ISO Grupo5 Traduccion

ISO / IEC 27002: 2013 (E)
La mayoría de las instalaciones de computadoras tienen uno o más programas

de utilidad que pueden ser capaces de anular
Controles de sistema y aplicación.
9.4.5 Control de acceso al código fuente del programa.
Controlar
El acceso al código fuente del programa debe estar restringido.
Guía de implementación
Acceso al código fuente del programa y elementos asociados (como diseños,
especificaciones, planes de verificación)
y planes de validación) deben controlarse estrictamente, a fin de evitar la
introducción de dispositivos no autorizados.
funcionalidad y para evitar cambios no intencionales, así como para mantener
la confidencialidad de valiosos
propiedad intelectual. Para el código fuente del programa, esto se puede lograr
mediante el almacenamiento central controlado de
Dicho código, preferentemente en las bibliotecas de fuentes del programa. Las
siguientes pautas deben ser consideradas
para controlar el acceso a dichas bibliotecas fuente de programas a fin de
reducir el potencial de corrupción de
programas de computador:
a) cuando sea posible, las bibliotecas de fuentes de programas no deben
mantenerse en sistemas operativos;
b) el código fuente del programa y las bibliotecas fuente del programa deben
gestionarse de acuerdo con
procedimientos establecidos;
c) el personal de soporte no debe tener acceso ilimitado a las bibliotecas de
fuentes del programa;
d) la actualización de las bibliotecas de fuentes del programa y los elementos
asociados y la emisión de las fuentes del programa
a los programadores solo se debe realizar después de haber recibido la
autorización correspondiente;
e) las listas de programas deben mantenerse en un entorno seguro;
f) se debe mantener un registro de auditoría de todos los accesos a las
bibliotecas fuente del programa;
g) el mantenimiento y la copia de las bibliotecas fuente del programa deben
estar sujetos a un estricto control de cambios
procedimientos (ver 14.2.2 ).
Si el código fuente del programa está destinado a ser publicado, controles
adicionales para ayudar a obtener seguridad en
Se debe considerar su integridad (por ejemplo, firma digital).
10 criptografía
10.1 controles criptográficos
Objetivo: garantizar el uso adecuado y eficaz de la criptografía para proteger
la confidencialidad, la autenticidad
ticidad y / o integridad de la información.
10.1.1 Política sobre el uso de controles criptográficos.
Controlar
Debe desarrollarse una política sobre el uso de controles criptográficos para la
protección de la información y
implementado.
Al desarrollar una política criptográfica se debe considerar lo siguiente:
a) el enfoque de gestión hacia el uso de controles criptográficos en toda la
organización,
incluyendo los principios generales bajo los cuales la información comercial
debe ser protegida;
28
© ISO / IEC 2013 - Todos los derechos reservados.
Página 2
ISO / IEC 27002: 2013 (E)
b) sobre la base de una evaluación de riesgos, el nivel de protección requerido
debe identificarse teniendo en cuenta
el tipo, fuerza y calidad del algoritmo de cifrado requerido;
c) el uso del cifrado para la protección de la información transportada por
medios móviles o extraíbles
dispositivos o líneas de comunicación;
d) el enfoque de la gestión de claves, incluidos los métodos para hacer frente a
la protección de los dispositivos criptográficos
claves y la recuperación de información cifrada en el caso de claves perdidas,
comprometidas o dañadas;
e) roles y responsabilidades, por ejemplo, quién es responsable de:
1) la implementación de la política;
2) la gestión de claves, incluida la generación de claves (véase 10.1.2 );
f) las normas que deben adoptarse para una implementación efectiva en toda
la organización (que
Se utiliza solución para qué procesos de negocio);
g) el impacto del uso de información cifrada en los controles que dependen de
la inspección de contenido (por ejemplo,
detección de malware).
Al implementar la política criptográfica de la organización, se debe considerar
la
Las regulaciones y restricciones nacionales que podrían aplicarse al uso de
técnicas criptográficas en diferentes
partes del mundo y los problemas de flujo transfronterizo de información
encriptada (ver 18.1.5 ).
Los controles criptográficos se pueden utilizar para lograr diferentes objetivos
de seguridad de la información, por ejemplo:
a) confidencialidad: uso del cifrado de información para proteger información
sensible o crítica, ya sea
almacenado o transmitido;
b) integridad / autenticidad: utilizando firmas digitales o códigos de
autenticación de mensajes para verificar la
Autenticidad o integridad de la información sensible o crítica almacenada o
transmitida;
c) no repudio: uso de técnicas criptográficas para proporcionar evidencia de la
ocurrencia o no
ocurrencia de un evento o acción;
d) autenticación: uso de técnicas criptográficas para autenticar usuarios y otras
entidades del sistema
solicitar acceso o realizar transacciones con usuarios, entidades y recursos del
sistema.
Otra información
Tomar una decisión sobre si una solución criptográfica es apropiada debe
considerarse como parte de
El proceso más amplio de evaluación de riesgos y selección de controles. Esta
evaluación puede ser utilizada para
determinar si un control criptográfico es apropiado, qué tipo de control debe
aplicarse y
Con qué finalidad y procesos de negocio.
Es necesaria una política sobre el uso de controles criptográficos para
maximizar los beneficios y minimizar la
Riesgos de utilizar técnicas criptográficas y de evitar un uso inadecuado o
incorrecto.
Se debe buscar asesoramiento especializado en la selección de controles
criptográficos apropiados para cumplir con las
Objetivos de la política de seguridad de la información.
10.1.2 Gestión de claves
Controlar
Se debe desarrollar e implementar una política sobre el uso, protección y vida
útil de las claves criptográficas.
a través de todo su ciclo de vida.
La política debe incluir requisitos para administrar claves criptográficas a
través de todo su ciclo de vida
incluyendo generar, almacenar, archivar, recuperar, distribuir, retirar y
destruir claves.
29
Página 3
ISO / IEC 27002: 2013 (E)
Los algoritmos criptográficos, la longitud de las claves y las prácticas de uso
deben seleccionarse de acuerdo con las mejores prácticas.
La gestión adecuada de claves requiere procesos seguros para generar,
almacenar, archivar, recuperar,
Distribuyendo, retirando y destruyendo claves criptográficas.
Todas las claves criptográficas deben estar protegidas contra modificaciones y
pérdidas. Además, secreta y privada.
las llaves necesitan protección contra el uso no autorizado, así como la
divulgación. Equipos utilizados para generar, almacenar.
y las claves de archivo deben estar físicamente protegidas.
Un sistema de gestión clave debe basarse en un conjunto acordado de
estándares, procedimientos y seguridad
métodos para:
a) generando claves para diferentes sistemas criptográficos y diferentes
aplicaciones;
b) emisión y obtención de certificados de clave pública;
c) distribuir claves a las entidades previstas, incluida la forma en que deben
activarse las claves cuando se reciben;
d) almacenamiento de claves, incluyendo cómo los usuarios autorizados
obtienen acceso a las claves;
e) cambiar o actualizar claves, incluidas las reglas sobre cuándo se deben
cambiar las claves y cómo se hará esto;
f) tratar con llaves comprometidas;
g) revocar claves, incluyendo cómo se deben retirar o desactivar las claves,
por ejemplo, cuando se han
comprometido o cuando un usuario deja una organización (en cuyo caso las
claves también deben archivarse);
h) recuperar las claves que se pierden o corrompen;
i) copia de seguridad o archivo de claves;
j) destruyendo llaves;
k) registro y auditoría de actividades clave relacionadas con la gestión.
Con el fin de reducir la probabilidad de uso incorrecto, deben definirse las
fechas de activación y desactivación de las claves.
de modo que las claves solo se pueden utilizar durante el período de tiempo
definido en la política de administración de claves asociada.
Además de administrar de forma segura las claves secretas y privadas, la
autenticidad de las claves públicas también debe ser
considerado. Este proceso de autenticación se puede realizar utilizando
certificados de clave pública, que normalmente son
emitido por una autoridad de certificación, que debe ser una organización
reconocida con controles adecuados y
Procedimientos establecidos para proporcionar el grado de confianza
requerido.
El contenido de los acuerdos de nivel de servicio o contratos con proveedores
externos de servicios criptográficos,
por ejemplo, con una autoridad de certificación, debe cubrir cuestiones de
responsabilidad, confiabilidad de los servicios y respuesta
tiempos para la prestación de servicios (ver 15.2 ).
Otra información
La administración de claves criptográficas es esencial para el uso efectivo de
las técnicas criptográficas.
ISO / IEC 11770 [ 2 ] [ 3 ] [ 4 ] proporciona más información sobre la gestión de
claves.
Las técnicas criptográficas también se pueden utilizar para proteger claves
criptográficas. Los procedimientos pueden necesitar ser
considerado para el manejo de solicitudes legales de acceso a claves
criptográficas, por ejemplo, la información cifrada puede
debe estar disponible en forma no cifrada como prueba en un caso judicial.
11 Seguridad física y ambiental.
11.1 áreas seguras
Objetivo: prevenir el acceso físico no autorizado, los daños y las interferencias
a la organización.
Información y facilidades de procesamiento de información.
30
Página 4
ISO / IEC 27002: 2013 (E)
11.1.1 perímetro de seguridad física
Controlar
Los perímetros de seguridad deben definirse y usarse para proteger áreas que
contienen datos sensibles o críticos.
Información y facilidades de procesamiento de información.
Las siguientes pautas deben ser consideradas e implementadas donde sea
apropiado para
perímetros de seguridad:
a) Se deben definir los perímetros de seguridad, y la ubicación y la fuerza de
cada uno de los perímetros.
debe depender de los requisitos de seguridad de los activos dentro del
perímetro y los resultados de
una evaluación de riesgos;
b) Los perímetros de un edificio o sitio que contengan instalaciones de
procesamiento de información deben ser físicamente
sonido (es decir, no debe haber huecos en el perímetro o áreas donde podría
ocurrir fácilmente un robo);
El techo exterior, las paredes y el piso del sitio deben ser de construcción
sólida y todas las puertas externas.
deben protegerse adecuadamente contra el acceso no autorizado con
mecanismos de control (por ejemplo, barras,
alarmas, cerraduras); Las puertas y ventanas deben estar cerradas cuando no
hay vigilancia y protección externa.
debe considerarse para ventanas, particularmente a nivel del suelo;
c) un área de recepción con personal u otro medio para controlar el acceso
físico al sitio o edificio debe ser
en su lugar; el acceso a los sitios y edificios debe estar restringido únicamente
al personal autorizado;
d) las barreras físicas deben, en su caso, construirse para evitar el acceso físico
no autorizado y
Contaminación ambiental;
e) todas las puertas contra incendios en un perímetro de seguridad deben ser
alarmadas, monitoreadas y probadas en conjunto con el
muros para establecer el nivel requerido de resistencia de acuerdo con las
normas regionales, nacionales y
estándares internacionales; deben operar de acuerdo con el código local de
incendios de manera segura;
f) Deberían instalarse sistemas de detección de intrusos adecuados en el
ámbito nacional, regional o internacional.
estándares y probados regularmente para cubrir todas las puertas externas y
ventanas accesibles; desocupado
Las áreas deben estar alarmadas en todo momento; También se debe
proporcionar una cubierta para otras áreas, por ejemplo, computadoras
habitaciones o salas de comunicaciones;
g) las instalaciones de procesamiento de información administradas por la
organización deben estar físicamente separadas de
Los gestionados por terceros.
Otra información
La protección física se puede lograr creando una o más barreras físicas
alrededor de los
Locales e instalaciones de procesamiento de información. El uso de múltiples
barreras da protección adicional,
donde el fallo de una sola barrera no significa que la seguridad se vea
comprometida de inmediato.
Un área segura puede ser una oficina con cerradura o varias habitaciones
rodeadas por un sistema físico interno continuo.
Barrera de seguridad. Pueden ser necesarias barreras y perímetros adicionales
para controlar el acceso físico entre
Áreas con diferentes requisitos de seguridad dentro del perímetro de
seguridad. Especial atención al físico.
la seguridad de acceso se debe dar en el caso de edificios con activos para
múltiples organizaciones.
La aplicación de controles físicos, especialmente para las áreas seguras, debe
adaptarse a la técnica
y las circunstancias económicas de la organización, según lo establecido en la
evaluación de riesgos.
11.1.2 Controles de entrada físicos
Controlar
Las áreas seguras deben estar protegidas por controles de entrada apropiados
para garantizar que solo el personal autorizado
Se permite el acceso.
31
Página 5
ISO / IEC 27002: 2013 (E)
Las siguientes pautas deben ser consideradas:
a) La fecha y la hora de entrada y salida de los visitantes deben registrarse, y
todos los visitantes deben
supervisado a menos que su acceso haya sido previamente aprobado; Sólo se
les debe conceder acceso para
Fines específicos, autorizados y deben ser emitidos con instrucciones sobre
los requisitos de seguridad
del área y en procedimientos de emergencia. La identidad de los visitantes
debe ser autenticada por un
medios apropiados;
b) el acceso a áreas donde se procesa o almacena información confidencial
debe restringirse a
individuos autorizados solo mediante la implementación de controles de
acceso apropiados, por ejemplo, implementando un
mecanismo de autenticación de dos factores, como una tarjeta de acceso y un
PIN secreto;
c) Se debe mantener y monitorear de manera segura un libro de registro físico
o un registro de auditoría electrónica de todos los accesos;
d) todos los empleados, contratistas y partes externas deben estar obligados a
usar alguna forma de visible
identificación y debe notificar inmediatamente al personal de seguridad si se
encuentran sin escolta
visitantes y cualquier persona que no lleve identificación visible;
e) el personal del servicio de soporte externo debe tener acceso restringido a
áreas seguras o
instalaciones de procesamiento de información confidencial solo cuando sea
necesario; este acceso debe ser autorizado
y monitoreado;
f) los derechos de acceso a áreas seguras deben revisarse y actualizarse
periódicamente, y revocarse cuando sea necesario
(ver 9.2.5 y 9.2.6 ).
11.1.3 Asegurando oficinas, salas e instalaciones.
Controlar
La seguridad física para oficinas, salas e instalaciones debe ser diseñada y
aplicada.
Se deben tener en cuenta las siguientes pautas para asegurar oficinas, salas e
instalaciones:
a) las instalaciones clave deben ubicarse para evitar el acceso del público;
b) en su caso, los edificios deben ser discretos y dar una indicación mínima de
su propósito,
Sin signos evidentes, fuera o dentro del edificio, identificando la presencia de
información.
actividades de procesamiento;
c) las instalaciones deben configurarse para evitar que la información
confidencial o las actividades sean visibles
Y audible desde el exterior. El blindaje electromagnético también debe
considerarse apropiado;
d) Directorios y guías telefónicas internas que identifican ubicaciones de
procesamiento de información confidencial.
Las instalaciones no deben ser fácilmente accesibles para personas no
autorizadas.
11.1.4 Protección contra amenazas externas y ambientales.
Controlar
Se debe diseñar y aplicar protección física contra desastres naturales, ataques
maliciosos o accidentes.
Se debe obtener asesoramiento especializado sobre cómo evitar daños por
incendios, inundaciones, terremotos, explosiones,
disturbios civiles y otras formas de desastres naturales o provocados por el
hombre.
32
Página 6
ISO / IEC 27002: 2013 (E)
11.1.5 Trabajando en áreas seguras
Controlar
Los procedimientos para trabajar en áreas seguras deben ser diseñados y
aplicados.
a) el personal solo debe conocer la existencia o las actividades dentro de un
área segura en una necesidad
base de saber
b) Se debe evitar el trabajo no supervisado en áreas seguras por razones de
seguridad y para evitar
oportunidades para actividades maliciosas;
c) las áreas de seguridad vacantes deben estar cerradas físicamente y revisadas
periódicamente;
d) Equipos fotográficos, de video, audio u otros equipos de grabación, como
cámaras en dispositivos móviles, deben
No se permitirá, salvo autorización.
Los arreglos para trabajar en áreas seguras incluyen controles para los
empleados y la parte externa
usuarios que trabajan en el área segura y cubren todas las actividades que
tienen lugar en el área segura.
11.1.6 Áreas de entrega y carga.
Controlar
Los puntos de acceso tales como áreas de entrega y carga y otros puntos
donde personas no autorizadas podrían
El ingreso a las instalaciones debe ser controlado y, si es posible, aislado de
las instalaciones de procesamiento de información.
para evitar el acceso no autorizado.
a) el acceso a un área de entrega y carga desde el exterior del edificio debe
estar restringido a
y personal autorizado;
b) el área de entrega y carga debe diseñarse de modo que los suministros se
puedan cargar y descargar
sin personal de entrega accediendo a otras partes del edificio;
c) las puertas externas de un área de entrega y carga deben asegurarse cuando
se abren las puertas internas;
d) El material entrante debe inspeccionarse y examinarse en busca de
explosivos, productos químicos u otros materiales peligrosos.
materiales, antes de que se mueva de un área de entrega y carga;
e) el material entrante debe registrarse de acuerdo con los procedimientos de
gestión de activos (ver
Cláusula 8 ) en la entrada al sitio;
f) Los envíos entrantes y salientes deben estar físicamente separados, cuando
sea posible;
g) Se debe inspeccionar el material entrante en busca de evidencia de
manipulación en ruta. Si tal manipulación es
descubrió que se debe informar inmediatamente al personal de seguridad.
11.2 Equipamiento
Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos e
interrupción de la organización.
operaciones de la nación.
33
Página 7
ISO / IEC 27002: 2013 (E)
11.2.1 Ubicación y protección del equipo.
Controlar
El equipo debe estar ubicado y protegido para reducir los riesgos de amenazas
y peligros ambientales,
y oportunidades de acceso no autorizado.
Deben considerarse las siguientes pautas para proteger el equipo:
a) el equipo debe ubicarse para minimizar el acceso innecesario a las áreas de
trabajo;
b) las instalaciones de procesamiento de información que manejan datos
confidenciales deben colocarse cuidadosamente para reducir
el riesgo de que la información sea vista por personas no autorizadas durante
su uso;
c) las instalaciones de almacenamiento deben estar protegidas para evitar el
acceso no autorizado;
d) Los elementos que requieren protección especial deben protegerse para
reducir el nivel general de
protección requerida
e) deberían adoptarse controles para minimizar el riesgo de posibles amenazas
físicas y ambientales, por ejemplo,
Robo, incendio, explosivos, humo, agua (o falla del suministro de agua),
polvo, vibración, efectos químicos, electricidad.
Suministro de interferencia, interferencia de comunicaciones, radiación
electromagnética y vandalismo;
f) Las pautas para comer, beber y fumar cerca de las instalaciones de
procesamiento de información deben
estar establesido;
g) Las condiciones ambientales, como la temperatura y la humedad, deben ser
monitoreadas para las condiciones
lo que podría afectar adversamente el funcionamiento de las instalaciones de
procesamiento de información;
h) La protección contra rayos debe aplicarse a todos los edificios y los filtros
de protección contra rayos deben ser
instalado en todas las líneas de alimentación y comunicaciones entrantes;
i) el uso de métodos de protección especiales, como las membranas de
teclado, debe considerarse para
equipos en entornos industriales;
j) El equipo que procesa información confidencial debe estar protegido para
minimizar el riesgo de
Fuga de información por emanación electromagnética.
11.2.2 Utilidades de apoyo
Controlar
El equipo debe estar protegido contra fallas eléctricas y otras interrupciones
causadas por fallas en
Utilidades de soporte.
Servicios públicos de apoyo (por ejemplo, electricidad, telecomunicaciones,
suministro de agua, gas, alcantarillado, ventilación y aire acondicionado).
condicionamiento) debe:
a) cumplir con las especificaciones del fabricante del equipo y los requisitos
legales locales;
b) ser evaluados regularmente por su capacidad para cumplir con el
crecimiento del negocio y las interacciones con otros
servicios públicos de apoyo;
c) ser inspeccionados y probados regularmente para asegurar su correcto
funcionamiento;
d) si es necesario, alarmarse para detectar mal funcionamiento;
e) si es necesario, tener múltiples feeds con enrutamiento físico diverso.
34
Página 8
ISO / IEC 27002: 2013 (E)
Se debe proporcionar iluminación de emergencia y
comunicaciones. Interruptores de emergencia y válvulas de corte.
La electricidad, el agua, el gas u otros servicios públicos deben estar ubicados
cerca de salidas de emergencia o salas de equipos.
Otra información
Se puede obtener redundancia adicional para la conectividad de la red por
medio de múltiples rutas desde
más de un proveedor de servicios públicos.
11.2.3 Seguridad de cableado
Controlar
El cableado de energía y telecomunicaciones que transporta datos o servicios
de información de apoyo debe ser
Protegido contra intercepción, interferencia o daños.
Se deben considerar las siguientes pautas para la seguridad del cableado:
a) las líneas de energía y telecomunicaciones en las instalaciones de
procesamiento de información deben ser subterráneas,
cuando sea posible, o sujeto a una protección alternativa adecuada;
b) los cables de alimentación deben estar separados de los cables de
comunicaciones para evitar interferencias;
c) para sistemas sensibles o críticos, otros controles a considerar incluyen:
1) instalación de conductos blindados y habitaciones o cajas cerradas en los
puntos de inspección y terminación;
2) uso de blindaje electromagnético para proteger los cables;
3) inicio de barridos técnicos e inspecciones físicas de dispositivos no
autorizados que se adjuntan
a los cables;
4) Acceso controlado a paneles de parcheo y salas de cable.
11.2.4 Mantenimiento de equipos
Controlar
El equipo debe mantenerse correctamente para garantizar su disponibilidad e
integridad continuas.
Se deben considerar las siguientes pautas para el mantenimiento del equipo:
a) el equipo debe mantenerse de acuerdo con los intervalos de servicio
recomendados por el proveedor
y especificaciones;
b) solo el personal de mantenimiento autorizado debe realizar reparaciones y
equipos de servicio;
c) se deben mantener registros de todas las fallas sospechosas o reales, y de
todo mantenimiento preventivo y correctivo;
d) se deben implementar controles apropiados cuando el equipo está
programado para mantenimiento,
teniendo en cuenta si este mantenimiento es realizado por personal en el sitio
o externo a la
organización; Cuando sea necesario, la información confidencial debe ser
borrada del equipo o
el personal de mantenimiento debe ser suficientemente despejado;
e) todos los requisitos de mantenimiento impuestos por las pólizas de seguro
deben cumplirse;
f) antes de volver a poner en funcionamiento el equipo después de su
mantenimiento, debe inspeccionarse para garantizar
que el equipo no ha sido manipulado y no funciona mal.
35
Página 9
ISO / IEC 27002: 2013 (E)
11.2.5 Eliminación de activos
Controlar
El equipo, la información o el software no deben tomarse fuera del sitio sin
autorización previa.
a) los empleados y usuarios externos que tienen autoridad para permitir la
remoción de activos fuera del sitio deben
ser identificado;
b) los límites de tiempo para la eliminación de activos deben establecerse y las
devoluciones deben verificarse para su cumplimiento;
c) cuando sea necesario y apropiado, los activos deben registrarse como
retirados fuera del sitio y registrados
cuando regresó;
d) la identidad, el rol y la afiliación de cualquier persona que maneje o use
activos debe documentarse y
Esta documentación se devuelve con el equipo, información o software.
Otra información
También se pueden realizar verificaciones puntuales, realizadas para detectar
la eliminación no autorizada de activos, para detectar
dispositivos de grabación no autorizados, armas, etc., y para evitar su entrada
y salida, el
sitio. Dichos controles sobre el terreno deben llevarse a cabo de conformidad
con la legislación y los reglamentos pertinentes.
Se debe informar a las personas que se realizan inspecciones al azar y que las
verificaciones solo deben realizarse
Realizado con la autorización correspondiente a los requisitos legales y
reglamentarios.
11.2.6 Seguridad de equipos y activos fuera de las instalaciones
Controlar
La seguridad debe aplicarse a los activos fuera del sitio teniendo en cuenta los
diferentes riesgos de trabajar fuera
Los locales de la organización.
El uso de cualquier equipo de almacenamiento y procesamiento de
información fuera de las instalaciones de la organización.
debe ser autorizado por la gerencia. Esto se aplica a los equipos de propiedad
de la organización y que
Equipo de propiedad privada y utilizado en nombre de la organización.
Las siguientes pautas deben ser consideradas para la protección de equipos
fuera del sitio:
a) El equipo y los medios de comunicación tomados fuera de las instalaciones
no deben dejarse desatendidos en lugares públicos;
b) Las instrucciones del fabricante para proteger el equipo se deben observar
en todo momento, por ejemplo, protección.
contra la exposición a fuertes campos electromagnéticos;
c) los controles para las ubicaciones fuera de las instalaciones, como el trabajo
a domicilio, el teletrabajo y los sitios temporales deben
se determinará mediante una evaluación de riesgos y se aplicarán los controles
adecuados según corresponda, por ejemplo, la presentación con llave
gabinetes, política de escritorio, controles de acceso para computadoras y
comunicación segura con la oficina
(Ver también ISO / IEC 27033 [ 15 ] [ 16 ] [ 17 ] [ 18 ] [ 19 ] );
d) cuando el equipo fuera de las instalaciones se transfiere entre diferentes
personas o partes externas, se registra un registro
Se debe mantener la definición de la cadena de custodia del equipo,
incluyendo al menos nombres.
y organizaciones de los responsables del equipamiento.
Los riesgos, por ejemplo, daños, robo o escuchas, pueden variar
considerablemente entre ubicaciones y deben ser
Tener en cuenta en la determinación de los controles más adecuados.
Otra información
36
Página 10
ISO / IEC 27002: 2013 (E)
El equipo de almacenamiento y procesamiento de información incluye todas
las formas de computadoras personales, organizadores,
Teléfonos móviles, tarjetas inteligentes, papel u otra forma, que se mantiene
para trabajar en casa o para ser transportado
lejos del lugar de trabajo normal.
Puede encontrar más información sobre otros aspectos de la protección de
equipos móviles en 6.2 .
Puede ser apropiado evitar el riesgo al desalentar a ciertos empleados de
trabajar fuera del sitio o por
restringir su uso de equipos informáticos portátiles;
11.2.7 Eliminación segura o reutilización de equipos
Controlar
Todos los equipos que contengan medios de almacenamiento deben
verificarse para garantizar que los datos confidenciales y
el software con licencia se ha eliminado o sobrescrito de manera segura antes
de su eliminación o reutilización.
El equipo debe verificarse para asegurarse de que los medios de
almacenamiento estén o no contenidos antes de su eliminación o reutilización.
Los medios de almacenamiento que contienen información confidencial o con
derechos de autor deben ser destruidos físicamente o
la información debe destruirse, borrarse o sobrescribirse utilizando técnicas
para hacer el original
información no recuperable en lugar de utilizar la función estándar de
eliminación o formato.
Otra información
El equipo dañado que contiene medios de almacenamiento puede requerir una
evaluación de riesgos para determinar si
Los artículos deben destruirse físicamente en lugar de enviarse para su
reparación o desecharse. La información puede ser
comprometida a través de la eliminación descuidada o reutilización de
equipos.
Además de la eliminación segura del disco, el cifrado de todo el disco reduce
el riesgo de divulgación de información confidencial.
información cuando el equipo es desechado o redesplegado, siempre que:
a) el proceso de cifrado es lo suficientemente fuerte y cubre todo el disco
(incluido el espacio de holgura, el intercambio)
archivos, etc.);
b) las claves de cifrado son lo suficientemente largas para resistir los ataques
de fuerza bruta;
c) las claves de cifrado se mantienen confidenciales (por ejemplo, nunca se
almacenan en el mismo disco).
Para obtener más información sobre el cifrado, consulte la cláusula 10 .
Las técnicas para sobrescribir de forma segura los medios de almacenamiento
difieren según la tecnología de medios de almacenamiento.
Las herramientas de sobrescritura deben revisarse para asegurarse de que sean
aplicables a la tecnología del
medios de almacenamiento.
11.2.8 Equipo de usuario desatendido
Controlar
Los usuarios deben asegurarse de que el equipo desatendido tenga la
protección adecuada.
Todos los usuarios deben conocer los requisitos de seguridad y los
procedimientos para proteger a los usuarios sin supervisión.
equipos, así como sus responsabilidades para la implementación de dicha
protección. Se debe aconsejar a los usuarios que:
a) terminar las sesiones activas cuando finalice, a menos que puedan ser
aseguradas por un bloqueo apropiado
mecanismo, por ejemplo, un protector de pantalla protegido por contraseña;
b) cerrar sesión en aplicaciones o servicios de red cuando ya no sean
necesarios;
37
Página 11
ISO / IEC 27002: 2013 (E)
c) proteger las computadoras o dispositivos móviles del uso no autorizado
mediante un bloqueo de teclas o un control equivalente,
Por ejemplo, acceso con contraseña, cuando no está en uso.
11.2.9 Política de escritorio y pantalla clara
Controlar
Una política de escritorio transparente para papeles y medios de
almacenamiento extraíbles y una política de pantalla clara para información
Las instalaciones de procesamiento deben ser adoptadas.
La política de escritorio limpio y pantalla clara debe tener en cuenta las
clasificaciones de información (ver 8.2 )
requisitos legales y contractuales (ver 18.1 ) y los correspondientes riesgos y
aspectos culturales de la
organización. Las siguientes pautas deben ser consideradas:
a) la información comercial sensible o crítica, por ejemplo, en papel o en
medios de almacenamiento electrónico, debe ser
encerrados (idealmente en una caja fuerte o en un gabinete u otras formas de
muebles de seguridad) cuando no sean necesarios,
Especialmente cuando la oficina está desocupada.
b) Las computadoras y los terminales deben dejarse desconectados o
protegidos con un bloqueo de pantalla y teclado
mecanismo controlado por una contraseña, token o un mecanismo de
autenticación de usuario similar cuando
desatendido y debe estar protegido por bloqueos de teclas, contraseñas u otros
controles cuando no estén en uso;
c) uso no autorizado de fotocopiadoras y otra tecnología de reproducción (por
ejemplo, escáneres, cámaras digitales)
debe ser prevenido
d) Los medios que contienen información confidencial o clasificada deben
eliminarse de las impresoras inmediatamente.
Otra información
Una política clara de escritorio / pantalla clara reduce los riesgos de acceso no
autorizado, pérdida y daño a la información
Durante y fuera de las horas normales de trabajo. Las cajas fuertes u otras
formas de almacenamiento seguro también podrían
proteja la información almacenada allí contra desastres como incendios,
terremotos, inundaciones o explosiones.
Considere el uso de impresoras con función de código PIN, de modo que los
creadores son los únicos que pueden obtener
Sus impresiones y solo cuando están de pie junto a la impresora.
12 operaciones de seguridad
12.1 Procedimientos operacionales y responsabilidades.
Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de
procesamiento de información.
12.1.1 Procedimientos operativos documentados.
Controlar
Los procedimientos operativos deben documentarse y ponerse a disposición
de todos los usuarios que los necesiten.
Se deben preparar procedimientos documentados para las actividades
operativas asociadas con la información.
instalaciones de procesamiento y comunicación, como los procedimientos de
inicio y cierre de computadoras, copias de respaldo,
Mantenimiento de equipos, manejo de medios, manejo de sala de computación
y correo y seguridad.
Los procedimientos operativos deben especificar las instrucciones operativas,
que incluyen:
a) la instalación y configuración de sistemas;
38
Pagina 12
ISO / IEC 27002: 2013 (E)
b) Procesamiento y manejo de la información tanto automatizada como
manual;
c) copia de seguridad (ver 12.3 );
d) requisitos de programación, incluidas las interdependencias con otros
sistemas, el inicio del trabajo más temprano y
últimos tiempos de finalización de trabajo;
e) instrucciones para el manejo de errores u otras condiciones excepcionales,
que pueden surgir durante el trabajo
ejecución, incluidas las restricciones en el uso de las utilidades del sistema
(ver 9.4.4 );
f) contactos de asistencia y escalamiento, incluidos los contactos de asistencia
externos en caso de que se produzcan
dificultades operativas o técnicas;
g) instrucciones especiales de salida y manejo de medios, como el uso de
papelería especial o la
gestión de la salida confidencial, incluidos los procedimientos para la
eliminación segura de la salida de fallos
trabajos (ver 8.3 y 11.2.7 );
h) reinicio del sistema y procedimientos de recuperación para uso en caso de
falla del sistema;
i) la gestión de la pista de auditoría y la información de registro del sistema
(ver 12.4 );
j) Procedimientos de seguimiento.
Los procedimientos operativos y los procedimientos documentados para las
actividades del sistema se deben tratar como formales
Documentos y modificaciones autorizados por la dirección. Donde sea
técnicamente posible, sistemas de información.
Deben administrarse de manera consistente, utilizando los mismos
procedimientos, herramientas y utilidades.
12.1.2 Gestión del cambio
Controlar
Cambios en la organización, procesos de negocio, instalaciones de
procesamiento de información y sistemas que
Afectar la seguridad de la información debe ser controlada.
En particular, los siguientes puntos deben ser considerados:
a) identificación y registro de cambios significativos;
b) planificación y prueba de cambios;
c) evaluación de los impactos potenciales, incluidos los impactos de seguridad
de la información, de tales cambios;
d) procedimiento de aprobación formal para los cambios propuestos;
e) verificación de que se han cumplido los requisitos de seguridad de la
información;
f) comunicación de los detalles del cambio a todas las personas relevantes;
g) procedimientos de repliegue, incluidos los procedimientos y las
responsabilidades para abortar y recuperar
cambios fallidos y eventos imprevistos;
h) provisión de un proceso de cambio de emergencia para permitir la
implementación rápida y controlada de los cambios
necesario para resolver un incidente 16.1 ).
Deben existir responsabilidades y procedimientos de gestión formales para
garantizar un control satisfactorio de
todos los cambios Cuando se realizan cambios, se debe conservar un registro
de auditoría que contenga toda la información relevante.
Otra información
39
Página 13
ISO / IEC 27002: 2013 (E)
El control inadecuado de los cambios en las instalaciones y sistemas de
procesamiento de información es una causa común de
Fallos del sistema o de seguridad. Cambios en el entorno operativo,
especialmente al transferir un
El sistema, desde el desarrollo hasta la etapa operativa, puede afectar la
confiabilidad de las aplicaciones (ver 14.2.2 ).
12.1.3 Gestión de capacidad
Controlar
El uso de los recursos se debe monitorear, ajustar y hacer proyecciones de los
requisitos de capacidad futuros.
para garantizar el rendimiento requerido del sistema.
Los requisitos de capacidad deben identificarse teniendo en cuenta la
criticidad comercial de los interesados
sistema. El ajuste y la supervisión del sistema deben aplicarse para garantizar
y, cuando sea necesario, mejorar la
Disponibilidad y eficiencia de los sistemas. Deben establecerse controles de
detección para indicar problemas en
Tiempo debido. Las proyecciones de los futuros requisitos de capacidad deben
tener en cuenta los nuevos negocios y sistemas
Requisitos y tendencias actuales y proyectadas en las capacidades de
procesamiento de información de la organización.
Se debe prestar especial atención a cualquier recurso con plazos de entrega
largos o costos elevados;
por lo tanto, los gerentes deben monitorear la utilización de los recursos clave
del sistema. Deberían identificar tendencias.
en uso, particularmente en relación con aplicaciones de negocios o
herramientas de gestión de sistemas de información.
Los gerentes deben usar esta información para identificar y evitar posibles
cuellos de botella y la dependencia de
personal clave que puede representar una amenaza para la seguridad del
sistema o los servicios, y planificar las acciones apropiadas.
Se puede lograr una capacidad suficiente aumentando la capacidad o
reduciendo la demanda. Ejemplos
de gestión de la demanda de capacidad incluyen:
a) eliminación de datos obsoletos (espacio en disco);
b) desmantelamiento de aplicaciones, sistemas, bases de datos o entornos;
c) optimización de procesos por lotes y horarios;
d) optimización de la lógica de la aplicación o consultas de base de datos;
e) negar o restringir el ancho de banda para los servicios que consumen
muchos recursos si estos no son críticos para el negocio (por ejemplo,
vídeo transmitido en vivo).
Se debe considerar un plan de gestión de la capacidad documentado para los
sistemas de misión crítica.
Otra información
Este control también aborda la capacidad de los recursos humanos, así como
las oficinas e instalaciones.
12.1.4 Separación de entornos de desarrollo, pruebas y operacionales.
Controlar
El desarrollo, las pruebas y los entornos operativos deben separarse para
reducir los riesgos de
Acceso no autorizado o cambios en el entorno operativo.
El nivel de separación entre entornos operativos, de prueba y de desarrollo
que es necesario.
para prevenir problemas operacionales se deben identificar e implementar.
Los siguientes artículos deben ser considerados:
a) las reglas para la transferencia de software desde el desarrollo al estado
operativo deben definirse y
documentado
40
Página 14
ISO / IEC 27002: 2013 (E)
b) El software de desarrollo y operativo debe ejecutarse en diferentes sistemas
o procesadores de computadora y
en diferentes dominios o directorios;
c) los cambios en los sistemas operativos y las aplicaciones deben probarse en
un entorno de prueba o ensayo
antes de ser aplicado a los sistemas operativos;
d) aparte de circunstancias excepcionales, las pruebas no deben realizarse en
sistemas operativos;
e) Los compiladores, editores y otras herramientas de desarrollo o utilidades
del sistema no deben ser accesibles desde
sistemas operativos cuando no sean requeridos;
f) los usuarios deben usar diferentes perfiles de usuario para los sistemas
operativos y de prueba, y los menús deben
mostrar los mensajes de identificación apropiados para reducir el riesgo de
error;
g) los datos confidenciales no deben copiarse en el entorno del sistema de
prueba a menos que se utilicen controles equivalentes
se proporcionan para el sistema de prueba (ver 14.3 ).
Otra información
Las actividades de desarrollo y pruebas pueden causar problemas graves, por
ejemplo, modificaciones no deseadas de archivos o sistemas.
Medio ambiente o fallo del sistema. Existe la necesidad de mantener un
entorno conocido y estable en el cual
realice pruebas significativas y evite que los desarrolladores accedan de forma
inadecuada al entorno operativo.
Cuando el personal de desarrollo y pruebas tenga acceso al sistema operativo
y su información,
Es posible que puedan introducir códigos no autorizados y no probados o
alterar los datos operativos. En algunos
En los sistemas, esta capacidad se puede utilizar incorrectamente para cometer
un fraude o introducir códigos no probados o malintencionados.
Lo que puede causar serios problemas operativos.
El personal de desarrollo y pruebas también representa una amenaza para la
confidencialidad de la información operativa.
Las actividades de desarrollo y pruebas pueden causar cambios involuntarios
en el software o la información si
Compartir el mismo entorno informático. Separación de entornos de
desarrollo, pruebas y operacionales.
Por lo tanto, es deseable reducir el riesgo de cambio accidental o acceso no
autorizado a operaciones
software y datos comerciales (ver 14.3 para la protección de datos de prueba).
12.2 Protección contra malware
Objetivo: Asegurar que la información y las instalaciones de procesamiento de
información estén protegidas contra
malware
12.2.1 Controles contra malware
Controlar
Deben implementarse controles de detección, prevención y recuperación para
proteger contra malware.
combinado con la adecuada conciencia del usuario.
La protección contra malware debe basarse en software de detección y
reparación de malware, información
conciencia de seguridad y acceso adecuado al sistema y controles de cambio
de gestión. El seguimiento
La orientación debe ser considerada:
a) establecer una política formal que prohíba el uso de software no autorizado
(ver 12.6.2 y 14.2 .);
b) implementar controles que eviten o detecten el uso de software no
autorizado (por ejemplo, la aplicación
en lista blanca);
c) implementar controles que eviten o detecten el uso de sitios web maliciosos
conocidos o sospechosos (por ejemplo,
lista negra);
41
Página 15
ISO / IEC 27002: 2013 (E)
d) establecer una política formal para proteger contra los riesgos asociados
con la obtención de archivos y software
ya sea desde oa través de redes externas o en cualquier otro medio, indicando
qué medidas de protección
Debería ser tomado;
e) reducir las vulnerabilidades que podrían ser explotadas por malware, por
ejemplo, a través de la vulnerabilidad técnica
gestión (ver 12.6 );
f) realizar revisiones periódicas del software y el contenido de datos de los
sistemas que soportan negocios críticos
procesos; la presencia de cualquier archivo no aprobado o de modificaciones
no autorizadas debe ser formalmente
investigado
g) Instalación y actualización periódica del software de detección y reparación
de malware para escanear computadoras y
los medios de comunicación como control preventivo, o de forma rutinaria; El
escaneo realizado debe incluir:
1) escanear cualquier archivo recibido a través de redes o a través de cualquier
medio de almacenamiento, en busca de malware antes de usarlo;
2) escanear archivos adjuntos de correo electrónico y descargas de malware
antes de su uso; este escaneo debe ser
llevado a cabo en diferentes lugares, por ejemplo, en servidores de correo
electrónico, computadoras de escritorio y cuando
Entrar en la red de la organización;
3) escanear páginas web en busca de malware;
h) la definición de procedimientos y responsabilidades para hacer frente a la
protección del malware en los sistemas, la capacitación en
su uso, reporte y recuperación de ataques de malware;
i) preparar planes de continuidad empresarial adecuados para recuperarse de
los ataques de malware, incluidos todos
Copia de seguridad de datos y software necesarios y arreglos de recuperación
(ver 12.3 );
j) implementar procedimientos para recopilar información con regularidad,
como suscribirse a listas de correo o
verificación de sitios web con información sobre nuevos programas
maliciosos;
k) implementar procedimientos para verificar la información relacionada con
el malware, y garantizar que la advertencia
los boletines son precisos e informativos; los gerentes deben asegurarse de
que las fuentes calificadas, por ejemplo, de buena reputación
revistas, sitios de Internet confiables o proveedores que producen software de
protección contra malware, son
utilizado para diferenciar entre engaños y malware real; todos los usuarios
deben ser conscientes de la
problema de los engaños y qué hacer al recibirlos;
l) aislar ambientes donde puedan producirse impactos catastróficos.
Otra información
El uso de dos o más productos de software que protegen contra el malware en
el procesamiento de la información.
El entorno de diferentes proveedores y tecnología puede mejorar la
efectividad de la protección contra malware.
Se debe tener cuidado de proteger contra la introducción de malware durante
el mantenimiento y la emergencia.
procedimientos, que pueden pasar por alto los controles de protección de
malware normales.
Bajo ciertas condiciones, la protección contra malware puede causar
disturbios dentro de las operaciones.
El uso del software de detección y reparación de malware solo como control
de malware no suele ser adecuado y
por lo general, debe ir acompañado de procedimientos operativos que eviten la
introducción de malware.
12.3 Copia de seguridad
Objetivo: Proteger contra la pérdida de datos.
12.3.1 Copia de seguridad de la información
Controlar
42
Página 16
ISO / IEC 27002: 2013 (E)
Las copias de seguridad de la información, el software y las imágenes del
sistema se deben tomar y probar regularmente en
de acuerdo con una política de copia de seguridad acordada.
Se debe establecer una política de copia de seguridad para definir los
requisitos de la organización para la copia de seguridad de
Información, software y sistemas.
La política de copia de seguridad debe definir los requisitos de retención y
protección.
Deben proporcionarse instalaciones de respaldo adecuadas para garantizar que
toda la información esencial y el software puedan
ser recuperado después de un desastre o falla de los medios
Al diseñar un plan de respaldo, se deben tener en cuenta los siguientes
elementos:
a) Registros precisos y completos de las copias de respaldo y procedimientos
de restauración documentados
debe ser producido
b) la extensión (por ejemplo, copia de seguridad completa o diferencial) y la
frecuencia de las copias de seguridad deben reflejar el negocio
los requisitos de la organización, los requisitos de seguridad de la información
involucrada y la
criticidad de la información para el funcionamiento continuo de la
organización;
c) las copias de seguridad deben almacenarse en una ubicación remota, a una
distancia suficiente para evitar cualquier daño
de un desastre en el sitio principal;
d) La información de respaldo debe recibir un nivel adecuado de protección
física y ambiental.
(ver Cláusula 11 ) de acuerdo con los estándares aplicados en el sitio
principal;
e) los medios de copia de seguridad deben probarse regularmente para
garantizar que se pueda confiar en ellos para uso de emergencia
cuando sea necesario; Esto debe combinarse con una prueba de los
procedimientos de restauración y verificarse
Contra el tiempo de restauración requerido. La prueba de la capacidad de
restaurar datos de copia de seguridad debe ser
realizado en medios de prueba dedicados, no sobrescribiendo el medio
original en caso de que la copia de seguridad o
el proceso de restauración falla y causa daños o pérdidas irreparables a los
datos;
f) En situaciones en las que la confidencialidad es importante, las copias de
seguridad deben protegerse mediante cifrado.
Los procedimientos operativos deben supervisar la ejecución de las copias de
seguridad y solucionar las fallas de las tareas programadas.
Copias de seguridad para garantizar la integridad de las copias de seguridad de
acuerdo con la política de copias de seguridad.
Los arreglos de respaldo para sistemas y servicios individuales deben ser
probados regularmente para asegurar que
Cumplen los requisitos de los planes de continuidad de negocio. En el caso de
sistemas y servicios críticos,
Los arreglos de copia de seguridad deben cubrir toda la información de
sistemas, aplicaciones y datos necesarios para recuperar
El sistema completo en caso de desastre.
El período de retención de la información comercial esencial debe
determinarse, teniendo en cuenta cualquier
Requisito para que las copias de archivo sean retenidas permanentemente.
12.4 Registro y seguimiento.
Objetivo: Registrar eventos y generar evidencia.
12.4.1 Registro de eventos
Controlar
Los registros de eventos que registran las actividades del usuario, las
excepciones, los fallos y los eventos de seguridad de la información deben ser
Producido, mantenido y revisado regularmente.
43
Página 17
ISO / IEC 27002: 2013 (E)
Los registros de eventos deben incluir, cuando sea relevante:
a) ID de usuario;
b) actividades del sistema;
c) fechas, horas y detalles de los eventos clave, por ejemplo, inicio y cierre de
sesión;
d) identidad o ubicación del dispositivo, si es posible, e identificador del
sistema;
e) registros de intentos de acceso al sistema exitosos y rechazados;
f) registros de datos exitosos y rechazados y otros intentos de acceso a
recursos;
g) cambios en la configuración del sistema;
h) uso de privilegios;
i) uso de utilidades y aplicaciones del sistema;
j) archivos accedidos y el tipo de acceso;
k) direcciones de red y protocolos;
l) alarmas provocadas por el sistema de control de acceso;
m) activación y desactivación de los sistemas de protección, como los
sistemas antivirus y la intrusión
sistemas de detección;
n) Registros de transacciones ejecutadas por los usuarios en las aplicaciones.
El registro de eventos establece la base para los sistemas de monitoreo
automatizados que son capaces de generar
Informes consolidados y alertas sobre seguridad del sistema.
Otra información
Los registros de eventos pueden contener datos confidenciales e información
de identificación personal. Privacidad apropiada
tomar medidas de protección (ver 18.1.4 ).
Donde sea posible, los administradores del sistema no deben tener permiso
para borrar o desactivar los registros de sus
Actividades propias (ver 12.4.3 ).
12.4.2 Protección de la información de registro
Controlar
Las instalaciones de registro y la información de registro deben estar
protegidas contra la manipulación y el acceso no autorizado.
Los controles deben apuntar a proteger contra cambios no autorizados en la
información de registro y operacionales
problemas con la instalación de registro incluyendo:
a) alteraciones de los tipos de mensajes que se graban;
b) archivos de registro que se están editando o eliminando;
c) se ha excedido la capacidad de almacenamiento de los medios del archivo
de registro, lo que resulta en la falla de registrar eventos
o sobrescribir eventos pasados grabados.
Es posible que se requiera que algunos registros de auditoría se archiven como
parte de la política de retención de registros o debido a
requisitos para recolectar y retener evidencia (ver 16.1.7 ).
Otra información
44
Página 18
ISO / IEC 27002: 2013 (E)
Los registros del sistema a menudo contienen un gran volumen de
información, gran parte de la cual es ajena a la información
Vigilancia de la seguridad. Para ayudar a identificar eventos significativos
para fines de monitoreo de seguridad de la información,
la copia de los tipos de mensajes apropiados automáticamente a un segundo
registro, o el uso del sistema adecuado
Deben considerarse utilidades o herramientas de auditoría para realizar la
interrogación y racionalización de archivos.
Los registros del sistema deben estar protegidos, porque si los datos se pueden
modificar o los datos se eliminan, su
la existencia puede crear una falsa sensación de seguridad. Copia en tiempo
real de registros a un sistema fuera del control
de un administrador del sistema u operador se puede utilizar para salvaguardar
los registros.
12.4.3 Registros de administrador y operador
Controlar
Las actividades del administrador del sistema y del operador del sistema
deben registrarse y los registros deben estar protegidos y
revisado regularmente.
Los titulares de cuentas de usuarios con privilegios pueden manipular los
registros en el procesamiento de la información
instalaciones bajo su control directo, por lo tanto, es necesario proteger y
revisar los registros para mantener
Responsabilidad por los usuarios privilegiados.
Otra información
Un sistema de detección de intrusos gestionado fuera del control del sistema y
los administradores de red.
se puede utilizar para monitorear el cumplimiento de las actividades de
administración del sistema y de la red.
12.4.4 Sincronización de reloj
Controlar
Los relojes de todos los sistemas de procesamiento de información relevantes
dentro de una organización o dominio de seguridad.
debe estar sincronizado a una única fuente de tiempo de referencia.
Los requisitos externos e internos para representación de tiempo,
sincronización y precisión deben
estar documentado Dichos requisitos pueden ser legales, reglamentarios,
requisitos contractuales, normas.
Cumplimiento o requisitos de seguimiento interno. Un tiempo de referencia
estándar para su uso dentro del
La organización debe ser definida.
El enfoque de la organización para obtener un tiempo de referencia de una
fuente o fuentes externas y cómo sincronizar
Los relojes internos deben ser documentados e implementados de manera
confiable.
Otra información
La configuración correcta de los relojes de la computadora es importante para
garantizar la precisión de los registros de auditoría, que pueden
Ser requerido para investigaciones o como evidencia en casos legales o
disciplinarios. Los registros de auditoría inexactos pueden
obstaculizar tales investigaciones y dañar la credibilidad de tales pruebas. Un
reloj vinculado a un tiempo de radio.
La transmisión desde un reloj atómico nacional se puede usar como reloj
maestro para los sistemas de registro. Una red
El protocolo de tiempo se puede usar para mantener todos los servidores en
sincronización con el reloj maestro.
12.5 Control de software operativo.
Objetivo: Asegurar la integridad de los sistemas operativos.
12.5.1 Instalación de software en sistemas operativos
Controlar
45
Página 19
ISO / IEC 27002: 2013 (E)
Se deberían implementar procedimientos para controlar la instalación de
software en sistemas operativos.
Se deben considerar las siguientes pautas para controlar los cambios de
software en los sistemas operativos:
a) la actualización del software operativo, las aplicaciones y las bibliotecas de
programas solo debe
realizado por administradores capacitados con la autorización apropiada de la
gerencia (ver 9.4.5 );
b) los sistemas operativos solo deben tener un código ejecutable aprobado y
no un código de desarrollo o compiladores;
c) las aplicaciones y el software del sistema operativo solo deben
implementarse después de
pruebas exitosas; Las pruebas deben cubrir la usabilidad, seguridad, efectos en
otros sistemas y
amigable y debe llevarse a cabo en sistemas separados (ver 12.1.4 ); se debe
asegurar que todos
Se han actualizado las bibliotecas de fuentes de programas correspondientes;
d) se debe utilizar un sistema de control de configuración para mantener el
control de todo el software implementado también
como la documentación del sistema;
e) se debe implementar una estrategia de reversión antes de implementar los
cambios;
f) se debe mantener un registro de auditoría de todas las actualizaciones de las
bibliotecas de programas operativos;
g) las versiones anteriores del software de aplicación deben conservarse como
una medida de contingencia;
h) las versiones antiguas del software deben archivarse, junto con toda la
información y los parámetros requeridos,
Procedimientos, detalles de configuración y software de soporte siempre que
los datos se conserven en el archivo.
El software suministrado por el proveedor utilizado en sistemas operativos
debe mantenerse a un nivel soportado por el
proveedor. Con el tiempo, los proveedores de software dejarán de admitir
versiones anteriores de software. La organización
Debe considerar los riesgos de confiar en software no compatible.
Cualquier decisión de actualizar a una nueva versión debe tener en cuenta los
requisitos comerciales para el
El cambio y la seguridad del lanzamiento, por ejemplo, la introducción de
nuevas funciones de seguridad de la información.
o el número y la gravedad de los problemas de seguridad de la información
que afectan a esta versión. Parches de software
deben aplicarse cuando pueden ayudar a eliminar o reducir las debilidades de
seguridad de la información (ver 12.6 ).
El acceso físico o lógico solo se debe dar a los proveedores con fines de
soporte cuando sea necesario y
Con la aprobación de la dirección. Las actividades del proveedor deben ser
monitoreadas (ver 15.2.1 ).
El software de la computadora puede depender de software y módulos
suministrados externamente, que deben ser monitoreados
y controlado para evitar cambios no autorizados, lo que podría introducir
debilidades de seguridad.
12.6 Gestión de vulnerabilidad técnica
Objetivo: Prevenir la explotación de vulnerabilidades técnicas.
12.6.1 Gestión de vulnerabilidades técnicas
Controlar
La información sobre las vulnerabilidades técnicas de los sistemas de
información que se utilizan debe obtenerse en un
de manera oportuna, la exposición de la organización a tales vulnerabilidades
evaluadas y las medidas apropiadas
tomado para abordar el riesgo asociado.
Un inventario actual y completo de los activos (consulte la Cláusula 8 ) es un
requisito previo para la eficacia técnica.
gestión de vulnerabilidades. Información específica necesaria para apoyar la
gestión de la vulnerabilidad técnica.
incluye el proveedor de software, los números de versión, el estado actual de
la implementación (por ejemplo, qué software es
instalado en qué sistemas) y la (s) persona (s) dentro de la organización
responsable del software.
46
Página 20
ISO / IEC 27002: 2013 (E)
Deben tomarse medidas apropiadas y oportunas en respuesta a la
identificación de posibles
vulnerabilidades Se debe seguir la siguiente guía para establecer un proceso
de gestión eficaz.
para vulnerabilidades técnicas:
a) la organización debe definir y establecer los roles y responsabilidades
asociadas con los técnicos
gestión de vulnerabilidades, incluido el monitoreo de vulnerabilidades, la
evaluación de riesgos de vulnerabilidades,
parches, seguimiento de activos y cualquier responsabilidad de coordinación
requerida;
b) recursos de información que se utilizarán para identificar las
vulnerabilidades técnicas relevantes y para mantener
el conocimiento sobre ellos debe identificarse para el software y otra
tecnología (basado en el activo
lista de inventario, ver 8.1.1 ); estos recursos de información deben
actualizarse en función de los cambios en el
inventario o cuando se encuentran otros recursos nuevos o útiles;
c) se debe definir una línea de tiempo para reaccionar ante notificaciones de
vulnerabilidades técnicas potencialmente relevantes;
d) una vez que se ha identificado una vulnerabilidad técnica potencial, la
organización debe identificar la
riesgos asociados y las acciones a tomar; tal acción podría implicar parches de
personas vulnerables
sistemas o aplicando otros controles;
e) en función de la urgencia con que se aborde una vulnerabilidad técnica, la
acción tomada debe
llevarse a cabo de acuerdo con los controles relacionados con la gestión del
cambio (ver 12.1.2 ) o siguiendo
procedimientos de respuesta a incidentes de seguridad de la información
(ver 16.1.5 );
f) si un parche está disponible de una fuente legítima, los riesgos asociados
con la instalación del parche deberían ser
evaluado (los riesgos planteados por la vulnerabilidad deben compararse con
el riesgo de instalar el parche);
g) los parches deben probarse y evaluarse antes de instalarlos para garantizar
que sean efectivos y se realicen
no da lugar a efectos secundarios que no pueden ser tolerados; si no hay un
parche disponible, otros controles deberían ser
considerado, tales como:
1) Desactivar servicios o capacidades relacionadas con la vulnerabilidad;
2) adaptar o agregar controles de acceso, por ejemplo, firewalls, en los bordes
de la red (ver 13.1 );
3) mayor monitoreo para detectar ataques reales;
4) sensibilización sobre la vulnerabilidad;
h) se debe mantener un registro de auditoría para todos los procedimientos
emprendidos;
i) el proceso de manejo de la vulnerabilidad técnica debe ser monitoreado y
evaluado regularmente en
Para garantizar su eficacia y eficiencia;
j) Los sistemas de alto riesgo deben abordarse primero;
k) un proceso efectivo de manejo de la vulnerabilidad técnica debe estar
alineado con el incidente
actividades de gestión, para comunicar datos sobre vulnerabilidades a la
función de respuesta a incidentes
y proporcionar los procedimientos técnicos que se llevarán a cabo en caso de
que ocurra un incidente;
l) definir un procedimiento para abordar la situación en la que se ha
identificado una vulnerabilidad, pero hay
No hay contramedidas adecuadas. En esta situación, la organización debe
evaluar los riesgos relacionados con la
Vulnerabilidad conocida y definir las acciones detectivas y correctivas
adecuadas.
Otra información
La gestión de la vulnerabilidad técnica se puede ver como una subfunción de
la gestión del cambio y como
pueden aprovechar los procesos y procedimientos de gestión de cambios
(ver 12.1.2 y 14.2.2 ).
Los vendedores a menudo se encuentran bajo una presión significativa para
liberar los parches lo antes posible. Por lo tanto, hay
una posibilidad de que un parche no resuelva el problema adecuadamente y
tenga efectos secundarios negativos. También en
En algunos casos, la desinstalación de un parche no se puede lograr fácilmente
una vez que se ha aplicado el parche.
47
Página 21
ISO / IEC 27002: 2013 (E)
Si no es posible realizar una prueba adecuada de los parches, por ejemplo,
debido a los costos o la falta de recursos, se demora en
Se pueden considerar parches para evaluar los riesgos asociados, en función
de la experiencia informada por otros
usuarios El uso de ISO / IEC 27031 [ 14 ] puede ser beneficioso.
12.6.2 Restricciones en la instalación del software
Controlar
Las reglas que rigen la instalación de software por los usuarios deben ser
establecidas e implementadas.
La organización debe definir y aplicar una política estricta sobre qué tipos de
software pueden instalar los usuarios.
Se debe aplicar el principio de privilegio mínimo. Si se le otorgan ciertos
privilegios, los usuarios pueden tener
Posibilidad de instalar software. La organización debe identificar qué tipos de
instalaciones de software son
permitido (por ejemplo, actualizaciones y parches de seguridad para el
software existente) y qué tipos de instalaciones son
prohibido (p. ej., software que es solo para uso personal y software cuyo
historial con respecto a ser
potencialmente malicioso es desconocido o sospechoso). Estos privilegios
deben otorgarse teniendo en cuenta la
Roles de los usuarios interesados.
Otra información
La instalación descontrolada de software en dispositivos informáticos puede
llevar a la introducción de vulnerabilidades y
luego a la fuga de información, la pérdida de integridad u otros incidentes de
seguridad de la información, oa la violación de
derechos de propiedad intelectual.
12.7 Consideraciones de auditoría de sistemas de información
Objetivo: Minimizar el impacto de las actividades de auditoría en los sistemas
operativos.
12.7.1 Controles de auditoría de los sistemas de información.
Controlar
Los requisitos de auditoría y las actividades que involucran la verificación de
los sistemas operativos deben ser cuidadosamente
planeado y acordado para minimizar las interrupciones a los procesos de
negocio.
Se deben observar las siguientes pautas:
a) los requisitos de auditoría para el acceso a los sistemas y datos deben
acordarse con la administración apropiada;
b) el alcance de las pruebas de auditoría técnica debe ser acordado y
controlado;
c) las pruebas de auditoría deben limitarse al acceso de solo lectura a software
y datos;
d) el acceso que no sea de solo lectura solo debe permitirse para copias
aisladas de archivos del sistema, lo que debería
borrarse cuando se complete la auditoría, o recibir la protección adecuada si
existe la obligación de
mantener dichos archivos bajo los requisitos de documentación de auditoría;
e) los requisitos para el procesamiento especial o adicional deben ser
identificados y acordados;
f) las pruebas de auditoría que podrían afectar la disponibilidad del sistema
deben realizarse fuera del horario comercial;
g) todos los accesos deben ser monitoreados y registrados para producir un
camino de referencia.
48
Página 22
ISO / IEC 27002: 2013 (E)
13 seguridad de las comunicaciones
13.1 Gestión de seguridad de red
Objetivo: garantizar la protección de la información en redes y su información
de apoyo
Instalaciones de cesación.
13.1.1 controles de red
Controlar
Las redes deben ser administradas y controladas para proteger la información
en sistemas y aplicaciones.
Se deben implementar controles para garantizar la seguridad de la información
en las redes y la protección de
Servicios conectados de acceso no autorizado. En particular, los siguientes
puntos deben ser considerados:
a) Deben establecerse responsabilidades y procedimientos para la gestión del
equipo de red;
b) la responsabilidad operativa de las redes debe estar separada de las
operaciones de computadora donde
apropiado (ver 6.1.2 );
c) deberían establecerse controles especiales para salvaguardar la
confidencialidad e integridad de los datos
pasar por redes públicas o por redes inalámbricas y para proteger los sistemas
conectados
y aplicaciones (ver Cláusula 10 y 13.2 ); También se pueden requerir
controles especiales para mantener el
disponibilidad de los servicios de red y computadoras conectadas;
d) Se debe aplicar un registro y monitoreo apropiados para permitir el registro
y la detección de acciones
eso puede afectar o es relevante para la seguridad de la información;
e) las actividades de gestión deben coordinarse estrechamente para optimizar
el servicio a la
organización y para garantizar que los controles se apliquen de manera
consistente en todo el procesamiento de la información
infraestructura;
f) los sistemas en la red deben ser autenticados;
g) Los sistemas de conexión a la red deben estar restringidos.
Otra información
Se puede encontrar información adicional sobre la seguridad de la red en ISO
/ IEC 27033. [ 15 ] [ 16 ] [ 17 ] [ 18 ] [ 19 ]
13.1.2 Seguridad de los servicios de red
Controlar
Los mecanismos de seguridad, los niveles de servicio y los requisitos de
gestión de todos los servicios de red deben ser
identificadas e incluidas en los acuerdos de servicios de red, si estos servicios
se proporcionan internamente
o subcontratados
La capacidad del proveedor de servicios de red para gestionar los servicios
acordados de forma segura debe ser
determinado y supervisado regularmente, y el derecho de auditoría debe ser
acordado.
Las disposiciones de seguridad necesarias para servicios particulares, como
características de seguridad, niveles de servicio
y requisitos de gestión, deben ser identificados. La organización debe
garantizar que la red
Los proveedores de servicios implementan estas medidas.
Otra información
49
Página 23
ISO / IEC 27002: 2013 (E)
Los servicios de red incluyen la provisión de conexiones, servicios de red
privada y valor agregado
Redes y soluciones de seguridad de red gestionadas como firewalls y sistemas
de detección de intrusos.
Estos servicios pueden abarcar desde un ancho de banda simple no
administrado hasta ofertas complejas de valor agregado.
Las características de seguridad de los servicios de red podrían ser:
a) tecnología aplicada para la seguridad de los servicios de red, como
autenticación, cifrado y red
controles de conexión;
b) los parámetros técnicos requeridos para la conexión segura con los
servicios de red de acuerdo con
con las reglas de seguridad y conexión a la red;
c) procedimientos para el uso del servicio de red para restringir el acceso a
servicios o aplicaciones de red,
donde sea necesario.
13.1.3 Segregación en redes
Controlar
Los grupos de servicios de información, usuarios y sistemas de información
deben estar segregados en las redes.
Un método para administrar la seguridad de redes grandes es dividirlos en
dominios de red separados.
Los dominios se pueden elegir según los niveles de confianza (por ejemplo,
dominio de acceso público, dominio de escritorio, servidor
dominio), junto con unidades organizativas (por ejemplo, recursos humanos,
finanzas, marketing) o alguna combinación (por ejemplo,
dominio del servidor que se conecta a múltiples unidades organizativas). La
segregación se puede hacer usando ya sea
Redes físicamente diferentes o mediante el uso de diferentes redes lógicas
(por ejemplo, redes privadas virtuales).
El perímetro de cada dominio debe estar bien definido. Se permite el acceso
entre dominios de red, pero
debe controlarse en el perímetro mediante una puerta de enlace (por ejemplo,
firewall, enrutador de filtrado). Los criterios para
La segregación de las redes en dominios y el acceso permitido a través de las
puertas de enlace deben basarse en
en una evaluación de los requisitos de seguridad de cada dominio. La
evaluación debe estar de acuerdo
Con la política de control de acceso (ver 9.1.1 ), requisitos de acceso, valor y
clasificación de la información.
procesados y también tienen en cuenta el costo relativo y el impacto en el
rendimiento de la incorporación de
tecnología de pasarela.
Las redes inalámbricas requieren un tratamiento especial debido al perímetro
de red mal definido. Para sensible
ambientes, se debe considerar tratar todo el acceso inalámbrico como
conexiones externas y
para segregar este acceso de las redes internas hasta que el acceso haya pasado
por una puerta de enlace en
de acuerdo con la política de controles de red (ver 13.1.1 ) antes de otorgar
acceso a los sistemas internos.
Las tecnologías de autenticación, cifrado y control de acceso a la red a nivel
de usuario de los estándares modernos.
Las redes inalámbricas basadas pueden ser suficientes para la conexión directa
a la red interna de la organización.
cuando se implementa correctamente.
Otra información
Las redes a menudo se extienden más allá de los límites organizacionales, ya
que se forman asociaciones comerciales que
requieren la interconexión o el intercambio de las instalaciones de
procesamiento de información y redes. Tal
Las extensiones pueden aumentar el riesgo de acceso no autorizado a los
sistemas de información de la organización que
usar la red, algunos de los cuales requieren protección de otros usuarios de la
red debido a su sensibilidad
o criticidad.
13.2 Transferencia de información
Objetivo: Mantener la seguridad de la información transferida dentro de una
organización y con cualquier
Entidad externa.
50
Página 24
ISO / IEC 27002: 2013 (E)
13.2.1 Políticas y procedimientos de transferencia de información.
Controlar
Deben establecerse políticas, procedimientos y controles de transferencia
formal para proteger la transferencia de información.
A través del uso de todo tipo de facilidades de comunicación.
Los procedimientos y controles que se deben seguir cuando se utilizan los
medios de comunicación para obtener información.
transferencia debe considerar los siguientes elementos:
a) procedimientos diseñados para proteger la información transferida de la
intercepción, copia, modificación,
mal encaminamiento y destrucción;
b) procedimientos para la detección y protección contra malware que pueden
transmitirse a través de
El uso de las comunicaciones electrónicas (ver 12.2.1. );
c) procedimientos para proteger la información electrónica sensible
comunicada que se encuentra en forma de
un adjunto;
d) política o directrices que describen el uso aceptable de las instalaciones de
comunicación (ver 8.1.3 );
e) responsabilidad del personal, parte externa y cualquier otro usuario de no
comprometer a la organización,
Por ejemplo, a través de la difamación, el acoso, la suplantación, el envío de
cartas en cadena, no autorizado.
compras, etc .;
f) uso de técnicas criptográficas, por ejemplo, para proteger la
confidencialidad, integridad y autenticidad de
información (ver Cláusula 10 );
g) pautas de retención y disposición para toda la correspondencia comercial,
incluidos los mensajes, de conformidad con
con las leyes y regulaciones nacionales y locales pertinentes;
h) controles y restricciones asociadas con el uso de servicios de comunicación,
por ejemplo, reenvío automático
de correo electrónico a direcciones de correo externas;
i) recomendar al personal que tome las precauciones adecuadas para no
revelar información confidencial;
j) no dejar mensajes que contengan información confidencial en los
contestadores automáticos ya que estos pueden
ser reproducido por personas no autorizadas, almacenado en sistemas
comunales o almacenado incorrectamente como resultado
de desmarcar;
k) asesorar al personal sobre los problemas de uso de las máquinas o servicios
de fax, a saber:
1) acceso no autorizado a almacenes de mensajes incorporados para recuperar
mensajes;
2) programación deliberada o accidental de máquinas para enviar mensajes a
números específicos;
3) enviar documentos y mensajes al número equivocado, ya sea por un
marcado incorrecto o el uso incorrecto
número almacenado.
Además, se debe recordar al personal que no debe tener conversaciones
confidenciales en público
Lugares o sobre canales de comunicación inseguros, oficinas abiertas y
lugares de reunión.
Los servicios de transferencia de información deben cumplir con los requisitos
legales pertinentes (ver 18.1 ).
Otra información
La transferencia de información puede ocurrir mediante el uso de una serie de
diferentes tipos de comunicación
Instalaciones, incluyendo correo electrónico, voz, fax y video.
La transferencia de software puede ocurrir a través de diferentes medios,
incluida la descarga desde
Internet y adquisición de proveedores que venden productos disponibles en el
mercado.
51
Página 25
ISO / IEC 27002: 2013 (E)
Las implicaciones comerciales, legales y de seguridad asociadas con el
intercambio electrónico de datos, electrónicos
Se debe considerar el comercio y las comunicaciones electrónicas y los
requisitos de control.
13.2.2 Acuerdos de transferencia de información.
Controlar
Los acuerdos deben abordar la transferencia segura de información comercial
entre la organización y
partes externas
Los acuerdos de transferencia de información deben incorporar lo siguiente:
a) las responsabilidades de la gerencia para controlar y notificar la
transmisión, envío y recepción;
b) procedimientos para garantizar la trazabilidad y no repudio;
c) normas técnicas mínimas para embalaje y transmisión;
d) acuerdos de custodia;
e) normas de identificación de mensajería;
f) responsabilidades y responsabilidades en caso de incidentes de seguridad de
la información, como la pérdida de datos;
g) el uso de un sistema de etiquetado acordado para información sensible o
crítica, asegurando que el significado de
las etiquetas se entienden de inmediato y que la información está protegida
adecuadamente (ver 8.2 );
h) normas técnicas para registrar y leer información y software;
i) cualquier control especial que se requiera para proteger elementos sensibles,
como la criptografía (ver Cláusula 10 );
j) mantener una cadena de custodia para información mientras está en tránsito;
k) niveles aceptables de control de acceso.
Se deben establecer y mantener políticas, procedimientos y normas para
proteger la información y
medios físicos en tránsito (ver 8.3.3 ), y debe ser referenciado en tales
acuerdos de transferencia.
El contenido de seguridad de la información de cualquier acuerdo debe
reflejar la sensibilidad de la empresa
Información involucrada.
Otra información
Los acuerdos pueden ser electrónicos o manuales y pueden tomar la forma de
contratos formales. Para confidencial
información, los mecanismos específicos utilizados para la transferencia de
dicha información deben ser consistentes para
Todas las organizaciones y tipos de acuerdos.
13.2.3 Mensajería electrónica
Controlar
La información relacionada con la mensajería electrónica debe estar protegida
adecuadamente.
Las consideraciones de seguridad de la información para la mensajería
electrónica deben incluir lo siguiente:
a) protección de los mensajes contra el acceso no autorizado, la modificación
o la denegación de servicio proporcional
con el esquema de clasificación adoptado por la organización;
b) asegurar el correcto direccionamiento y transporte del mensaje;
52
Página 26
ISO / IEC 27002: 2013 (E)
c) confiabilidad y disponibilidad del servicio;
d) consideraciones legales, por ejemplo requisitos para firmas electrónicas;
e) obtener la aprobación antes de utilizar servicios públicos externos, como
mensajería instantánea, redes sociales
redes o intercambio de archivos;
f) mayores niveles de autenticación que controlan el acceso desde redes de
acceso público.
Otra información
Hay muchos tipos de mensajes electrónicos, como correo electrónico,
intercambio de datos electrónicos y redes sociales.
Redes que desempeñan un papel en las comunicaciones empresariales.
13.2.4 Confidencialidad o acuerdos de no divulgación
Controlar
Requisitos de confidencialidad o acuerdos de no divulgación que reflejen las
necesidades de la organización para
La protección de la información debe ser identificada, revisada y
documentada regularmente.
Los acuerdos de confidencialidad o no divulgación deben abordar el requisito
de protección confidencial.
información utilizando términos legalmente exigibles. Los acuerdos de
confidencialidad o no divulgación son
Aplicable a partes externas o empleados de la organización. Los elementos
deben ser seleccionados o agregados
teniendo en cuenta el tipo de la otra parte y su acceso o manejo permisibles de
información confidencial
información. Para identificar los requisitos de confidencialidad o acuerdos de
no divulgación, los siguientes
Los elementos deben ser considerados:
a) una definición de la información a proteger (por ejemplo, información
confidencial);
b) la duración prevista de un acuerdo, incluidos los casos en que podría ser
necesario establecer la confidencialidad.
mantenido indefinidamente
c) acciones requeridas cuando se termina un acuerdo;
d) responsabilidades y acciones de los signatarios para evitar la divulgación de
información no autorizada;
e) propiedad de la información, secretos comerciales y propiedad intelectual, y
cómo esto se relaciona con la
protección de la información confidencial;
f) el uso permitido de la información confidencial y los derechos del firmante
para utilizar la información;
g) el derecho a auditar y monitorear las actividades que involucran
información confidencial;
h) proceso para la notificación y notificación de divulgación no autorizada o
fuga de información confidencial;
i) los términos para que la información sea devuelta o destruida en el
momento del cese del acuerdo;
j) acciones esperadas que se tomarán en caso de incumplimiento del acuerdo.
Según los requisitos de seguridad de la información de una organización, otros
elementos pueden ser necesarios en una
confidencialidad o acuerdo de no divulgación.
Los acuerdos de confidencialidad y no divulgación deben cumplir con todas
las leyes y regulaciones aplicables.
para la jurisdicción a la que se aplican (ver 18.1 ).
Los requisitos de confidencialidad y acuerdos de no divulgación deben
revisarse periódicamente y
Cuando se producen cambios que influyen en estos requisitos.
Otra información
53
Página 27
ISO / IEC 27002: 2013 (E)
Los acuerdos de confidencialidad y no divulgación protegen la información de
la organización e informan a los signatarios
de su responsabilidad de proteger, usar y divulgar información de manera
responsable y autorizada.
Puede ser necesario que una organización utilice diferentes formas de
confidencialidad o no divulgación.
Acuerdos en diferentes circunstancias.
14 Adquisición, desarrollo y mantenimiento de sistemas.
14.1 Requisitos de seguridad de los sistemas de información.
Objetivo: Asegurar que la seguridad de la información sea una parte integral
de los sistemas de información en todo el mundo.
ciclo de vida completo. Esto también incluye los requisitos para los sistemas
de información que proveen servicios.
a través de redes públicas.
14.1.1 Análisis y especificación de los requisitos de seguridad de la
información.
Controlar
Los requisitos relacionados con la seguridad de la información deben incluirse
en los requisitos para nuevos
Sistemas de información o mejoras a los sistemas de información existentes.
Los requisitos de seguridad de la información deben identificarse utilizando
diversos métodos, como el
requisitos de cumplimiento de las políticas y regulaciones, modelos de
amenazas, revisiones de incidentes o uso
de umbrales de vulnerabilidad. Los resultados de la identificación deben ser
documentados y revisados por todos
partes interesadas
Los requisitos y controles de seguridad de la información deben reflejar el
valor comercial de la información involucrada
(ver 8.2 ) y el potencial impacto negativo en el negocio que podría resultar de
la falta de seguridad adecuada.
La identificación y gestión de los requisitos de seguridad de la información y
los procesos asociados deben
Integrarse en las primeras etapas de los proyectos de sistemas de
información. Consideración temprana de la seguridad de la información.
Los requisitos, por ejemplo, en la etapa de diseño pueden conducir a
soluciones más efectivas y rentables.
Los requisitos de seguridad de la información también deben considerar:
a) el nivel de confianza requerido para la identidad reclamada de los usuarios,
a fin de obtener el usuario
requisitos de autenticación;
b) Acceso a los procesos de aprovisionamiento y autorización, tanto para
usuarios empresariales como para privilegiados o
Usuarios técnicos;
c) informar a los usuarios y operadores de sus deberes y responsabilidades;
d) las necesidades de protección requeridas de los activos involucrados, en
particular con respecto a la disponibilidad,
confidencialidad, integridad;
e) los requisitos derivados de los procesos de negocios, tales como el registro
y monitoreo de transacciones, no
requisitos de repudio;
f) requisitos exigidos por otros controles de seguridad, por ejemplo, interfaces
para el registro y monitoreo o datos
Sistemas de detección de fugas.
Para aplicaciones que proporcionan servicios a través de redes públicas o que
implementan transacciones, la
controles dedicados 14.1.2 y 14.1.3 debe ser considerado.
Si se adquieren productos, se debe seguir un proceso formal de prueba y
adquisición. Contratos con
El proveedor debe abordar los requisitos de seguridad identificados. Donde la
funcionalidad de seguridad.
54
Página 28
ISO / IEC 27002: 2013 (E)
en un producto propuesto no cumple con el requisito especificado, el riesgo
introducido y asociado
Los controles deben reconsiderarse antes de comprar el producto.
Guía disponible para la configuración de seguridad del producto alineada con
el software / servicio final
La pila de ese sistema debe ser evaluada e implementada.
Los criterios para aceptar productos deben definirse, por ejemplo, en términos
de su funcionalidad, lo que dará
Garantía de que se cumplen los requisitos de seguridad identificados. Los
productos deben ser evaluados contra estos
Criterios antes de la adquisición. Se debe revisar la funcionalidad adicional
para garantizar que no se introduzca
Riesgos adicionales inaceptables.
Otra información
ISO / IEC 27005 [ 11 ] e ISO 31000 [ 27 ] proporcionar orientación sobre el uso
de los procesos de gestión de riesgos para
Identificar los controles para cumplir con los requisitos de seguridad de la
información.
14.1.2 Asegurando servicios de aplicaciones en redes públicas
Controlar
La información involucrada en los servicios de aplicación que pasan a través
de redes públicas debe estar protegida contra
Actividad fraudulenta, disputa contractual y divulgación y modificación no
autorizadas.
Las consideraciones de seguridad de la información para los servicios de
aplicaciones que pasan por redes públicas deberían
Incluya lo siguiente:
a) el nivel de confianza que cada parte requiere en la identidad reclamada de
la otra parte, por ejemplo, a través de la autenticación;
b) Procesos de autorización asociados con quién puede aprobar el contenido,
emitir o firmar la clave.
documentos transaccionales;
c) asegurar que los socios comunicantes estén plenamente informados de sus
autorizaciones para la provisión o
uso del servicio;
d) determinar y cumplir con los requisitos de confidencialidad, integridad,
prueba de envío y recepción de la clave
documentos y el no repudio de los contratos, por ejemplo, asociados con los
procesos de licitación y contratación;
e) el nivel de confianza requerido en la integridad de los documentos clave;
f) los requisitos de protección de cualquier información confidencial;
g) la confidencialidad e integridad de cualquier transacción de pedido,
información de pago, dirección de entrega
Detalles y confirmación de recibos;
h) el grado de verificación apropiado para verificar la información de pago
suministrada por un cliente;
i) seleccionar la forma de pago de liquidación más adecuada para protegerse
contra el fraude;
j) el nivel de protección requerido para mantener la confidencialidad e
integridad de la información del pedido;
k) evitar la pérdida o duplicación de la información de la transacción;
l) responsabilidad asociada con cualquier transacción fraudulenta;
m) Requisitos del seguro.
Muchas de las consideraciones anteriores se pueden abordar mediante la
aplicación de controles criptográficos (ver
Cláusula 10 ), teniendo en cuenta el cumplimiento de los requisitos legales
(ver Cláusula 18 , especialmente ver 18.1.5
para la legislación de criptografía).
© ISO / IEC 2013 - Todos los derechos reservados

ISO Grupo5 Traduccion

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

ISO Grupo5 Traduccion

Încărcat de

Drepturi de autor:

Formate disponibile

ISO / IEC 27002: 2013 (E)

La mayoría de las instalaciones de computadoras tienen uno o más programas

S-ar putea să vă placă și