ISO/IEC 27002:2013
5 POLÍTICAS DE SEGURIDAD
5.1 Directrices de la Dirección en seguridad de la información
5.1.1 Conjunto de políticas para la seguridad de la información: Establecer políticas que sean aprobadas por la dirección, deben publicarse y comunicarse a empleados y partes externas.
5.1.2 Revisión de las políticas para la seguridad de la información.: Deben adaptarse continuamente a las necesidades y cambios de la organización por lo que no pueden permanecer estáticas
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC.
6.1 Organización interna
6.1.1 Asignación de responsabilidades para la segur. de la información:Definir las responsabilidades de cada empleado o puesto de trabajo en relación a la seguridad de la información.
6.1.2 Segregación de tareas:: Evita usos o accesos indebidos a la información o a las aplicaciones o sistemas que la gestionan, buscando la asignación de distintos perfiles o áreas.
6.1.3 Contacto con las autoridades:En caso de incidentes en la seguridad de la información puede resultar necesario mantener informados a los organismos de control del estado o administración
6.1.4 Contacto con grupos de interés especial:Nos mantendrá actualizados en cuanto a las noticias y permanecer alerta ante las nuevas amenazas para la seguridad de la información y adoptar recomendaciones
6.1.5 Seguridad de la información en la gestión de proyectos.:: Debe involucrarse en todos los procesos de la organización ya sean procesos del negocio, internos, servicios o productos, procesos TI etc
6.2 Dispositivos para movilidad y teletrabajo.
6.2.1 Política de uso de dispositivos para movilidad: : dispongamos de políticas de Seguridad de la Información como medidas concretas que mitiguen los riesgos de la seguridad de la información en el uso de dispositivos móviles en una organización
6.2.2 Teletrabajo: : Evaluar activos de información, realizar una evaluación de riesgos, aplicar los controles adecuados para mitigar los riesgos identificados.
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
7.1 Antes de la contratación
7.1.1 Investigación de antecedentes: Propone una serie de medidas para la veracidad y comprobaciones en currículum.
Subtopic
7.1.2 Términos y condiciones de contratación: Pide incluir en los contratos con los empleados las obligaciones y responsabilidades ligadas a la Seguridad de la Información
7.2 Durante la contratación.
7.2.1 Responsabilidades de gestión: Satisface la forma en que la dirección les exige a los empleados que cumplan con las políticas, normas y procedimientos para la Seguridad de la Información
7.2.2 Concienciación, educación y capacitación en seguimiento de la información: Se deberá dar indicaciones de aspectos que deben incluirse en la formación y sensibilización del empleado
7.2.3 Proceso disciplinario: implantar un procedimiento que sea formal y comunicado a los empleados, por incumplimientos.
7.3 Cese o cambio de puesto de trabajo
7.3.1 Cese o cambio de puesto de trabajo: Comunica al empleado las responsabilidades sobre la seguridad de la información después de finalizar un contrato o ante el cambio de empleo
8. GESTIÓN DE ACTIVOS.
8.1 Responsabilidad sobre los activos.
8.1.1 Inventario de activos: Realizar inventarios que permita identificar y clasificar por propietario, importancia, y soporte al negocio.
8.1.2 Propiedad de los activos: Identificar al propietario del activo, es aquel que tiene una serie de responsabilidades sobre el activo, no es el dueño.
8.1.3 Uso aceptable de los activos: Comunicar usos indebidos y documentar usos apropiados describiendo los requisitos de seguridad.
8.1.4 Devolución de activos: Devolución de la información una vez terminado su tiempo de uso
8.2 Clasificación de la información.
8.2.1 Directrices de clasificación: Clasificación de la información por su valor, requisitos legales y nivel de protección necesario.
8.2.2 Etiquetado y manipulado de la información: Debe ser etiquetada de acuerdo a su clasificación es un requisito clave para acuerdos que impliquen compartir información
8.2.3 Manipulación de activos: Por su clasificación los activos, demandan desarrollos de procedimientos para su uso.
8.3 Manejo de los soportes de almacenamiento.
8.3.1 Gestión de soportes extraíbles: llevar registros, renovaciones, diferentes controles de protección ya que representan una amenaza en la seguridad de información.
8.3.2 Eliminación de soportes: Impedir que los datos confidenciales puedan ser recuperados tras darse de baja a dispositivo mediante procedimientos de eliminación segura.
8.3.3 Soportes físicos en tránsito: Cuando los soportes necesitan ser trasladados entre distintas ubicaciones, se debe garantizar su protección.
9. CONTROL DE ACCESOS.
9.1 Requisitos de negocio para el control de accesos.
9.1.1 Política de control de accesos: Se deben asignar los permisos de acceso limitados solamente a la información necesaria para hacer un trabajo.
9.1.2 Control de acceso a las redes y servicios asociados: Limitar el acceso a la información y a las instalaciones de procesamiento de información.
9.2 Gestión de acceso de usuario.
9.2.1 Gestión de altas/bajas en el registro de usuarios: Es el proceso formal de registro de usuario y la cancelación de la matrícula debe ser implementado para permitir la asignación de los derechos de acceso
9.2.2 Gestión de los derechos de acceso asignados a usuarios. Es necesario implementar un proceso formal de aprovisionamiento de accesos a los usuarios para asignar o revocar los derechos de acceso de todos los tipos de usuarios y para todos los sistemas y servicios.
9.2.3 Gestión de los derechos de acceso con privilegios especiales. La utilización de los derechos de acceso con privilegios especiales debe ser restringida y controlados.
9.2.4 Gestión de información confidencial de autenticación de usuarios. La asignación de información confidencial para la autenticación debe ser controlada mediante un proceso de gestión controlado.
9.2.5 Revisión de los derechos de acceso de los usuarios. Todos los propietarios de los activos tienen que revisar con regularidad de los derechos de acceso de los usuarios.
9.2.6 Retirada o adaptación de los derechos de acceso: Es necesario retirar los derechos de acceso a todos los trabajadores, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del trabajo.
9.3 Responsabilidades del usuario
9.3.1 Uso de información confidencial para la autenticación: Una buena estrategia es definir y documentar de forma clara todas las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo
9.4 Control de acceso a sistemas y aplicaciones.
9.4.1 Restricción del acceso a la información: Es necesario que se restrinjan los accesos de los usuarios y el personal de mantenimiento a la información y funciones de los diferentes sistemas de aplicación.
9.4.2 Procedimientos seguros de inicio de sesión: Se debe controlar el acceso a los sistemas y las aplicaciones mediante un procedimiento seguro.
9.4.3 Gestión de contraseñas de usuario: Todos los sistemas de gestión de contraseñas deben ser interactivos y asegurar contraseñas de calidad
9.4.4 Uso de herramientas de administración de sistemas: La utilización de un software que pueden ser capaces de anular o evitar controles en aplicaciones y los sistemas deben estar restringidos y estrechamente controlados.
|9.4.5 Control de acceso al código fuente de los programas:Se va a restringir el ingreso a los códigos fuentes de los programas principales.
Para los códigos fuentes de los programas esto se puede lograr mediante el almacenamiento controlado de estos códigos. Donde se usan librerías done se pueden controlar el ingreso al personal, donde se pueden implementar diferentes directrices para dicho control
10. CIFRADO.
10.1 Controles criptográficos
10.1.1 Política de uso de los controles criptográficos:Se debe desarrollar y utilizar una política donde se use los controles criptográficos para proteger la información
10.1.2 Gestión de claves: Se deberá usar una política sobre el uso, y protestación de protección tiempo de vida de las llaves criptográficas durante su validez para proteger la informació
11. SEGURIDAD FÍSICA Y AMBIENTAL
11.1 Áreas seguras
11.1.1 Perímetro de seguridad física. Se deberá definir y usar perímetros de seguridad eficientes para poder usarlos y proteger diferentes áreas que se guarden información sensible o crítica e instalación de manejo y uso de información
11.1.2 Controles físicos de entradaControl
Son áreas seguras que se deben ingresar para poder llegar a proteger la información mediante controles de ingreso apropiados para solo permitir el ingreso de personal autorizado,
11.1.6 Áreas de acceso público, carga y descarga.Se necesitará controlar lugares donde puedan ser para el área publica, tal como el despacho y de carga y otras donde no puedan ingresar el personal no autorizado y es necesario aislar las áreas del personal público.
11.1.3 Seguridad de oficinas, despachos y recursosSe debe usar y aplicar o diseñar seguridad a lugares de trabajo como oficinas o edificios.
11.1.5 El trabajo en áreas seguras. El personal que este especializados, que tengan el conocimiento de áreas seguras en la instalación, para así evitar oportunidades malintencionadas
11.1.4 Protección contra las amenazas externas y ambientales. Se deberá usar protocolos para para protección de la información contra desastres naturales o ataques que conllevar robo de información
11.2 Seguridad de los equipos.
11.2.1 Emplazamiento y protección de equipos.Los equipos deben estar registrados y ubicados en zonas donde su riesgo sea mínimo sobre amenazas del entorno natural, y posible ingreso a personas que no estén autorizadas a manejar los equipos
11.2.2 Instalaciones de suministroControl
Los equipos se deberán proteger contra alguna falla de energía o interrupciones donde puedan llegar a afectar su sistema, donde estas interrupciones pueden llegar a ser ocasionadas por el servicio de suministro
11.2.3 Seguridad del cableadoEl cableado de energía o de línea de telecomunicaciones que poseen datos o brinda un soporte a las áreas de los equipos deben estar protegidas con interferencia o daño
11.2.4 Mantenimiento de los equiposCada equipo se debe mantener correctamente en buen estado para poder asegurar su integridad continua
11.2.5 Salida de activos fuera de las dependencias de la empresaSe debe colocar un periodo máximo para retiro de equipos y cumplir con la devolución del mismo en las fechas establecidas, se deberá documentar la identidad de cualquier que maneje los equipos.
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones. Se deben tomar medidas de seguridad para los equipos que este fueran de lugar o recinto, teniendo la garantía de protección de información que cada equipo contenga.
11.2.7 Reutilización o retirada segura de dispositivos de almacenamientoSe deben revisar todos los elementos de los equipos que contengan almacenamiento de datos sensibles, para asegurar que el software o las licencias no fuera retiradas sin autorización y evitar alteración en los equipos.
11.2.8 Equipo informático de usuario desatendidoLos usuarios se deben asegurar que los equipos que están desentendidos tengan una portación apropiada para evitar cualquier robo de información
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantallaUn escritorio limpio para lugar de trabajo papeles o medio de información y una pantalla limpia en los equipos de procesamiento de información
13. SEGURIDAD EN LAS TELECOMUNICACIONES.
13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de redLas redes se deben gestionar y controlar para proteger la información en el sistema y aplicaciones
Implementación
Se deben establecer las responsabilidad y procedimientos para la gestión de red de los equipos donde se usen controles especiales para salvaguardar la confidencialidad de los datos
13.1.2 Mecanismos de seguridad asociados a servicios en redSe deben identificar mecanismo de seguridad los niveles de servicio y los requisitos de gestión para los servicios de red
13.1.3 Segregación de redes.Un método para gestionar la seguridad en la red en granes áreas o dominios por separados, los dominios se pueden escoger con base a los niveles requeridos para cada área.
13.2 Intercambio de información con partes externas.
13.2.1 Políticas y procedimientos de intercambio de información.Se deben contar con políticas, procedimientos y controles para proteger la trasferencia e información mediante el uso de toda la instalación de comunicación
13.2.2 Acuerdos de intercambio.Los acuerdos se deben tratar en una trasferencia segura de información entre la organización y partes externas
13.2.3 Mensajería electrónica.
Asegurar el direccionamiento de trasporte correo de los mensajes y ellos mensajes que se reciben sean seguro, la protección de datos contra acceso no autorizado
13.2.4 Acuerdos de confidencialidad y secreto.De manera recurrente se deberá identificar, revisar y documentar los acuerdos de confidencialidad, de acuerdo con las necesidades de la empresa. Estos acuerdos deben cumplir todas las leyes aplicables para la jurisdicción pertinente.
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIÓN.
14.1 Requisitos de seguridad de los sistemas de información
14.1.1 Análisis y especificación de los requisitos de seguridad: Los nuevos requisitos en una organización relacionados con la seguridad de la información se deberán añadir en los nuevos sistemas de información o para las mejoras de estos mismos.
14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes
Públicas: Toda la información que se transmita por medio de redes públicas se deberá proteger de actividades fraudulentas, disputas contractuales y modificación.
14.1.3 Protección de las transacciones por redes telemáticas: Toda la información transmitida por redes telemáticas se deberá proteger para evitar una transmisión incompleta, enrutamiento equivocado, alteración del mensaje, divulgación y/o duplicación no autorizada.
14.2 Seguridad en los procesos de desarrollo y soporte
14.2.1 Política de desarrollo seguro de software: Para todo desarrollo se deberán establecer reglas dentro de la organización para crear un servicio, arquitectura, software o sistema seguro
14.2.2 Procedimientos de control de cambios en los sistemas: Se deberá tener un procedimiento de control de cambios para los recurrentes cambios de los sistemas dentro de la vida de desarrollo.
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el
sistema operativo: Después de tener un cambio en el sistema operativo, las aplicaciones fundamentales de la organización deberán ser testeadas para asegurar que no haya un impacto negativo en la operación y/o seguridad de la organización.
14.2.4 Restricciones a los cambios en los paquetes de software: No se deberá hacer modificaciones al software, se deberán limitar los cambios y estos deben estar documentados y controlados estrictamente.
14.2.5 Uso de principios de ingeniería en protección de sistemas: En cualquier actividad que involucre sistemas de información, se deberá establecer, documentar y mantener principios para construir sistemas seguros.
14.2.6 Seguridad en entornos de desarrollo: Para el ciclo de vida de desarrollo de sistemas, las organizaciones deberán proteger adecuadamente los ambientes brindados.
14.2.7 Externalización del desarrollo de software: Si se cuenta con un desarrollador que no tenga contrato en la organización, se deberá supervisar y realizar seguimiento a las actividades que está realizando
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas: A medida que se realizan desarrollos, se deberán hacer pruebas de funcionalidad de la seguridad, para evitar futuras molestias.
14.2.9 Pruebas de aceptación: Cuando se tenga un software y este cuente con nueva información, nuevas actualizaciones o versiones, se deberán tener programas de pruebas para saber si pueden hacer parte del sistema.
14.3 Datos de prueba
14.3.1 Protección de los datos utilizados en pruebas: Los datos de pruebas se tendrán que seleccionar, proteger y controlar con cuidado para evitar problemas de confidencialidad.
15. RELACIONES CON SUMINISTRADORES.
15.1 Seguridad de la información en las relaciones con suministradores.
15.1.1 Política de seguridad de la información para suministradores: Los proveedores que puedan acceder a los activos de la organización pueden generar riesgos, por lo que este acceso se deberá acordar con ellos y llevar su correspondiente documentación.
15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores: Tendrá que haber un acuerdo entre el proveedor y la organización con todos los requisitos de la seguridad de la información pertinentes, como lo pueden ser: acceso, procesar, almacenar, comunicar o suministrar componentes.
15.1.3 Cadena de suministro en tecnologías de la información y
Comunicaciones: Los requisitos para tratar los riegos de seguridad de la información que están asociados con el suministro de productos y servicios de tecnología deberá ser acordado con el proveedor.
15.2 Gestión de la prestación del servicio por suministradores
15.2.1 Supervisión y revisión de los servicios prestados por terceros: La organización tiene que realizar un seguimiento a las actividades realizadas por los proveedores.
15.2.2 Gestión de cambios en los servicios prestados por terceros: Se debe hacer la gestión de los posibles cambios en el suministro de servicios por parte de terceros, incluyendo mantenimiento, procedimientos y controles de seguridad. Siempre y cuando se tenga en cuenta la criticidad del cambio.
16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
16.1 Gestión de incidentes de seguridad de la información y mejoras.
16.1.1 Responsabilidades y procedimientos: Cuando ocurran incidentes relacionados con la seguridad de la información, se deberán tener establecidas responsabilidades para una respuesta efectiva.
16.1.2 Notificación de los eventos de seguridad de la información: Cuando ocurra un incidente relacionado con la seguridad de la información, se deberá notificar de manera rápida a través de los canales de gestión.
16.1.3 Notificación de puntos débiles de la seguridad: Cualquier persona trabajando para la organización deberá notificar cualquier debilidad de seguridad de la información.
16.1.4 Valoración de eventos de seguridad de la información y toma de
decisiones: Los eventos de la seguridad de la información se deben evaluar y tomar una decisión de clasificarlo como incidente o no.
16.1.5 Respuesta a los incidentes de seguridad: Para cada incidente de la seguridad de la información debe tener su respectiva respuesta.
16.1.6 Aprendizaje de los incidentes de seguridad de la información: De acuerdo con los incidentes ocurridos, se deberá analizar y aprender de estos para reducir futuros incidentes y/o controlarlos de mejor manera
16.1.7 Recopilación de evidencias: Para cada incidente se deberán aplicar procedimientos de identificación, recolección, adquisición y preservación de información para que sirva como evidencia.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE
LA CONTINUIDAD DEL NEGOCIO.
17.1 Continuidad de la seguridad de la información
17.1.1 Planificación de la continuidad de la seguridad de la información: La organización debe tener un plan para las situaciones adversas que involucren a la seguridad de la información.
17.1.2 Implantación de la continuidad de la seguridad de la información: El plan de la organización se deberá establecer, documentar, implementar y mantener procesos para asegurar el nivel de continuidad requerido frente a una situación adversa.
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad
de la información: La organización constantemente deberá verificar los planes referentes a las situaciones adversas que involucren a la seguridad de la información para validar que son válidos y eficaces.
17.2 Redundancias.
17.2.1 Disponibilidad de instalaciones para el procesamiento de la
Información: Las instalaciones de proceso de información se deberán implementar de manera redundante para cumplir los requisitos de disponibilidad.
18. CUMPLIMIENTO
18.1 Cumplimiento de los requisitos legales y contractuales
18.1.1 Identificación de la legislación aplicable: Todos los requisitos estatutarios, reglamentarios y contractuales, se deberán identificar y documentar de manera explicita y, además, se deberán mantener actualizados
18.1.2 Derechos de propiedad intelectual (DPI): Debe haber procedimientos que permitan que se cumplan los requisitos legislativos, de reglamentación y contractuales, todo estos relacionados con los derechos de propiedad intelectual y de software patentado.
18.1.3 Protección de los registros de la organización: Los registros de la organización se deben proteger contra pérdida, destrucción, falsificación, acceso no autorizado y liberación no autorizada.
18.1.4 Protección de datos y privacidad de la información personal: Se debe asegurar la privacidad y protección de los datos personales.
18.1.5 Regulación de los controles criptográficos: Se deberán usar controles criptográficos, cumpliendo la reglamentación pertinente.
18.2 Revisiones de la seguridad de la información
18.2.1 Revisión independiente de la seguridad de la información: La organización deberá realizar una revisión en todo lo relacionado con la gestión de la seguridad de la información y su implementación. Cada revisión en intervalos planificados o cuando haya cambios significativos.
18.2.2 Cumplimiento de las políticas y normas de seguridad: Los gerentes de la organización deben revisar que se cumplan los procesos y procedimientos relacionados con las políticas y normas de seguridad.
18.2.3 Comprobación del cumplimiento: Los sistemas de información se deberán revisar de manera periódica para confirmar el cumplimiento de las políticas y normas de seguridad de la información.
12. SEGURIDAD EN LA OPERATIVA.
12.1 Responsabilidades y procedimientos de operación
12.1.1 Documentación de procedimientos de operación.Los procesos de la operación se deben que documentar y registrar para poder tener un mayor control y disposición para los usuarios que lo requieran
12.1.2 Gestión de cambiosSe debe controlar los cambios en la organización donde pueden afectar la planificación de control de seguridad de negocio en las instalaciones
12.1.3 Gestión de capacidades.
Se debe gestionar los recursos y hacer los ajustes necesarios y hacer proyecciones de lo necesario al futuro para asegurar un rendimiento optimo del sistema
12.1.4 Separación de entornos de desarrollo, prueba y producción.Se debe separar los ambientes de desarrollo o áreas de prueba y producción para reducir los riesgos de ingreso a personal no autorizado donde pueden ocurrir modificaciones de la información
12.2 Protección contra código malicioso
12.2.1 Controles contra el código malicioso.
Control se debe gestionar la detención y prevención de códigos maliciosos, con el uso de controles y conciencia apropiada de los usuarios de manejo de información.
12.3 Copias de seguridad
12.3.1 Copias de seguridad de la información.
Se debe hacer copias de seguridad de respaldo de información, imágenes de los sistemas y ponerlas según acuerdo de política de copias que se acuerde
12.4 Registro de actividad y supervisión
12.4.1 Registro y gestión de eventos de actividad.
Se debe elaborar y conversar continuamente los registros sobre la actividad del usuarios, fallas y eventos de información que den seguridad
12.4.2 Protección de los registros de información.
Sistemas con registros y la información de registro se deben proteger contra modificación y acceso no autorizado
12.4.3 Registros de actividad del administrador y operador del sistema.
El administrador y del sistema debe registrar para poder proteger y revisar archivos de información con regularidad.
12.4.4 Sincronización de relojes.
Los relojes de los sistemas de procesamiento de la información dentro de la organización deben estar sincronizados con una única fuente de referencia de tiempo.
12.5 Control del software en explotación
12.5.1 Instalación del software en sistemas en producción.
Se deben colocar Controles donde deben gestionar procedimientos para controlar la instalación en el software en los sistemas requeridos.
Implementación
Se deben establecer estrategias de registro de auditoria de todas las actualizaciones de los programas y las diferentes versiones que se usen
12.6 Gestión de la vulnerabilidad técnica.
12.6.1 Gestión de las vulnerabilidades técnicas.
Se debe definir un parche de una fuente legitima para el registro de identificación de vulnerabilidad técnica potencial. Y los recursos de usaran para identificar vulnerabilidades técnicas pertinentes
12.6.2 Restricciones en la instalación de software.
Se debe gestionar privilegios a los usuarios que utilicen el sistema para garantizar su nivel de seguridad bajo el tratamiento de datos
12.7 Consideraciones de las auditorías de los sistemas de información
12.7.1 Controles de auditoría de los sistemas de información.
Se necesitará una auditoria que se involucre la verificación de los sistemas operativos se deben planificar y cuidar para minimizar las interrupciones