 Monitorear las necesidades de capacidad de los

 Controlar la existencia de los procedimientos de sistemas en operación y proyectar las futuras

operaciones y el desarrollo y mantenimiento de demandas de capacidad. Con el fin de evitar
documentación actualizada relacionada. potenciales amenazas a la seguridad del sistema o
a los servicios del usuario.

 Evaluar el posible impacto operativo de los  Controlar la realización de las copias de resguardo de
cambios previstos a sistemas y equipamiento y información, así como la prueba periódica de su
verificar su correcta implementación, asignando restauración permiten garantizar la restauración de las
las responsabilidades correspondientes y operaciones en los tiempos de recuperación
administrando los medios técnicos necesarios para establecidos y acotar el periodo máximo de pérdida de
permitir la segregación de los ambientes y información asumible para cada organización.
responsabilidades en el procesamiento.

 Verificar el cumplimiento de las normas, procedimientos y

 Definir y documentar controles para la detección y
prevención del acceso no autorizado, la protección
contra software malicioso y para garantizar la
seguridad de los datos y los servicios conectados a
las redes de la organización.
controles establecidos mediante auditorías técnicas y
registros de actividad de los sistemas (logs) como base
para la monitorización del estado del riesgo en los
sistemas y descubrimiento de nuevos riesgos.

http://iso27000.es/iso27002_12.html
 1.- Asegurar la operación correcta y segura de los medios de procesamiento de la
información mediante el desarrollo de los procedimientos de operación apropiados.

2.- Establecer las responsabilidades y procedimientos para la gestión y operación de

todos los medios de procesamiento de la información.

3.- implantar la segregación de tareas, cuando sea adecuado, para reducir el

riesgo de un mal uso del sistema deliberado o por negligencia.

Documentar los procedimientos

operativos y dejar a disposición de todos los usuarios que los necesiten.

Controlar los cambios que afectan a la seguridad de la

información en la organización y procesos de negocio, las instalaciones y sistemas de
procesamiento de información.

Monitorear y ajustar el uso de los recursos junto a proyecciones

necesarias de requisitos de capacidad en el futuro con el objetivo de garantizar el rendimiento adecuado en
los sistemas.

Los entornos de desarrollo, pruebas y operacionales deben permanecer separados para reducir
http://iso27000.es/iso27002_12.html
los riesgos de acceso o de cambios no autorizados en el entorno operacional.
 1.- El software y los medios
de procesamiento de la
información son vulnerables a
la introducción de códigos
maliciosos y se requiere
tomar precauciones para
evitar y detectar la
introducción de códigos de
programación maliciosos y
códigos con capacidad de
reproducción y distribución
automática no autorizados
para la protección de la
integridad del software y de la
información que sustentan.
detección, prevención y recuperación ante afectaciones de malware en combinación con la
http://iso27000.es/iso27002_12.html
3.- El software y los recursos de tratamiento de
información son vulnerables a la introducción de
software malicioso como virus informáticos,
gusanos de la red, caballos de troya y bombas
lógicas.
4.- Los usuarios deben estar al tanto de los
peligros de los códigos maliciosos como el robo
y destrucción de la información o daños e
inutilización de los sistemas de la organización.
Se deben implementar controles para la
concientización adecuada de los usuarios.
2.- El código malicioso es código
informático que provoca infracciones
de seguridad para dañar un sistema
informático. El malware se refiere
específicamente a software malicioso,
pero el código malicioso incluye
además scripts de sitios web (applets
de Java, controles de ActiveX,
contenido insertado, plug-ins, lenguajes
de scripts u otros lenguajes de
programación en páginas web y correo
electrónico) que pueden aprovechar
vulnerabilidades con el fin de descargar
un malware..
 Mantener la integridad y la disponibilidad
de los servicios de tratamiento de
información y comunicación..
Determine cuáles son los activos de
información más importantes y use esta
información para crear una estrategia de
backup y recuperación.
copias de la información, del software y de las imágenes del sistema en relación a una política de
http://iso27000.es/iso27002_12.html
Se deben establecer procedimientos Implante procedimientos de backup y
rutinarios para conseguir la estrategia recuperación que satisfagan no sólo requisitos
aceptada de respaldo (consultar 14.1) contractuales sino también requisitos de
para realizar copias de seguridad y negocio "internos" de la organización.
probar su puntual recuperación.
Determine cuáles son los activos de
información más importantes y use esta
información para crear una estrategia de
backup y recuperación.
Se deben realizar pruebas regulares de las
respaldo (Backup) convenida.
 Los sistemas deberían ser monitoreados y los eventos de la seguridad de
información registrados.

El registro de los operadores y el registro de fallas debería ser usado para

garantizar la identificación de los problemas del sistema de información.

La organización debería cumplir con todos los requerimientos legales aplicables

para el monitoreo y el registro de actividades. El monitoreo del sistema debería ser
utilizado para verificar la efectividad de los controles adoptados y para verificar la
conformidad del modelo de política de acceso.

Son todos los requerimientos legales aplicables para el monitoreo y el

registro de actividades. El monitoreo del sistema debería ser utilizado para
verificar la efectividad de los controles adoptados y para verificar la
conformidad del modelo de política de acceso.

El viejo axioma del aseguramiento de la calidad "no puedes controlar lo que no

puedes medir o monitorizar" es también válido para la seguridad de la información.

La necesidad de implantar procesos de supervisión es más evidente ahora
que la medición de la eficacia de los controles se ha convertido en un
requisito específico.
http://iso27000.es/iso27002_12.html
Analice la criticidad e importancia de los datos que va a
monitorizar y cómo esto afecta a los objetivos globales de
negocio de la organización en relación a la seguridad de la
información.
 :
Se deberían producir, mantener y revisar periódicamente los Se debería proteger contra posibles
registros relacionados con eventos de actividad del usuario, alteraciones y accesos no autorizados la información
excepciones, fallas y eventos de seguridad de la información. de los registros.

Se deberían
Se deberían registrar las sincronizar los relojes de todos los sistemas de procesamiento
actividades del administrador y del operador del sistema y los de información pertinentes dentro de una organización o de un
registros asociados se deberían proteger y revisar de manera dominio de seguridad y en relación a una fuente de
regular. sincronización única de referencia.

http://iso27000.es/iso27002_12.html
 • Trata de minimizar los riesgos de alteración de los sistemas de información mediante controles de implementación de cambios imponiendo el
cumplimiento de procedimientos formales que garanticen que se cumplan los procedimientos de seguridad y control, respetando la división de
funciones.

• Verificar que los cambios sean gestionados por personal autorizado y en atención a
los términos y condiciones que surjan de la licencia de uso.

• Efectuar un análisis de riesgos previo a los cambios en atención al posible impacto por situaciones adversas.

• Aplicar los cambios en sistemas de prueba y/o de manera escalonada empezando por los sistemas menos críticos además de aplicar
medidas de backups y puntos de restauración junto a actividades adicionales que permitan retornar los sistemas al estado de estabilidad
inicial con ciertas garantías.

• Actualizar la documentación para cada cambio implementado, tanto de los manuales de usuario
como de la documentación operativa.

• Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar sus operaciones y envolver a usuarios finales en
pruebas de aceptación del nuevo estado.

Se deberían implementar procedimientos para controlar la

instalación de software en sistemas operacionales.

http://iso27000.es/iso27002_12.html
  Minimizar los riesgos de alteración de los sistemas de información
mediante controles de implementación de cambios imponiendo el
cumplimiento de procedimientos formales que garanticen que se
cumplan los procedimientos de seguridad y control, respetando la
división de funciones.
 Verificar que los cambios sean gestionados
por personal autorizado y en atención a los
términos y condiciones que surjan de la
licencia de uso.

 Efectuar un análisis de riesgos previo a los
cambios en atención al posible impacto por
situaciones adversas.
 Actualizar la documentación para cada
cambio implementado, tanto de los
manuales de usuario como de la
documentación operativa.
 Informar a las áreas usuarias antes de la implementación
 Evite quedarse tan atrás en la rutina de
actualización de versiones que sus sistemas
queden fuera de soporte por el fabricante.
 Aplicar los cambios en sistemas de prueba y/o de manera
escalonada empezando por los sistemas menos críticos además
de aplicar medidas de backups y puntos de restauración junto a
actividades adicionales que permitan retornar los sistemas al
estado de estabilidad inicial con ciertas garantías.
de un cambio que pueda afectar sus operaciones y
envolver a usuarios finales en pruebas de aceptación del
nuevo estado.

 Pruebe y aplique los parches críticos, o tome otras medidas de

protección, tan rápida y extensamente como sea posible, para
vulnerabilidades de seguridad que afecten a sus sistemas y que estén
siendo explotadas fuera activamente.
http://iso27000.es/iso27002_12.html
 Se debería obtener información sobre las vulnerabilidades técnicas de los
sistemas de información de manera oportuna para evaluar el grado de exposición de la organización y tomar las medidas necesarias para
abordar los riesgos asociados.

Se deberían establecer e implementar las reglas que rigen la instalación

de software por parte de los usuarios.

http://iso27000.es/iso27002_12.html
  Maximizar la efectividad del proceso de auditoría de  Acordar con el/las área/s que corresponda los
los sistemas de información y minimizar las requerimientos de auditoría.
intromisiones a/desde éste proceso.

 Durante las auditorías de los sistemas de información
deben existir controles para salvaguardar los
sistemas operacionales y herramientas de auditoría.
 Identificar claramente los recursos TI para llevar a
cabo las verificaciones y puestos a disposición de los
auditores (Sistemas de información, Bases de datos,
hardware, software de auditoría, dispositivos
magnéticos, personal, conexiones a red, ...).
 Limitar las verificaciones (p.ej. a un acceso de "sólo lectura" en
software y datos de producción) y/o tomar las medidas necesarias a
efectos de aislar y contrarrestar los efectos de modificaciones
realizadas al finalizar la auditoría (eliminar archivos transitorios,
entidades ficticias y datos incorporados en archivos maestros; revertir
transacciones; revocar privilegios otorgados; ...)

Documentar todos los procedimientos de auditoría,
requerimientos y responsabilidades.

Se deberían planificar y
acordar los requisitos y las actividades de auditoría que involucran la verificación de los sistemas operacionales con
el objetivo de minimizar las interrupciones en los procesos relacionados con el negocio.

http://iso27000.es/iso27002_12.html
 http://iso27000.es/iso27002_12.html