Kategoriak: All - gestión - seguridad - auditorías - copias

arabera elian sanchez 2 years ago

118

ISO/IEC 27002:2013

En el contexto de la seguridad operativa, se destacan varias responsabilidades y procedimientos clave que deben seguirse para mantener la integridad y el rendimiento del sistema. La gestión de capacidades es fundamental, ya que implica ajustar y proyectar los recursos necesarios para asegurar un rendimiento óptimo.

ISO/IEC 27002:2013

Topic flotante

NRC :21636

Elian sanchez 701585

12. SEGURIDAD EN LA OPERATIVA.

12.7 Consideraciones de las auditorías de los sistemas de información

12.7.1 Controles de auditoría de los sistemas de información. Se necesitará una auditoria que se involucre la verificación de los sistemas operativos se deben planificar y cuidar para minimizar las interrupciones

12.6 Gestión de la vulnerabilidad técnica.

12.6.2 Restricciones en la instalación de software. Se debe gestionar privilegios a los usuarios que utilicen el sistema para garantizar su nivel de seguridad bajo el tratamiento de datos
12.6.1 Gestión de las vulnerabilidades técnicas. Se debe definir un parche de una fuente legitima para el registro de identificación de vulnerabilidad técnica potencial. Y los recursos de usaran para identificar vulnerabilidades técnicas pertinentes

12.5 Control del software en explotación

12.5.1 Instalación del software en sistemas en producción. Se deben colocar Controles donde deben gestionar procedimientos para controlar la instalación en el software en los sistemas requeridos. Implementación Se deben establecer estrategias de registro de auditoria de todas las actualizaciones de los programas y las diferentes versiones que se usen

12.4 Registro de actividad y supervisión

12.4.4 Sincronización de relojes. Los relojes de los sistemas de procesamiento de la información dentro de la organización deben estar sincronizados con una única fuente de referencia de tiempo.
12.4.3 Registros de actividad del administrador y operador del sistema. El administrador y del sistema debe registrar para poder proteger y revisar archivos de información con regularidad.
12.4.2 Protección de los registros de información. Sistemas con registros y la información de registro se deben proteger contra modificación y acceso no autorizado
12.4.1 Registro y gestión de eventos de actividad. Se debe elaborar y conversar continuamente los registros sobre la actividad del usuarios, fallas y eventos de información que den seguridad

12.3 Copias de seguridad

12.3.1 Copias de seguridad de la información. Se debe hacer copias de seguridad de respaldo de información, imágenes de los sistemas y ponerlas según acuerdo de política de copias que se acuerde

12.2 Protección contra código malicioso

12.2.1 Controles contra el código malicioso. Control se debe gestionar la detención y prevención de códigos maliciosos, con el uso de controles y conciencia apropiada de los usuarios de manejo de información.

12.1 Responsabilidades y procedimientos de operación

12.1.4 Separación de entornos de desarrollo, prueba y producción.Se debe separar los ambientes de desarrollo o áreas de prueba y producción para reducir los riesgos de ingreso a personal no autorizado donde pueden ocurrir modificaciones de la información
12.1.3 Gestión de capacidades. Se debe gestionar los recursos y hacer los ajustes necesarios y hacer proyecciones de lo necesario al futuro para asegurar un rendimiento optimo del sistema
12.1.2 Gestión de cambiosSe debe controlar los cambios en la organización donde pueden afectar la planificación de control de seguridad de negocio en las instalaciones
12.1.1 Documentación de procedimientos de operación.Los procesos de la operación se deben que documentar y registrar para poder tener un mayor control y disposición para los usuarios que lo requieran

ISO/IEC 27002:2013

18. CUMPLIMIENTO

18.2 Revisiones de la seguridad de la información
18.2.3 Comprobación del cumplimiento: Los sistemas de información se deberán revisar de manera periódica para confirmar el cumplimiento de las políticas y normas de seguridad de la información.
18.2.2 Cumplimiento de las políticas y normas de seguridad: Los gerentes de la organización deben revisar que se cumplan los procesos y procedimientos relacionados con las políticas y normas de seguridad.
18.2.1 Revisión independiente de la seguridad de la información: La organización deberá realizar una revisión en todo lo relacionado con la gestión de la seguridad de la información y su implementación. Cada revisión en intervalos planificados o cuando haya cambios significativos.
18.1 Cumplimiento de los requisitos legales y contractuales
18.1.5 Regulación de los controles criptográficos: Se deberán usar controles criptográficos, cumpliendo la reglamentación pertinente.
18.1.4 Protección de datos y privacidad de la información personal: Se debe asegurar la privacidad y protección de los datos personales.
18.1.3 Protección de los registros de la organización: Los registros de la organización se deben proteger contra pérdida, destrucción, falsificación, acceso no autorizado y liberación no autorizada.
18.1.2 Derechos de propiedad intelectual (DPI): Debe haber procedimientos que permitan que se cumplan los requisitos legislativos, de reglamentación y contractuales, todo estos relacionados con los derechos de propiedad intelectual y de software patentado.
18.1.1 Identificación de la legislación aplicable: Todos los requisitos estatutarios, reglamentarios y contractuales, se deberán identificar y documentar de manera explicita y, además, se deberán mantener actualizados

17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.

17.2 Redundancias.
17.2.1 Disponibilidad de instalaciones para el procesamiento de la Información: Las instalaciones de proceso de información se deberán implementar de manera redundante para cumplir los requisitos de disponibilidad.
17.1 Continuidad de la seguridad de la información
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información: La organización constantemente deberá verificar los planes referentes a las situaciones adversas que involucren a la seguridad de la información para validar que son válidos y eficaces.
17.1.2 Implantación de la continuidad de la seguridad de la información: El plan de la organización se deberá establecer, documentar, implementar y mantener procesos para asegurar el nivel de continuidad requerido frente a una situación adversa.
17.1.1 Planificación de la continuidad de la seguridad de la información: La organización debe tener un plan para las situaciones adversas que involucren a la seguridad de la información.

16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.

16.1 Gestión de incidentes de seguridad de la información y mejoras.
16.1.7 Recopilación de evidencias: Para cada incidente se deberán aplicar procedimientos de identificación, recolección, adquisición y preservación de información para que sirva como evidencia.
16.1.6 Aprendizaje de los incidentes de seguridad de la información: De acuerdo con los incidentes ocurridos, se deberá analizar y aprender de estos para reducir futuros incidentes y/o controlarlos de mejor manera
16.1.5 Respuesta a los incidentes de seguridad: Para cada incidente de la seguridad de la información debe tener su respectiva respuesta.
16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones: Los eventos de la seguridad de la información se deben evaluar y tomar una decisión de clasificarlo como incidente o no.
16.1.3 Notificación de puntos débiles de la seguridad: Cualquier persona trabajando para la organización deberá notificar cualquier debilidad de seguridad de la información.
16.1.2 Notificación de los eventos de seguridad de la información: Cuando ocurra un incidente relacionado con la seguridad de la información, se deberá notificar de manera rápida a través de los canales de gestión.
16.1.1 Responsabilidades y procedimientos: Cuando ocurran incidentes relacionados con la seguridad de la información, se deberán tener establecidas responsabilidades para una respuesta efectiva.

15. RELACIONES CON SUMINISTRADORES.

15.2 Gestión de la prestación del servicio por suministradores
15.2.2 Gestión de cambios en los servicios prestados por terceros: Se debe hacer la gestión de los posibles cambios en el suministro de servicios por parte de terceros, incluyendo mantenimiento, procedimientos y controles de seguridad. Siempre y cuando se tenga en cuenta la criticidad del cambio.
15.2.1 Supervisión y revisión de los servicios prestados por terceros: La organización tiene que realizar un seguimiento a las actividades realizadas por los proveedores.
15.1 Seguridad de la información en las relaciones con suministradores.
15.1.3 Cadena de suministro en tecnologías de la información y Comunicaciones: Los requisitos para tratar los riegos de seguridad de la información que están asociados con el suministro de productos y servicios de tecnología deberá ser acordado con el proveedor.
15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores: Tendrá que haber un acuerdo entre el proveedor y la organización con todos los requisitos de la seguridad de la información pertinentes, como lo pueden ser: acceso, procesar, almacenar, comunicar o suministrar componentes.
15.1.1 Política de seguridad de la información para suministradores: Los proveedores que puedan acceder a los activos de la organización pueden generar riesgos, por lo que este acceso se deberá acordar con ellos y llevar su correspondiente documentación.

14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN.

14.3 Datos de prueba
14.3.1 Protección de los datos utilizados en pruebas: Los datos de pruebas se tendrán que seleccionar, proteger y controlar con cuidado para evitar problemas de confidencialidad.
14.2 Seguridad en los procesos de desarrollo y soporte
14.2.9 Pruebas de aceptación: Cuando se tenga un software y este cuente con nueva información, nuevas actualizaciones o versiones, se deberán tener programas de pruebas para saber si pueden hacer parte del sistema.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas: A medida que se realizan desarrollos, se deberán hacer pruebas de funcionalidad de la seguridad, para evitar futuras molestias.
14.2.7 Externalización del desarrollo de software: Si se cuenta con un desarrollador que no tenga contrato en la organización, se deberá supervisar y realizar seguimiento a las actividades que está realizando
14.2.6 Seguridad en entornos de desarrollo: Para el ciclo de vida de desarrollo de sistemas, las organizaciones deberán proteger adecuadamente los ambientes brindados.
14.2.5 Uso de principios de ingeniería en protección de sistemas: En cualquier actividad que involucre sistemas de información, se deberá establecer, documentar y mantener principios para construir sistemas seguros.
14.2.4 Restricciones a los cambios en los paquetes de software: No se deberá hacer modificaciones al software, se deberán limitar los cambios y estos deben estar documentados y controlados estrictamente.
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo: Después de tener un cambio en el sistema operativo, las aplicaciones fundamentales de la organización deberán ser testeadas para asegurar que no haya un impacto negativo en la operación y/o seguridad de la organización.
14.2.2 Procedimientos de control de cambios en los sistemas: Se deberá tener un procedimiento de control de cambios para los recurrentes cambios de los sistemas dentro de la vida de desarrollo.
14.2.1 Política de desarrollo seguro de software: Para todo desarrollo se deberán establecer reglas dentro de la organización para crear un servicio, arquitectura, software o sistema seguro
14.1 Requisitos de seguridad de los sistemas de información
14.1.3 Protección de las transacciones por redes telemáticas: Toda la información transmitida por redes telemáticas se deberá proteger para evitar una transmisión incompleta, enrutamiento equivocado, alteración del mensaje, divulgación y/o duplicación no autorizada.
14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes Públicas: Toda la información que se transmita por medio de redes públicas se deberá proteger de actividades fraudulentas, disputas contractuales y modificación.
14.1.1 Análisis y especificación de los requisitos de seguridad: Los nuevos requisitos en una organización relacionados con la seguridad de la información se deberán añadir en los nuevos sistemas de información o para las mejoras de estos mismos.

13. SEGURIDAD EN LAS TELECOMUNICACIONES.

13.2 Intercambio de información con partes externas.
13.2.4 Acuerdos de confidencialidad y secreto.De manera recurrente se deberá identificar, revisar y documentar los acuerdos de confidencialidad, de acuerdo con las necesidades de la empresa. Estos acuerdos deben cumplir todas las leyes aplicables para la jurisdicción pertinente.
13.2.3 Mensajería electrónica. Asegurar el direccionamiento de trasporte correo de los mensajes y ellos mensajes que se reciben sean seguro, la protección de datos contra acceso no autorizado
13.2.2 Acuerdos de intercambio.Los acuerdos se deben tratar en una trasferencia segura de información entre la organización y partes externas
13.2.1 Políticas y procedimientos de intercambio de información.Se deben contar con políticas, procedimientos y controles para proteger la trasferencia e información mediante el uso de toda la instalación de comunicación
13.1 Gestión de la seguridad en las redes.
13.1.3 Segregación de redes.Un método para gestionar la seguridad en la red en granes áreas o dominios por separados, los dominios se pueden escoger con base a los niveles requeridos para cada área.
13.1.2 Mecanismos de seguridad asociados a servicios en redSe deben identificar mecanismo de seguridad los niveles de servicio y los requisitos de gestión para los servicios de red
13.1.1 Controles de redLas redes se deben gestionar y controlar para proteger la información en el sistema y aplicaciones Implementación Se deben establecer las responsabilidad y procedimientos para la gestión de red de los equipos donde se usen controles especiales para salvaguardar la confidencialidad de los datos

11. SEGURIDAD FÍSICA Y AMBIENTAL

11.2 Seguridad de los equipos.
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantallaUn escritorio limpio para lugar de trabajo papeles o medio de información y una pantalla limpia en los equipos de procesamiento de información
11.2.8 Equipo informático de usuario desatendidoLos usuarios se deben asegurar que los equipos que están desentendidos tengan una portación apropiada para evitar cualquier robo de información
11.2.7 Reutilización o retirada segura de dispositivos de almacenamientoSe deben revisar todos los elementos de los equipos que contengan almacenamiento de datos sensibles, para asegurar que el software o las licencias no fuera retiradas sin autorización y evitar alteración en los equipos.
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones. Se deben tomar medidas de seguridad para los equipos que este fueran de lugar o recinto, teniendo la garantía de protección de información que cada equipo contenga.
11.2.5 Salida de activos fuera de las dependencias de la empresaSe debe colocar un periodo máximo para retiro de equipos y cumplir con la devolución del mismo en las fechas establecidas, se deberá documentar la identidad de cualquier que maneje los equipos.
11.2.4 Mantenimiento de los equiposCada equipo se debe mantener correctamente en buen estado para poder asegurar su integridad continua
11.2.3 Seguridad del cableadoEl cableado de energía o de línea de telecomunicaciones que poseen datos o brinda un soporte a las áreas de los equipos deben estar protegidas con interferencia o daño
11.2.2 Instalaciones de suministroControl Los equipos se deberán proteger contra alguna falla de energía o interrupciones donde puedan llegar a afectar su sistema, donde estas interrupciones pueden llegar a ser ocasionadas por el servicio de suministro
11.2.1 Emplazamiento y protección de equipos.Los equipos deben estar registrados y ubicados en zonas donde su riesgo sea mínimo sobre amenazas del entorno natural, y posible ingreso a personas que no estén autorizadas a manejar los equipos
11.1 Áreas seguras
11.1.4 Protección contra las amenazas externas y ambientales. Se deberá usar protocolos para para protección de la información contra desastres naturales o ataques que conllevar robo de información
11.1.5 El trabajo en áreas seguras. El personal que este especializados, que tengan el conocimiento de áreas seguras en la instalación, para así evitar oportunidades malintencionadas
11.1.3 Seguridad de oficinas, despachos y recursosSe debe usar y aplicar o diseñar seguridad a lugares de trabajo como oficinas o edificios.
11.1.6 Áreas de acceso público, carga y descarga.Se necesitará controlar lugares donde puedan ser para el área publica, tal como el despacho y de carga y otras donde no puedan ingresar el personal no autorizado y es necesario aislar las áreas del personal público.
11.1.2 Controles físicos de entradaControl Son áreas seguras que se deben ingresar para poder llegar a proteger la información mediante controles de ingreso apropiados para solo permitir el ingreso de personal autorizado,
11.1.1 Perímetro de seguridad física. Se deberá definir y usar perímetros de seguridad eficientes para poder usarlos y proteger diferentes áreas que se guarden información sensible o crítica e instalación de manejo y uso de información

10. CIFRADO.

10.1 Controles criptográficos
10.1.2 Gestión de claves: Se deberá usar una política sobre el uso, y protestación de protección tiempo de vida de las llaves criptográficas durante su validez para proteger la informació
10.1.1 Política de uso de los controles criptográficos:Se debe desarrollar y utilizar una política donde se use los controles criptográficos para proteger la información

9. CONTROL DE ACCESOS.

9.4 Control de acceso a sistemas y aplicaciones.
|9.4.5 Control de acceso al código fuente de los programas:Se va a restringir el ingreso a los códigos fuentes de los programas principales. Para los códigos fuentes de los programas esto se puede lograr mediante el almacenamiento controlado de estos códigos. Donde se usan librerías done se pueden controlar el ingreso al personal, donde se pueden implementar diferentes directrices para dicho control
9.4.4 Uso de herramientas de administración de sistemas: La utilización de un software que pueden ser capaces de anular o evitar controles en aplicaciones y los sistemas deben estar restringidos y estrechamente controlados.
9.4.3 Gestión de contraseñas de usuario: Todos los sistemas de gestión de contraseñas deben ser interactivos y asegurar contraseñas de calidad
9.4.2 Procedimientos seguros de inicio de sesión: Se debe controlar el acceso a los sistemas y las aplicaciones mediante un procedimiento seguro.
9.4.1 Restricción del acceso a la información: Es necesario que se restrinjan los accesos de los usuarios y el personal de mantenimiento a la información y funciones de los diferentes sistemas de aplicación.
9.3 Responsabilidades del usuario
9.3.1 Uso de información confidencial para la autenticación: Una buena estrategia es definir y documentar de forma clara todas las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo
9.2 Gestión de acceso de usuario.
9.2.6 Retirada o adaptación de los derechos de acceso: Es necesario retirar los derechos de acceso a todos los trabajadores, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del trabajo.
9.2.5 Revisión de los derechos de acceso de los usuarios. Todos los propietarios de los activos tienen que revisar con regularidad de los derechos de acceso de los usuarios.
9.2.4 Gestión de información confidencial de autenticación de usuarios. La asignación de información confidencial para la autenticación debe ser controlada mediante un proceso de gestión controlado.
9.2.3 Gestión de los derechos de acceso con privilegios especiales. La utilización de los derechos de acceso con privilegios especiales debe ser restringida y controlados.
9.2.2 Gestión de los derechos de acceso asignados a usuarios. Es necesario implementar un proceso formal de aprovisionamiento de accesos a los usuarios para asignar o revocar los derechos de acceso de todos los tipos de usuarios y para todos los sistemas y servicios.
9.2.1 Gestión de altas/bajas en el registro de usuarios: Es el proceso formal de registro de usuario y la cancelación de la matrícula debe ser implementado para permitir la asignación de los derechos de acceso
9.1 Requisitos de negocio para el control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados: Limitar el acceso a la información y a las instalaciones de procesamiento de información.
9.1.1 Política de control de accesos: Se deben asignar los permisos de acceso limitados solamente a la información necesaria para hacer un trabajo.

8. GESTIÓN DE ACTIVOS.

8.3 Manejo de los soportes de almacenamiento.
8.3.3 Soportes físicos en tránsito: Cuando los soportes necesitan ser trasladados entre distintas ubicaciones, se debe garantizar su protección.
8.3.2 Eliminación de soportes: Impedir que los datos confidenciales puedan ser recuperados tras darse de baja a dispositivo mediante procedimientos de eliminación segura.
8.3.1 Gestión de soportes extraíbles: llevar registros, renovaciones, diferentes controles de protección ya que representan una amenaza en la seguridad de información.
8.2 Clasificación de la información.
8.2.3 Manipulación de activos: Por su clasificación los activos, demandan desarrollos de procedimientos para su uso.
8.2.2 Etiquetado y manipulado de la información: Debe ser etiquetada de acuerdo a su clasificación es un requisito clave para acuerdos que impliquen compartir información
8.2.1 Directrices de clasificación: Clasificación de la información por su valor, requisitos legales y nivel de protección necesario.
8.1 Responsabilidad sobre los activos.
8.1.4 Devolución de activos: Devolución de la información una vez terminado su tiempo de uso
8.1.3 Uso aceptable de los activos: Comunicar usos indebidos y documentar usos apropiados describiendo los requisitos de seguridad.
8.1.2 Propiedad de los activos: Identificar al propietario del activo, es aquel que tiene una serie de responsabilidades sobre el activo, no es el dueño.
8.1.1 Inventario de activos: Realizar inventarios que permita identificar y clasificar por propietario, importancia, y soporte al negocio.

7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

7.3 Cese o cambio de puesto de trabajo
7.3.1 Cese o cambio de puesto de trabajo: Comunica al empleado las responsabilidades sobre la seguridad de la información después de finalizar un contrato o ante el cambio de empleo
7.2 Durante la contratación.
7.2.3 Proceso disciplinario: implantar un procedimiento que sea formal y comunicado a los empleados, por incumplimientos.
7.2.2 Concienciación, educación y capacitación en seguimiento de la información: Se deberá dar indicaciones de aspectos que deben incluirse en la formación y sensibilización del empleado
7.2.1 Responsabilidades de gestión: Satisface la forma en que la dirección les exige a los empleados que cumplan con las políticas, normas y procedimientos para la Seguridad de la Información
7.1 Antes de la contratación
7.1.2 Términos y condiciones de contratación: Pide incluir en los contratos con los empleados las obligaciones y responsabilidades ligadas a la Seguridad de la Información
7.1.1 Investigación de antecedentes: Propone una serie de medidas para la veracidad y comprobaciones en currículum.

Subtopic

6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC.

6.2 Dispositivos para movilidad y teletrabajo.
6.2.2 Teletrabajo: : Evaluar activos de información, realizar una evaluación de riesgos, aplicar los controles adecuados para mitigar los riesgos identificados.
6.2.1 Política de uso de dispositivos para movilidad: : dispongamos de políticas de Seguridad de la Información como medidas concretas que mitiguen los riesgos de la seguridad de la información en el uso de dispositivos móviles en una organización
6.1 Organización interna
6.1.5 Seguridad de la información en la gestión de proyectos.:: Debe involucrarse en todos los procesos de la organización ya sean procesos del negocio, internos, servicios o productos, procesos TI etc
6.1.4 Contacto con grupos de interés especial:Nos mantendrá actualizados en cuanto a las noticias y permanecer alerta ante las nuevas amenazas para la seguridad de la información y adoptar recomendaciones
6.1.3 Contacto con las autoridades:En caso de incidentes en la seguridad de la información puede resultar necesario mantener informados a los organismos de control del estado o administración
6.1.2 Segregación de tareas:: Evita usos o accesos indebidos a la información o a las aplicaciones o sistemas que la gestionan, buscando la asignación de distintos perfiles o áreas.
6.1.1 Asignación de responsabilidades para la segur. de la información:Definir las responsabilidades de cada empleado o puesto de trabajo en relación a la seguridad de la información.

5 POLÍTICAS DE SEGURIDAD

5.1 Directrices de la Dirección en seguridad de la información
5.1.2 Revisión de las políticas para la seguridad de la información.: Deben adaptarse continuamente a las necesidades y cambios de la organización por lo que no pueden permanecer estáticas
5.1.1 Conjunto de políticas para la seguridad de la información: Establecer políticas que sean aprobadas por la dirección, deben publicarse y comunicarse a empleados y partes externas.