Documente Academic
Documente Profesional
Documente Cultură
CHILENA
NCh-ISO 27002
Segunda edicin
2013.10.25
Nmero de referencia
NCh-ISO 27002:2013
INN 2013
NCh-ISO 27002:2013
NORMA CHILENA
NORMA CHILENA
Contenido
NCh-ISO 27002:2013
Pgina
Introduccin........................................................................................................................................... 1
Alcance y contexto ............................................................................................................................... 1
Requisitos de la seguridad de la informacin ................................................................................... 2
Seleccin de controles ......................................................................................................................... 2
Desarrollo de sus propias pautas ....................................................................................................... 2
Consideraciones sobre el ciclo de vida.............................................................................................. 2
Normas relacionadas ............................................................................................................................ 3
Referencias normativas........................................................................................................................ 3
4
4.1
4.2
5
5.1
6
6.1
6.2
7
7.1
7.2
7.3
8
8.1
8.2
8.3
9
9.1
9.2
9.3
9.4
10
10.1
Criptografa .......................................................................................................................................... 34
Controles criptogrficos .................................................................................................................... 34
11
11.1
11.2
12
12.1
12.2
12.3
12.4
12.5
12.6
12.7
NCh-ISO 27002:2013
Contenido
NORMA CHILENA
Pgina
13
13.1
13.2
14
14.1
14.2
14.3
15
15.1
15.2
16
16.1
17
17.1
17.2
18
18.1
18.2
Cumplimiento................................................................................................................................. 87
Cumplimiento con los requisitos legales y contractuales .........................................................87
Revisiones de la seguridad de la informacin ............................................................................90
Anexos
Anexo A (informativo) Bibliografa .......................................................................................................... 93
Anexo B (informativo) Justificacin de los cambios editoriales ........................................................... 96
ii
NCh-ISO 27002:2013
NORMA CHILENA
Prembulo
El Instituto Nacional de Normalizacin, INN, es el organismo que tiene a su cargo el estudio y preparacin de
las normas tcnicas a nivel nacional. Es miembro de la INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION (ISO) y de la COMISION PANAMERICANA DE NORMAS TECNICAS (COPANT),
representando a Chile ante esos organismos.
Esta norma se estudi por el Comit Tcnico Conjunto de caracteres y codificacin, y brinda orientacin para
las normas de seguridad de informacin organizacional y las prcticas de administracin de seguridad de la
informacin incluida la seleccin, la implementacin, la administracin y los controles considerando los
entornos de riesgo de seguridad de la informacin de la organizacin
Esta norma es idntica a la versin en ingls de la Norma ISO/IEC 27002:2013 Information technology Security techniques - Code of practice for information security controls.
La Nota Explicativa incluida en un recuadro en clusula 2 Referencias normativas y Anexo A Bibliografa, es
un cambio editorial que se incluye con el propsito de informar la correspondencia con Norma Chilena de las
Normas Internacionales citadas en esta de norma.
Para los propsitos de esta norma, se han realizado los cambios editoriales que se indican y justifican en
Anexo B.
Los Anexos A y B no forman parte de la norma, se insertan slo a ttulo informativo.
Si bien se ha tomado todo el cuidado razonable en la preparacin y revisin de los documentos normativos
producto de la presente comercializacin, INN no garantiza que el contenido del documento es actualizado o
exacto o que el documento ser adecuado para los fines esperados por el cliente.
En la medida permitida por la legislacin aplicable, el INN no es responsable de ningn dao directo,
indirecto, punitivo, incidental, especial, consecuencial o cualquier dao que surja o est conectado con el uso
o el uso indebido de este documento.
Esta norma ha sido aprobada por el Consejo del Instituto Nacional de Normalizacin, en sesin efectuada el
25 de octubre de 2013.
iii
NCh-ISO 27002:2013
NORMA CHILENA
0 Introduccin
0.1 Alcance y contexto
Esta norma est diseada para que las organizaciones la utilicen como referencia al seleccionar los controles
dentro del proceso para la implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI)
en base a ISO/IEC 27001 o como un documento de orientacin para las organizaciones que implementan
controles de seguridad de informacin de aceptacin comn. Esta norma tambin est hecha para utilizarse
en el desarrollo de pautas de administracin de seguridad de la industria y especficas para la organizacin,
considerando sus entornos especficos de riesgo de seguridad de la informacin.
Las organizaciones de todos los tipos y tamaos (incluido el sector pblico y privado, comercial y sin fines de
lucro) recopilan, procesan y transmiten informacin de varias formas incluidas las electrnicas, fsicas y
verbales (es decir, conversaciones y presentaciones).
El valor de la informacin traspasa las palabras escritas, los nmeros y las imgenes: el conocimiento, los
conceptos, las ideas y las marcas son ejemplos de formas intangibles de informacin. En un mundo
interconectado, la informacin y los procesos relacionados, los sistemas, redes y el personal involucrado en
su operacin, manipulacin y proteccin son activos que, al igual que otros activos comerciales de
importancia, resultan valiosos para el negocio de la organizacin y, por lo tanto, merecen o requieren
proteccin contra diversos peligros.
Los activos estn sujetos tanto a amenazas deliberadas como accidentales, mientras que los procesos,
sistemas, redes y personas relacionadas poseen vulnerabilidades inherentes. Los cambios en los procesos y
sistemas comerciales u otros cambios externos (como las nuevas leyes y normativas) pueden generar nuevos
riesgos para la seguridad de la informacin. Por lo tanto, dada la multitud de formas en que las amenazas se
pueden aprovechar de las vulnerabilidades para daar a la organizacin, los riesgos en la seguridad de la
informacin siempre estn presentes. La seguridad eficaz en la informacin reduce estos riesgos al proteger a la
organizacin contra las amenazas y vulnerabilidades y luego reduce el impacto en sus activos.
La seguridad de la informacin se logra implementando un conjunto de controles adecuado, que incluye polticas,
procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Estos controles se
deberan establecer, implementar, monitorear, revisar y mejorar donde sea necesario para garantizar que se
cumplen los objetivos especficos comerciales y de seguridad de las organizaciones. Un SGSI como el que se
especifica en ISO/IEC 27001 toma un punto de vista holstico y coordinado de los riesgos de seguridad de la
informacin de la organizacin para poder implementar una suite integral de controles de seguridad de la
informacin bajo el marco general completo de un sistema de administracin coherente.
Muchos sistemas de informacin no se han diseado para ser seguros en el aspecto de ISO/IEC 27001 y esta
norma. La seguridad que se puede lograr a travs de medios tcnicos es limitada y debera estar respaldada por
la administracin y procedimientos adecuados. La identificacin de los controles que se deberan poner en
vigencia requiere de una planificacin minuciosa y detallada. Un SGSI correcto requiere del apoyo de todos los
empleados de la organizacin. Tambin puede requerir la participacin de accionistas, proveedores y otras partes
externas. Tambin es posible que se necesite asesora de especialistas de partes externas.
En un sentido ms amplio, la seguridad de la informacin eficaz tambin garantiza a la direccin y a otras
partes interesadas que los activos de la organizacin se encuentran razonablemente seguros y protegidos
contra daos y, por lo tanto, que actan como una herramienta de apoyo para el negocio.
NCh-ISO 27002:2013
NORMA CHILENA
NORMA CHILENA
NCh-ISO 27002:2013
Los sistemas de informacin tienen ciclos de vida dentro de los que se conciben, especifican, disean,
desarrollan, prueban, implementan, utilizan, mantienen y que con el tiempo se retiran de servicio y se
eliminan. La seguridad de la informacin se debera considerar en todas las etapas. Los nuevos desarrollos y
cambios a los sistemas existentes presentan oportunidades para que las organizaciones actualicen y mejoren
los controles de seguridad, considerando los incidentes reales y los riesgos de seguridad de la informacin
actuales y proyectados.
2 Referencias normativas
El siguiente documento, en su totalidad o en parte, hace referencia a la normativa de este documento y es
indispensable para su aplicacin. Para las referencias con fechas, solo aplica la edicin citada. Para las
referencias sin fecha, se aplica la edicin ms reciente del documento al que se hace referencia (incluida
cualquier modificacin).
ISO/IEC 27000
Norma nacional
No hay
Grado de correspondencia
-
3 Trminos y definiciones
Para los propsitos de este documento, se aplican los trminos y definiciones descritos en ISO/IEC 27000.
NCh-ISO 27002:2013
NORMA CHILENA
4.1 Clusulas
Cada clusula que define los controles de seguridad contiene una o ms de las principales categoras de
seguridad. El orden de las clusulas en esta norma no implica su importancia. En funcin de las
circunstancias, los controles de seguridad que provienen de cualquiera o todas las clusulas podran resultar
importantes, por lo tanto, cada organizacin que aplica esta norma debera identificar los controles
pertinentes, lo importante que son y su aplicacin a los procesos comerciales individuales. Ms an, las listas
de esta norma no se enumeran en orden de prioridad.
b)
NORMA CHILENA
NCh-ISO 27002:2013
Las polticas de seguridad de la informacin deberan abordar los requisitos creados por:
a) estrategia comercial;
b) normativas, legislacin y contratos;
c) el entorno de amenazas a la seguridad actual y proyectada.
La poltica de seguridad de la informacin debera tener enunciados respecto a lo siguiente:
a) definicin de la seguridad de la informacin, los objetivos y principios para guiar a todas las actividades
relacionadas con la seguridad de la informacin;
b) asignacin de responsabilidades generales y especficas para la administracin de la seguridad de la
informacin de acuerdo a los roles definidos;
c) procesos para manejar desviaciones y excepciones.
A un nivel inferior, la poltica de seguridad de la informacin se debera respaldar por polticas especficas de
un tema, que estipula la implementacin de controles de seguridad de la informacin y que tpicamente se
estructura para abordar las necesidades de ciertos grupos objetivo dentro de una organizacin para abarcar
ciertos temas.
Algunos ejemplos de dichos temas de polticas incluyen:
a) control de accesos (ver clusula 9);
b) clasificacin de la informacin (y manejo) (ver 8.2);
c) seguridad fsica y ambiental (ver clusula 11);
d) temas orientados al usuario final como:
1) uso aceptable de activos (ver 8.1.3);
2) escritorio despejado y pantalla despejada (ver 11.2.9);
3) transferencia de informacin (ver 13.2.1);
4) dispositivos mviles y teletrabajo (ver 6.2);
5) restricciones sobre las instalaciones y el uso de software (ver 12.6.2);
e) respaldo (ver 12.3);
f)
j)
NCh-ISO 27002:2013
NORMA CHILENA
Estas polticas se deberan comunicar a los empleados y a las partes externas pertinentes de una forma
pertinente, accesible y comprensible para el lector deseado, es decir, en el contexto de un programa de
concientizacin, educacin y capacitacin sobre la seguridad de la informacin (ver 7.2.2).
Otra informacin
La necesidad de contar con polticas internas para la seguridad de la informacin vara entre las
organizaciones. Las polticas internas son especialmente tiles en organizaciones de mayor tamao y
complejidad, donde aquellos que definen y aprueban los niveles ampliados de control se segregan de los que
implementan los controles o en situaciones donde una poltica se aplica a varias personas o funciones
distintas de la organizacin. Las polticas para la seguridad de la informacin se pueden emitir en un
documento de poltica de seguridad de la informacin nico o como un conjunto de documentos individuales
pero relacionados.
Si se distribuye cualquier parte de las polticas de seguridad de la informacin fuera de la organizacin, se
debera tener cuidado de no divulgar informacin confidencial.
Algunas organizaciones utilizan otros trminos para estos documentos de polticas como Normas,
Directivas o Reglas.
5.1.2 Revisin de las polticas para la seguridad de la informacin
Control
Las polticas para la seguridad de la informacin se deberan planificar y revisar en intervalos o si ocurren
cambios significativos para garantizar su idoneidad, adecuacin y efectividad continua.
Orientacin sobre la implementacin
Cada poltica debera tener un titular que tenga responsabilidad administrativa aprobada para el desarrollo, la
revisin y la evaluacin de las polticas. La revisin debera incluir la evaluacin de oportunidades de mejora
en las polticas de la organizacin y un enfoque para administrar la seguridad de la informacin en respuesta
a los cambios en el entorno organizacional, las circunstancias comerciales, las condiciones legales o el
entorno tcnico.
La revisin de las polticas de la seguridad de la informacin debera considerar los resultados de las
revisiones administrativas.
Se debera obtener la aprobacin de la direccin para una poltica revisada.
NORMA CHILENA
NCh-ISO 27002:2013
NCh-ISO 27002:2013
NORMA CHILENA
Otra informacin
La segregacin de deberes es un mtodo para reducir el riesgo de uso accidental o indebido deliberado de
los activos de una organizacin.
6.1.3 Contacto con las autoridades
Control
Se deberan mantener los contactos con las autoridades pertinentes correspondientes.
Orientacin sobre la implementacin
Las organizaciones deberan tener procedimientos en vigencia que especifiquen cundo y a qu autoridades
(es decir, de cumplimiento de la ley, entidades regulatorias, autoridades de supervisin) se debera contactar
y cmo se deberan informar los incidentes de seguridad de la informacin identificados de manera oportuna
(es decir, si se sospecha del incumplimiento de las leyes).
Otra informacin
Es posible que las organizaciones bajo ataques de internet deban tomar medidas contra el origen del ataque.
Mantener esos contactos puede ser un requisito para apoyar a la administracin de incidentes de la
seguridad de la informacin, (ver clusula 16) o el proceso de continuidad comercial y planificacin de
contingencia (ver clusula 17). Los contactos con las entidades normativas tambin resultan tiles para
anticiparse y prepararse para los cambios futuros en las leyes o normativas, que debera implementar la
organizacin. Los contactos con otras autoridades incluyen a los proveedores de servicios bsicos, de
servicios de emergencia, electricidad, salud y seguridad, es decir, departamentos de bomberos (en conexin
con la continuidad comercial), proveedores de telecomunicaciones (en conexin con el enrutamiento de lnea
y disponibilidad) y proveedores de agua (en conexin con las instalaciones de enfriamiento para el equipo).
6.1.4 Contacto con grupos de inters especiales
Control
Se deberan mantener los contactos adecuados con grupos de inters especiales u otros foros de seguridad
de especialistas y asociaciones profesionales.
Orientacin sobre la implementacin
La membresa en grupos o foros de inters especiales se debera considerar como un medio para:
a) mejorar el conocimiento sobre las buenas prcticas y permanecer al tanto de la informacin de seguridad
pertinente;
b) asegurarse de que la comprensin del entorno de seguridad de la informacin sea actual y completo;
c) recibir alertas tempranas de alertas, avisos y parches relacionados con los ataques y vulnerabilidades;
d) obtener acceso a informacin de especialistas sobre consejos de seguridad;
e) compartir e intercambiar informacin sobre las nuevas tecnologas, productos, amenazas y
vulnerabilidades
f)
proporcionar puntos de enlace adecuados al tratar con incidentes de seguridad de la informacin (ver
clusula 16).
NORMA CHILENA
NCh-ISO 27002:2013
Otra informacin
Se pueden establecer acuerdos para compartir informacin a modo de mejorar la cooperacin y la
coordinacin de los problemas de seguridad. Dichos acuerdos deberan identificar los requisitos para la
proteccin de informacin confidencial.
6.1.5 Seguridad de la informacin en la administracin de proyectos
Control
Se debera abordar la seguridad de la informacin en la administracin de proyectos, sin importar el tipo de
proyecto.
Orientacin sobre la implementacin
Se debera integrar la seguridad de la informacin en los mtodos de administracin de proyectos de la
organizacin para asegurarse de que se identifican y abordan los riesgos de seguridad de la informacin
como parte de un proyecto. Esto se aplica generalmente a cualquier proyecto, sin importar su carcter, es
decir, un proyecto para un proceso comercial central, TI, administracin de instalaciones y otros procesos de
apoyo. Los mtodos de administracin de proyectos en uso deberan requerir que:
a) se incluyan los objetivos de seguridad de la informacin en los objetivos del proyecto.
b) se realice una evaluacin de riesgos de seguridad de la informacin en una etapa temprana del proyecto
para identificar los controles necesarios;
c) la seguridad de la informacin sea parte de todas las fases de la metodologa aplicada del proyecto.
Se deberan abordar y revisar las implicaciones de seguridad de manera regular en todos los proyectos. Se
deberan definir y asignar las responsabilidades para la seguridad de la informacin a los roles especificados
definidos en los mtodos de administracin del proyecto.
NCh-ISO 27002:2013
NORMA CHILENA
d) requisitos para las versiones de software de dispositivos mviles para la aplicacin de parches;
e) restriccin en la conexin a servicios de informacin;
f)
controles de acceso;
g) tcnicas criptogrficas;
h) proteccin contra malware;
i)
j)
respaldos;
10
NORMA CHILENA
NCh-ISO 27002:2013
Los dispositivos mviles generalmente comparten funciones comunes, es decir, el funcionamiento en redes,
el acceso a internet, correo electrnico y el manejo de archivos con dispositivos de uso fijo. Los controles de
seguridad de la informacin para los dispositivos mviles generalmente constan de aquellos adoptados en
dispositivos de uso fijo y aquellos que abordan las amenazas que surgen de su uso fuera de las
dependencias de la organizacin.
6.2.2 Teletrabajo
Control
Se debera implementar una poltica y medidas que apoyen la seguridad para proteger la informacin a la que
se accede, procesa o almacena en los sitios de teletrabajo.
Orientacin sobre la implementacin
Las organizaciones que permiten las actividades de teletrabajo deberan emitir una poltica que define las
condiciones y las restricciones del uso del teletrabajo. Se deberan considerar los siguientes asuntos donde
se considere aplicable y lo permita la ley:
a) la seguridad fsica existente del sitio de teletrabajo, considerando la seguridad fsica del edificio y del
entorno local;
b) el entorno de teletrabajo fsico propuesto;
c) los requisitos de seguridad para las comunicaciones, considerando la necesidad de contar con acceso
remoto a los sistemas internos de la organizacin, la sensibilidad de la informacin a la que se acceder
y que se traspasar por el enlace de comunicaciones y la sensibilidad del sistema interno;
d) la provisin de acceso a un escritorio virtual que evite el procesamiento y el almacenamiento de
informacin en equipos de propiedad privada;
e) la amenaza del acceso no autorizado a la informacin o a los recursos de parte de otras personas que
utilizan el recinto, es decir, la familia y los amigos;
f)
el uso de redes domsticas y los requisitos o restricciones en la configuracin de los servicios de redes
inalmbricas;
g) las polticas y procedimientos para evitar disputas en cuanto a los derechos de propiedad intelectual
desarrollados en equipos de propiedad privada;
h) acceso a equipos de propiedad privada (para verificar la seguridad de la mquina durante una
investigacin), lo que se puede evitar por legislacin;
i)
acuerdos de licenciamiento de software que pueden hacer que las organizaciones se hagan
responsables del software de cliente en estaciones de trabajo de propiedad privada de empleados o de
usuarios externos;
j)
11
NCh-ISO 27002:2013
NORMA CHILENA
c) la provisin de equipos de comunicacin idneos, incluidos los mtodos para proteger el acceso remoto;
d) seguridad fsica;
e) normas y orientacin sobre el acceso a familiares y visitas a los equipos y a la informacin;
f)
g) la provisin de seguros;
h) los procedimientos para el respaldo y la continuidad en el negocio;
i)
j)
revocacin de autoridad y derechos de acceso y la devolucin de los equipos cuando concluyen las
actividades de teletrabajo.
Otra informacin
El teletrabajo se refiere a todas las formas de trabajo fuera de la oficina, incluidos los ambientes de trabajo no
tradicionales, como los que se conocen como entornos de teleconmutacin, lugar de trabajo flexible,
trabajo remoto y trabajo virtual.
12
NORMA CHILENA
NCh-ISO 27002:2013
Cuando se contrata a una persona para un rol de seguridad de la informacin especfico, las organizaciones
se deberan asegurar de que el candidato:
a) cuente con las competencias necesarias para desempear el rol de seguridad;
b) pueda ser confiable para asumir el rol, en especial si ste es fundamental para la organizacin.
Donde un trabajo, ya sea de empleo inicial o por ascenso, requiera que la persona tenga acceso a las
instalaciones de procesamiento de informacin y, en particular, si se maneja informacin confidencial, es
decir, informacin financiera o altamente confidencial, la organizacin tambin debera considerar ms
verificaciones y en mayor detalle.
Los procedimientos deberan definir los criterios y limitaciones para las revisiones de verificacin, es decir,
quin es idneo para seleccionar a las personas y cmo, cundo y por qu se realizan las revisiones de
verificacin.
Tambin se debera garantizar un proceso de seleccin para los contratistas. En estos casos, donde el
acuerdo entre la organizacin y el contratista debera especificar las responsabilidades para realizar la
seleccin y los procedimientos de notificacin que se deberan seguir si la seleccin no ha finalizado o si los
resultados dan motivo para dudas o inquietudes.
La informacin de todos los candidatos que se estn considerando para puestos dentro de la organizacin se
deberan recopilar y manejar de acuerdo a cualquier legislacin correspondiente existente en la jurisdiccin
pertinente. En funcin de la legislacin pertinente, se debera informar a los candidatos de antemano sobre
las actividades de seleccin.
7.1.2 Trminos y condiciones de empleo
Control
Los acuerdos contractuales con los empleados y contratistas deberan indicar sus responsabilidades y las de
la organizacin para la seguridad de la informacin.
Orientacin sobre la implementacin
Las obligaciones contractuales para los empleados o los contratistas deberan reflejar las polticas de la
organizacin para la seguridad de la informacin adems de aclarar e indicar:
a)
que todos los empleados y contratistas a los que se les otorga acceso a informacin confidencial
deberan firmar un acuerdo de confidencialidad y no divulgacin antes de darles acceso a las
instalaciones de procesamiento de informacin (ver 13.2.4);
b)
las responsabilidades legales y derechos del empleado o del contratista, es decir, en cuanto a las leyes
de derecho de autor o de la legislacin de proteccin de datos (ver 18.1.2 y 18.1.4);
c)
d)
responsabilidades del empleado o contratista para manejar la informacin recibida de otras empresas o
partes externas;
e)
medidas que se deberan tomar si el empleado o contratista no cumple con los requisitos de seguridad
de la organizacin (ver 7.2.3).
13
NCh-ISO 27002:2013
NORMA CHILENA
La organizacin se debera asegurar de que todos los empleados y contratistas estn de acuerdo con los
trminos y condiciones en cuanto a la seguridad de la informacin conforme a la naturaleza y al alcance del
acceso que tendrn a los activos de la organizacin asociados a los sistemas y servicios de informacin.
Donde corresponda, las responsabilidades incluidas en los trminos y condiciones de empleo deberan
continuar por un perodo definido despus del trmino del empleo (ver 7.3).
Otra informacin
Se puede utilizar un cdigo de conducta para indicar las responsabilidades en cuanto a la seguridad de la
informacin del empleado o contratista respecto de la confidencialidad, la proteccin de datos, la tica, el uso
adecuado del equipo y las instalaciones de la organizacin, as como las prcticas honorables que espera la
organizacin. Se puede solicitar a una parte externa asociada con un contratista a iniciar disposiciones
contractuales a nombre de la persona contratada.
continen teniendo las habilidades y calificaciones adecuadas y que se capaciten de manera regular;
g) se les proporcione un canal de denuncias annimas para denunciar transgresiones a las polticas y
procedimientos de seguridad de la informacin (poner de manifiesto).
La direccin debera demostrar su apoyo a las polticas, los procedimientos y los controles de seguridad de la
informacin y actuar como un modelo a seguir.
14
NORMA CHILENA
NCh-ISO 27002:2013
Otra informacin
Si a los empleados o contratistas no se les dan a conocer sus responsabilidades de seguridad de la
informacin, pueden provocar daos considerables a la organizacin. El personal motivado tiene mayores
probabilidades de ser ms confiable y provocar menos incidentes de seguridad de la informacin.
Una administracin deficiente puede hacer que el personal se sienta subvalorado, lo que genera un impacto
negativo en la seguridad de la informacin de la organizacin. Por ejemplo, una administracin deficiente
puede llevar al olvido de la seguridad de la informacin o al posible uso indebido de los activos de la
organizacin.
7.2.2 Concientizacin, educacin y capacitacin sobre la seguridad de la informacin
Control
Todos los empleados de la organizacin y, donde sea pertinente, los contratistas deberan recibir educacin y
capacitacin de concientizacin adecuada y actualizaciones regulares sobre las polticas y procedimientos
organizacionales, segn sea pertinente para su funcin laboral.
Orientacin sobre la implementacin
Un programa de concientizacin sobre seguridad de la informacin debera apuntar a hacer que los
empleados y, donde resulte pertinente, los contratistas conozcan sus responsabilidades en cuanto a la
seguridad de la informacin y los medios a travs de los que se descargan esas responsabilidades.
Un programa de concientizacin de seguridad de la informacin se debera establecer de acuerdo con las
polticas y procedimientos pertinentes de seguridad de la informacin de la organizacin, considerando la
informacin de la organizacin que se va a proteger y los controles que se han implementado para proteger
la informacin. El programa de concientizacin debera incluir varias actividades de concientizacin como
campaas (por ejemplo, un da de la seguridad de la informacin) y la entrega de panfletos o boletines
informativos.
El programa de concientizacin se debera planificar considerando los roles de los empleados en la
organizacin y, donde corresponda, la expectativa que tiene la organizacin sobre la concientizacin de los
contratistas. Las actividades del programa de concientizacin se deberan programar con el tiempo, de
preferencia de manera regular, para que las actividades se repitan y abarquen a los nuevos empleados y
contratistas. El programa de concientizacin tambin se debera actualizar de manera regular para que est
de acuerdo con las polticas y procedimientos de la organizacin y se debera basar en las lecciones
aprendidas de los incidentes de seguridad de la informacin.
Se debera realizar una capacitacin de concientizacin segn lo requiera el programa de concientizacin de
seguridad de la informacin de la organizacin. La capacitacin de concientizacin se puede realizar a travs
de distintos medios incluida la capacitacin en el aula, a distancia, en lnea, autnoma y otros.
La educacin y la capacitacin de seguridad de la informacin tambin debera abarcar aspectos generales
como:
a) indicar el compromiso de la direccin con la seguridad de la informacin en toda la organizacin;
b) la necesidad de conocer y cumplir con las normas y obligaciones de seguridad de la informacin
pertinentes, segn se define en las polticas, normas, leyes, normativas, contratos y acuerdos;
c) responsabilidad personal por las acciones e inoperancias propias y las responsabilidades generales
hacia el aseguramiento y proteccin de la informacin que pertenece a la organizacin y a las partes
externas.
15
NCh-ISO 27002:2013
NORMA CHILENA
16
NORMA CHILENA
NCh-ISO 27002:2013
Otra informacin
El proceso disciplinario tambin puede convertirse en una motivacin o en un incentivo si se definen
sanciones positivas para el comportamiento sobresaliente en cuanto a la seguridad de la informacin.
8 Administracin de activos
8.1 Responsabilidad por los activos
Objetivo: identificar los activos organizacionales y definir las responsabilidades de proteccin adecuadas.
8.1.1 Inventario de activos
Control
Se deberan identificar los activos asociados a la informacin y las instalaciones de procesamiento de
informacin y se debera elaborar y mantener un inventario de estos activos.
17
NCh-ISO 27002:2013
NORMA CHILENA
18
NORMA CHILENA
NCh-ISO 27002:2013
19
NCh-ISO 27002:2013
NORMA CHILENA
El esquema de clasificacin debera incluir las convenciones para la clasificacin y los criterios para la
revisin de la clasificacin con el tiempo. El nivel de proteccin del esquema se debera evaluar mediante el
anlisis de la confidencialidad, la integridad y la disponibilidad de cualquier otro requisito para la informacin
considerada. El esquema debera estar alineado con la poltica de control de acceso (ver 9.1.1).
A cada nivel se le debera asignar un nombre que tenga sentido en el contexto del esquema de clasificacin
de la aplicacin. El esquema se debera considerar en toda la organizacin para que todos clasifiquen la
informacin y los activos relacionados de la misma forma, cuenten con un entendimiento comn de los
requisitos de proteccin y apliquen la proteccin adecuada.
La clasificacin se debera incluir en los procesos de la organizacin y debera ser coherente y consistente en
toda la organizacin. Los resultados de la clasificacin deberan indicar el valor de los activos en funcin de
su sensibilidad y criticidad para la organizacin, es decir, en trminos de confidencialidad, integridad y
disponibilidad. Los resultados de la clasificacin se deberan actualizar de acuerdo con los cambios en su
valor, sensibilidad y criticidad a travs de su ciclo de vida.
Otra informacin
La clasificacin le entrega a las personas que se encargan de la informacin una indicacin concisa sobre
cmo manejarla y protegerla. La creacin de grupos de informacin con necesidades de proteccin similares
y la especificacin de los procedimientos de seguridad de la informacin que se aplican a toda la informacin
en cada grupo facilita este proceso. Este enfoque reduce la necesidad de una evaluacin de riesgo caso a
caso y el diseo personalizado de controles.
La informacin puede dejar de ser sensible o crtica despus de cierto perodo de tiempo, por ejemplo,
cuando la informacin se ha hecho pblica. Estos aspectos se deberan considerar, pues la sobre
clasificacin puede llevar a la implementacin de controles innecesarios, lo que generar gastos adicionales
o, por el contrario, la falta de clasificacin puede poner en peligro el logro de los objetivos comerciales.
Un ejemplo de un esquema de clasificacin de confidencialidad de la informacin se puede basar en cuatro
niveles de la siguiente manera:
a) la divulgacin no hace dao;
b) la divulgacin provoca una vergenza menor o una inconveniencia operacional menor;
c) la divulgacin tiene un impacto significativo a corto plazo en las operaciones o en los objetivos tcticos;
d) la divulgacin tiene un impacto grave en los objetivos estratgicos a largo plazo o pone en riesgo la
sobrevivencia de la organizacin.
8.2.2 Etiquetado de informacin
Control
Se debera desarrollar e implementar un conjunto de procedimientos para el etiquetado de informacin de
acuerdo con el esquema de clasificacin de informacin adoptado por la organizacin.
Orientacin sobre la implementacin
Los procedimientos para el etiquetado de la informacin deberan cubrir la informacin y sus activos relacionados
en formatos fsicos o electrnicos. El etiquetado debera reflejar el esquema de clasificacin establecido en 8.2.1.
Las etiquetas se deberan poder reconocer fcilmente. Los procedimientos deberan brindar orientacin sobre
dnde y cmo se adhieren las etiquetas considerando cmo se accede a la informacin o cmo se manejan los
activos en funcin de los tipos de medios. Los procedimientos pueden definir los casos donde se omite el
etiquetado, es decir, etiquetando la informacin no confidencial para reducir las cargas de trabajo. Los empleados
y contratistas deberan estar al tanto de los procedimientos de etiquetado.
20
NORMA CHILENA
NCh-ISO 27002:2013
Las salidas de los sistemas que contienen informacin clasificada como sensible o crtica deberan tener una
etiqueta de clasificacin adecuada.
Otra informacin
El etiquetado de informacin clasificada es un requisito clave para los acuerdos para compartir informacin.
Las etiquetas fsicas y los metadatos son una forma comn de etiquetado.
El etiquetado de informacin y sus activos relacionados pueden tener efectos negativos a veces. Los activos
clasificados son ms fciles de identificar y, en consecuencia, de sufrir robos de personas internas o de
atacantes externos.
8.2.3 Manejo de activos
Control
Se deberan desarrollar e implementar procesos para el manejo de activos de acuerdo con el esquema de
clasificacin de informacin adoptado por la organizacin.
Orientacin sobre la implementacin
Se deberan crear procesos para el manejo, procesamiento, almacenamiento y comunicacin de la
informacin conforme a su clasificacin (ver 8.2.1).
Se deberan considerar los siguientes elementos:
a) restricciones de acceso que apoyen los requisitos de proteccin para cada nivel de clasificacin;
b) mantenimiento de un registro formal de los receptores de activos autorizados;
c) proteccin de copias temporales o permanentes de informacin a un nivel coherente con la proteccin de
la informacin original;
d) almacenamiento de los activos de TI de acuerdo con las especificaciones del fabricante;
e) marcado claro de todas las copias de medios para la atencin del receptor autorizado.
El esquema de clasificacin que se utiliza dentro de la organizacin puede no ser equivalente a los esquemas
que utilizan otras organizaciones, incluso si los nombres de los niveles son similares; adems, la informacin
que se mueve entre las organizaciones puede variar en su clasificacin en funcin de su contexto en cada
organizacin, incluso si sus esquemas de clasificacin son idnticos.
Los acuerdos con otras organizaciones que incluyen compartir informacin deberan incluir procedimientos
para identificar la clasificacin de esa informacin y para interpretar las etiquetas de clasificacin de otras
organizaciones.
21
NCh-ISO 27002:2013
NORMA CHILENA
se deberan almacenar varias copias de datos valiosos en medios separados para reducir an ms el
riesgo accidental de daos o prdidas de datos
g) se debera considerar un registro de medios extrables para limitar la oportunidad de prdidas de datos.
h) las unidades de medios extrables solo se deberan habilitar si existe una razn comercial para ello;
i)
22
NORMA CHILENA
NCh-ISO 27002:2013
d) muchas organizaciones ofrecen servicios de recogida y eliminacin de medios; se debera tener cuidado
al seleccionar a una parte externa adecuada que cuente con la experiencia y los controles necesarios;
e) la eliminacin de los artculos sensibles se debera registrar para mantener un seguimiento de auditora.
Al acumular medios para su eliminacin, se debera tener en consideracin el efecto de agregacin, que
puede hacer que una gran cantidad de informacin no sensible se vuelva sensible.
Otra informacin
Es posible que los dispositivos daados que contienen datos sensibles requieran una evaluacin de riesgos
para determinar si stos se deberan destruir fsicamente en vez de repararlos o eliminarlos (ver 11.2.7).
8.3.3 Transferencia de medios fsicos
Control
Los medios que contienen informacin deberan estar protegidos contra el acceso no autorizado, el uso
indebido o la corrupcin durante el transporte.
Orientacin sobre la implementacin
Se deberan considerar las siguientes pautas para proteger a los medios que contienen informacin que se
transporta:
a) se deberan utilizar servicios de transporte o courier confiables;
b) se debera establecer una lista de servicios de courier autorizados con la direccin;
c) se deberan desarrollar procedimientos para verificar la identificacin de servicios de courier;
d) el empaque debera ser suficiente para proteger los contenidos de daos fsicos que probablemente
ocurran durante el trnsito de acuerdo con las especificaciones del fabricante, por ejemplo, proteccin
contra factores ambientales que puede reducir la efectividad de la restauracin de los medios, como la
exposicin al calor, a la humedad y a los campos electromagnticos;
e) se deberan mantener registros, identificando el contenido de los medios, la proteccin aplicada, as
como tambin un registro de las veces en que se transfiri a los custodios en trnsito y un recibo en el
lugar del destino.
Otra informacin
La informacin puede ser vulnerable al acceso no autorizado, al uso indebido o a la corrupcin durante el
transporte fsico al enviar los medios a travs del servicio postal o courier. En este control, los medios
incluyen a los documentos en papel.
Cuando la informacin confidencial en los medios no est cifrada, se debera considerar una proteccin
adicional de los medios.
9 Control de acceso
9.1 Requisitos comerciales del control de acceso
Objetivo: limitar el acceso a la informacin y a las instalaciones de procesamiento de la informacin.
23
NCh-ISO 27002:2013
NORMA CHILENA
segregacin de los roles de control de acceso, es decir solicitud de acceso, autorizacin de acceso y
administracin de acceso;
g) requisitos de autorizacin formal para las solicitudes de acceso (ver 9.2.1 y 9.2.2);
h) requisitos de revisin peridicos para los derechos de acceso (ver 9.2.5);
i)
j)
archivo de los registros de todos los eventos de importancia que involucran el uso y la administracin de
identidades de usuario e informacin de autenticacin secreta;
24
NORMA CHILENA
NCh-ISO 27002:2013
c) los cambios en los permisos del usuario que inicia automticamente el sistema de informacin y los
iniciados por un administrador;
d) normas que requieren de aprobacin especfica antes de su promulgacin y las que no.
Las normas de control de acceso se deberan respaldar con procedimientos formales (ver 9.2, 9.3, 9.4) y
responsabilidades definidas (ver 6.1.1, 9.3).
El control de acceso basado en roles es un enfoque que se utiliza correctamente en muchas organizaciones
para vincular los derechos de acceso con las funciones del negocio.
Dos de los principios frecuentes que dirigen a la poltica de control de acceso son:
a) Se debera conocer: solo se otorga acceso a la informacin que necesita para realizar sus tareas (las
distintas tareas/roles se traducen en distintas cosas que se deberan conocer y, por lo tanto, en distintos
perfiles de acceso);
b) Se debera utilizar: solo se otorga acceso a las instalaciones de procesamiento de informacin (equipos
de TI, aplicaciones, procedimientos, salas) necesarias para realizar su tarea/trabajo/rol.
9.1.2 Acceso a redes y servicios de red
Control
Los usuarios solo deberan tener acceso a la red y a los servicios de red en los que cuentan con autorizacin
especfica.
Orientacin sobre la implementacin
Se debera formular una poltica en cuanto al uso de redes y servicios de red. Esta poltica debera cubrir:
a) las redes y los servicios de red a los que se tiene derecho de acceso;
b) procedimientos de autorizacin para determinar a quin se le permite acceder a qu redes y servicios
con redes;
c) controles y procedimientos de administracin para proteger el acceso a las conexiones de red y a los
servicios de red;
d) los medios que se utilizan para acceder a las redes y a los servicios con redes (es decir, el uso de VPN o
red inalmbrica);
e) requisitos de autenticacin del usuario para acceder a los distintos servicios de red;
f)
La poltica sobre el uso de servicios de red debera ser coherente con la poltica de control de acceso de la
organizacin (ver 9.1.1).
Otra informacin
Las conexiones no autorizadas y no seguras a los servicios de red pueden afectar a toda la organizacin.
Este control es de particular importancia para las conexiones de red a aplicaciones comerciales sensibles o
crticas o para los usuarios en ubicaciones de alto riesgo, es decir, las reas pblicas o externas que se
encuentran fuera de la administracin y control de seguridad de la informacin de la organizacin.
25
NCh-ISO 27002:2013
NORMA CHILENA
b)
26
NORMA CHILENA
NCh-ISO 27002:2013
d) mantener un registro central de los derechos de acceso otorgados a las IDs de usuario para acceder a
los sistemas y servicios de informacin;
e) adaptar los derechos de acceso de los usuarios que han cambiado de roles o trabajo y eliminar o
bloquear inmediatamente los derechos de acceso a los usuarios que han abandonado la organizacin;
f)
revisar peridicamente los derechos de acceso con los propietarios de los sistemas o servicios de
informacin (ver 9.2.5).
Otra informacin
Se debera considerar establecer roles de acceso de usuario en base a los requisitos del negocio que resuman
una cantidad de derechos de acceso en perfiles tpicos de acceso de usuarios. Las solicitudes y revisiones de
acceso (ver 9.2.4) se manejan ms fcilmente al nivel de dichos roles en vez de al nivel de los derechos
particulares.
Se debera considerar la inclusin de clusulas en los contratos del personal y en los contratos de servicio
que especifiquen sanciones en el caso de que el personal o los contratistas intenten el acceso no autorizado
(ver 7.1.2, 7.2.3, 13.2.4, 15.1.2).
9.2.3 Administracin de derechos de acceso privilegiado
Control
La asignacin y el uso de derechos de acceso privilegiado se debera restringir y controlar.
Orientacin sobre la implementacin
La asignacin de derechos de acceso privilegiados se debera controlar mediante un proceso de autorizacin
formal de acuerdo con la poltica de control de acceso pertinente (ver 9.1.1). Se deberan considerar los
siguientes pasos:
a)
se deberan identificar los derechos de acceso privilegiado asociados con cada sistema o proceso, es
decir, sistema operativo, sistema de administracin de bases de datos junto con cada aplicacin y los
usuarios a los que se deberan asignar;
b)
se deberan asignar derechos de acceso privilegiado a los usuarios en base a su necesidad de uso y en
base a eventos de acuerdo con la poltica de control de acceso (ver 9.1.1), es decir, en base al requisito
mnimo para sus roles funcionales;
c)
d)
se deberan definir los requisitos para el vencimiento de los derechos de acceso privilegiado;
e)
se deberan asignar derechos de acceso privilegiado a una ID de usuario que sean distintos a los que se
utilizan para las actividades comerciales regulares. Las actividades comerciales regulares no se
deberan realizar desde una ID privilegiada;
f)
las competencias de los usuarios con derechos de acceso privilegiado se deberan revisar regularmente
para verificar si estn conforme a sus labores;
g)
se deberan establecer y mantener procedimientos especficos para poder evitar el uso no autorizado de IDs
de usuario de administracin genrica de acuerdo a las capacidades de configuracin de los sistemas;
h)
27
NCh-ISO 27002:2013
NORMA CHILENA
Otra informacin
El uso inadecuado de los privilegios de administracin del sistema (cualquier funcin o instalacin de un
sistema de informacin que permite al usuario anular los controles del sistema o la aplicacin) es un factor
importante que contribuye a los incumplimientos de los sistemas.
9.2.4 Administracin de la informacin de autenticacin secreta de los usuarios
Control
La asignacin de la informacin de autenticacin secreta se debera controlar a travs de un proceso de
administracin formal.
Orientacin sobre la implementacin
El proceso debera incluir los siguientes requisitos:
a) se debera solicitar a los usuarios firmar una declaracin en que mantengan la informacin de
autenticacin secreta de manera personal y que mantengan la informacin de autenticacin secreta
grupal (es decir, compartida) solo dentro de los miembros del grupo; esta declaracin firmada se puede
incluir en los trminos y condiciones de empleo (ver 7.1.2);
b) cuando se requiere que los usuarios mantengan su propia informacin de autenticacin secreta se les
debera proporcionar inicialmente informacin de autenticacin secreta temporal segura, que deberan
cambiar obligatoriamente en el primer uso;
c) se deberan establecer procedimientos para verificar la identidad de un usuario antes de proporcionar
informacin de autenticacin secreta nueva, de reemplazo o temporal;
d) se debera proporcionar informacin de autenticacin secreta temporal a los usuarios de manera segura;
se debera evitar el uso de partes externas o mensajes de correo electrnico no protegidos (texto sin
cifrar);
e) la informacin de autenticacin secreta temporal debera ser nica para una persona y no se debera
poder adivinar;
f)
28
NORMA CHILENA
NCh-ISO 27002:2013
b) los derechos de acceso de usuarios se deberan revisar y volver a asignar al pasar de un rol a otro dentro
de la misma organizacin;
c) se deberan revisar las autorizaciones para los derechos de acceso privilegiados en intervalos ms
frecuentes;
d) se deberan revisar las asignaciones de privilegios en intervalos regulares para garantizar que no se han
obtenido privilegios no autorizados;
e) se deberan registrar los cambios a las cuentas con privilegios para su revisin peridica.
Otra informacin
Este control compensa cualquier posible debilidad en la ejecucin de los controles 9.2.1, 9.2.2 y 9.2.6.
9.2.6 Eliminacin o ajuste de los derechos de acceso
Control
Los derechos de acceso para todos los empleados y usuarios externos a la informacin y a las instalaciones
de procesamiento de informacin se deberan eliminar al trmino de su empleo, contrato o acuerdo, o se
deberan ajustar en caso de realizarse cambios en el empleo.
Orientacin sobre la implementacin
Luego del cese del empleo, los derechos de acceso de una persona a la informacin y a los activos
asociados con las instalaciones de procesamiento de informacin y servicios se deberan eliminar o
suspender. Esto determinar si es necesario eliminar los derechos de acceso. Los cambios en el empleo se
deberan reflejar en la eliminacin de todos los derechos de acceso que no se aprobaron para el nuevo
empleo. Los derechos de acceso que se deberan eliminar o ajustar incluyen a los de acceso fsico y lgico.
La eliminacin o el ajuste se puede hacer mediante la eliminacin, la revocacin o el reemplazo de claves,
tarjetas de identificacin, instalaciones de procesamiento de informacin o suscripciones. Cualquier
documentacin que identifique los derechos de acceso de los empleados y contratistas deberan reflejar la
eliminacin o el ajuste de los derechos de acceso. Si un empleado o parte externa que abandona el negocio
tiene contraseas conocidas para IDs de usuario que permanecen activas, stas se deberan cambiar luego
del cese o cambio del empleo, contrato o acuerdo.
Los derechos de acceso para la informacin y los activos asociados a las instalaciones de procesamiento de
informacin se deberan reducir o eliminar antes de que el empleo finalice o cambie, en funcin de la
evaluacin de factores de riesgo como:
a) si el cese o cambio lo inici el empleado, el usuario externo o la administracin y el motivo para ello.
b) las responsabilidades actuales del empleado, del usuario externo o de cualquier otro usuario;
c) el valor de los activos actualmente disponibles.
Otra informacin
En ciertas circunstancias se pueden asignar derechos de acceso en base a su disponibilidad a ms personas
que el empleado o la parte externa que se retira, es decir, IDs de grupo. En tales circunstancias, se debera
eliminar a las personas que se retiran de cualquier lista de acceso a grupos y se deberan realizar todas las
disposiciones necesarias para indicarle al resto de los empleados y usuarios externos que no compartan ms
esta informacin con la persona que se retira.
En los casos en que la direccin inici el cese del empleo, los empleados o partes externas disgustados
pueden corromper deliberadamente la informacin o bien sabotear las instalaciones de procesamiento de
informacin. En los casos donde las personas renuncian o se desvinculan, se pueden ver tentados a recopilar
informacin para un uso futuro.
29
NCh-ISO 27002:2013
NORMA CHILENA
aseguren la proteccin adecuada de contraseas cuando se utilicen las contraseas como informacin
de autenticacin secreta en procedimientos de inicio de sesin automatizados y que se almacenen;
30
NORMA CHILENA
NCh-ISO 27002:2013
proporcionar controles de acceso fsicos o lgicos para el aislamiento de aplicaciones sensibles, datos o
sistemas de aplicacin.
31
NCh-ISO 27002:2013
NORMA CHILENA
c) no proporcionar mensajes de ayuda durante el procedimiento de inicio de sesin que pudieran servir de
ayuda a un usuario no autorizado;
d) validar la informacin de inicio de sesin solo al completar todos los datos de entrada. Si surge una
condicin de error, el sistema no debera indicar qu parte de los datos son correctos o incorrectos;
e) proteger contra los intentos de inicio de sesin forzados;
f)
g) activar un evento de seguridad si se detecta un posible intento de transgresin o su logro en los controles
de inicio de sesin;
h) mostrar la siguiente informacin al completar un inicio de sesin correcto:
1) fecha y hora del inicio de sesin correcto anterior;
2) detalles de cualquier intento de inicio de sesin fallido desde el ltimo inicio de sesin correcto;
i)
j)
k) terminar las sesiones inactivas despus de un perodo de inactividad, en especial en ubicaciones de alto
riesgo como reas pblicas o externas fuera de la administracin de seguridad de la organizacin o en
dispositivos mviles.
l)
restringir los tiempos de conexin para brindar seguridad adicional para las aplicaciones de alto riesgo y
reducir la ventana de oportunidad para el acceso no autorizado.
Otra informacin
Las contraseas son una forma comn de proporcionar identificacin y autenticacin en base a un secreto
que solo conoce el usuario. Lo mismo se puede lograr con medios criptogrficos y protocolos de
autenticacin. La fortaleza de una autenticacin de usuario debera corresponder a la clasificacin de la
informacin a la que se acceder.
Si las contraseas se transmiten en texto sin cifrar durante el inicio de sesin a travs de una red, las puede
capturar un programa "sniffer que detecta informacin.
9.4.3 Sistema de administracin de contraseas
Control
Los sistemas de administracin de contraseas deberan ser interactivos y deberan garantizar contraseas
de calidad.
Orientacin sobre la implementacin
Un sistema de administracin de contraseas debera:
a) forzar el uso de IDs de usuario y contraseas individuales para mantener la responsabilidad;
b) permitir a los usuarios seleccionar y cambiar sus propias contraseas e incluir un procedimiento de
confirmacin para permitir los errores de entrada;
c) imponer la seleccin de contraseas de calidad;
32
NORMA CHILENA
NCh-ISO 27002:2013
Otra informacin
Algunas aplicaciones requieren que una autoridad independiente asigne contraseas de usuario; en tales
casos, las letras b), d) y e) de la orientacin anterior no se aplican. En la mayora de los casos los usuarios
seleccionan y mantienen las contraseas.
9.4.4 Uso de programas de utilidad privilegiados
Control
El uso de programas de utilidad que pueden ser capaces de anular el sistema y los controles de aplicacin se
deberan restringir y controlar ntegramente.
Orientacin sobre la implementacin
Se deberan considerar las siguientes pautas para el uso de programas de utilidad que pueden ser capaces
de anular los controles del sistema y de la aplicacin:
a) uso de procedimientos de identificacin, autenticacin y autorizacin para los programas de utilidad;
b) segregacin de programas de utilidad de software de aplicaciones;
c) limitacin del uso de programas de utilidad al nmero mnimo prctico de usuarios confiables y
autorizados (ver 9.2.3);
d) autorizacin para programas de utilidad ad hoc;
e) limitacin de la disponibilidad de programas de utilidad, es decir, por la duracin de un cambio
autorizado;
f)
no dejar los programas de utilidad disponibles a los usuarios que tienen acceso a las aplicaciones de los
sistemas donde se requiere la segregacin de deberes.
Otra informacin
La mayora de las instalaciones de computadores tienen uno o ms programas de utilidad que pueden ser
capaces de anular los controles del sistema y de la aplicacin.
33
NCh-ISO 27002:2013
NORMA CHILENA
se debera mantener un registro de auditora de todos los accesos a las bibliotecas de fuente de
programas;
10 Criptografa
10.1 Controles criptogrficos
Objetivo: garantizar el uso adecuado y eficaz de la criptografa para proteger la confidencialidad, la
autenticidad y/o la integridad de la informacin.
10.1.1 Polticas sobre el uso de controles criptogrficos
Control
Se debera desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin
de la informacin.
34
NORMA CHILENA
NCh-ISO 27002:2013
las normas que se adoptarn para la implementacin eficaz en toda la organizacin (cul es la solucin
que se usa para qu procesos comerciales);
g) el impacto del uso de informacin cifrada en controles que se apoyan en la inspeccin de contenido (es
decir, la deteccin de malware).
Al implementar la poltica criptogrfica de la organizacin, se deberan considerar las normativas y las
restricciones nacionales que se pueden aplicar al uso de tcnicas criptogrficas en distintas partes del mundo
y a los asuntos del flujo de informacin cifrada a travs de las fronteras (ver 18.1.5).
Se pueden utilizar controles criptogrficos para lograr distintos objetivos de seguridad de la informacin, es
decir:
a) confidencialidad: uso de cifrado de la informacin para proteger la informacin sensible o crtica, ya sea
almacenada o transmitida;
b) integridad/autenticidad: uso de firmas digitales o cdigos de autenticacin de mensajes para verificar la
autenticidad o integridad de la informacin almacenada o transmitida sensible o crtica;
c) no repudio: uso de tcnicas criptogrficas para brindar evidencia de la ocurrencia o no ocurrencia de un
evento o accin;
d) autenticacin: uso de tcnicas criptogrficas para autenticar a los usuarios y a otras entidades del
sistema que solicitan acceso a o realizan transacciones con usuarios, entidades y recursos del sistema.
Otra informacin
La toma de una decisin respecto de si una solucin criptogrfica es adecuada se debera considerar como
parte del proceso ms amplio de evaluacin de riesgos y seleccin de controles. Esta evaluacin se puede
utilizar para determinar si un control criptogrfico es adecuado, qu tipo de control se debera aplicar y para
qu propsito y procesos comerciales.
Es necesaria una poltica sobre el uso de controles criptogrficos para maximizar los beneficios y minimizar
los riesgos del uso de tcnicas criptogrficas y para evitar el uso inadecuado o incorrecto.
Se debera buscar la asesora de especialistas al seleccionar los controles criptogrficos adecuados para
cumplir con los objetivos de la poltica de seguridad de la informacin.
35
NCh-ISO 27002:2013
NORMA CHILENA
g) eliminar claves, incluida la forma en que se deberan retirar o desactivar, es decir, cuando se han
comprometido las claves o cuando un usuario abandona una organizacin (en cuyo caso las claves
tambin se deberan archivar);
h) recuperacin de las claves prdidas o corrompidas;
i)
j)
destruccin de claves;
36
NORMA CHILENA
NCh-ISO 27002:2013
El contenido de los acuerdos o contratos de nivel de servicios con proveedores externos o servicios
criptogrficos, es decir, con una autoridad de certificacin, debera cubrir asuntos de confiabilidad de los
servicios y tiempos de respuesta para la provisin de servicios (ver 15.2).
Otra informacin
La administracin de claves criptogrficas es fundamental para el uso eficaz de las tcnicas criptogrficas.
ISO/IEC 11770 brinda ms informacin sobre la administracin de claves.
Tambin se pueden utilizar tcnicas criptogrficas para proteger claves criptogrficas. Es posible que se
deban considerar procedimientos para manejar las solicitudes legales para el acceso a claves criptogrficas,
es decir, se puede requerir tener disponible informacin de manera descifrada como evidencia en un caso de
tribunales.
37
NCh-ISO 27002:2013
f)
NORMA CHILENA
se deberan instalar sistemas de deteccin de intrusos adecuados de acuerdo con las normas
nacionales, regionales o internacionales y se deberan probar regularmente para cubrir todas las puertas
externas y las ventanas accesibles; las reas no ocupadas deberan tener las alarmas activadas en todo
momento; tambin se debera proporcionar una cubierta para el resto de las reas, es decir, las salas de
computacin o las salas de comunicaciones;
38
los derechos de acceso a las reas protegidas se deberan revisar y actualizar de manera regular y,
revocar cuando sea necesario (ver 9.2.5 y 9.2.6).
NORMA CHILENA
NCh-ISO 27002:2013
39
NCh-ISO 27002:2013
NORMA CHILENA
los envos entrantes y salientes se deberan segregar fsicamente, donde sea posible;
11.2 Equipos
Objetivo: evitar la prdida, los daos, el robo o el compromiso de activos y la interrupcin a las operaciones
de la organizacin.
11.2.1 Emplazamiento y proteccin de equipos
Control
Los equipos se deberan emplazar y proteger para reducir los riesgos de las amenazas y peligros
ambientales y las oportunidades de acceso no autorizado.
Orientacin sobre la implementacin
Se deberan considerar las siguientes pautas para la proteccin de equipos:
a) el equipo se debera emplazar en un lugar determinado para minimizar el acceso innecesario a las reas
de trabajo;
b) las instalaciones de procesamiento de informacin que manejan datos sensibles se deberan ubicar
cuidadosamente para reducir el riesgo de que personas no autorizadas la vean durante su uso;
c) las instalaciones de almacenamiento se deberan proteger para evitar el acceso no autorizado;
40
NORMA CHILENA
NCh-ISO 27002:2013
d) los elementos que requieren proteccin especial se deberan resguardar para reducir el nivel general de
proteccin necesaria;
e) se deberan adoptar controles para minimizar el riesgo de posibles amenazas fsicas y ambientales, es
decir, robos, incendios, humo, agua (o una falla del suministro de agua), polvo, vibraciones, efectos
qumicos, interferencia del suministro elctrico, interferencia en las comunicaciones, radiacin
electromagntica y vandalismo;
f)
se deberan establecer pautas para comer, beber y fumar en la proximidad de las instalaciones de
procesamiento de informacin;
se debera considerar el uso de mtodos de proteccin especial, como membranas de teclado para los
equipos en entornos industriales;
j)
la informacin confidencial del procesamiento de equipos se debera proteger para minimizar el riesgo del
filtrado de informacin debido a la emanacin electromagntica.
41
NCh-ISO 27002:2013
NORMA CHILENA
42
NORMA CHILENA
NCh-ISO 27002:2013
43
NCh-ISO 27002:2013
NORMA CHILENA
d) cuando se trasladan los equipos fuera de las dependencias entre distintas personas o partes externas, se
debera mantener un registro que defina la cadena de custodia para el equipo incluidos al menos los
nombres y las organizaciones de aquellos responsables de los equipos.
Los riesgos, es decir, los daos, el robo, el escuchar secretamente pueden variar considerablemente entre
las ubicaciones y se deberan considerar al determinar los controles ms adecuados.
Otra informacin
Los equipos de almacenamiento y procesamiento de informacin incluyen todas las formas de computadores
personales, organizadores, telfonos mviles, tarjetas inteligentes, papel u otra forma, que se mantiene para
el trabajo en casa o para transportarla fuera de la ubicacin de trabajo normal.
Puede encontrar ms informacin sobre otros aspectos de la proteccin de equipos mviles en 6.2.
Puede resultar adecuado evitar el riesgo desalentando a ciertos empleados a trabajar fuera del sitio o
restringir su uso de equipos de TI porttil;
11.2.7 Eliminacin o reutilizacin segura de equipos
Control
Se deberan verificar todos los equipos que contengan medios de almacenamiento para garantizar que
cualquier tipo de datos sensibles y software con licencia se hayan extrado o se hayan sobrescrito de manera
segura antes de su eliminacin o reutilizacin.
Orientacin sobre la implementacin
Se debera verificar el equipo para asegurarse de que contiene o no medios de almacenamiento antes de su
eliminacin o reutilizacin. Los medios de almacenamiento que contienen informacin confidencial o con
derecho de autor se deberan destruir fsicamente o bien, la informacin se debera destruir, eliminar o
sobrescribir mediante tcnicas para hacer que la informacin original no se pueda recuperar en vez de utilizar
la funcin de eliminacin o formateo normal.
Otra informacin
Es posible que los equipos daados que contienen medios de almacenamiento requieran una evaluacin de
riesgos para determinar si stos se deberan destruir fsicamente en vez de repararlos o eliminarlos. La
informacin se puede ver comprometida a travs de la eliminacin o la reutilizacin de equipos poco
cuidadosa.
Adems del borrado seguro del disco, el cifrado del disco completo reduce el riesgo de divulgar informacin
confidencial cuando se elimina o vuelve a implementar el equipo, siempre que:
a) el proceso de cifrado sea lo suficientemente fuerte y que cubra a todo el disco (incluido el espacio
despejado, los archivos de intercambio, etc.);
b) las claves de cifrado sean lo suficientemente largas como para resistir los ataques de fuerza bruta;
c) las claves de cifrado en s se mantengan de manera confidencial (es decir, que nunca se almacenen en
el mismo disco).
Para obtener ms informacin sobre el cifrado, ver clusula 10.
Las tcnicas para sobrescribir los medios de almacenamiento de manera segura pueden diferir de acuerdo
con la tecnologa de los medios de almacenamiento. Se deberan revisar las herramientas de sobreescritura
para asegurarse de que se pueden aplicar a la tecnologa de los medios de almacenamiento.
44
NORMA CHILENA
NCh-ISO 27002:2013
45
NCh-ISO 27002:2013
NORMA CHILENA
contactos de apoyo y escalamiento incluidos los contactos de soporte externos en el caso de presentarse
dificultades operativas o tcnicas inesperadas;
g) instrucciones de manejo de salidas y medios especiales, como el uso de papelera especial o el manejo
de resultados confidenciales incluidos los procedimientos para la eliminacin segura de salidas de
trabajos fallidos (ver 8.3 y 11.2.7);
h) reinicio del sistema y procedimientos de recuperacin para utilizar en el caso de fallas del sistema;
i)
la administracin del seguimiento de auditora y de la informacin de registro del sistema (ver 12.4);
j)
procedimientos de monitoreo.
Los procedimientos operativos y los procedimientos documentados para las actividades del sistema se
deberan tratar como documentos formales y los cambios deberan estar autorizados por la direccin. Donde
sea tcnicamente factible, los sistemas de informacin se deberan administrar de manera coherente,
utilizando los mismos procedimientos, herramientas y utilidades.
46
NORMA CHILENA
NCh-ISO 27002:2013
47
NCh-ISO 27002:2013
NORMA CHILENA
Se debera prestar especial atencin a cualquier recurso con tiempos de accin de adquisicin extensos o
costos altos, por lo tanto, los gerentes deberan monitorear la utilizacin de los recursos de los sistemas
clave. Deberan identificar las tendencias en el uso, en particular en relacin con las aplicaciones comerciales
o con las herramientas de administracin de sistemas de informacin.
Los gerentes deberan utilizar esta informacin para identificar y evitar posibles cuellos de botella y la
dependencia del personal clave que puede presentar una amenaza a la seguridad o los servicios del sistema
y planificar acciones adecuadas.
Se puede proporcionar una capacidad suficiente mediante el aumento de la capacidad o la reduccin de la
demanda. Algunos ejemplos de la administracin de la demanda de capacidad incluyen:
a) eliminacin de datos obsoletos (espacio en el disco);
b) sacar de servicio a las aplicaciones, sistemas, bases de datos o entornos;
c) eliminacin de los procesos y programaciones de parches;
d) optimizacin de las consultas de lgicas de aplicaciones o bases de datos;
e) negacin o restriccin del ancho de banda para recursos que consumen muchos recursos si no son
crticos para el negocio (es decir, streaming de video).
Se debera considerar un plan de administracin de capacidad documentado para los sistemas crticos para
la misin.
Otra informacin
Este control tambin aborda la capacidad de los recursos humanos, as como tambin las oficinas e
instalaciones.
12.1.4 Separacin de entornos de desarrollo, pruebas y operacionales
Control
Los entornos de desarrollo, pruebas y operacionales se deberan separar para reducir los riesgos del acceso
o cambios no autorizados al entorno operacional.
Orientacin sobre la implementacin
Se debera identificar e implementar el nivel de separacin entre los entornos operativos, de prueba y
desarrollo necesario para evitar los problemas operacionales.
Se deberan considerar los siguientes elementos:
a) se deberan definir y documentar las reglas de transferencia de software desde un estado de desarrollo al
operacional;
b) el software de desarrollo y operativo se debera ejecutar en distintos sistemas o procesadores de
computador y en distintos dominios y directorios;
c) se deberan probar los cambios a los sistemas operativos y aplicaciones en un entorno de pruebas o
etapas antes de aplicarlos a los sistemas operacionales;
48
NORMA CHILENA
NCh-ISO 27002:2013
d) a no ser que sea bajo circunstancias excepcionales, no se deberan realizar pruebas en los sistemas
operativos;
e) los compiladores, editores y otras herramientas de desarrollo o utilidades del sistema no deberan estar
accesibles desde los sistemas operacionales cuando no sea necesario;
f)
los usuarios deberan utilizar distintos perfiles de usuario para los sistemas operacionales y de prueba y
se deberan mostrar mens para mostrar mensajes de identificacin adecuados para reducir el riesgo de
errores;
g) los datos sensibles no se deberan copiar en el entorno del sistema de pruebas a menos que se
entreguen controles equivalentes para el sistema de pruebas (ver 14.3).
Otra informacin
Las actividades de desarrollo y pruebas pueden provocar problemas graves, es decir, la modificacin no
deseada de archivos o del entorno del sistema o una falla del sistema. Existe la necesidad de mantener un
entorno conocido y estable en el que se pueden realizar pruebas significativas para evitar el acceso
inadecuado del desarrollador al entorno operacional.
Cuando el personal de desarrollo y pruebas tenga acceso al sistema operativo y a su informacin, podran
introducir un cdigo no autorizado o no probado, o alterar los datos operacionales. En algunos sistemas esta
capacidad se podra utilizar incorrectamente para cometer fraudes o introducir un cdigo sin probar o
malicioso, lo que puede generar problemas operacionales graves.
El personal de desarrollo y pruebas tambin representa una amenaza a la confidencialidad de la informacin
operacional. Las actividades de desarrollo y pruebas pueden provocar cambios no intencionados al software
o la informacin si comparten el mismo entorno computacional. Por lo tanto, se aconseja la separacin de los
entornos desarrollo, de pruebas y operativos para reducir el riesgo de cambios accidentales o del acceso no
autorizado al software operacional y los datos del negocio (ver 14.3 para obtener informacin sobre la
proteccin de los datos de prueba).
49
NCh-ISO 27002:2013
NORMA CHILENA
d) establecimiento de una poltica formal para protegerse contra los riesgos asociados al obtener archivos y
software ya sea de redes externas o a travs de cualquier otro medio, indicando las medidas de
proteccin que se deberan tomar;
e) reduccin de las vulnerabilidades que se podran desencadenar por el malware, es decir, a travs de la
administracin de vulnerabilidades tcnicas (ver 12.6);
f)
realizar revisiones peridicas del software y del contenido de los datos de los sistemas que apoyan los
procesos crticos del negocio; se debera investigar formalmente la presencia de cualquier tipo de
archivos o modificaciones no autorizados;
preparar planes de continuidad comercial adecuados para recuperarse contra ataques de malware,
incluidos todos los datos, respaldo de software y disposiciones de recuperacin necesarios (ver 12.3);
j)
implementar procedimientos para recopilar informacin de manera regular, como la suscripcin a listas
de correo electrnico o verificar los sitios web que brindan informacin sobre el nuevo malware;
k) implementar procedimientos para verificar la informacin relacionada al malware y asegurarse de que los
boletines de advertencia son precisos e informativos; los gerentes se deberan asegurar de que se
utilicen fuentes calificadas, es decir, publicaciones de reconocido prestigio, sitios de internet o
proveedores productores de software de proteccin contra malware confiables para diferenciar entre
malware falso y el real; todos los usuarios deberan estar en conocimiento del problema de malware falso
y qu hacer en caso de recibirlo;
l)
Otra informacin
El uso de dos o ms productos de software que proteja contra malware en todo el entorno de procesamiento
de informacin de distintos proveedores y tecnologa puede mejorar la efectividad de la proteccin contra el
malware.
Se debera tener cuidado de protegerse contra la introduccin de malware durante los procedimientos de
mantenimiento y de emergencia, los que pueden omitir los controles normales de proteccin contra malware.
Bajo ciertas condiciones, la proteccin contra malware puede provocar interrupciones dentro de las
operaciones.
El uso de software de deteccin y reparacin de malware por s solo para el control del malware
generalmente no resulta adecuado y a menudo se debera acompaar de procedimientos operativos que
eviten la introduccin de malware.
50
NORMA CHILENA
NCh-ISO 27002:2013
12.3 Respaldo
Objetivo: brindar proteccin contra la prdida de datos.
12.3.1 Respaldo de informacin
Control
Se deberan realizar copias de la informacin, del software y de las imgenes del sistema y se deberan
probar de manera regular de acuerdo con una poltica de respaldo acordada.
Orientacin sobre la implementacin
Se debera establecer una poltica de respaldo para definir los requisitos de la organizacin para el respaldo
de informacin, del software y de los sistemas.
La poltica de respaldo debera definir los requisitos de retencin y proteccin.
Se debera contar con instalaciones de respaldo adecuadas para garantizar que toda la informacin y el
software esencial se pueden recuperar despus de un desastre y ante una falla de los medios.
Al asignar un plan de respaldo, se deberan considerar los siguientes elementos:
a) se deberan producir registros precisos y completos de las copias de respaldo y procedimientos de
restauracin documentados;
b) el nivel (es decir, respaldo completo o diferencial) y la frecuencia de los respaldos debera reflejar los
requisitos del negocio de la organizacin, los requisitos de seguridad de la informacin involucrada y la
criticidad de la informacin para la operacin continua de la organizacin;
c) los respaldos se deberan almacenar en una ubicacin remota, a una distancia suficiente para evitar
cualquier dao ante desastres en la ubicacin principal;
d) la informacin de respaldo debera tener un nivel de proteccin fsica y ambiental adecuada (ver clusula 11)
de acuerdo con las normas que se aplican en la ubicacin principal;
e) los medios de respaldo se deberan probar de manera regular para garantizar que se puede confiar en
ellos frente a su uso ante emergencias; esto se debera combinar con una prueba de los procedimientos
de restauracin y se debera comprobar contra la restauracin segn sea necesario; esto se debera
combinar con una prueba de los procedimientos de restauracin y se debera verificar contra el tiempo de
restauracin necesario. Se deberan realizar pruebas para probar la habilidad de restaurar los datos de
respaldo en los medios de prueba, no sobrescribiendo los medios originales en caso de que falle el
proceso de respaldo o restauracin y provoque daos o prdidas de los datos;
f)
en las situaciones donde la confidencialidad es importante, se deberan proteger los respaldos mediante
el cifrado.
Los procedimientos operacionales deberan monitorear la ejecucin de respaldos y abordar las fallas de los
respaldos programados para garantizar su integridad de acuerdo con la poltica de respaldos.
Se deberan probar regularmente las disposiciones de respaldos para los sistemas individuales a modo de
garantizar que cumplen con los requisitos de los planes de continuidad del negocio. En el caso de los
sistemas y servicios crticos, las disposiciones de respaldo deberan abarcar la informacin de todos los
sistemas, aplicaciones y datos necesarios para recuperar al sistema completo en el caso de un desastre.
Se debera determinar el perodo de retencin de la informacin esencial del negocio, considerando cualquier
tipo de requisito para archivar copias que se deberan retener de manera permanente.
51
NCh-ISO 27002:2013
NORMA CHILENA
los registros de los datos exitosos y rechazados y otros intentos de acceso a los recursos;
j)
m) la activacin y la desactivacin de los sistemas de proteccin, como los sistemas de antivirus y los
sistemas de deteccin de intrusos;
n) los registros de las transacciones ejecutadas por los usuarios en las aplicaciones.
El registro de eventos establece las bases para los sistemas de monitoreo automatizado que son capaces de
generar informes y alertas consolidadas sobre la seguridad del sistema.
Otra informacin
Los registros de eventos pueden contener datos sensibles e informacin de identificacin personal. Se
deberan tomar medidas de proteccin adecuadas para la privacidad (ver 18.1.4).
Donde sea posible, los administradores del sistema no deberan tener permisos para borrar o desactivar los
registros de sus actividades (ver 12.4.3).
52
NORMA CHILENA
NCh-ISO 27002:2013
53
NCh-ISO 27002:2013
NORMA CHILENA
54
NORMA CHILENA
NCh-ISO 27002:2013
e) debera existir una estrategia de reversin antes de que se implementen los cambios;
f)
se debera mantener un registro de auditora de todas las actualizaciones a las bibliotecas de programas
operacionales;
g) se deberan retener las versiones anteriores del software de aplicacin como medida de contingencia;
h) se deberan archivar las versiones antiguas de software, junto con toda la informacin, los parmetros,
los procedimientos y los detalles de configuracin necesarios que soportan al software mientras que se
mantienen los datos en el archivo.
Se debera mantener el software suministrado por proveedores que se utiliza en los sistemas operacionales a
un nivel al que preste soporte el operador. Con el tiempo, los proveedores de software dejarn de prestar
soporte a las versiones anteriores de software. La organizacin debera considerar los riesgos de utilizar
software sin soporte.
Cualquier decisin de actualizar a una nueva versin debera considerar los requisitos del negocio para el
cambio y la seguridad de la versin, es decir, la introduccin de nuevas funcionalidades de seguridad de la
informacin o la cantidad y la gravedad de los problemas de seguridad de la versin que afectan a esta
nueva versin. Se deberan aplicar parches de software cuando pueden ayudar a eliminar o reducir las
debilidades de la seguridad de informacin (ver 12.6).
Solo se debera dar acceso fsico o lgico a los proveedores para fines de soporte cuando sea necesario y
con la aprobacin de la direccin. Se deberan monitorear las actividades del proveedor (ver 15.2.1).
El software informtico puede utilizar software y mdulos suministrados de manera externa, los que se
deberan monitorear y controlar para evitar cambios no autorizados y que pueden introducir falencias en la
seguridad.
55
NCh-ISO 27002:2013
NORMA CHILENA
b) se deberan identificar los recursos de informacin que se utilizarn para identificar las vulnerabilidades
tcnicas pertinentes y para mantener la concientizacin sobre ellas para el software y otras tecnologas
(en base a la lista de inventario de activos, ver 8.1.1); estos recursos de informacin se deberan
actualizar en base a los cambios en el inventario o cuando se encuentran nuevos recursos tiles;
c) se debera definir una lnea de tiempo para reaccionar frente a las notificaciones de vulnerabilidades
tcnicas posiblemente relevantes;
d) una vez que se ha identificado una vulnerabilidad tcnica, la organizacin debera identificar los riesgos
asociados y las medidas que se deberan tomar, dichas medidas podran involucrar la aplicacin de
parches a los sistemas vulnerables o la aplicacin de otros controles;
e) en funcin de la urgencia con la que se deba abordar una vulnerabilidad tcnica, la medida tomada se
debera realizar de acuerdo a los controles relacionados con la administracin de cambios (ver 12.1.2) o
siguiendo los procedimientos de respuesta ante incidentes de seguridad (ver 16.1.5);
f)
si existe un parche disponible de una fuente legtima, se deberan evaluar los riesgos asociados a la
instalacin del parche (los riesgos que impone la vulnerabilidad se deberan comparar con el riesgo de
instalar el parche);
g) los parches se pueden evaluar y probar antes de su instalacin para garantizar que son eficaces y no
involucran efectos colaterales que no se pueden tolerar; si no existen parches disponibles se deberan
considerar otros controles como:
1) desactivar todos los servicios o capacidades relacionadas a la vulnerabilidad;
2) adaptar o agregar controles de acceso, es decir, firewalls, en las fronteras de la red (ver 13.1);
3) mayor monitoreo para detectar ataques reales;
4) concientizar sobre la vulnerabilidad;
h) se debera mantener un registro de auditora para todos los procedimientos que se realizan;
i)
el proceso de vulnerabilidad tcnica se debera monitorear y evaluar regularmente para poder garantizar
su efectividad y eficiencia;
j)
definir un procedimiento para abordar la situacin donde se ha identificado una vulnerabilidad, pero
donde no existe una contramedida. En esta situacin, la organizacin debera evaluar los riesgos
relacionados con la vulnerabilidad conocida y definir las medidas defectivas y correctivas adecuadas.
Otra informacin
La administracin de vulnerabilidades tcnicas se puede ver como una subfuncin de la administracin de
cambios y como tal, puede aprovechar los procesos y procedimientos de administracin de cambios
(ver 12.1.2 y 14.2.2).
Los proveedores a menudo se encuentran bajo gran presin para presentar nuevos parches lo ms pronto
posible. Por lo tanto, existe la posibilidad de que un parche no aborde el problema de manera adecuada y
que presente efectos secundarios negativos. Adems, en algunos casos, la desinstalacin de un parche no
se puede lograr fcilmente una vez que se ha aplicado un parche.
56
NORMA CHILENA
NCh-ISO 27002:2013
Si no es posible realizar pruebas adecuadas a los parches, es decir, por motivos de costos o falta de
recursos, se puede considerar un retraso en los parches para evaluar los riesgos asociados, en base a la
experiencia informada por otros usuarios. El uso de ISO/IEC 27031 puede ser beneficioso.
12.6.2 Restricciones en la instalacin de software
Control
Se deberan establecer e implementar las reglas que rigen la instalacin de software por parte de los
usuarios.
Orientacin sobre la implementacin
La organizacin debera definir y poner en vigencia una poltica estricta sobre qu tipo de software pueden
instalar los usuarios.
Se debera aplicar el principio de los menores privilegios. Si se les otorgan ciertos privilegios, es posible que
los usuarios tengan la capacidad de instalar software. La organizacin debera definir qu tipos de
instalaciones de software se permiten (es decir, actualizaciones y parches de seguridad al software existente)
y qu tipos de instalaciones se prohben (es decir, software que es solo para el uso personal y software cuya
categora en cuanto a su posible caracterstica maliciosa es desconocida o sospechosa). Estos privilegios se
deberan otorgar considerando los roles de los usuarios involucrados.
Otra informacin
La instalacin no controlada de software en dispositivos computacionales puede dar pie a la introduccin de
vulnerabilidades y a la fuga de informacin, a la falta de integridad u otros incidentes de seguridad de
informacin o bien a la transgresin de derechos de propiedad intelectual.
57
NCh-ISO 27002:2013
f)
NORMA CHILENA
las pruebas de auditora que pudieran afectar la disponibilidad del sistema se deberan ejecutar fuera de
las horas laborales;
58
NORMA CHILENA
NCh-ISO 27002:2013
59
NCh-ISO 27002:2013
NORMA CHILENA
Las redes inalmbricas requieren un tratamiento especial debido al permetro de red definido
deficientemente. Para los entornos sensibles, se debera tener consideracin de tratar a todos los accesos
inalmbricos como conexiones externas y segregar este acceso desde las redes internas hasta que el acceso
haya pasado a travs de una puerta de enlace de acuerdo con la poltica de controles de red (ver 13.1.1)
antes de otorgar acceso a los sistemas internos.
Las tecnologas de autenticacin, cifrado y de control de acceso a redes de nivel de usuario de las redes
moderas y basadas en normas inalmbricas puede ser suficiente para dirigir la conexin a la red interna de la
organizacin cuando se implementen adecuadamente.
Otra informacin
Las redes a menudo se extienden ms all de los lmites organizacionales, debido a que se forman
sociedades comerciales que requieren la interconexin o que comparten la informacin de instalaciones de
redes y procesamiento de informacin. Tales extensiones pueden aumentar el riesgo del acceso no
autorizado a los sistemas de informacin de la organizacin que utilizan la red, algunos de los cuales
requieren proteccin de otros usuarios de red debido a su sensibilidad o criticidad.
g) retencin y eliminacin de pautas para toda la correspondencia comercial, incluidos los mensajes, de
acuerdo con las normativas y a la legislacin local y nacional pertinentes;
60
NORMA CHILENA
NCh-ISO 27002:2013
h) los controles y las restricciones asociados al uso de instalaciones de comunicacin, es decir, el reenvo
automtico de correos electrnico a direcciones de correo externas;
i)
asesorar al personal para tomar las precauciones correspondientes para no revelar informacin
confidencial.
j)
no dejar mensajes que contienen informacin confidencial en mquinas contestadores debido a que
personas no autorizadas pueden volver a reproducir los mensajes, se pueden almacenar en sistemas
comunales o almacenar incorrectamente como consecuencia de una mala manipulacin;
k) informar al personal sobre los problemas del uso de mquinas o servicios de fax, a saber:
1) el acceso no autorizado a tiendas de mensajes incorporadas para recuperar mensajes;
2) programacin deliberada o accidental de mquinas para enviar mensajes a nmeros especficos;
3) envo de documentos y mensajes al nmero incorrecto ya sea por un error en la marcacin o el uso
del nmero almacenado incorrecto.
Adems, se debera recordar al personal que no deberan sostener conversaciones confidenciales en lugares
pblicos o a travs de canales de comunicacin, oficinas abiertas y lugares de encuentro inseguros.
Los servicios de transferencia de informacin deberan cumplir con cualquier tipo de requisitos legales
(ver 18.1).
Otra informacin
La transferencia de informacin puede ocurrir a travs del uso de varios tipos distintos de instalaciones de
comunicacin, incluido el correo electrnico, de voz, fax y video.
La transferencia de software puede ocurrir a travs de varios medios distintos, incluida la descarga de
internet y la adquisicin de proveedores que venden los productos listos para usar.
Se deberan considerar las implicaciones comerciales, legales y de seguridad asociada al intercambio de
datos electrnico, el comercio electrnico y las comunicaciones electrnicas y los requisitos para los
controles.
13.2.2 Acuerdos sobre la transferencia de informacin
Control
Los acuerdos deberan abordar la transferencia segura de informacin comercial entre la organizacin y las
partes externas.
Orientacin sobre la implementacin
Los acuerdos de transferencia de informacin deberan incorporar lo siguiente:
a) administracin de responsabilidades para controlar y notificar la transmisin, el despacho y la recepcin;
b) procedimientos para garantizar la capacidad de seguimiento y no repudiacin;
c) normas tcnicas mnimas para el empaque y la transmisin;
d) acuerdos de garanta en depsito;
e) normas de identificacin de courier;
61
NCh-ISO 27002:2013
f)
NORMA CHILENA
g) uso de un sistema de etiquetado acordado para la informacin sensible o crtica, que garantice que el
significado de las etiquetas se comprenda inmediatamente y que la informacin se proteja
adecuadamente (ver 8.2);
h) normas tcnicas para registrar y leer la informacin y software;
i)
cualquier control especial necesario para proteger elementos sensibles, como criptografa (ver clusula 10);
j)
Se deberan establecer y mantener polticas, procedimientos y normas para proteger la informacin y los
medios fsicos en trnsito (ver 8.3.3) y se debera hacer referencias a ellos en tales acuerdos de
transferencia.
El contenido de informacin de seguridad de cualquier acuerdo debera reflejar la sensibilidad de la
informacin comercial involucrada.
Otra informacin
Los acuerdos pueden ser electrnicos o manuales y pueden tomar la forma de contratos formales. Para la
informacin confidencial, los mecanismos que se utilizan para la transferencia de dicha informacin deberan
ser coherentes para todas las organizaciones y tipos de acuerdos.
13.2.3 Mensajera electrnica
Control
Se debera proteger correctamente la informacin involucrada en la mensajera electrnica.
Orientacin sobre la implementacin
Las consideraciones de seguridad de la informacin para la mensajera electrnica debera incluir lo
siguiente:
a) proteger a los mensajes del acceso no autorizado, de la modificacin o negacin de servicio de acuerdo
con el esquema de clasificacin adoptado por la organizacin;
b) garantizar la direccin y el transporte correcto del mensaje;
c) confiabilidad y disponibilidad del servicio;
d) consideraciones legales, por ejemplo, los requisitos de firmas electrnicas;
e) obtener la aprobacin antes del uso de servicios pblicos externos como la mensajera instantnea, las
redes sociales o el compartir archivos;
f)
62
niveles ms fuertes de acceso para el control de la autenticacin desde redes de acceso pblico.
NORMA CHILENA
NCh-ISO 27002:2013
Otra informacin
Existen varios tipos de mensajera electrnica como el correo electrnico, el intercambio de datos electrnico
y las redes sociales, que desempean una funcin en las comunicaciones comerciales.
13.2.4 Confidencialidad de los acuerdos de no divulgacin
Control
Los requisitos para los acuerdos de confidencialidad y no divulgacin que reflejan las necesidades de la
organizacin para la proteccin de informacin se deberan identificar, revisar y documentar de manera
regular.
Orientacin sobre la implementacin
La confidencialidad de los acuerdos de no divulgacin deberan abordar el requisito para proteger la
informacin confidencial mediante trminos que se pueden hacer cumplir legalmente. Los acuerdos de
confidencialidad o no divulgacin se aplican a las partes externas o a los empleados de la organizacin. Se
deberan seleccionar o agregar elementos considerando el tipo de la otra parte y el acceso que se le permite
o el manejo de la informacin confidencial. Se deberan considerar los siguientes elementos para identificar
los requisitos de confidencialidad o para los acuerdos de no divulgacin:
a) una definicin de la informacin que se proteger (es decir, informacin confidencial);
b) duracin esperada de un acuerdo, incluidos los casos donde es posible que sea necesario mantener la
confidencialidad de manera indefinida;
c) acciones necesarias al terminar un acuerdo;
d) responsabilidades y acciones de los firmantes para evitar la divulgacin de informacin no autorizada;
e) propiedad de la informacin, secretos comerciales y propiedad intelectual y cmo esto se relaciona con la
proteccin de informacin confidencial;
f)
el uso permitido de la informacin confidencial y los derechos del firmante para utilizar la informacin;
j)
En base a los requisitos de seguridad de la informacin de la organizacin, es posible que se deban incluir
otros elementos en un acuerdo de confidencialidad o de no divulgacin.
Los acuerdos de confidencialidad y no divulgacin deberan cumplir con todas las leyes y normativas
pertinentes para la jurisdiccin a la que corresponden (ver 18.1).
Se deberan revisar peridicamente los requisitos de los acuerdos de confidencialidad y no divulgacin y
cuando ocurran cambios que tengan una influencia en estos requisitos.
63
NCh-ISO 27002:2013
NORMA CHILENA
Otra informacin
Los acuerdos de confidencialidad y de no divulgacin protegen a la informacin organizacional e informan a
los firmantes sobre su responsabilidad de proteger, utilizar y divulgar la informacin de manera responsable y
autorizada.
Es posible que una organizacin deba utilizar distintas formas de acuerdos de confidencialidad o no
divulgacin en distintas circunstancias.
64
los requisitos impuestos por otros controles de seguridad, es decir, las interfaces al registro y monitoreo o
los sistemas de deteccin de fugas de datos.
NORMA CHILENA
NCh-ISO 27002:2013
Para las aplicaciones que brindan servicios a travs de redes pblicas o que implementan transacciones, se
deberan considerar los controles dedicados 14.1.2 y 14.1.3.
Si se adquieren productos, se debera seguir un proceso de pruebas y adquisiciones formal. Los contratos
con el proveedor deberan abordar los requisitos de seguridad identificados.
Cuando la funcionalidad de seguridad en un producto propuesto no satisfaga el requisito especfico, se
deberan reconsiderar tanto el riesgo introducido como los controles asociados antes de adquirir el producto.
Se debera evaluar e implementar la orientacin disponible para la configuracin de seguridad del producto
en lnea con el software final / pila de servicio de ese sistema.
Se deberan definir los criterios para aceptar productos, es decir, en trminos de su funcionalidad, lo que dar
la seguridad de que se cumplen los requisitos de seguridad identificados. Se deberan evaluar los productos
contra estos criterios antes de la adquisicin. Se debera revisar la funcionalidad adicional para garantizar
que no introduce riesgos adicionales inaceptables.
Otra informacin
Las normas ISO/IEC 27005 e ISO 31000 brindan orientacin sobre el uso de procesos de administracin de
riesgos para identificar los controles para cumplir con los requisitos de seguridad de la informacin.
14.1.2 Proteccin de servicios de aplicacin en redes pblicas
Control
La informacin involucrada en los servicios de aplicacin que pasan a travs de redes pblicas se deberan
proteger contra la actividad fraudulenta, la disputa de contratos y la informacin y modificacin no autorizada.
Orientacin sobre la implementacin
Las consideraciones de seguridad de la informacin para los servicios de aplicacin que pasan a travs de
redes pblicas deberan incluir lo siguiente:
a) el nivel de confianza que requiere cada parte sobre la identidad manifestada de la otra, es decir, a travs
de la autenticacin;
b) procesos de autorizacin asociados a las personas que pudieran aprobar los contenidos de, emitir o
firmar documentos de transacciones clave.
c) garantizar que todos los socios en la comunicacin estn completamente informados de sus
autorizaciones de la provisin o el uso del servicio;
d) determinar y cumplir con los requisitos de confidencialidad, integridad, prueba de despacho y recepcin
de documentos clave y el no repudio de contratos, es decir, asociados con los procesos de licitacin y
contratos;
e) el nivel de confianza que se requiere en la integridad de documentos clave;
f)
seleccin del acuerdo ms adecuado de forma de pago para protegerse contra los fraudes;
65
NCh-ISO 27002:2013
j)
NORMA CHILENA
m) requisitos de seguros.
Muchas de las consideraciones anteriores se pueden abordar con la aplicacin de controles criptogrficos
(ver clusula 10), considerando el cumplimiento con los requisitos legales (ver clusula 18 y especialmente
18.1.5 para obtener ms informacin sobre la legislacin de la criptografa).
Las disposiciones de servicio de aplicaciones entre socios se deberan respaldar con un acuerdo
documentado que comprometa a ambas partes a los trminos de servicios acordados, incluidos los detalles
de autorizacin [ver letra b)] de arriba).
Se deberan considerar los requisitos de resiliencia contra ataques, los que pueden incluir los requisitos para
la proteccin de los servidores de aplicaciones involucrados o garantizar la disponibilidad de las
interconexiones de redes necesarias para entregar el servicio.
Otra informacin
Las aplicaciones a las que se puede acceder a travs de redes pblicas estn sujetas a una amplia gama de
amenazas relacionadas con la red, como actividades fraudulentas, disputas de contrato o divulgacin de la
informacin al pblico. Por lo tanto, las evaluaciones de riesgo detalladas y la seleccin adecuada de los
controles son indispensables. Los controles necesarios a menudo incluyen mtodos criptogrficos para la
autenticacin y la proteccin de la transferencia de datos.
Los servicios de aplicaciones pueden utilizar mtodos de autenticacin seguros, es decir, utilizando
criptografa de clave pblica y firmas digitales (ver clusula 10) para reducir los riesgos. Adems, se pueden
utilizar terceros de confianza, cuando dichos servicios sean necesarios.
14.1.3 Proteccin de transacciones de servicios de aplicacin
Control
La informacin involucrada en las transacciones de servicios de aplicacin se debera proteger para evitar la
transmisin incompleta, el enrutamiento incorrecto, la alteracin no autorizada de mensajes, la divulgacin no
autorizada, la duplicacin no autorizada de mensajes o su reproduccin.
Orientacin sobre la implementacin
Las consideraciones de seguridad de la informacin para las transacciones de servicios de aplicacin
deberan incluir lo siguiente:
a) el uso de firmas electrnicas por parte de cada parte involucrada en la transaccin;
b) todos los aspectos de la transaccin, es decir, garantizando que:
1) que la informacin de autenticacin secreta del usuario de todas las partes sea vlida y que se
verifique;
2) la transaccin permanezca como confidencial;
3) se retenga la privacidad asociada con todas las partes involucradas;
66
NORMA CHILENA
NCh-ISO 27002:2013
donde se utilice una autoridad confiable (es decir, para propsitos de emitir y mantener firmas digitales o
certificados digitales) la seguridad se integre en todo el proceso de administracin de certificado/firma
descentralizado.
Otra informacin
El alcance de los controles adoptados se deberan conmensurar con el nivel de riesgo asociado a cada forma
de transaccin de servicio de aplicacin.
Es posible que las transacciones deban cumplir con requisitos legales y normativos en la jurisdiccin desde
donde se genera, procesa, completa o almacena la transaccin.
b)
c)
repositorios seguros;
d)
e)
f)
67
NCh-ISO 27002:2013
NORMA CHILENA
Se deberan utilizar tcnicas de programacin seguras tanto para los desarrollos nuevos como en las
situaciones de reutilizacin de cdigos donde es posible que no se conozcan las normas que se aplican al
desarrollo o donde no sean coherentes con las buenas prcticas actuales. Se deberan considerar las normas
de codificacin y, donde corresponda, se debera obligar su uso. Se debera capacitar a los desarrolladores
en su uso y pruebas y se debera verificar su uso mediante una revisin de cdigos.
Si se externaliza el desarrollo, la organizacin debera obtener la garanta de que la parte externa cumple con
estas reglas para el desarrollo seguro (ver 14.2.7).
Otra informacin
El desarrollo tambin se puede realizar dentro de aplicaciones como aplicaciones de oficina, programacin,
navegadores y bases de datos.
14.2.2 Procedimientos de control de cambios del sistema
Control
Los cambios a los sistemas dentro del ciclo de vida de desarrollo se deberan controlar mediante el uso de
procedimientos de control de cambios formales.
Orientacin sobre la implementacin
Los procedimientos de control de cambios formales se deberan documentar para garantizar la integridad del
sistema, las aplicaciones y productos, desde las primeras etapas del diseo a travs de todos los esfuerzos
de mantenimiento posteriores.
La introduccin de nuevos sistemas y cambios importantes a los sistemas existentes debera seguir un
proceso formal de documentacin, especificacin, pruebas, control de calidad e implementacin
administrada.
El proceso debera incluir una evaluacin de riesgos, un anlisis de los impactos de los cambios y la
especificacin de los controles de seguridad necesarios. Este proceso adems de garantizar que no se vean
comprometidos los procedimientos de seguridad y control, que los programadores de soporte cuenten con
acceso solo para las partes del sistema necesarias para su trabajo y que se obtenga el acuerdo y la
aprobacin formal para cualquier cambio.
Donde sea factible, se deberan integrar los procedimientos de control de cambios de aplicacin y
operacionales (ver 12.1.2). Los procedimientos de control de cambios deberan incluir, pero sin limitarse a:
a) mantenimiento de un registro de niveles de autorizacin acordados;
b) garantizar que los cambios los emiten los usuarios autorizados;
c) revisar los procedimientos de control e integridad para garantizar que no se vern comprometidos por los
cambios;
d) identificacin de todo el software, la informacin, las entidades de la base de datos y el hardware que
requiere modificaciones;
e) identificacin y verificacin del cdigo crtico de seguridad para minimizar la probabilidad de debilidad de
seguridad conocidas;
f)
obtencin de una aprobacin formal para las propuestas detalladas antes de que comience el trabajo;
g) asegurarse de que los usuarios autorizados acepten los cambios antes de la implementacin;
68
NORMA CHILENA
NCh-ISO 27002:2013
h) asegurarse de que la documentacin establecida del sistema se actualice al finalizar cada cambio y que
la documentacin antigua se archive o elimine;
i)
j)
k) asegurarse de que la documentacin operativa (ver 12.1.1) y los procedimientos se cambien segn sea
necesario para seguir siendo adecuados;
l)
Otra informacin
El cambio de software puede generar un impacto en el entorno operacional y viceversa.
Las buenas prcticas incluyen las pruebas de nuevo software en un entorno segregado de los entornos de
produccin y desarrollo (ver 12.1.4). Esto brinda una forma de tener control del nuevo software y permite una
proteccin adicional de la informacin operacional que se utiliza para fines de pruebas. Esto debera incluir
parches, paquetes de servicio y otras actualizaciones.
Donde se consideren actualizaciones automticas, se debera medir el riesgo a la integridad y a la
disponibilidad del sistema contra el beneficio de la implementacin rpida de actualizaciones. Las
actualizaciones automticas no se deberan utilizar en sistemas crticos, pues algunas actualizaciones
pueden hacer que las aplicaciones crticas fallen.
14.2.3 Revisin tcnica de las aplicaciones despus de los cambios en la plataforma operativa
Control
Cuando se cambian las plataformas operativas, las aplicaciones crticas para el negocio se deberan revisar y
probar para asegurarse de que no se ha generado un impacto adverso en las operaciones o en la seguridad
de la organizacin.
Orientacin sobre la implementacin
Este proceso debera cubrir:
a) revisin de los procedimientos de control e integridad de aplicaciones para garantizar que no se vern
comprometidos por los cambios en la plataforma operativa;
b) asegurarse de que se entregue una notificacin de los cambios en la plataforma operativa a tiempo para
permitir que se realicen las pruebas y revisiones correspondientes antes de la implementacin.
c) asegurarse de que se realicen los cambios adecuados a los planes de continuidad comercial
(ver clusula 17).
Otra informacin
Las plataformas operativas incluyen sistemas operativos, bases de datos y plataformas middleware. El
control tambin se debera aplicar a los cambios de aplicaciones.
69
NCh-ISO 27002:2013
NORMA CHILENA
70
NORMA CHILENA
NCh-ISO 27002:2013
Se deberan aplicar los principios de ingeniera de seguridad establecidos, donde corresponda, a los sistemas
de informacin externalizados a travs de contratos y otros acuerdos vinculantes entre la organizacin y el
proveedor a quien la organizacin externaliza el servicio. La organizacin debera confirmar que el rigor de
los principios de ingeniera de seguridad del proveedor es comparable con el propio.
Otra informacin
Los procedimientos de desarrollo de aplicaciones deberan aplicar tcnicas de ingeniera seguras en el
desarrollo de aplicaciones que tienen interfaces de entrada y salida. Las tcnicas de ingeniera segura
brindan orientacin sobre las tcnicas de autenticacin de usuario, control y validacin de datos de sesin
seguros, sanitizacin y eliminacin de cdigos de depuracin.
14.2.6 Entorno de desarrollo seguro
Control
Las organizaciones deberan establecer y proteger adecuadamente a los entornos de desarrollo seguros para
las labores de desarrollo e integracin de sistemas que abarcan todo el ciclo de vida de desarrollo del
sistema.
Orientacin sobre la implementacin
Un entorno de desarrollo seguro incluye a las personas, procesos y tecnologas asociadas con el desarrollo e
integracin de sistemas.
Las organizaciones deberan evaluar los riesgos asociados con las labores de desarrollo de sistemas
individuales y establecer entornos de desarrollo seguro para labores de desarrollo del sistema especficas,
considerando:
a) la sensibilidad de los datos que el sistema procesar, almacenar y transmitir;
b) los requisitos externos e internos correspondientes, es decir, de las normativas o polticas;
c) controles de seguridad que ya ha implementado la organizacin y que soportan el desarrollo del sistema;
d) confiabilidad del personal que trabaja en el entorno (ver 7.1.1);
e) el grado de externalizacin asociado al desarrollo del sistema;
f)
j)
Una vez que se ha determinado el nivel de proteccin para un entorno de desarrollo especfico, las
organizaciones deberan documentar los procesos correspondientes en los procedimientos de desarrollo
seguro y proporcionarlos a todas las personas que los necesiten.
71
NCh-ISO 27002:2013
NORMA CHILENA
provisin de evidencia de que se ha aplicado una cantidad suficiente de pruebas para protegerse contra
la ausencia intencional y no intencional de contenido malicioso despus de la entrega;
g) provisin de evidencia de que se han aplicado pruebas suficientes para protegerse contra la presencia de
vulnerabilidades conocidas;
h) disposiciones de garanta en depsito, es decir, que el cdigo de fuente ya no est disponible;
i)
j)
documentacin eficaz sobre el entorno de desarrollo utilizado para crear los entregables;
k) la organizacin sigue siendo responsable del cumplimiento con las leyes pertinentes y la verificacin de
la eficiencia del control.
Otra informacin
Puede encontrar informacin adicional sobre las relaciones con proveedores en ISO/IEC 27036.
14.2.8 Pruebas de seguridad del sistema
Control
Las pruebas de la funcionalidad de seguridad se deberan realizar durante el desarrollo.
Orientacin sobre la implementacin
Los sistemas nuevos y actualizados se deberan someter a pruebas y verificaciones exhaustivas durante los
procesos de desarrollo, incluida la preparacin de un programa de actividades detallado y entradas de
pruebas y los resultados esperados bajo una variedad de condiciones. Para los desarrollos internos, dichas
pruebas las debera realizar inicialmente el equipo de desarrollo. Las pruebas de aceptacin independientes
se deberan realizar (tanto para los desarrollos internos y externalizados) para garantizar que el sistema
funciona segn se espera y solo como se espera (ver 14.1.1 y 14.1.9). El alcance de las pruebas debera ser
en proporcin a la importancia y naturaleza del sistema.
72
NORMA CHILENA
NCh-ISO 27002:2013
73
NCh-ISO 27002:2013
NORMA CHILENA
j)
74
NORMA CHILENA
NCh-ISO 27002:2013
k) capacitacin de concientizacin para el personal de la organizacin que interacta con el personal de los
proveedores en cuanto a las reglas adecuadas sobre el compromiso y el comportamiento en base al tipo
de proveedor y el nivel de acceso del proveedor a los sistemas y la informacin de la organizacin;
l)
una lista explcita del personal autorizado para acceder a o recibir la informacin o los procedimientos o
condiciones de la organizacin para su autorizacin y el retiro de la autorizacin, para el acceso a o la
recepcin de la informacin de la organizacin al personal del proveedor;
75
NCh-ISO 27002:2013
NORMA CHILENA
j)
normativas pertinentes para la subcontratacin, incluidos los controles que se deberan implementar;
k) socios de acuerdos pertinentes, incluida una persona de contacto para los asuntos de seguridad de la
informacin;
l)
requisitos de seleccin, si existe alguno, para el personal del proveedor para realizar los procedimientos de
seleccin y notificacin si no se ha completado la seleccin o si los resultados dan pie a dudas o inquietudes;
m) derecho a auditar los procesos y los controles del proveedor relacionados al acuerdo;
n) procesos de resolucin de defectos y resolucin de conflictos;
o) obligacin del proveedor a entregar peridicamente un informe independiente sobre la efectividad de los
controles y un acuerdo sobre la correccin oportuna de los asuntos pertinentes indicados en el informe;
p) obligaciones del proveedor para cumplir con los requisitos de seguridad de la organizacin.
Otra informacin
Los acuerdos pueden variar considerablemente para las distintas organizaciones y entre los distintos tipos de
proveedores. Por lo tanto, se debera tener cuidado de incluir a todos los riesgos y requisitos de seguridad de
la informacin pertinentes. Los acuerdos del proveedor tambin pueden involucrar a otras partes (es decir,
sub-proveedores).
Los procedimientos para continuar el procesamiento en el caso de que el proveedor no pueda suministrar sus
productos o servicios se deberan considerar en el acuerdo para evitar cualquier tipo de retraso en la
disposicin de los productos y servicios de reemplazo.
15.1.3 Cadena de suministro de la tecnologa de informacin y comunicacin
Control
Los acuerdos con los proveedores deberan incluir los requisitos para abordar los riesgos de seguridad de la
informacin asociados con la cadena de suministro de los servicios y productos de tecnologa de informacin
y comunicaciones.
Orientacin sobre la implementacin
Se deberan considerar los siguientes temas para incluirlos en los acuerdos con el proveedor sobre la
seguridad de la cadena de suministro:
a) definir los requisitos de seguridad de la informacin que se aplicarn a la adquisicin de tecnologas,
productos o servicios de informacin y comunicacin adems de los requisitos de seguridad de la
informacin para las relaciones con el proveedor;
b) para los servicios de tecnologa de informacin y comunicacin, que requieren que los usuarios
propaguen los requisitos de seguridad de la organizacin en toda la cadena de suministro si los
proveedores realizan subcontrataciones para partes del servicio de tecnologa de informacin y
comunicacin proporcionados a la organizacin;
76
NORMA CHILENA
NCh-ISO 27002:2013
c) para los productos de tecnologa de informacin y comunicacin que requieren que los proveedores
propaguen las prcticas de seguridad correspondientes a travs de toda la cadena de suministro si estos
productos incluyen componentes comprados a otros proveedores;
d) implementacin de un proceso de monitoreo y mtodos aceptables para validar que los productos y
servicios de tecnologa de informacin y comunicacin se adhieren a los requisitos de seguridad
establecidos;
e) implementacin de un proceso para identificar los componentes de los productos o servicios que son
fundamentales para mantener la funcionalidad y que, por lo tanto, requiere una mayor atencin y
escrutinio cuando se desarrollan fuera de la organizacin, especialmente si el proveedor del nivel
superior externalice los aspectos de los componentes de productos o servicios a otros proveedores;
f)
obtencin de una garanta de que los componentes crticos y su origen se pueden rastrear en toda la
cadena de suministrar;
Otra informacin
Las prcticas de administracin de riesgos de la cadena de suministro de la tecnologa de informacin y
comunicacin especficas se desarrollan sobre la seguridad de la informacin general, la calidad, la
administracin de proyectos y las prcticas de ingeniera del sistema, pero no las reemplazan.
Se aconseja a las organizaciones a trabajar con los proveedores para comprender la cadena de suministro
de la tecnologa de informacin y comunicacin y cualquier otro asunto que tenga un impacto importante en
los productos y servicios que se proporcionan. Las organizaciones pueden influenciar las prcticas de
seguridad de informacin de la cadena de suministro de la tecnologa de informacin y comunicacin
aclarando en los acuerdos con sus proveedores los asuntos que deberan abordar proveedores en la cadena
de suministro de tecnologa de informacin y comunicacin.
La cadena de suministro de tecnologa de informacin y comunicacin segn se aborda aqu incluye los
servicios de computacin en nube.
77
NCh-ISO 27002:2013
NORMA CHILENA
g) revisar los aspectos de seguridad de la informacin de las relaciones que tiene el proveedor con sus
propios proveedores;
h) asegurarse de que el proveedor mantiene una capacidad de servicio suficiente junto con planes de
trabajo diseados para garantizar que se mantienen los niveles de continuidad en el servicio luego de
grandes fallas o desastres en el servicio (ver clusula 17).
La responsabilidad de administrar las relaciones del proveedor se deberan asignar a una persona o equipo
de administracin de servicios asignado. Adems, la organizacin se debera asegurar de que los
proveedores asignen responsabilidades para revisar el cumplimiento y hacer cumplir los requisitos de los
acuerdos. Se deberan tener las habilidades y recursos tcnicos suficientes a disponibles para monitorear
que se cumplen los requisitos del acuerdo, en particular los requisitos de seguridad de la informacin. Se
deberan tomar las medidas necesarias cuando se observan deficiencias en la prestacin de servicios.
La organizacin debera retener el control y la visibilidad suficientes en todos los aspectos de seguridad para
la informacin o las instalaciones de procesamiento de informacin sensible o crtica que evala, procesa o
administra un proveedor. La organizacin debera retener la visibilidad en las actividades de seguridad como
la administracin del cambio, la identificacin de vulnerabilidades y los informes y respuestas ante un
incidente de seguridad de informacin a travs de un proceso de informes definido.
15.2.2 Administracin de cambios en los servicios del proveedor
Control
Se deberan administrar los cambios a la provisin de servicios de parte de los proveedores, manteniendo y
mejorando las polticas de seguridad de la informacin, los procedimientos y controles especficos,
considerando la criticidad de la informacin comercial, los sistemas y procesos involucrados y la reevaluacin
de riesgos.
78
NORMA CHILENA
NCh-ISO 27002:2013
79
NCh-ISO 27002:2013
NORMA CHILENA
80
NORMA CHILENA
NCh-ISO 27002:2013
81
NCh-ISO 27002:2013
NORMA CHILENA
g) una vez que se ha manejado el incidente correctamente, se debera cerrar y registrar formalmente.
Se debera realizar un anlisis post-incidente, segn sea necesario, para identificar el origen del incidente.
Otra informacin
El primer objetivo de la respuesta ante incidentes es reanudar el nivel de seguridad normal y luego iniciar la
recuperacin necesaria.
82
NORMA CHILENA
NCh-ISO 27002:2013
documentacin;
g) sesin informativa.
Donde corresponda, se deberan buscar certificaciones u otros medios de calificacin del personal y
herramientas pertinentes, para reforzar el valor de la evidencia preservada;
83
NCh-ISO 27002:2013
NORMA CHILENA
La evidencia forense puede trascender los lmites organizacionales o jurisdiccionales. En tales casos, se
debera garantizar que la organizacin tenga el derecho a recopilar la informacin necesaria como evidencia
forense. Tambin se deberan considerar los requisitos de distintas jurisdicciones para maximizar las
probabilidades de admisin en las jurisdicciones pertinentes.
Otra informacin
La identificacin es el proceso de involucrar la bsqueda de, el reconocimiento y la documentacin de la
posible evidencia. La recopilacin es el proceso de reunir los elementos fsicos que pueden contener posibles
evidencias. La adquisicin es el proceso de creacin de una copia de datos dentro de un conjunto definido.
La preservacin es el proceso para mantener y resguardar la integridad y la condicin original de la posible
evidencia.
Cuando se detecta un evento de seguridad de la informacin por primera vez, puede no resultar obvio si el
evento resultar o no en una accin de tribunales. Por lo tanto, existe el peligro de que se destruya la
evidencia necesaria de manera intencional o accidental antes de que se reconozca la gravedad del incidente.
Resulta aconsejable involucrar a un abogado o a la polica al comienzo de cualquier accin legal
contemplada y recibir asesora sobre la evidencia necesaria.
La norma ISO/IEC 27037 brinda orientacin para la identificacin, la recopilacin, la adquisicin y la
preservacin de evidencia digital.
84
NORMA CHILENA
NCh-ISO 27002:2013
Otra informacin
Para poder reducir el tiempo y el esfuerzo de un anlisis de impacto comercial adicional para la seguridad
de la informacin, se recomienda capturar los aspectos de seguridad de la informacin dentro de la
administracin de la continuidad comercial normal o el anlisis de impacto en el negocio de la administracin
de recuperacin ante desastres. Esto implica que los requisitos de continuidad de la seguridad de la
informacin se formulan explcitamente en la administracin de la continuidad del negocio o en los procesos
de administracin de recuperacin ante desastres.
Puede encontrar informacin sobre la administracin de continuidad comercial en ISO/IEC 27031, ISO 22313
e ISO 22301.
17.1.2 Implementacin de la continuidad de la seguridad de la informacin
Control
La organizacin debera establecer, documentar, implementar y mantener los procesos, procedimientos y
controles para garantizar el nivel necesario de continuidad para la seguridad de la informacin durante
situaciones adversas.
Orientacin sobre la implementacin
Una organizacin se debera asegurar de lo siguiente:
a) exista una estructura de administracin adecuada para prepararse para, mitigar y responder ante un
evento disruptivo que utiliza personal con la autoridad, la experiencia y la competencia necesaria;
b) se nomine al personal de respuesta ante incidentes con la responsabilidad, la autoridad y la competencia
necesaria para administrar un incidente y mantener la seguridad de la informacin;
c) que se desarrollen y aprueben planes documentados, los procedimientos de respuesta y recuperacin
detallando cmo la organizacin administrar un evento disruptivo y mantendr la seguridad de su
informacin a un nivel predeterminado, en base a los objetivos de continuidad de la seguridad de la
informacin aprobada por la direccin (ver 17.1.1).
De acuerdo a los requisitos de continuidad de la seguridad de la informacin, la organizacin debera
establecer, documentar, implementar y mantener:
a) controles de seguridad de la informacin dentro de la continuidad comercial o los procesos,
procedimientos y sistemas y herramientas de apoyo;
b) procesos, procedimientos y cambios de implementacin para mantener los controles de seguridad de la
informacin existentes durante una situacin adversa;
c) controles de compensacin para los controles de seguridad de la informacin que no se pueden
mantener durante una situacin adversa.
Otra informacin
Es posible que se hayan establecido procesos y procedimientos especficos dentro del contexto de la
continuidad comercial o de la recuperacin ante desastres. Se debera proteger la informacin que se maneja
dentro de estos procesos y procedimientos o dentro de los sistemas de informacin dedicados para
apoyarlos. Por lo tanto, una organizacin debera:
Involucrar a especialistas de seguridad de la informacin al establecer, implementar y mantener la
continuidad comercial o los procesos y procedimientos de recuperacin ante desastres.
85
NCh-ISO 27002:2013
NORMA CHILENA
Los controles de seguridad de la informacin que se han implementado deberan seguir funcionando durante
una situacin adversa. Si los controles de seguridad no pueden continuar resguardando la informacin, se
deberan establecer, implementar y mantener otros controles para mantener un nivel aceptable de seguridad
de la informacin.
17.1.3 Verificar, revisar y evaluar la continuidad de la seguridad de la informacin
Control
La organizacin debera verificar los controles de continuidad de seguridad de la informacin establecidos e
implementados en intervalos regulares y poder asegurar que son vlidos y eficaces durante situaciones
adversas.
Orientacin sobre la implementacin
Los cambios organizacionales, tcnicos de procedimientos y procesos, ya sean en un contexto operacional o
de continuidad, pueden dar pie a cambios en los requisitos de continuidad de la seguridad de la informacin.
En tales casos, la continuidad de los procesos, procedimientos y controles para la seguridad de la
informacin se deberan revisar contra estos requisitos cambiados.
Las organizaciones deberan verificar la continuidad de la administracin de la seguridad de la informacin de
la siguiente forma:
a) el ejercicio y las pruebas de la funcionalidad de los procesos, procedimientos y controles de continuidad
de la seguridad de la informacin para garantizar que son coherentes con los objetivos de continuidad de
la seguridad de la informacin;
b) el ejercicio y las pruebas del conocimiento y la rutina para operar los procesos, procedimientos y
controles de continuidad de la seguridad de la informacin para garantizar que su desempeo es
coherentes con los objetivos de continuidad de la seguridad de la informacin;
c) revisin de la validez y la efectividad de las medidas de continuidad de la seguridad de la informacin
cuando cambian los sistemas de informacin, los procesos, los procedimientos y los controles de
seguridad de la informacin, o los procesos y soluciones de administracin de administracin de
continuidad comercial/recuperacin ante desastres.
Otra informacin
La verificacin de los controles de continuidad de la seguridad de la informacin es distinta de las pruebas y
verificacin de seguridad de la informacin y se debera realizar fuera de las pruebas de los cambios. Si es
posible, resulta preferible integrar la verificacin de los controles de continuidad de la seguridad de la
informacin con la continuidad comercial de la organizacin o las pruebas de recuperacin ante desastres.
17.2 Redundancias
Objetivo: garantizar la disponibilidad de las instalaciones de procesamiento de informacin.
17.2.1 Disponibilidad de las instalaciones de procesamiento de la informacin
Control
Las instalaciones de procesamiento de la informacin se deberan implementar con la suficiente redundancia
para cumplir con los requisitos de disponibilidad.
86
NORMA CHILENA
NCh-ISO 27002:2013
18 Cumplimiento
18.1 Cumplimiento con los requisitos legales y contractuales
Objetivo: evitar incumplimientos a las obligaciones legales, estatutarias, normativas o contractuales
relacionadas a la seguridad de la informacin y a cualquier requisito de seguridad.
18.1.1 Identificacin de los requisitos de legislacin y contractuales correspondientes
Control
Todos los requisitos estatutarios, normativos y contractuales legislativos y el enfoque de la organizacin para
cumplir con estos requisitos de deberan identificar, documentar y mantener al da de manera explcita para
cada sistema de informacin y la organizacin.
Orientacin sobre la implementacin
Los controles especficos y las responsabilidades individuales para cumplir con estos requisitos tambin se
deberan definir y documentar.
Los gerentes deberan identificar toda la legislacin que se aplica a su organizacin para poder cumplir con
los requisitos para su tipo de negocio. Si la organizacin realiza negocios en otros pases, los gerentes
deberan considerar el cumplimiento en todos los pases pertinentes.
18.1.2 Derechos de propiedad intelectual
Control
Se deberan implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos
legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar
productos de software propietario.
Orientacin sobre la implementacin
Se deberan considerar las siguientes pautas para proteger a cualquier material que se puede considerar
como propiedad intelectual:
a) la publicacin de una poltica de cumplimiento de derechos de propiedad intelectual que define el uso
legal de software y productos de informacin;
b) la adquisicin de software solo a travs de fuentes conocidas y con buena reputacin, para garantizar
que no se transgreda el derecho de autor;
87
NCh-ISO 27002:2013
NORMA CHILENA
c) mantener la concientizacin de las polticas para proteger los derechos de propiedad intelectual dando
aviso de la intencin de tomar medidas disciplinarias contra el personal que las incumple.
d) mantener registros de activos adecuados y la identificacin de todos los activos con los requisitos para
proteger los derechos de propiedad intelectual;
e) mantener pruebas y evidencias de la propiedad de las licencias, discos maestros, manuales, etc.;
f)
implementar controles para garantizar que cualquier nmero mximo de usuarios permitidos dentro la
licencia no se exceda;
g) realizacin de revisiones para verificar que solo se instale software y productos licenciados;
h) proporcionar una poltica para mantener las condiciones adecuadas de las licencias;
i)
j)
cumplir con los trminos y condiciones para el software y la informacin obtenida de redes pblicas;
k) no duplicar, convertir a otro formato ni extraer de grabaciones comerciales (pelcula, audio) a no ser que
lo permita la ley de derecho de autor;
l)
no copiar libros, artculos, informes u otros documentos en su totalidad o en parte, que no sean los
permitidos por la ley de derecho de autor.
Otra informacin
Los derechos de propiedad intelectual incluyen los derechos de autor del software o documentos, derechos
de diseo, marcas registradas, patentes y licencias de cdigo de fuente.
Los productos de software propietario generalmente se suministran bajo un acuerdo de licencia que
especifica los trminos y condiciones de la licencia, por ejemplo, limitando el uso de productos a mquinas
especficas o limitando la copia a la creacin de copias de respaldo solamente. La importancia y el
conocimiento de los derechos de propiedad intelectual se deberan comunicar al personal para el desarrollo
de software de la organizacin.
Los requisitos legislativos, normativos y contractuales pueden imponer restricciones en la copia de material
propietario. En particular, pueden requerir que se utilice solamente material que desarrolla la organizacin o
que tiene licencia, o que proporciona el desarrollador a la organizacin. Las infracciones al derecho de autor
pueden llevar a acciones legales, que pueden involucrar multas y procesos penales.
18.1.3 Proteccin de registros
Control
Los registros se deberan proteger contra prdidas, destruccin, falsificacin, acceso no autorizado y
publicacin no autorizada de acuerdo con los requisitos legislativos, normativos, contractuales y comerciales.
Orientacin sobre la implementacin
Al decidir sobre la proteccin de los registros organizacionales especficos, se debera considerar su
clasificacin correspondiente en base al esquema de clasificacin de la organizacin. Los registros se
deberan categorizar en tipos de registros, es decir, registros de contabilidad, registros de bases de datos,
registros de transacciones, registros de auditora y procedimientos operacionales, cada uno con detalles de
los perodos de retencin y el tipo de medios de almacenamiento permitidos, es decir, papel, microficha,
magntico, ptico. Cualquier clave y programa criptogrfico relacionado asociado a los archivos cifrados o
firmas digitales (ver clusula 10), se debera almacenar para permitir la descripcin de los registros por el
tiempo en que se retengan los registros.
88
NORMA CHILENA
NCh-ISO 27002:2013
Se debera tener en consideracin la posibilidad del deterioro de los medios que se utilizan para el
almacenamiento de registros. Se deberan implementar procedimientos de almacenamiento y manipulacin
de acuerdo con las recomendaciones del fabricante.
Donde se elijan medios de almacenamiento electrnico, se deberan establecer procedimientos para
garantizar la capacidad de acceder a los datos (legibilidad de medios y formato) por todo el perodo de
retencin para protegerlos contra la prdida debido a cambios en la futura tecnologa.
Se deberan seleccionar sistemas de almacenamiento de datos para que se puedan recuperar los datos en
un perodo de tiempo y formato aceptable, en funcin de los requisitos que se deberan cumplir.
El sistema de almacenamiento y manipulacin debera garantizar la identificacin de registros y su perodo de
retencin segn lo define la legislacin y las normativas nacionales y regionales, si corresponde. Este
sistema debera permitir la destruccin adecuada de los registros despus de ese perodo si la organizacin
ya no los necesita.
Para cumplir con estos objetivos de resguardo de registros, se deberan realizar los siguientes pasos dentro
de una organizacin:
a) se deberan emitir pautas sobre la retencin, el almacenamiento, el manejo y la eliminacin de los
registros y de la informacin;
b) se debera establecer un programa de retencin que identifique los registros y el perodo de tiempo en el
que se deberan retener;
c) se debera mantener un inventario de las fuentes de informacin clave.
Otra informacin
Es posible que se deban retener algunos registros de manera segura para cumplir con los requisitos
estatutarios o contractuales, as como tambin para apoyar actividades comerciales esenciales. Algunos
ejemplos incluyen registros que pueden ser necesarios como evidencia de que una organizacin opera
dentro de las reglas estatutarias o normativas, para garantizar la defensa contra posibles acciones penales o
civiles o para confirmar el estado financiero de una organizacin a los accionistas, partes externas y
auditores. La ley o normativa nacional puede establecer el perodo de tiempo y el contenido de datos para la
retencin de la informacin.
Puede encontrar ms informacin sobre la administracin de los registros organizacionales en ISO 15489-1.
18.1.4 Privacidad y proteccin de informacin personal identificable
Control
Se debera garantizar la privacidad y la proteccin de la informacin personal identificable segn se requiere
en la legislacin y las normativas pertinentes donde corresponda.
Orientacin sobre la implementacin
Se debera desarrollar e implementar una poltica de datos de la organizacin para la privacidad y proteccin
de la informacin personal identificable. Esta poltica se debera comunicar a todas las personas involucradas
en el procesamiento de informacin personal identificable.
El cumplimiento con esta poltica y toda la legislacin y normativas pertinentes sobre la proteccin de la
privacidad de las personas y la proteccin de la informacin personal identificable requiere la estructura y
control de administracin adecuada. A menudo esto se logra de mejor manera mediante la asignacin de una
persona responsable, como un funcionario encargado de la privacidad, quien debera brindar orientacin a
los gerentes, usuarios y proveedores de servicio sobre sus responsabilidades individuales y procedimientos
89
NCh-ISO 27002:2013
NORMA CHILENA
90
NORMA CHILENA
NCh-ISO 27002:2013
91
NCh-ISO 27002:2013
NORMA CHILENA
Otra informacin
El uso del monitoreo operacional del sistema se cubre en 12.4.
18.2.3 Revisin de cumplimiento tcnico
Control
Los sistemas de informacin se deberan revisar regularmente para verificar su cumplimiento con las polticas
y normas de seguridad de la informacin de la organizacin.
Orientacin sobre la implementacin
El cumplimiento tcnico se debera revisar de preferencia con la asistencia de herramientas automatizadas,
que generan informes tcnicos para la interpretacin posterior por parte de un especialista tcnico. De
manera alternativa, un ingeniero en sistemas con experiencia puede realizar revisiones manuales (con el
apoyo de herramientas de software correspondientes, en caso de ser necesario).
Si se utilizan pruebas de penetracin o evaluaciones de vulnerabilidad, se debera tener precaucin, pues
tales actividades podran comprometer la seguridad del sistema. Esas pruebas se deberan planificar,
documentar y deberan ser repetibles.
Cualquier tipo de revisin de cumplimiento tcnico solo deberan realizarlas personas autorizadas
competentes o personas que estn bajo la supervisin de dichas personas.
Otra informacin
Las revisiones de cumplimiento tcnico involucran el anlisis de los sistemas operacionales para asegurarse
de que se han implementado correctamente los controles de hardware y software. Este tipo de revisin de
cumplimiento requiere la experiencia tcnica de un especialista.
Las revisiones de cumplimiento tambin abarcan, por ejemplo, las pruebas de penetracin y las evaluaciones
de vulnerabilidad, que pueden realizarlas expertos independientes que se han contratado especficamente
para este fin. Esto puede ser til para detectar las vulnerabilidades en el sistema y para inspeccionar cuan
eficaces son los controles para evitar el acceso no autorizado debido a estas vulnerabilidades.
Las evaluaciones de pruebas de penetracin y vulnerabilidades brindan una visin global de un sistema en
un estado especfico y en un perodo de tiempo especfico. La visin global se limita a aquellas porciones del
sistema que se prueban durante los intentos de penetracin. Las pruebas de penetracin y las evaluaciones
de vulnerabilidad no son un sustituto para la evaluacin de riesgos.
ISO/IEC TR 27008 brinda una orientacin especfica en cuanto a las revisiones de cumplimiento tcnico.
92
NORMA CHILENA
NCh-ISO 27002:2013
Anexo A
(informativo)
Bibliografa
[1]
ISO/IEC Directives,
Part 2
[2]
ISO/IEC 11770-1
[3]
ISO/IEC 11770-2
[4]
ISO/IEC 11770-3
[5]
ISO 15489-1
[6]
ISO/IEC 20000-1
[7]
ISO/IEC 20000-2
[8]
ISO 22301
[9]
ISO 22313
[10]
ISO/IEC 27001
[11]
ISO/IEC 27005
[12]
ISO/IEC 27007
[13]
ISO/IEC TR 27008
[14]
ISO/IEC 27031
[15]
ISO/IEC 27033-1
[16]
ISO/IEC 27033-2
Information
security
93
NCh-ISO 27002:2013
NORMA CHILENA
[17]
ISO/IEC 27033-3
[18]
ISO/IEC 27033-4
[19]
ISO/IEC 27033-5
[20]
ISO/IEC 27035
[21]
ISO/IEC 27036-1
[22]
ISO/IEC 27036-2
[23]
ISO/IEC 27036-3
[24]
ISO/IEC 27037
[25]
ISO/IEC 29100
[26]
ISO/IEC 29101
[27]
ISO 31000
Norma nacional
Grado de correspondencia
ISO/IEC 11770-1
No hay
ISO/IEC 11770-2
No hay
ISO/IEC 11770-3
No hay
ISO 15489-1
NCh-ISO 15489/1:2010
ISO/IEC 20000-1
NCh-ISO 20000/1:2013
ISO/IEC 20000-2
NCh-ISO 20000/2:2013
94
NORMA CHILENA
NCh-ISO 27002:2013
(conclusin)
ISO 22301
NCh-ISO 22301:2013
ISO 22313
En estudio
ISO/IEC 27001
NCh-ISO 27001:2013
ISO/IEC 27005
NCh-ISO 27005:2009
ISO/IEC 27007
NCh-ISO 27007:2012
ISO/IEC TR 27008
No hay
ISO/IEC 27031
No hay
ISO/IEC 27033-1
No hay
ISO/IEC 27033-2
No hay
ISO/IEC 27033-3
No hay
ISO/IEC 27033-4
No hay
ISO/IEC 27033-5
No hay
ISO/IEC 27035
No hay
ISO/IEC 27036-1
No hay
ISO/IEC 27036-2
No hay
ISO/IEC 27036-3
No hay
ISO/IEC 27037
No hay
ISO/IEC 29100
No hay
ISO/IEC 29101
No hay
ISO 31000
NCh-ISO 31000:2012
95
NCh-ISO 27002:2013
NORMA CHILENA
Anexo B
(informativo)
Justificacin de los cambios editoriales
Cambios editoriales
Justificacin
En toda la norma
2 y Anexo A
96
NCh-ISO 27002:2013
ICS 35.040
NORMA CHILENA