EJERCICIO
EJERCICIO
POLITICAS DE SEGURIDAD DE
AD.1 Responsable de SI
LA INFORMACIÓN
Documento de la política de
AD.1.1 Responsable de SI seguridad y privacidad de la
Información
ORGANIZACIÓN DE LA
A2 Responsable de SI SEGURIDAD DE LA
INFORMACIÓN
Seguridad de la información
AD.2.1.5 Responsable de SI
en la gestión de proyectos
Dispositivos Móviles y
AD.2.2 Responsable de SI Teletrabajo
Política para dispositivos
AD.2.2.1 Responsable de SI
móviles
AD.2.2.2 Responsable de TICs Teletrabajo
Terminación y cambio de
AD.3.3 Responsable de SI
empleo
AD.5.1.3 Responsable de SI Terminación o cambio de
responsabilidades de empleo
GESTIÓN DE ACTIVOS
AD.4 Responsable de SI GESTIÓN DE ACTIVOS
Responsabilidad de los
AD.4.1 Responsable de SI
activos
AD.4.1.1 Responsable de SI Inventario de activos
AD.4.1.2 Responsable de SI Propiedad de los activos
ASPECTOS DE SEGURIDAD DE
LA INFORMACIÓN DE LA
AD.5 Responsable de la Continuidad
GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO
CUMPLIMIENTO
Responsable de SI/Responsable de
AD.6 CUMPLIMIENTO
TICs/Control Interno
Cumplimiento de requisitos
AD.6.1 Responsable de SI
legales y contractuales
Identificación de la legislación
AD.6.1.1 Responsable de SI aplicable y de los requisitos
contractuales.
Derechos de propiedad
AD.6.1.2 Responsable de TICs
intelectual.
AD.6.1.3 Responsable de SI Protección de registros.
Protección de los datos y
privacidad de la información
AD.6.1.4 Responsable de SI
relacionada con los datos
personales.
Reglamentación de controles
AD.6.1.5 n/a
criptográficos.
Revisiones de seguridad de la
AD.6.2 Control interno
información
Revisión independiente de la
AD.6.2.1 Control interno
seguridad de la información
Cumplimiento con las
AD.6.2.2 Control interno políticas y normas de
seguridad.
Revisión de cumplimiento
AD.6.2.3 Responsable de SI
técnico.
La seguridad de la información
se debe integrar al(los)
método(s) de gestión de
proyectos de la organización,
para asegurar que los riesgos de
seguridad de la información se
identifiquen y traten como PR.IP-2
parte de un proyecto. Esto se A.6.1.5
aplica generalmente a cualquier
proyecto, independientemente
de su naturaleza, por ejemplo,
un proyecto para un proceso
del negocio principal, TI, gestión
de instalaciones y otros
procesos de soporte.
A.7
A.8
Identificar los activos
organizacionales y definir las Modelo de Madurez
A.8.1
responsabilidades de Gestionado
protección apropiadas.
Se deben identificar los activos
asociados con la información y
las instalaciones de Componente Planificación ID AM-1
A.8.1.1 ID AM-2
procesamiento de información, Modelo de madurez inicial
ID.AM-5
y se debe elaborar y mantener
un inventario de estos activos.
Los activos mantenidos en el ID AM-1
inventario deben tener un A.8.1.2
ID AM-2
propietario.
Se deben identificar,
documentar e implementar
reglas para el uso aceptable de
información y de activos A.8.1.3
asociados con información e
instalaciones de procesamiento
de información.
Todos los empleados y usuarios
de partes externas deben
devolver todos los activos de la
A.8.1.4 PR.IP-11
organización que se encuentren
a su cargo, al terminar su
empleo, contrato o acuerdo.
Evitar la divulgación, la
modificación, el retiro o la
destrucción no autorizados de A.8.3
la información almacenada en
los medios.
PR.DS-3
A.8.3.1 PR.IP-6
PR.PT-2
A.8.3.2 PR.DS-3
PR.IP-6
PR.DS-3
A.8.3.3
PR.PT-2
A.17
La continuidad de la seguridad
de la información debe incluir
en los sistemas de gestión de la A.17.1
continuidad del negocio de la
Entidad.
Modelo de Madurez ID.BE-5
A.17.1.1
Gestionado PR.IP-9
La organización debe
establecer, documentar,
implementar y mantener
ID.BE-5
procesos, procedimientos y PR.IP-4
controles para garantizar el A.17.1.2 Modelo de Madurez Definido
PR.IP-9
nivel necesario de continuidad
para la seguridad de la PR.IP-9
información durante una
situación adversa,
Modelo de Madurez PR.IP-4
A.17.1.3
Optimizado PR.IP-10
Asegurar la disponibilidad de
las instalaciones de
A.17.2
procesamiento de la
información.
A.17.2.1 ID.BE-5
A.18
A.18.1.2
Se deben proteger los registros
importantes de una
organización de pérdida,
destrucción y falsificación, en
A.18.1.3 PR.IP-4
concordancia con los
requerimientos estatutarios,
reguladores, contractuales y
comerciales
Se deben asegurar la protección
y privacidad de la información
personal tal como se requiere
en la legislación relevante, las A.18.1.4 DE.DP-2
regulaciones y, si fuese
aplicable, las cláusulas
contractuales.
A.18.1.5
Modelo de Madurez
A.18.2 Gestionado
Cuantitativamente
A.18.2.1
Asegurar el cumplimiento de los
sistemas con las políticas y
A.18.2.2 PR.IP-12
estándares de seguridad
organizacional.
Los sistemas de información
deben chequearse
regularmente para el
A.18.2.3 ID.RA-1
cumplimiento con los
estándares de implementación
de la seguridad.
A.15
Asegurar la protección de los
activos de la entidad que sean A.15.1 Modelo de Madurez Definido
accesibles para los proveedores
Mantener el nivel acordado de
seguridad de la información y
de prestación del servicio en A.15.2 Modelo de Madurez Definido
línea con los acuerdos con los
proveedores
NIVEL DE
CUMPLI
PRUEBA EVIDENCI BRECHA MIENTO
RECOMENDACIÓN
A ANEXO A
ISO
27001
20
para manejar
las
desviaciones y
las
excepciones.
Indague sobre
los 20
responsables
designados
formalmente
por la dirección
para
desarrollar,
actualizar y
revisar las
políticas.
Verifique cada
cuanto o bajo
que 60
circunstancias
se revisan y
actualizan,
verifique la
ultima fecha de
emisión de la
#DIV/0!
20
detección de
incidentes
Solicite el acto
administrativo
a través del
cual se crea o
se modifica las
funciones del
comité gestión
institucional (o
e que haga sus
veces), en
donde se
incluyan los
temas de
seguridad de la
información en
la entidad,
revisado y
aprobado por
la alta
Dirección.
Revise la
estructura del 20
SGSI:
1) Tiene el SGSI
suficiente
apoyo de la
alta dirección?,
esto se ve
reflejado en
comités donde
se discutan
temas como la
política de SI,
los riesgos o
incidentes.
2) Están
claramente
definidos los
roles y
responsabilida
des y asignados
a personal con
las
competencias
requeridas?,
Indague como
evitan que una
persona pueda
acceder,
modificar o
usar activos sin
autorización ni
detección. La
mejor práctica
dicta que el
inicio de un
evento deber
estar separado
de su
autorización. Al
diseñar los
controles se
debería
considerar la
posibilidad de
confabulación.
Tenga en 20
cuenta que
para las
organizaciones
pequeñas la
separación de
deberes puede
ser difícil de
lograr, en estos
casos se deben
considerar
controles
compensatorio
s como revisión
periódica de,
los rastros de
auditoría y la
supervisión de
cargos
superiores.
Solicite los
procedimiento
s establecidos
que
especifiquen
cuándo y a
través de que
autoridades se
debería
contactar a las
autoridades, 20
verifique si de
acuerdo a
estos
procedimiento
s se han
reportado
eventos o
incidentes de SI
de forma
consistente.
Pregunte sobre
las
membrecías en
grupos o foros
de interés
especial en
seguridad de la
información en 40
los que se
encuentran
inscritos las
personas
responsables
de la SI.
de seguridad
de la
información se
identifiquen y
traten como
parte del
proyecto.
Tenga en
cuenta que
esto no
solamente
aplica para
proyectos de
TI, por ejemplo
puede aplicar
en proyectos
de traslado de
activos de
información,
gestión de
instalaciones,
personal en
outsourcing
que soporta 60
procesos de la
organización.
Las mejores
prácticas
sugieren:
a) Que los
objetivos de la
seguridad de la
información se
incluyan en los
objetivos del
proyecto;
b) Que la
valoración de
los riesgos de
seguridad de la
información se
lleve a cabo en
una etapa
temprana del
proyecto, para
identificar los
20
las versiones
de software de
dispositivos
móviles y para
aplicar
parches;
e) la restricción
de la conexión
a servicios de
información;
f) los controles
de acceso;
g) técnicas
criptográficas;
h) protección
contra
software
malicioso;
i) des
habilitación
remota,
borrado o
cierre;
j) copias de 20
respaldo;
k) uso de
servicios y
aplicaciones
web.
Cuando la
política de
dispositivos
móviles
permite el uso
de dispositivos
móviles de
propiedad
personal, la
política y las
medidas de
seguridad
relacionadas
también deben
considerar:
a) la separación
entre el uso
interno;
c) el suministro
de acceso al
escritorio
virtual, que
impide el
procesamiento
y
almacenamient
o de
información en
equipo de
propiedad
privada;
d) la amenaza
de acceso no
autorizado a
información o a
recursos, por
parte de otras
personas que
usan el mismo
equipo, por
ejemplo, 20
familia y
amigos;
e) el uso de
redes
domésticas y
requisitos o
restricciones
sobre la
configuración
de servicios de
red
inalámbrica;
e) acuerdos de
licenciamiento
de software de
tal forma que
las
organizaciones
puedan llegar a
ser
responsables
por el
licenciamiento
#DIV/0!
40
desempeñar el
rol de
seguridad;
e) sea confiable
para
desempeñar el
rol,
especialmente
si es crítico
para la
organización.
f) Cuando un
trabajo, ya sea
una asignación
o una
promoción,
implique que la
persona tenga
acceso a las
instalaciones
de
procesamiento
de
información, y 80
en particular, si
ahí se maneja
información
confidencial,
por ejemplo,
información
financiera o
información
muy
confidencial, la
organización
debería
también
considerar
verificaciones
adicionales
más detalladas
(por ejemplo
estudio de
seguridad,
polígrafo, visita
domiciliaria)
60
y contratistas:
a) Estén
debidamente
informados
sobre sus roles
y
responsabilida
des de
seguridad de la
información,
antes de que se
les otorgue el
acceso a
información o
sistemas de
información
confidenciales.
b) Se les
suministren las
directrices que
establecen las
expectativas de
seguridad de la
información de 60
sus roles
dentro de la
Entidad.
c) Logren un
nivel de toma
de conciencia
sobre
seguridad de la
información
pertinente a
sus roles y
responsabilida
des dentro de
la organización
y estén
motivados para
cumplir con las
políticas.
d) Tengan
continuamente
las habilidades
y calificaciones
por la alta
Dirección
c) Verifique
que nuevos
empleados y
contratistas
son objeto de
sensibilización
en SI.
d) Indague
cada cuanto o
con que
criterios se
actualizan los
programas de
toma de
conciencia.
e) Verifique
que en las
evidencias se
puede
establecer los
asistentes al
programa y el 60
tema
impartido.
f) Incluir en los
temas de toma
de conciencia
los
procedimiento
s básicos de
seguridad de la
información
(tales como el
reporte de
incidentes de
seguridad de la
información) y
los controles
de línea base
(tales como la
seguridad de
las
contraseñas,
los controles
del software
Pregunte cual
es el proceso
disciplinario
que se sigue
cuando se
verifica que ha
ocurrido una
violación a la 60
seguridad de la
información,
quien y como
se determina la
sanción al
infractor?
80
Revisar los
acuerdos de
confidencialida
d, verificando
que deben
acordar que
después de
terminada la 80
relación laboral
o contrato
seguirán
vigentes por un
periodo de
tiempo.
#DIV/0!
65
importancia
del activo
3) Que señale
el propietario
del activo
Indague
quien(es)
el(los)
encargado(s)
de actualizar y
revisar el
inventario de
activos y cada
cuanto se
realiza esta
revisión.
De acuerdo a
NIST se deben
considerar
como activos el
personal,
dispositivos,
sistemas e
instalaciones 80
físicas que
permiten a la
entidad
cumplir con su
misión y
objetivos, dada
su importancia
y riesgos
estratégicos.
Tenga en
cuenta para la
calificación:
1) Si Se
identifican en
forma general
los activos de
información de
la Entidad,
están en 40.
2) Si se cuenta
con un
inventario de
activos de
cuenta que la
propiedad se
debería asignar
cuando los
activos se
crean o cuando
son entregados
a la Entidad.
De acuerdo a
las mejores
prácticas el
propietario de
los activos
(individuo o
entidad, que es
responsable
por el activo)
tiene las
siguientes
responsabilida
des:
a) asegurarse
de que los
activos están 60
inventariados;
b) asegurarse
de que los
activos están
clasificados y
protegidos
apropiadament
e;
c) definir y
revisar
periódicament
e las
restricciones y
clasificaciones
de acceso a
activos
importantes,
teniendo en
cuenta las
políticas de
control de
acceso
Pregunte por la
política,
procedimiento,
directriz o
lineamiento
que defina el
uso aceptable
de los activos,
verifique que
es conocida 60
por los
empleados y
usuarios de
partes externas
que usan
activos de la
Entidad o
tienen acceso a
ellos.
información
(equipos,
llaves,
documentos ,
datos,
sistemas) , las
llaves físicas y
de cifrado, la
eliminación de
los derechos de
acceso, etc. En
caso de que un
funcionario o
tercero sea el
dueño del
activo indague
como se
asegura la
transferencia
de la
información a
la Entidad y el
borrado seguro
de la 60
información de
la Entidad.
En caso en que
un empleado o
usuario de una
parte externa
posea
conocimientos
que son
importantes
para las
operaciones
regulares, esa
información se
debería
documentar y
transferir a la
Entidad.
Durante el
período de
notificación de
la terminación,
la Entidad
80
cual se
clasifican los
activos de
información y
evalué:
1) Que las
convenciones y
criterios de
clasificación
sean claros y
estén
documentados
2) Que se
defina cada
cuanto debe
revisarse la
clasificación de
un activo
3) La
clasificación
debería
valorarse
analizando la
confidencialida 80
d, integridad y
disponibilidad.
Solicite
muestras de
inventarios de
activos de
información
clasificados y
evalué que se
aplican las
políticas y
procedimiento
s de
clasificación
definidos.
Evalué si los
procesos
seleccionados
aplican de
manera
consistente
estas políticas y
Solicite el
procedimiento
para el
etiquetado de
la información
y evalúe:
1) Aplica a
activos en
formatos
físicos y
electrónicos
(etiquetas
físicas,
metadatos)
2) Que refleje
el esquema de
clasificación
establecido 80
3) Que las
etiquetas se
puedan
reconocer
fácilmente
4) Que los
empleados y
contratistas
conocen el
procedimiento
de etiquetado
Revise en una
muestra de
activos el
correcto
etiquetado
con su
clasificación.
De acuerdo a
las mejores
prácticas
evidencie si se
han
considerado los
siguientes
asuntos:
a) Restricciones
de acceso que
soportan los
requisitos de
protección
para cada nivel
de
clasificación;
b) Registro
formal de los
receptores
autorizados de
los activos;
c) Protección 80
de copias de
información
temporal o
permanente a
un nivel
coherente con
la protección
de la
información
original;
d)
Almacenamien
to de los
activos de TI de
acuerdo con las
especificacione
s de los
fabricantes;
e) Marcado
claro de todas
las copias de
medios para la
60
de forma que
no sea
recuperable;
b) cuando
resulte
necesario y
práctico, se
debe solicitar
autorización
para retirar los
medios de la
organización, y
se debe llevar
un registro de
dichos retiros
con el fin de
mantener un
rastro de
auditoría;
d) si la
confidencialida
d o integridad
de los datos se
consideran 60
importantes, se
deben usar
técnicas
criptográficas
para proteger
los datos que
se encuentran
en los medios
removibles;
f) se deben
guardar varias
copias de los
datos valiosos
en medios
separados,
para reducir
aún más el
riesgo de daño
o pérdida
casuales de los
datos;
h) sólo se
deben habilitar
Solicite los
procedimiento
s existentes
para garantizar
que los medios
a desechar o
donar, no
contienen
información
confidencial
que pueda ser
consultada y 60
copiada por
personas no
autorizadas.
Verifique si se
ha realizado
esta actividad y
si existen
registros de la
misma.
servicios de
mensajería
confiables.
b)
Procedimientos
para verificar la
identificación
de los servicios
de mensajería.
c) Indague y
evidencie
como es el
embalaje el
cual debe
proteger el
contenido
contra
cualquier daño
físico que
pudiera
presentarse
durante el
tránsito, y de
acuerdo con las 60
especificacione
s de los
fabricantes,
por ejemplo,
protección
contra
cualquier
factor
ambiental que
pueda reducir
la eficacia de la
restauración
del medio, tal
como
exposición al
calor, humedad
o campos
electromagnéti
cos;
d) Solicite los
registros que
dejen
evidencia del
#DIV/0!
73
recuperación
de desastres, la
dirección de
seguridad de la
información
debería
suponer que
los requisitos
de seguridad
de la
información
siguen siendo
los mismos en
situaciones
adversas, en
comparación
con las
condiciones
operacionales
normales.
Como
alternativa,
una
organización 60
puede llevar a
cabo un
análisis de
impacto en el
negocio de los
aspectos de
seguridad de la
información,
para
determinar los
requisitos de
seguridad de la
información
aplicables a
situaciones
adversas.
De acuerdo a la
NIST también
se deben tener
planes de
respuesta a
incidentes y
recuperación
respuesta a
incidentes con
la
responsabilida
d, autoridad y
competencia
necesarias para
manejar un
incidente y
mantener la
seguridad de la
información.
c) Planes
aprobados,
procedimiento
s de respuesta
y recuperación
documentados,
en los que se
especifique en
detalle como la
organización
gestionará un
evento 80
contingente y
mantendrá su
seguridad de la
información en
un límite
predeterminad
o, con base en
los objetivos de
continuidad de
seguridad de la
información
aprobados por
la dirección.
Revise si los
controles de
seguridad de la
información
que se han
implementado
continúan
operando
durante un
la realización
de pruebas de
la
funcionalidad
de los
procesos,
procedimiento
s y controles de
continuidad de
la seguridad de
la información,
para asegurar
que son
coherentes con
los objetivos de
continuidad de
la seguridad de
la información;
Tenga en
cuenta que la
verificación de
los controles
de continuidad 80
de la seguridad
de la
información es
diferente de las
pruebas y
verificación
generales de
seguridad de la
información. Si
es posible, es
preferible
integrar la
verificación de
los controles
de continuidad
de negocio de
seguridad de la
información
con las pruebas
de
recuperación
de desastres y
de continuidad
80
Verifique si la
Entidad cuenta
con
arquitecturas
redundantes,
ya sea un
centro de
cómputo
principal y otro
alterno o
componentes
redundantes
en el único
centro de
cómputo.
Indague como
se han definido
las necesidades
de los procesos
para 80
seleccionar que
elementos
deben ser
redundantes.
Solicite si
aplica las
pruebas
aplicadas para
asegurar que
un
componente
redundante
funciona de la
forma prevista
durante una
emergencia o
falla.
#DIV/0!
De acuerdo a
la NIST: Los
requerimiento
s legales y
regulatorios
respecto de la
ciberseguridad
, incluyendo la 80
privacidad y
las libertades y
obligaciones
civiles, son
entendidos y
gestionados.
Solicite la
relación de
requisitos
legales,
reglamentarios
, estatutarios,
que le aplican a
la Entidad
(Normograma).
Indague si 80
existe un
responsable de
identificarlos y
se definen los
responsables
para su
cumplimiento.
software
patentados.
2) Verifique si
la Entidad
cuenta con una
política
publicada
sobre el
cumplimiento
de derechos de
propiedad
intelectual que
defina el uso
legal del
software y de
productos
informáticos.
Esta política
debe estar
orientada no
solo al
software, si no
también a
documentos 80
gráficos, libros,
etc.
3) Indague
como se
controla que
no se instale
software ilegal.
4) Indague si se
tiene un
inventario de
software
instalado y se
compara con el
número de
licencias
adquiridas para
asegurar que
no se
incumplen los
derechos de
propiedad
intelectual.
Revise si la
Entidad cuenta
con tablas de
retención
documental
que
especifiquen
los registros y
el periodo por
el cual se
deberían
retener,
además del
almacenamient
o, manejo y
destrucción.
Posibles tipos
de registros
pueden ser
registros
contables, 80
registros de
bases de datos,
logs de
transacciones,
logs de
auditoría y
procedimiento
s
operacionales,
los medios de
almacenamient
o permitidos
pueden ser
papel,
microfichas,
medios
magnéticos,
medios ópticos
etc.
Indague sobre
las
disposiciones
que ha definido
la Entidad para
cumplir con la
legislación de
privacidad de
los datos
personales, ley
estatutaria
1581 de 2012 y
decreto 1377
que
reglamenta la
ley de 2013.
1) Revise si
existe una
política para
cumplir con la
ley
2) Si están
definidos los
responsables 80
3) Si se tienen
identificados
los repositorios
de datos
personales
4) Si se ha
solicitado
consentimiento
al titular para
tratar los datos
personales y se
guarda registro
de este hecho.
5) Si se
adoptan las
medidas
técnicas
necesarias para
proteger las
bases de datos
donde reposan
estos datos.
n/a n/a
80
Investigue la
forma como se
realizan
revisiones
independientes
(por personas
diferentes o no
vinculadas a un
proceso o área
que se revisa),
de la
conveniencia,
la adecuación y
la eficacia
continuas de la
gestionar la
seguridad de la
información. 80
Para esto
solicite:
1) El plan de
auditorías del
año 2015
2) El resultado
de las
auditorías del
año 2015
3) Las
oportunidades
de mejora o
cambios en la
seguridad de la
información
identificados.
1) Verifique si
los gerentes
aseguran que
todos los
procedimiento
s de seguridad
dentro de su
área de
responsabilida
d se llevan a
cabo
correctamente
para lograr el
cumplimiento
de las políticas
y estándares
de seguridad.
2) Verifique la
revisión
periódica del
cumplimiento 80
del centro de
cómputo con
las políticas y
normas de
seguridad
establecidas.
3) Verifique si
los sistemas de
información
son revisados
regularmente
para asegurar
el
cumplimiento
de las normas
de seguridad
de la
información
Verifique si se
realizan
evaluaciones
de seguridad
técnicas por o
bajo la
supervisión de
personal
autorizado,
apoyado en
herramientas
automáticas o
con revisiones
manuales
realizadas por 80
especialistas.
Solicite
evidencia de
las últimas
pruebas
realizadas, sus
resultados y
seguimiento
para asegurar
que las brechas
de seguridad
fueron
solucionadas.
#DIV/0!
proveedores
con acceso a
los activos de
información
(no
necesariament
e son
proveedores
de tecnología
de la
información,
por ejemplo
pueden ser
proveedores
que tengan por
ejemplo un
proceso de
nomina en
outsourcing),
se hayan
suscrito
acuerdos (ANS)
formales
donde se 80
establezcan y
acuerden todos
los requisitos
de seguridad
de la
información
pertinentes
con cada
proveedor.
3) Verifique
para los
proveedores si
se tiene en
cuenta los
riesgos de SI
asociados a la
cadena de
suministro, por
ejemplo para
los
proveedores
en la nube es
muy común
seleccionada,
como la
entidad hace
seguimiento,
revisa y audita
con regularidad
de acuerdo a la
política la
prestación de
servicios de los
proveedores y
el
cumplimiento
de los
compromisos
respecto a la
seguridad de la
información.
2) Indague y
evidencie
como se
gestionan los
cambios en el
suministro de 80
servicios por
parte de los
proveedores,
incluido el
mantenimiento
y la mejora de
las políticas,
procedimiento
s y controles de
seguridad de la
información
existentes ,
teniendo en
cuenta la
criticidad de la
información,
sistemas y
procesos del
negocio
involucrados,
los incidentes
de seguridad
ID/ITEM CARGO ITEM DESCRIPCIÓN ISO MSPI
CONTROL DE ACCESO
Responsabl
e de CONTROL Componente planificación y modelo de
T.1 A.9
SI/Responsa DE ACCESO madurez nivel gestionado
ble de TICs
Se debe
REQUISITOS limitar el
DEL acceso a
T.1.1 Responsable NEGOCIO información A.9.1 Modelo de madurez definido
de SI PARA ya
CONTROL instalacione
DE ACCESO s de
procesamie
nto de
información
.
Se debe
establecer,
documentar
y revisar una
política de
control de
Responsable Política de acceso con
T.1.1.1 control de A.9.1.1
de SI base en los
acceso
requisitos
del negocio
y de
seguridad
de la
información.
Se debe
permitir
acceso de
los usuarios
Acceso a a la red y a
Responsable redes y a los servicios
T.1.1.2 A.9.1.2
de TICs servicios en de red para
red los que
hayan sido
autorizados
específicam
ente.
Se debe
asegurar el
acceso de
los usuarios
GESTIÓN DE
Responsable ACCESO DE autorizados Modelo de madurez gestionado
T.1.2 A.9.2
de SI
USUARIOS y evitar el
cuantitativamente
acceso no
autorizado a
sistemas y
servicios.
Se debe
implementa
r un proceso
formal de
registro y de
Registro y cancelación
Responsable cancelación de registro
T.1.2.1 A.9.2.1
de SI del registro de usuarios,
de usuarios para
posibilitar la
asignación
de los
derechos de
acceso.
Se debe
implementa
r un proceso
de
suministro
de acceso
formal de
Responsable Suministro usuarios
T.1.2.2 de acceso para asignar A.9.2.2
de SI
de usuarios o revocar
los derechos
de acceso a
todo tipo de
usuarios
para todos
los sistemas
y servicios.
Se debe
restringir y
Gestión de controlar la
Responsable derechos de asignación y
T.1.2.3 A.9.2.3
de SI acceso uso de
privilegiado derechos de
acceso
privilegiado.
La
asignación
de
información
Gestión de de
información autenticació
Responsable de n secreta se
T.1.2.4 A.9.2.4
de SI autenticació debe
n secreta de controlar
usuarios por medio
de un
proceso de
gestión
formal.
Los
propietarios
de los
activos
Revisión de
Responsable los derechos deben
T.1.2.5 revisar los A.9.2.5
de SI de acceso derechos de
de usuarios acceso de
los usuarios,
a intervalos
regulares.
Los
derechos de
acceso de
todos los
empleados y
de usuarios
externos a
la
información
y a las
instalacione
Retiro o s de
Responsable ajuste de los procesamie
T.1.2.6 A.9.2.6
de SI derechos de nto de
acceso información
se deben
retirar al
terminar su
empleo,
contrato o
acuerdo, o
se deben
ajustar
cuando se
hagan
cambios.
Hacer que
los usuarios
rindan
RESPONSAB cuentas por
la
Responsabl ILIDADES DE
T.1.3 salvaguarda A.9.3 Modelo de madurez definido
e de SI LOS
USUARIOS de su
información
de
autenticació
n.
Se debe
exigir a los
usuarios que
cumplan las
Uso de prácticas de
Responsable información la
T.1.3.1 de organización A.9.3.1
de SI
autenticació para el uso
n secreta de
información
de
autenticació
n secreta.
Se debe
CONTROL
evitar el
DE ACCESO
Responsable A SISTEMAS acceso no Modelo de madurez gestionado
T.1.4 autorizado a A.9.4
de SI Y cuantitativamente
sistemas y
APLICACION aplicaciones
ES .
El acceso a
la
información
y a las
funciones
de los
Restricción
Responsable de acceso a sistemas de
T.1.4.1 las A.9.4.1
de SI la
aplicaciones
información se debería
restringir de
acuerdo con
la política de
control de
acceso.
Cuando lo
requiere la
política de
control de
acceso, el
Procedimien acceso a
Responsable to de sistemas y
T.1.4.2 A.9.4.2
de SI ingreso aplicaciones
seguro se debe
controlar
mediante un
proceso de
ingreso
seguro.
Los sistemas
de gestión
de
contraseñas
Responsable Sistema de deben ser
T.1.4.3 gestión de interactivos A.9.4.3
de TICs
contraseñas y deben
asegurar la
calidad de
las
contraseñas.
Se debe
restringir y
controlar
estrictamen
te el uso de
programas
utilitarios
Uso de
Responsable programas que
T.1.4.4 pudieran A.9.4.4
de TICs utilitarios
tener
privilegiados capacidad
de anular el
sistema y los
controles de
las
aplicaciones
.
Se debe
Control de restringir el
Responsable acceso a acceso a los
T.1.4.5 códigos códigos A.9.4.5
de TICs
fuente de fuente de
programas los
programas.
CRIPTOGRAFÍA
Marco de
referencia
de gestión
para iniciar
y controlar
la
implementa
ción y la
operación
de la
seguridad
Responsabl CRIPTOGRA de la
T.2 A.10
e de SI FÍA información
dentro de la
organizació
n
Garantizar
la seguridad
del
teletrabajo
y el uso de
los
dispositivos
móviles
Asegurar el
uso
apropiado y
eficaz de la
criptografía
para
CONTROLES proteger la
Responsabl Modelo de madurez gestionado
T.2.1 CRIPTOGRÁ confidencial A.10.1
e de SI cuantitativamente
FICOS idad, la
autenticida
d y/o la
integridad
de la
información
.
Se debe
desarrollar e
implementa
r una
Política
política
Responsable sobre el uso sobre el uso
T.2.1.1 de controles A.10.1.1
de SI
criptográfico de controles
s criptográfico
s para la
protección
de la
información.
Se debe
desarrollar e
implementa
r una
política
sobre el uso,
Responsable Gestión de protección y
T.2.1.2 A.10.1.2
de SI llaves tiempo de
vida de las
llaves
criptográfica
s durante
todo su ciclo
de vida.
Responsabl
e de la
seguridad
SEGURIDAD
física/Respo FÍSICA Y DEL
T.3 A.11
nsable de ENTORNO
SI/Líderes
de los
procesos
Prevenir el
acceso físico
no
autorizado,
el daño y la
interferenci
a a la
Responsabl
e de la ÁREAS información
T.3.1 y a las A.11.1 Modelo de madurez definido
seguridad SEGURAS
instalacione
física
s de
procesamie
nto de
información
de la
organizació
n.
Se debe
definir y
usar
perímetros
de
seguridad, y
usarlos para
Responsable Perímetro
proteger
de la de
T.3.1.1 seguridad seguridad áreas que A.11.1.1
física física contengan
información
sensible o
crítica, e
instalacione
s de manejo
de
información.
Las áreas
seguras se
deben
proteger
mediante
controles de
entrada
Responsable Controles apropiados
T.3.1.2 físicos de A.11.1.2
de SI para
entrada
asegurar
que
solamente
se permite
el acceso a
personal
autorizado.
Se debe
diseñar y
Seguridad aplicar
Líderes de de oficinas, seguridad
T.3.1.3 recintos e física a A.11.1.3
los procesos instalacione oficinas,
s recintos e
instalacione
s.
Se debe
diseñar y
aplicar
Protección
protección
contra
Responsable amenazas física contra
T.3.1.4 A.11.1.4
de SI
externas y desastres
ambientales naturales,
ataques
maliciosos o
accidentes.
Se debe
diseñar y
aplicar
Responsable Trabajo en procedimien
T.3.1.5 áreas A.11.1.5 Componente planeación
de SI tos para
seguras
trabajo en
áreas
seguras.
Se debe
controlar los
puntos de
acceso tales
como áreas
de despacho
y de carga, y
otros puntos
en donde
pueden
entrar
Responsable
de la Áreas de personas no
T.3.1.6 despacho y autorizadas, A.11.1.6
seguridad carga
y si es
física posible,
aislarlos de
las
instalacione
s de
procesamie
nto de
información
para evitar
el acceso no
autorizado.
Prevenir la
pérdida,
daño, robo
o
compromiso
Responsabl de activos, y
T.3.2 EQUIPOS la A.11.2 Modelo de madurez definido
e de SI
interrupción
de las
operaciones
de la
organizació
n.
Los equipos
deben estar
ubicados y
protegidos
para reducir
los riesgos
Ubicación y
Responsable protección de
T.3.2.1 amenazas y A.11.2.1
de SI de los
peligros del
equipos entorno, y
las
oportunidad
es para
acceso no
autorizado.
Los equipos
se deben
proteger
contra fallas
de energía y
Responsable Servicios de otras
T.3.2.2 A.11.2.2
de TICs suministro interrupcion
es causadas
por fallas en
los servicios
de
suministro.
El cableado
de potencia
y de
telecomunic
aciones que
porta datos
o soporta
Responsable Seguridad servicios de
T.3.2.3 A.11.2.3
de TICs del cableado información
deben estar
protegido
contra
interceptaci
ón,
interferenci
a o daño.
Los equipos
se deben
mantener
correctame
Responsable Mantenimie nte para
T.3.2.4 nto de A.11.2.4
de TICs asegurar su
equipos
disponibilida
de
integridad
continuas.
Los equipos,
información
o software
Responsable Retiro de no se deben
T.3.2.5 A.11.2.5
de TICs activos retirar de su
sitio sin
autorización
previa.
Se debe
aplicar
medidas de
seguridad a
los activos
que se
encuentran
fuera de las
Seguridad
instalacione
de equipos y
Responsable activos s de la
T.3.2.6 organización A.11.2.6
de SI fuera de las , teniendo
instalacione en cuenta
s los
diferentes
riesgos de
trabajar
fuera de
dichas
instalacione
s.
Se debe
verificar
todos los
elementos
de equipos
que
contengan
medios de
almacenami
ento, para
asegurar
Disposición
Responsable segura o que
T.3.2.7 cualquier A.11.2.7
de TICs reutilización dato
de equipos sensible o
software
con licencia
haya sido
retirado o
sobrescrito
en forma
segura antes
de su
disposición
o reusó.
Los usuarios
deben
asegurarse
Equipos de
Responsable usuario de que a los
T.3.2.8 equipos A.11.2.8
de SI desatendido desatendido
s s se les dé
protección
apropiada.
Se debe
adoptar una
política de
escritorio
limpio para
los papeles
y medios de
Política de almacenami
Responsable escritorio ento
T.3.2.9 limpio y removibles, A.11.2.9
de SI
pantalla y una
limpia política de
pantalla
limpia en las
instalacione
s de
procesamie
nto de
información.
Asegurar las
operaciones
PROCEDIMI correctas y
seguras de
ENTOS
las
Responsabl OPERACION instalacione
T.4.1 A.12.1 Modelo de madurez definido
e de TICs ALES Y
s de
RESPONSAB
procesamie
ILIDADES
nto de
información
.
Los
procedimien
tos de
operación
Procedimien
se deben
Responsabl tos de documentar
T.4.1.1 operación A.12.1.1
e de TICs
documentad y poner a
os disposición
de todos los
usuarios que
los
necesiten.
Se debe
controlar los
cambios en
la
organización
, en los
procesos de
negocio, en
Responsable Gestión de las
T.4.1.2 instalacione A.12.1.2
de TICs cambios
s y en los
sistemas de
procesamie
nto de
información
que afectan
la seguridad
de la
información.
Para
asegurar el
desempeño
requerido
del sistema
se debe
hacer
seguimiento
Responsable Gestión de al uso de los
T.4.1.3 recursos, A.12.1.3
de TICs capacidad
hacer los
ajustes, y
hacer
proyeccione
s de los
requisitos
sobre la
capacidad
futura.
Se debe
separar los
ambientes
de
Separación desarrollo,
de los prueba y
Responsable ambientes operación,
T.4.1.4 de para reducir A.12.1.4
de TICs
desarrollo, los riesgos
pruebas y de acceso o
operación cambios no
autorizados
al ambiente
de
operación.
Asegurarse
de que la
información
y las
instalacione
PROTECCIÓ
N CONTRA s de
Responsabl CÓDIGOS procesamie
T.4.2 A.12.2
e de SI
MALICIOSO nto de
S información
estén
protegidas
contra
códigos
maliciosos.
Se debe
implementa
r controles
de
detección,
de
prevención
y de
recuperació
Controles n,
Responsabl contra combinados
T.4.2.1 A.12.2.1 Modelo de madurez gestionado
e de SI códigos con la toma
maliciosos de
conciencia
apropiada
de los
usuarios,
para
proteger
contra
códigos
maliciosos.
Proteger
Responsabl COPIAS DE contra la
T.4.3 A.12.3 Modelo de madurez gestionado
e de TICs RESPALDO pérdida de
datos.
Se debe
hacer copias
de respaldo
de la
información,
del software
e imágenes
de los
Responsable Respaldo de sistemas, y
T.4.3.1 la A.12.3.1
de TICs
información ponerlas a
prueba
regularment
e de
acuerdo con
una política
de copias de
respaldo
aceptada.
Registrar
Responsable REGISTRO Y eventos y Modelo de madurez gestionado
T.4.4 SEGUIMIEN generar A.12.4
de SI cuantitativamente
TO
evidencia.
Se debe
elaborar,
conservar y
revisar
regularment
e los
registros
Responsable Registro de acerca de Modelo de madurez gestionado
T.4.4.1 A.12.4.1
de SI eventos actividades cuantitativamente
del usuario,
excepciones
, fallas y
eventos de
seguridad
de la
información.
Las
instalacione
s y la
información
Protección
Responsable de la de registro
T.4.4.2 se deben A.12.4.2
de SI información proteger
de registro contra
alteración y
acceso no
autorizado.
Las
actividades
del
administrad
or y del
Registros
operador
del
Responsable administrad del sistema
T.4.4.3 A.12.4.3
de SI se debe
or y del
operador registrar, y
los registros
se deben
proteger y
revisar con
regularidad.
Los relojes
de todos los
sistemas de
procesamie
nto de
información
pertinentes
dentro de
Sincronizaci una
Responsable ón de
T.4.4.4 organización A.12.4.4
de SI
relojes o ámbito de
seguridad se
deben
sincronizar
con una
única fuente
de
referencia
de tiempo.
Asegurar la
CONTROL
integridad
DE
T.4.5 Responsabl SOFTWARE de los A.12.5 Modelo de madurez definido
e de TICs sistemas
OPERACION
AL operacional
es.
Se debe
implementa
r
Instalación procedimien
Responsable de software tos para
T.4.5.1 A.12.5.1
de TICs en sistemas controlar la
operativos instalación
de software
en sistemas
operativos.
Prevenir el
GESTIÓN DE
aprovecham
Responsabl LA iento de las
T.4.6 VULNERABI A.12.6 Modelo de madurez gestionado
e de SI vulnerabilid
LIDAD
TÉCNICA ades
técnicas.
Se debe
obtener
oportuname
nte
información
acerca de
las
vulnerabilid
ades
técnicas de
los sistemas
Gestión de de
Responsable las información
T.4.6.1 vulnerabilid que se usen; A.12.6.1
de SI
ades evaluar la
técnicas exposición
de la
organización
a estas
vulnerabilid
ades, y
tomar las
medidas
apropiadas
para tratar
el riesgo
asociado.
Se debe
establecer e
implementa
Restriccione
r las reglas
Responsable s sobre la
T.4.6.2 para la A.12.6.2
de TICs instalación instalación
de software de software
por parte de
los usuarios.
CONSIDERA Minimizar el
CIONES impacto de
SOBRE las
AUDITORÍA actividades
Responsabl Modelo de madurez gestionado
T.4.7 S DE de auditoría A.12.7
e de TICs cuantitativamente
SISTEMAS sobre los
DE sistemas
INFORMACI operacional
ÓN es.
Los
requisitos y
actividades
de auditoría
que
involucran
la
verificación
Controles de los
sobre sistemas
Responsable auditorías operativos
T.4.7.1 A.12.7.1
de TICs de sistemas se debe
de planificar y
información acordar
cuidadosam
ente para
minimizar
las
interrupcion
es en los
procesos del
negocio.
Las redes se
deben
gestionar y
controlar
Responsable Controles de para
T.5.1.1 proteger la A.13.1.1
de TICs redes
información
en sistemas
y
aplicaciones
.
Se debe
identificar
los
mecanismos
de
seguridad,
los niveles
de servicio y
los
requisitos
de gestión
Seguridad de todos los
Responsable de los servicios de
T.5.1.2 A.13.1.2
de SI servicios de red, e
red incluirlos en
los acuerdos
de servicios
de red, ya
sea que los
servicios se
presten
internament
e o se
contraten
externamen
te.
Los grupos
de servicios
de
información,
Responsable Separación usuarios y
T.5.1.3 A.13.1.3
de TICs en las redes sistemas de
información
se deben
separar en
las redes.
Mantener la
seguridad
de la
información
TRANSFERE transferida
Responsabl NCIA DE dentro de
T.5.2 A.13.2 Modelo de madurez definido
e de TICs INFORMACI una
ÓN organizació
n y con
cualquier
entidad
externa.
Se debe
contar con
políticas,
procedimien
tos y
controles de
transferenci
Políticas y a formales
procedimien para
Responsable tos de proteger la
T.5.2.1 A.13.2.1
de TICs transferenci transferenci
a de a de
información información
mediante el
uso de todo
tipo de
instalacione
s de
comunicació
n.
Los
acuerdos
deben tener
en cuenta la
Acuerdos
transferenci
Responsable sobre a segura de
T.5.2.2 transferenci A.13.2.2
de TICs información
a de
información del negocio
entre la
organización
y las partes
externas.
Se debe
proteger
adecuadam
Responsable Mensajería ente la
T.5.2.3 información A.13.2.3
de TICs electrónica incluida en
la
mensajería
electrónica.
Se debe
identificar,
revisar
regularment
ey
documentar
los
requisitos
para los
Acuerdos de acuerdos de
Responsable confidenciali confidenciali
T.5.2.4 A.13.2.4
de SI dad o de no dad o no
divulgación divulgación
que reflejen
las
necesidades
de la
organización
para la
protección
de la
información.
ADQUISICIÓ
N,
Responsabl
DESARROLL
e de
T.6
SI/Responsa O Y
A.14
ble de TICs MANTENIMI
ENTO DE
SISTEMAS
Asegurar
que la
seguridad
de la
información
sea una
parte
integral de
REQUISITOS los sistemas
DE de
SEGURIDAD información
T.6.1 Responsabl DE LOS durante A.14.1 Modelo de madurez definido
e de SI SISTEMAS todo el ciclo
DE de vida.
INFORMACI Esto incluye
ÓN también los
requisitos
para
sistemas de
información
que prestan
servicios en
redes
públicas.
Los
requisitos
relacionados
con
seguridad
de la
Análisis y
información
especificació
se debe
n de
Responsable requisitos incluir en los
T.6.1.1 requisitos A.14.1.1
de SI de
para nuevos
seguridad sistemas de
de la información
información
o para
mejoras a
los sistemas
de
información
existentes.
La
información
involucrada
en los
servicios de
aplicaciones
que pasan
sobre redes
Seguridad
públicas se
de servicios
Responsable de las debe
T.6.1.2 proteger de A.14.1.2
de SI aplicaciones actividades
en redes fraudulentas
públicas , disputas
contractuale
sy
divulgación
y
modificació
n no
autorizadas.
La
información
involucrada
en las
transaccione
s de los
servicios de
las
aplicaciones
se debe
proteger
para evitar
la
Protección transmisión
de incompleta,
Responsable transaccione el
T.6.1.3 s de los enrutamient A.14.1.3
de SI
servicios de o errado, la
las alteración
aplicaciones no
autorizada
de
mensajes, la
divulgación
no
autorizada,
y la
duplicación
o
reproducció
n de
mensajes no
autorizada.
Asegurar de
que la
seguridad
de la
información
SEGURIDAD
esté
EN LOS
PROCESOS diseñada e
T.6.2 Responsabl DE implementa A.14.2 Modelo de madurez definido
e de SI
DESARROLL da dentro
del ciclo de
O Y DE
vida de
SOPORTE desarrollo
de los
sistemas de
información
.
Se debe
establecer y
aplicar
reglas para
el desarrollo
de software
Responsable Política de y de
T.6.2.1 desarrollo A.14.2.1
de SI sistemas, a
seguro
los
desarrollos
que se dan
dentro de la
organización
.
Los cambios
a los
sistemas
dentro del
ciclo de vida
Procedimien de
Responsable tos de desarrollo
T.6.2.2 control de se debe A.14.2.2
de TICs
cambios en controlar
sistemas mediante el
uso de
procedimien
tos formales
de control
de cambios.
Cuando se
cambian las
plataformas
de
operación,
se deben
Revisión revisar las
técnica de aplicaciones
las críticas del
aplicaciones negocio, y
Responsable después de ponerlas a
T.6.2.3 A.14.2.3
de TICs cambios en prueba para
la asegurar
plataforma que no haya
de impacto
operación adverso en
las
operaciones
o seguridad
de la
organización
.
Se deben
desalentar
las
modificacio
nes a los
paquetes de
software,
Restriccione
que se
Responsable s en los deben
T.6.2.4 cambios a A.14.2.4
de TICs
los paquetes limitar a los
de software cambios
necesarios,
y todos los
cambios se
deben
controlar
estrictamen
te.
Se deben
establecer,
documentar
y mantener
principios
para la
Principios de construcció
construcció n de
Responsable
T.6.2.5 n de sistemas A.14.2.5
de TICs
sistemas seguros, y
seguros aplicarlos a
cualquier
actividad de
implementa
ción de
sistemas de
información.
Las
organizacion
es deben
establecer y
proteger
adecuadam
ente los
ambientes
de
Ambiente desarrollo
Responsable de seguros
T.6.2.6 A.14.2.6
de TICs desarrollo para las
seguro tareas de
desarrollo e
integración
de sistemas
que
comprendan
todo el ciclo
de vida de
desarrollo
de sistemas.
La
organización
debe
supervisar y
hacer
Desarrollo
Responsable contratado seguimiento
T.6.2.7 de la A.14.2.7
de TICs externamen actividad de
te desarrollo
de sistemas
contratados
externamen
te.
Durante el
desarrollo
se debe
Pruebas de
Responsable llevar a cabo Modelo de madurez gestionado
T.6.2.8 seguridad A.14.2.8
de SI pruebas de cuantitativamente
de sistemas
funcionalida
d de la
seguridad.
Para los
sistemas de
información
nuevos,
actualizacio
nes y
nuevas
Prueba de versiones,
Responsable aceptación se debe
T.6.2.9 A.14.2.9
de TICs
de sistemas establecer
programas
de prueba
para
aceptación y
criterios de
aceptación
relacionados
.
Asegurar la
protección
Responsable DATOS DE
T.6.3 de los datos A.14.3 Modelo de madurez definido
de SI PRUEBA
usados para
pruebas.
Los datos de
ensayo se
deben
Responsable Protección seleccionar,
T.6.3.1 de datos de A.14.3.1
de SI proteger y
prueba
controlar
cuidadosam
ente.
GESTIÓN DE
INCIDENTES
Responsabl
DE
e de
T.7. SEGURIDAD A.16
SI/Responsa
ble de TICs DE LA
INFORMACI
ÓN
Asegurar un
enfoque
coherente y
eficaz para
la gestión
GESTIÓN DE
de
INCIDENTES
incidentes
Y MEJORAS
Responsabl EN LA de
T.7.1 seguridad A.16.1
e de SI SEGURIDAD
de la
DE LA
información
INFORMACI , incluida la
ÓN
comunicació
n sobre
eventos de
seguridad y
debilidades.
Se debe
establecer
las
responsabili
dades y
procedimien
tos de
gestión para
Responsabili asegurar
Responsable dades y una
T.7.1.1 de SI procedimien respuesta A.16.1.1
tos rápida,
eficaz y
ordenada a
los
incidentes
de
seguridad
de la
información.
Los eventos
de
seguridad
de la
información
Reporte de
se debe
Responsable eventos de informar a
T.7.1.2 seguridad A.16.1.2 Modelo de madurez definido
de SI través de los
de la
información canales de
gestión
apropiados,
tan pronto
como sea
posible.
Se debe
exigir a
todos los
empleados y
contratistas
que usan los
servicios y
sistemas de
información
Reporte de de la
debilidades organización
Responsable de , que
T.7.1.3 A.16.1.3 Modelo de madurez definido
de SI seguridad observen e
de la informen
información cualquier
debilidad de
seguridad
de la
información
observada o
sospechada
en los
sistemas o
servicios.
Los eventos
de
seguridad
de la
Evaluación información
de eventos se debe
de evaluar y se
Responsable seguridad debe decidir
T.7.1.4 A.16.1.4 Madurez Inicial
de SI de la si se van a
información clasificar
y decisiones como
sobre ellos incidentes
de
seguridad
de la
información.
Se debe dar
respuesta a
los
incidentes
Respuesta a de
incidentes seguridad
Responsable de de la Modelo de madurez gestionado
T.7.1.5 A.16.1.5
de SI seguridad información cuantitativamente
de la de acuerdo
información con
procedimien
tos
documentad
os.
El
conocimient
o adquirido
al analizar y
resolver
Aprendizaje incidentes
obtenido de de
los seguridad
Responsable incidentes de la Modelo de madurez gestionado
T.7.1.6 A.16.1.6
de TICs de información cuantitativamente
seguridad se debe usar
de la para reducir
información la
posibilidad o
el impacto
de
incidentes
futuros.
La
organización
debe definir
y aplicar
procedimien
tos para la
identificació
Responsable Recolección n, Modelo de madurez gestionado
T.7.1.7 recolección, A.16.1.7
de TICs de evidencia adquisición Modelo de madurez definido
y
preservació
n de
información
que pueda
servir como
evidencia.
CIBERSEGURIDAD PRUEBA EVIDENCIA BRECHA
Revisar que la política contenga lo siguiente:
a) los requisitos de seguridad para las aplicaciones
del negocio;
b) las políticas para la divulgación y autorización de
la información, y los niveles de seguridad de la
información y de clasificación de la información;
c) la coherencia entre los derechos de acceso y las
políticas de clasificación de información de los
sistemas y redes;
d) la legislación pertinente y cualquier obligación
contractual concerniente a la limitación del acceso a
datos o servicios;
e) la gestión de los derechos de acceso en un
entorno distribuido y en red, que reconoce todos los
PR.DS-5
tipos de conexiones disponibles;
f) la separación de los roles de control de acceso,
(solicitud de acceso, autorización de acceso,
administración del acceso);
g) los requisitos para la autorización formal de las
solicitudes de acceso;
h) los requisitos para la revisión periódica de los
derechos de acceso;
i) el retiro de los derechos de acceso;
j) el ingreso de los registros de todos los eventos
significativos concernientes al uso y gestión de
identificación de los usuarios, e información de
autenticación secreta, en el archivo permanente;
k) los roles de acceso privilegiado;
Revisar la política relacionada con el uso de redes y
de servicios de red y verificar que incluya:
a) las redes y servicios de red a los que se permite el
acceso;
b) los procedimientos de autorización para
determinar a quién se permite el acceso a qué redes
PR.AC-4 y servicios de red;
PR.DS-5 c) los controles y procedimientos de gestión para
PR.PT-3 proteger el acceso a las conexiones de red y a los
servicios de red;
d) los medios usados para acceder a las redes y
servicios de red ( uso de VPN o redes inalámbricas);
e) los requisitos de autenticación de usuarios para
acceder a diversos servicios de red;
f) el seguimiento del uso de servicios de red.
Revisar el proceso para la gestión y la identificación
de los usuarios que incluya:
a) Identificaciones únicas para los usuarios, que les
permita estar vinculados a sus acciones y mantener
la responsabilidad por ellas; el uso de
identificaciones compartidas solo se debe permitir
cuando sea necesario por razones operativas o del
negocio, y se aprueban y documentan;
PR.AC-1
b) deshabilitar o retirar inmediatamente las
identificaciones de los usuarios que han dejado la
organización;
c) identificar y eliminar o deshabilitar
periódicamente las identificaciones de usuario
redundantes;
d) asegurar que las identificaciones de usuario
redundantes no se asignen a otros usuarios.
Revisar el proceso para asignar o revocar los
derechos de acceso otorgados a las identificaciones
de usuario que incluya:
a) obtener la autorización del propietario del
sistema de información o del servicio para el uso del
sistema de información o servicio;
b) verificar que el nivel de acceso otorgado es
apropiado a las políticas de acceso y es coherente
con otros requisitos, tales como separación de
deberes;
c) asegurar que los derechos de acceso no estén
PR.AC-1 activados antes de que los procedimientos de
autorización estén completos;
d) mantener un registro central de los derechos de
acceso suministrados a una identificación de usuario
para acceder a sistemas de información y servicios;
e) adaptar los derechos de acceso de usuarios que
han cambiado de roles o de empleo, y retirar o
bloquear inmediatamente los derechos de acceso
de los usuarios que han dejado la organización;
f) revisar periódicamente los derechos de acceso
con los propietarios de los sistemas de información
o servicios.
privilegiado a través de un proceso de autorización
formal de acuerdo con la política de control de
acceso pertinente. el proceso debe incluir los
siguientes pasos:
a) Identificar los derechos de acceso privilegiado
asociados con cada sistema o proceso, (sistema
operativo, sistema de gestión de bases de datos, y
cada aplicación) y los usuarios a los que es necesario
asignar;
b) definir o establecer los derechos de acceso
privilegiado a usuarios con base en la necesidad de
uso y caso por caso, alineada con la política de
control de acceso;
c) mantener un proceso de autorización y un
registro de todos los privilegios asignados. Sólo se
debe suministrar derechos de acceso cuando el
proceso de autorización esté completo;
d) definir los requisitos para la expiración de los
PR.AC-4 derechos de acceso privilegiado;
PR.DS-5 e) establecer los derechos de acceso privilegiado a
través de una identificación de usuario diferente de
la usada para las actividades regulares del negocio.
Las actividades regulares del negocio no se ejecutan
desde una identificación privilegiada;
f) tener las competencias de los usuarios con
derechos de acceso privilegiado y su revisión
periódica para verificar si están en línea con sus
deberes;
g) establecer y mantener procedimientos genéricos
para evitar el uso no autorizado de identificaciones
de usuario de administración genérica, de acuerdo
con las capacidades de configuración del sistema;
h) establecer la confidencialidad de la información
de autenticación secreta, para las identificaciones
de usuario de administración genérica, cuando se
comparta (cambiar las contraseñas con frecuencia, y
cuando un usuario privilegiado ha dejado el trabajo
o cambia de trabajo, comunicarlas entre los usuarios
Revisar el proceso, que incluya:
a) establecer la firma de una declaración para
mantener confidencial la información de
autenticación secreta personal, y mantener la
información de autenticación secreta del grupo
(cuando es compartida) únicamente dentro de los
miembros del grupo; esta declaración firmada se
puede incluir en los términos y condiciones del
empleo para todos los que los usuarios ;
b) estipular que todos los usuarios deben mantener
su propia información de autenticación secreta, y se
les suministra una autentificación secreta temporal
segura, que se obligue a cambiar al usarla por
primera vez;
c) establecer procedimientos para verificar la
PR.AC-1 identidad de un usuario antes de proporcionarle la
nueva información de autenticación secreta de
reemplazo o temporal;
d) definir que la información de autenticación
secreta temporal se suministra a los usuarios de
una manera segura; y se evitar utilizar partes
externas o de mensajes de correo electrónico no
protegidos (texto claro);
e) establecer que la información de autenticación
secreta temporal es única para un individuo y no es
fácil de adivinar;
f) definir que los usuarios deben acusar recibo de la
información de autenticación secreta;
g) establecer que la información de autenticación
secreta por defecto, del fabricante, se modifica
después de la instalación de los sistemas o software.
Revisar los derechos de acceso que incluya:
a) examinar los derechos de acceso de los usuarios
periódicamente y después de cualquier cambio,
promoción, cambio a un cargo a un nivel inferior, o
terminación del empleo;
b) establecer que los derechos de acceso de usuario
se revisan y reasignan cuando pasan de un rol a otro
dentro de la misma organización;
c) definir las autorizaciones para los derechos de
acceso privilegiado y revisar periódicamente;
d) verificar las asignaciones de privilegios
periódicamente, para asegurar que no se hayan
obtenido privilegios no autorizados;
e) revisar y registrar los cambios a las cuentas
privilegiadas periódicamente.
Revisar los derechos de acceso a la información y a
los activos asociados con instalaciones de
procesamiento de información, antes de que el
empleo termine o cambie, dependiendo de la
evaluación de factores de riesgo que incluya:
a) terminación o cambio lo inicia el empleado, el
usuario de la parte externa o la dirección, y la razón
de la terminación;
b) revisar las responsabilidades actuales del
empleado, el usuario de la parte externa o cualquier
otro usuario;
c) verificar el valor de los activos accesibles en la
actualidad.
a) Mantener la confidencialidad de la información
de autenticación secreta, asegurándose de que no
sea divulgada a ninguna otra parte, incluidas las
personas con autoridad;
b) evitar llevar un registro (en papel, en un archivo
de software o en un dispositivo portátil) de
autenticación secreta, a menos que se pueda
almacenar en forma segura y que el método de
almacenamiento haya sido aprobado (una bóveda
para contraseñas);
c) cambiar la información de autenticación secreta
siempre que haya cualquier indicio de que se pueda
comprometer la información;
d) definir que cuando se usa contraseñas como
información de autenticación secreta, se debe
seleccionar contraseñas seguras con una longitud
mínima suficiente que:
1) sean fáciles de recordar;
PR.AC-1 2) no estén basadas en algo que otra persona pueda
adivinar fácilmente u obtener usando información
relacionada con la persona, (nombres, números de
teléfono y fechas de nacimiento, etc.);
3) no sean vulnerables a ataques de diccionario (es
decir, no contienen palabras incluidas en los
diccionarios);
4) estén libres de caracteres completamente
numéricos o alfabéticos idénticos consecutivos;
5) si son temporales, cambiarlos la primera vez que
se ingrese;
e) no compartir información de autenticación
secreta del usuario individual;
f) establecer una protección apropiada de
contraseñas cuando se usan éstas como
información de autenticación secreta en
procedimientos de ingreso automatizados, y estén
almacenadas;
g) no usar la misma información de autenticación
Revisar las restricciones de acceso a través de la
aplicación individual del negocio y de acuerdo con la
política de control de acceso definida; que incluya:
a) suministrar menús para controlar el acceso a las
funciones de sistemas de aplicaciones;
b) controlar a qué datos puede tener acceso un
usuario particular;
PR.AC-4 c) controlar los derechos de acceso de los usuarios,
PR.DS-5 (a leer, escribir, borrar y ejecutar);
d) controlar los derechos de acceso de otras
aplicaciones;
e) limitar la información contenida en los elementos
de salida;
f) proveer controles de acceso físico o lógico para el
aislamiento de aplicaciones, datos de aplicaciones o
sistemas críticos.
a) no visualizar los identificadores del sistema o de
la aplicación sino hasta que el proceso de ingreso se
haya completado exitosamente;
b) visualizar una advertencia general acerca de que
sólo los usuarios autorizados pueden acceder al
computador;
c) evitar los mensajes de ayuda durante el
procedimiento de ingreso, que ayudarían a un
usuario no autorizado;
d) validar la información de ingreso solamente al
completar todos los datos de entrada. ante una
condición de error, el sistema no debe indicar qué
parte de los datos es correcta o incorrecta;
e) proteger contra intentos de ingreso mediante
fuerza bruta;
f) llevar un registro con los intentos exitosos y
fallidos;
g) declarar un evento de seguridad si se detecta un
intento potencial o una violación exitosa de los
PR.AC-1
controles de ingreso;
h) visualizar la siguiente información al terminar un
ingreso seguro:
1) registrar la fecha y la hora del ingreso previo
exitoso;
2) registrar los detalles de cualquier intento de
ingreso no exitoso desde el último ingreso exitoso;
i) no visualizar una contraseña que se esté
ingresando;
j) no transmitir contraseñas en un texto claro en una
red;
k) terminar sesiones inactivas después de un
período de inactividad definido, especialmente en
lugares de alto riesgo tales como áreas públicas o
externas por fuera de la gestión de seguridad de la
organización o en dispositivos móviles;
l) restringir los tiempos de conexión para brindar
seguridad adicional para aplicaciones de alto riesgo
y para reducir la ventana de oportunidad para
Revisar el sistema de gestión de contraseñas que
incluya:
a) cumplir el uso de identificaciones y contraseñas
de usuarios individuales para mantener la rendición
de cuentas;
b) permitir que los usuarios seleccionen y cambien
sus propias contraseñas e incluyan un
procedimiento de confirmación para permitir los
errores de entrada;
c) Exigir por que se escojan contraseñas de calidad;
d) Forzar a los usuarios cambiar sus contraseñas
PR.AC-1 cuando ingresan por primera vez;
e) Exigir por que se cambien las contraseñas en
forma regular, según sea necesario:
f) llevar un registro de las contraseñas usadas
previamente, e impedir su reusó;
g) no visualizar contraseñas en la pantalla cuando se
está ingresando;
h) almacenar los archivos de las contraseñas
separadamente de los datos del sistema de
aplicaciones;
i) almacenar y transmitir las contraseñas en forma
protegida.
Revisar las directrices para el uso de programas
utilitarios con la capacidad de anular los controles
de sistemas y de aplicaciones, que incluyan.
a) utilizar procedimientos de identificación,
autenticación y autorización para los programas
utilitarios;
b) separar los programas utilitarios del software de
aplicaciones;
c) limitar el uso de programas utilitarios al número
mínimo práctico de usuarios confiables y
PR.AC-4 autorizados;
d) autorizar el uso adhoc de programas utilitarios;
PR.DS-5
e) limitar la disponibilidad de los programas
utilitarios;
f) registrar el uso de los programas utilitarios;
g) definir y documentar los niveles de autorización
para los programas utilitarios;
h) retirar o deshabilitar todos los programas
utilitarios innecesarios;
i) No poner a disposición los programas utilitarios a
los usuarios que tengan acceso a aplicaciones en
sistemas en donde se requiera la separación de
deberes.
Revisar el procedimiento para la gestión de códigos
fuente de los programas, que incluya:
a) definir en donde sea posible, las librerías de
fuentes de programas no se deben mantener en los
sistemas operativos;
b) gestionar los códigos fuente de los programas y
las librerías de las fuentes de los programas se
debería hacer de acuerdo con procedimientos
establecidos;
c) establecer que el personal de soporte deben
tener acceso restringido a las librerías de las fuentes
de los programas;
PR.DS-5
d) definir que la actualización de las librerías de
fuentes de programas y elementos asociados, y la
entrega de fuentes de programas a los
programadores sólo se deben hacer una vez que se
haya recibido autorización apropiada;
e) establecer que los listados de programas se
deben mantener en un entorno seguro;
f) conservar un registro de auditoría de todos los
accesos a la librerías de fuentes de programas;
g) mantener y copiar las bibliotecas de fuentes de
programas a través de procedimientos estrictos de
control de cambios.
Revisar la política sobre el uso de la criptográfica,
que incluya:
a) establecer el enfoque de la dirección con relación
al uso de controles criptográficos en toda la
organización, incluyendo los principios generales
bajo los cuales se deben proteger la información del
negocio;
b) realizar una valoración de riesgos, que identifique
el nivel de protección requerida, teniendo en cuenta
el tipo, fortaleza y calidad del algoritmo de
encriptación requerido.
c) utilizar la encriptación para la protección de
información transportada por dispositivos de
encriptación móviles o removibles, o a través de
líneas de comunicación;
d) gestionar las llaves y los métodos para la
protección de llaves criptográficas y la recuperación
de información encriptada, en el caso de llaves
perdidas, llaves cuya seguridad está comprometida,
o que están dañadas;
e) establecer roles y responsabilidades, quién es
responsable por:
1) la implementación de la política.
2) la gestión de llaves, incluida la generación de
llaves;
f) establecer las normas que se van a adoptar para
la implementación efectiva en toda la organización
(procesos del negocio);
g) definir el impacto de usar información encriptada
en los controles que dependen de la inspección del
contenido.
Revisar el sistema de gestión de llaves que debe
estar basado en un grupo establecido de normas,
procedimientos y métodos seguros para:
a) generar llaves para diferentes sistemas
criptográficos y diferentes aplicaciones;
b) generar y obtener certificados de llaves públicas;
c) distribuir llaves a las entidades previstas,
incluyendo la forma de recibir y activar las llaves;
d) almacenar las llaves, incluyendo la forma en que
los usuarios autorizados obtienen acceso a ellas;
e) cambiar o actualizar las llaves, incluyendo las
reglas sobre cuándo se deben cambiar y cómo
hacerlo;
f) dar tratamiento a las llaves cuya seguridad está
comprometida;
g) revocar las llaves, incluyendo la forma de
retirarlas o desactivarlas, cuando la seguridad de las
llaves ha estado comprometida, o cuando un
usuario deja la organización;
h) recuperar las llaves que estén perdidas o
dañadas;
i) hacer copias de respaldo de las llaves o
archivarlas;
j) destruir las llaves;
k) registrar y auditar las actividades relacionadas
con gestión de llaves.
seguridad de los activos dentro del perímetro y de
los resultados de una valoración de riesgos;
b) establecer los perímetros de una edificación o
sitio que contenga instalaciones de procesamiento
de la información debe ser físicamente seguros; el
techo exterior, las paredes y el material de los pisos
del sitio deben ser de construcción sólida, y todas
las paredes externas deben estar protegidas
adecuadamente contra acceso no autorizado con
mecanismos de control (barras, alarmas,
cerraduras); las puertas y ventanas deben estar
cerradas con llave cuando no hay supervisión, y se
debe considerar protección externa para ventanas,
particularmente al nivel del suelo;
c) definir un área de recepción con vigilancia u otro
medio para controlar el acceso físico al sitio o
edificación; el acceso a los sitios y edificaciones
debe estar restringido únicamente para personal
PR.AC-2 autorizado;
d) establecer cuando sea aplicable y construir
barreras físicas para impedir el acceso físico no
autorizado y la contaminación ambiental;
e) establecer que todas las puertas contra incendio
en un perímetro de seguridad deben tener alarmas,
estar monitoreadas y probadas junto con las
paredes, para establecer el nivel requerido de
resistencia de acuerdo con normas regionales,
nacionales e internacionales adecuadas; deben
funcionar de manera segura de acuerdo al código
local de incendios;
f) instalar sistemas adecuados para detección de
intrusos de acuerdo con normas nacionales,
regionales o internacionales y se deben probar
regularmente para abarcar todas las puertas
externas y ventanas accesibles; las áreas no
ocupadas deben tener alarmas en todo momento;
también deben abarcar otras áreas, tales como las
Revisar los controles de acceso físico y las siguientes
directrices:
a) tener un registro de la fecha y hora de entrada y
salida de los visitantes, y todos los visitantes deben
ser supervisados a menos que su acceso haya sido
aprobado previamente; solo se les debe otorgar
acceso para propósitos específicos autorizados y se
deben emitir instrucciones sobre los requisitos de
seguridad del área y de los propósitos de
emergencia. La identidad de los visitantes se deben
autenticar por los medios apropiados;
b) establecer que el acceso a las áreas en las que se
procesa o almacena información confidencial se
debería restringir a los individuos autorizados
solamente mediante la implementación de
controles de acceso apropiados, (mediante la
implementación de un mecanismo de autenticación
de dos factores, tales como una tarjeta de acceso y
PR.AC-2 un PIN secreto);
PR.MA-1
c) mantener y hacer seguimiento de un libro de
registro (physical log book) físico o un rastro de
auditoría electrónica de todos los accesos;
d) definir que todos los empleados, contratistas y
partes externas deben portar algún tipo de
identificación visible, y se deben notificar de
inmediato al personal de seguridad si se encuentran
visitantes no acompañados, y sin la identificación
visible;
e) establecer que el personal de servicio de soporte
de la parte externa se le debería otorgar acceso
restringido a áreas seguras o a instalaciones de
procesamiento de información confidencial solo
cuando se requiera; este acceso se deben autorizar
y se le debe hacer seguimiento;
f) definir los derechos de acceso a áreas seguras se
deben revisar y actualizar regularmente, y revocar
cuando sea necesario.
Revisar las siguientes directrices relacionadas con la
seguridad a oficinas, recintos e instalaciones:
a) establecer que las instalaciones clave deben estar
ubicadas de manera que se impida el acceso del
público;
b) definir donde sea aplicable, las edificaciones
deben ser discretas y dar un indicio mínimo de su
propósito, sin señales obvias externas o internas,
que identifiquen la presencia de actividades de
procesamiento de información;
c) establecer que las instalaciones deben estar
configuradas para evitar que las actividades o
información confidenciales sean visibles y audibles
desde el exterior. El blindaje electromagnético
también se debe ser el apropiado;
d) definir los directorios y guías telefónicas internas
que identifican los lugares de las instalaciones de
procesamiento de información confidencial no
deben ser accesibles a ninguna persona no
autorizada.
20
20
20
20
20
20
20
20
20
20
20
20
20
52
20
60
60
80
40
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Controles de seguridad fís
ID/ITEM CARGO ITEM DESCRIPCIÓN
Responsable de
T.1 CONTROL DE ACCESO
SI/Responsable de TICs
Objetivo: Limitar el
Componente planificación y acceso a información y
A.9 modelo de madurez nivel a instalaciones de
gestionado procesamiento de
información
A.9.1.1 PR.DS-5
PR.AC-4
A.9.1.2 PR.DS-5
PR.PT-3
Modelo de madurez
A.9.2
gestionado cuantitativamente
A.9.2.1 PR.AC-1
A.9.2.2 PR.AC-1
PR.AC-4
A.9.2.3
PR.DS-5
A.9.2.4 PR.AC-1
A.9.2.5
A.9.2.6
Modelo de madurez
A.9.4
gestionado cuantitativamente
PR.AC-4
A.9.4.1
PR.DS-5
A.9.4.2 PR.AC-1
A.9.4.3 PR.AC-1
A.9.4.4 PR.AC-4
PR.DS-5
A.9.4.5 PR.DS-5
s
NIVEL DE
CUMPLIMI
PRUEBA EVIDENCIA BRECHA ENTO
ANEXO A
ISO 27001
20
20
20
asegurándose de que no sea divulgada a
ninguna otra parte, incluidas las personas
con autoridad;
b) evitar llevar un registro (en papel, en un
archivo de software o en un dispositivo
portátil) de autenticación secreta, a menos
que se pueda almacenar en forma segura y
que el método de almacenamiento haya sido
aprobado (una bóveda para contraseñas);
c) cambiar la información de autenticación
secreta siempre que haya cualquier indicio
de que se pueda comprometer la
información;
d) definir que cuando se usa contraseñas
como información de autenticación secreta,
se debe seleccionar contraseñas seguras con
una longitud mínima suficiente que:
1) sean fáciles de recordar;
2) no estén basadas en algo que otra 20
persona pueda adivinar fácilmente u obtener
usando información relacionada con la
persona, (nombres, números de teléfono y
fechas de nacimiento, etc.);
3) no sean vulnerables a ataques de
diccionario (es decir, no contienen palabras
incluidas en los diccionarios);
4) estén libres de caracteres completamente
numéricos o alfabéticos idénticos
consecutivos;
5) si son temporales, cambiarlos la primera
vez que se ingrese;
e) no compartir información de
autenticación secreta del usuario individual;
f) establecer una protección apropiada de
contraseñas cuando se usan éstas como
información de autenticación secreta en
procedimientos de ingreso automatizados, y
52
Revisar las restricciones de acceso a través
de la aplicación individual del negocio y de
acuerdo con la política de control de acceso
definida; que incluya:
a) suministrar menús para controlar el
acceso a las funciones de sistemas de
aplicaciones;
b) controlar a qué datos puede tener acceso
un usuario particular;
20
c) controlar los derechos de acceso de los
usuarios, (a leer, escribir, borrar y ejecutar);
d) controlar los derechos de acceso de otras
aplicaciones;
e) limitar la información contenida en los
elementos de salida;
f) proveer controles de acceso físico o lógico
para el aislamiento de aplicaciones, datos de
aplicaciones o sistemas críticos.
proceso de ingreso se haya completado
exitosamente;
b) visualizar una advertencia general acerca
de que sólo los usuarios autorizados pueden
acceder al computador;
c) evitar los mensajes de ayuda durante el
procedimiento de ingreso, que ayudarían a
un usuario no autorizado;
d) validar la información de ingreso
solamente al completar todos los datos de
entrada. ante una condición de error, el
sistema no debe indicar qué parte de los
datos es correcta o incorrecta;
e) proteger contra intentos de ingreso
mediante fuerza bruta;
f) llevar un registro con los intentos exitosos
y fallidos;
g) declarar un evento de seguridad si se
detecta un intento potencial o una violación 60
exitosa de los controles de ingreso;
h) visualizar la siguiente información al
terminar un ingreso seguro:
1) registrar la fecha y la hora del ingreso
previo exitoso;
2) registrar los detalles de cualquier intento
de ingreso no exitoso desde el último ingreso
exitoso;
i) no visualizar una contraseña que se esté
ingresando;
j) no transmitir contraseñas en un texto claro
en una red;
k) terminar sesiones inactivas después de un
período de inactividad definido,
especialmente en lugares de alto riesgo tales
como áreas públicas o externas por fuera de
la gestión de seguridad de la organización o
en dispositivos móviles;
Revisar el sistema de gestión de contraseñas
que incluya:
a) cumplir el uso de identificaciones y
contraseñas de usuarios individuales para
mantener la rendición de cuentas;
b) permitir que los usuarios seleccionen y
cambien sus propias contraseñas e incluyan
un procedimiento de confirmación para
permitir los errores de entrada;
c) Exigir por que se escojan contraseñas de
calidad;
d) Forzar a los usuarios cambiar sus
contraseñas cuando ingresan por primera 60
vez;
e) Exigir por que se cambien las contraseñas
en forma regular, según sea necesario:
f) llevar un registro de las contraseñas
usadas previamente, e impedir su reusó;
g) no visualizar contraseñas en la pantalla
cuando se está ingresando;
h) almacenar los archivos de las contraseñas
separadamente de los datos del sistema de
aplicaciones;
i) almacenar y transmitir las contraseñas en
forma protegida.
Revisar las directrices para el uso de
programas utilitarios con la capacidad de
anular los controles de sistemas y de
aplicaciones, que incluyan.
a) utilizar procedimientos de identificación,
autenticación y autorización para los
programas utilitarios;
b) separar los programas utilitarios del
software de aplicaciones;
c) limitar el uso de programas utilitarios al
número mínimo práctico de usuarios
confiables y autorizados;
d) autorizar el uso adhoc de programas 80
utilitarios;
e) limitar la disponibilidad de los programas
utilitarios;
f) registrar el uso de los programas
utilitarios;
g) definir y documentar los niveles de
autorización para los programas utilitarios;
h) retirar o deshabilitar todos los programas
utilitarios innecesarios;
i) No poner a disposición los programas
utilitarios a los usuarios que tengan acceso a
aplicaciones en sistemas en donde se
requiera la separación de deberes.
Revisar el procedimiento para la gestión de
códigos fuente de los programas, que
incluya:
a) definir en donde sea posible, las librerías
de fuentes de programas no se deben
mantener en los sistemas operativos;
b) gestionar los códigos fuente de los
programas y las librerías de las fuentes de los
programas se debería hacer de acuerdo con
procedimientos establecidos;
c) establecer que el personal de soporte
deben tener acceso restringido a las librerías
de las fuentes de los programas;
d) definir que la actualización de las librerías
40
de fuentes de programas y elementos
asociados, y la entrega de fuentes de
programas a los programadores sólo se
deben hacer una vez que se haya recibido
autorización apropiada;
e) establecer que los listados de programas
se deben mantener en un entorno seguro;
f) conservar un registro de auditoría de todos
los accesos a la librerías de fuentes de
programas;
g) mantener y copiar las bibliotecas de
fuentes de programas a través de
procedimientos estrictos de control de
cambios.
Acuerdos de comportamiento Defensivo
ITEM DESCRIPCIÓN
T.2 Responsable de SI
T.2.1 Responsable de SI
T.2.1.1 Responsable de SI
T.2.1.2 Responsable de SI
mportamiento Defensivo
ISO MSPI
A.10
Modelo de madurez
A.10.1 gestionado
cuantitativamente
A.10.1.1
A.10.1.2
NIVEL DE
CUMPLIMI
BRECHA ENTO
ANEXO A
ISO 27001
20
Revisar la política sobre el uso de la criptográfica, que
incluya:
a) establecer el enfoque de la dirección con relación al uso
de controles criptográficos en toda la organización,
incluyendo los principios generales bajo los cuales se
deben proteger la información del negocio;
b) realizar una valoración de riesgos, que identifique el
nivel de protección requerida, teniendo en cuenta el tipo,
fortaleza y calidad del algoritmo de encriptación
requerido.
c) utilizar la encriptación para la protección de información
transportada por dispositivos de encriptación móviles o
removibles, o a través de líneas de comunicación;
d) gestionar las llaves y los métodos para la protección de
llaves criptográficas y la recuperación de información
encriptada, en el caso de llaves perdidas, llaves cuya
seguridad está comprometida, o que están dañadas;
e) establecer roles y responsabilidades, quién es
responsable por:
1) la implementación de la política.
2) la gestión de llaves, incluida la generación de llaves;
f) establecer las normas que se van a adoptar para la
implementación efectiva en toda la organización (procesos
del negocio);
g) definir el impacto de usar información encriptada en los
controles que dependen de la inspección del contenido.
Revisar el sistema de gestión de llaves que debe estar
basado en un grupo establecido de normas,
procedimientos y métodos seguros para:
a) generar llaves para diferentes sistemas criptográficos y
diferentes aplicaciones;
b) generar y obtener certificados de llaves públicas;
c) distribuir llaves a las entidades previstas, incluyendo la
forma de recibir y activar las llaves;
d) almacenar las llaves, incluyendo la forma en que los
usuarios autorizados obtienen acceso a ellas;
e) cambiar o actualizar las llaves, incluyendo las reglas
sobre cuándo se deben cambiar y cómo hacerlo;
f) dar tratamiento a las llaves cuya seguridad está
comprometida;
g) revocar las llaves, incluyendo la forma de retirarlas o
desactivarlas, cuando la seguridad de las llaves ha estado
comprometida, o cuando un usuario deja la organización;
h) recuperar las llaves que estén perdidas o dañadas;
i) hacer copias de respaldo de las llaves o archivarlas;
j) destruir las llaves;
k) registrar y auditar las actividades relacionadas con
gestión de llaves.
Acuerdos de comportamiento Ofensivo