticas, procedimientos y controlesde transferencia formales para proteger la transferencia deinformacin mediante el uso de todo tipo de instalaciones de
comunicacin.
13.2.2Acuerdos sobretransferencia de informacin
Control: Los acuerdos deberan tener en cuenta la transferenciasegura de informacin del negocio entre la organizacin y las partesexternas.
13.2.3 Mensajera electrnicaControl: Se debera proteger adecuadamente la informacin incluidaen la mensajera electrnica.
13.2.4Acuerdos deconfidencialidad o de nodivulgacin
Control: Se deberan identificar, revisar regularmente y documentarlos requisitos para los acuerdos de confidencialidad o no divulgacinque reflejen las necesidades de la organizacin para la proteccin dela informacin.
14Adquisicin, desarrollo ymantenimientos de sistemas
14.1.1Requisitos de seguridad delos sistemas de informacin
Objetivo: Asegurar que la seguridad de la informacin sea una parteintegral de los sistemas de informacin durante todo el ciclo de vida.Esto incluye tambin los requisitos para sistemas de informacin queprestan servicios en redes pblicas.
14.1.1Anlisis y especificacin derequisitos de seguridad de lainformacin
Control: Los requisitos relacionados con seguridad de la informacinse deberan incluir en los requisitos para nuevos sistemas deinformacin o para mejoras a los sistemas de informacin existentes.
14.1.2Seguridad de servicios delas aplicaciones en redespublicas
Control: La informacin involucrada en los servicios de aplicacionesque pasan sobre redes pblicas se debera proteger de actividadesfraudulentas, disputas contractuales y divulgacin y modificacin noautorizadas.
14.1.3Proteccin de transaccionesde los servicios de lasaplicaciones
Control: La informacin involucrada en las transacciones de losservicios de las aplicaciones se debera proteger para evitar latransmisin incompleta, el enrutamiento errado, la alteracin noautorizada de mensajes, la divulgacin no autorizada, y la duplicacino reproduccin de mensajes no autorizada.
14.2Seguridad en los procesosde desarrollo y soporte
Objetivo: Asegurar de que la seguridad de la informacin estdiseada e implementada dentro del ciclo de vida de desarrollo de lossistemas de informacin.
14.2.1 Poltica de desarrollo seguroControl: Se deberan establecer y aplicar reglas para el desarrollo desoftware y de sistemas, a los desarrollos que se dan dentro de la
organizacin.
14.2.2Procedimientos de controlde cambios en sistemas
Control: Los cambios a los sistemas dentro del ciclo de vida dedesarrollo se deberan controlar mediante el uso de procedimientosformales de control de cambios.
14.2.3
Revisin tcnica de lasaplicaciones despus decambios en la plataforma deoperacin
Control: Cuando se cambian las plataformas de operacin, sedeberan revisar las aplicaciones crticas del negocio, y ponerlas aprueba para asegurar que no haya impacto adverso en lasoperaciones o seguridad de la organizacin.
14.2.4Restricciones en loscambios a los paquetes desoftware
Control: Se deberan desalentar las modificaciones a los paquetes desoftware, que se deben limitar a los cambios necesarios, y todos loscambios se deberan controlar estrictamente.
14.2.5Principios de construccinde sistemas seguros
Control: Se deberan establecer, documentar y mantener principiospara la construccin de sistemas seguros, y aplicarlos a cualquieractividad de implementacin de sistemas de informacin.
14.2.6Ambiente de desarrollo
seguro
Control: Las organizaciones deberan establecer y protegeradecuadamente los ambientes de desarrollo seguros para las tareas
de desarrollo e integracin de sistemas que comprendan todo el ciclode vida de desarrollo de sistemas.
14.2.7Desarrollo contratadoexternamente
Control: La organizacin debera supervisar y hacer seguimiento de laactividad de desarrollo de sistemas contratados externamente.
14.2.8Pruebas de seguridad desistemas
Control: Durante el desarrollo se deberan llevar a cabo pruebas defuncionalidad de la seguridad.
14.2.9Prueba de aceptacin desistemas
Control: Para los sistemas de informacin nuevos, actualizaciones ynuevas versiones, se deberan establecer programas de prueba paraaceptacin y criterios de aceptacin relacionados.
14.3 Datos de prueba Objetivo: Asegurar la proteccin de los datos usados para pruebas.
7/23/2019 Articles 5482 Controles
17/18
14.3.1Proteccin de datos deprueba
Control:
Los datos de ensayo se deberan seleccionar, proteger ycontrolar cuidadosamente.
15
Relacin con los
proveedores
15.1Seguridad de la informacinen las relaciones con losproveedores
Objetivo: Asegurar la proteccin de los activos de la organizacin quesean accesibles a los proveedores.
15.1.1Poltica de seguridad de lainformacin para lasrelaciones con proveedores
Control: Los requisitos de seguridad de la informacin para mitigar losriesgos asociados con el acceso de proveedores a los activos de laorganizacin se deberan acordar con estos y se deberandocumentar.
15.1.2Tratamiento de la seguridaddentro de los acuerdos conproveedores
Control: Se deberan establecer y acordar todos los requisitos deseguridad de la informacin pertinentes con cada proveedor quepueda tener acceso, procesar, almacenar, comunicar o suministrarcomponentes de infraestructura de TI para la informacin de laorganizacin.
15.1.3Cadena de suministro detecnologa de informacin ycomunicacin
Control: Los acuerdos con proveedores deberan incluir requisitospara tratar los riesgos de seguridad de la informacin asociados con
la cadena de suministro de productos y servicios de tecnologa deinformacin y comunicacin.
15.2Gestin de la prestacin deservicios con losproveedores
Objetivo: Mantener el nivel acordado de seguridad de la informacin yde prestacin del servicio en lnea con los acuerdos con losproveedores.
15.2.1Seguimiento y revisin delos servicios de losproveedores
Las organizaciones deberan hacer seguimiento, revisar y auditar conregularidad la prestacin de servicios de los proveedores.
15.2.2Gestin de cambios en losservicios de proveedores
Control: Se deberan gestionar los cambios en el suministro deservicios por parte de los proveedores, incluido el mantenimiento y lamejora de las polticas, procedimientos y controles de seguridad de lainformacin existentes , teniendo en cuenta la criticidad de lainformacin, sistemas y procesos del negocio involucrados, y larevaloracin de los riesgos.
16Gestin de incidentes deseguridad de la informacin
16.1 Gestin de incidentes ymejoras en la seguridad dela informacin
Objetivo: Asegurar un enfoque coherente y eficaz para la gestin deincidentes de seguridad de la informacin, incluida la comunicacinsobre eventos de seguridad y debilidades.
16.1.1Responsabilidad yprocedimientos
Control: Se deberan establecer las responsabilidades yprocedimientos de gestin para asegurar una respuesta rpida, eficazy ordenada a los incidentes de seguridad de la informacin.
16.1.2Reporte de eventos deseguridad de la informacin
Control: Los eventos de seguridad de la informacin se deberaninformar a travs de los canales de gestin apropiados, tan prontocomo sea posible.
16.1.3Reporte de debilidades deseguridad de la informacin
Control: Se debera exigir a todos los empleados y contratistas queusan los servicios y sistemas de informacin de la organizacin, queobserven e informen cualquier debilidad de seguridad de lainformacin observada o sospechada en los sistemas o servicios.
16.1.4Evaluacin de eventos deseguridad de la informaciny decisiones sobre ellos
Control: Los eventos de seguridad de la informacin se deberanevaluar y se debera decidir si se van a clasificar como incidentes deseguridad de la informacin.
16.1.5Respuesta a incidentes deseguridad de la informacin
Control: Se debera dar respuesta a los incidentes de seguridad de lainformacin de acuerdo con procedimientos documentados.
16.1.6Aprendizaje obtenido de losincidentes de seguridad dela informacin
Control: El conocimiento adquirido al analizar y resolver incidentes deseguridad de la informacin se debera usar para reducir la posibilidado el impacto de incidentes futuros.
16.1.7 Recoleccin de evidenciaControl: La organizacin debera definir y aplicar procedimientos parala identificacin, recoleccin, adquisicin y preservacin deinformacin que pueda servir como evidencia.
17Aspectos de seguridad de lainformacin de la gestin decontinuidad de negocio
7/23/2019 Articles 5482 Controles
18/18
17.1Continuidad de seguridad dela informacin
Objetivo: La continuidad de seguridad de la informacin se deberaincluir en los sistemas de gestin de la continuidad de negocio de laorganizacin.
17.1.1Planificacin de lacontinuidad de la seguridadde la informacin
Control: La organizacin debera determinar sus requisitos para laseguridad de la informacin y la continuidad de la gestin de la
seguridad de la informacin en situaciones adversas, por ejemplo,durante una crisis o desastre.
17.1.2Implementacin de lacontinuidad de la seguridadde la informacin
Control: La organizacin debera establecer, documentar,implementar y mantener procesos, procedimientos y controles paraasegurar el nivel de continuidad requerido para la seguridad de lainformacin durante una situacin adversa.
17.1.3
Verificacin, revisin yevaluacin de la continuidadde la seguridad de lainformacin
Control: La organizacin debera verificar a intervalos regulares loscontroles de continuidad de la seguridad de la informacinestablecidos e implementados, con el fin de asegurar que son validosy eficaces durante situaciones adversas.
17.2 RedundanciasObjetivo: Asegurar la disponibilidad de instalaciones deprocesamiento de informacin.
17.2.1
Disponibilidad deinstalaciones deprocesamiento deinformacin.
Control: Las instalaciones de procesamiento de informacin sedeberan implementar con redundancia suficiente para cumplir losrequisitos de disponibilidad.
18 Cumplimiento
18.1Cumplimiento de requisitoslegales y contractuales
Objetivo: Evitar el incumplimiento de las obligaciones legales,estatutarias, de reglamentacin o contractuales relacionadas conseguridad de la informacin, y de cualquier requisito de seguridad.
18.1.1Identificacin de lalegislacin aplicable y de losrequisitos contractuales
Control: Todos los requisitos estatutarios, reglamentarios ycontractuales pertinentes, y el enfoque de la organizacin paracumplirlos, se deberan identificar y documentar explcitamente ymantenerlos actualizados para cada sistema de informacin y para laorganizacin.
18.1.2Derechos de propiedadintelectual
Control: Se deberan implementar procedimientos apropiados paraasegurar el cumplimiento de los requisitos legislativos, dereglamentacin y contractuales relacionados con los derechos depropiedad intelectual y el uso de productos de software patentados.
18.1.3 Proteccin de registros
Control: Los registros se deberan proteger contra perdida,destruccin, falsificacin, acceso no autorizado y liberacin noautorizada, de acuerdo con los requisitos legislativos, de
reglamentacin, contractuales y de negocio.18.1.4
Privacidad y proteccin dedatos personales
Control: Cuando sea aplicable, se deberan asegurar la privacidad y laproteccin de la informacin de datos personales, como se exige en lalegislacin y la reglamentacin pertinentes.
18.1.5Reglamentacin decontroles criptogrficos
Control: Se deberan usar controles criptogrficos, en cumplimiento detodos los acuerdos, legislacin y reglamentacin pertinentes.
18.2Revisiones de seguridad dela informacin
Objetivo: Asegurar que la seguridad de la informacin se implementey opere de acuerdo con las polticas y procedimientosorganizacionales.
18.2.1Revisin independiente de laseguridad de la informacin
Control: El enfoque de la organizacin para la gestin de la seguridadde la informacin y su implementacin (es decir, los objetivos decontrol, los controles, las polticas, los procesos y los procedimientospara seguridad de la informacin) se deberan revisarindependientemente a intervalos planificados o cuando ocurrancambios significativos.
18.2.2
Cumplimiento con las
polticas y normas deseguridad
Control: Los directores deberan revisar con regularidad elcumplimiento del procesamiento y procedimientos de informacindentro de su rea de responsabilidad, con las polticas y normas deseguridad apropiadas, y cualquier otro requisito de seguridad.
18.2.3Revisin del cumplimientotcnico
Control: Los sistemas de informacin se deberan revisarperidicamente para determinar el cumplimiento con las polticas ynormas de seguridad de la informacin.