Norma Tecnica Peruana Isoiec17799

7/21/2019 Norma Tecnica Peruana Isoiec17799

http://slidepdf.com/reader/full/norma-tecnica-peruana-isoiec17799 1/176



INDICE

página

INDICE

PRE=ACIO

INTRODUCCION

>:7é es la seg7ridad de la In5ormación?

>Por @7é es necesaria la seg7ridad de in5ormación?

>Cómo esta6lecer los re@7isitos de seg7ridad?

Eal7ación de los riesgos de seg7ridad

%elección de controles

P7nto de +artida de la seg7ridad de la in5ormación

=actores cr4ticos de éBito

Desarrollo de directrices +ro+ias

II;

!

!

!

0

0

"

"

)

,

!3

03

"3

O&ETO CAMPO DE APICACIN

TÉRMINO% DE=INICIONE%

E%TRUCTURA DE E%TE E%TANDAR

F

F

#

"3! Cl87s7las

"30 Categor4as +rinci+ales de seg7ridad

#

/

)3E;AUACION TRATAMIENTO DE RIE%GO !1

)3! Eal7ando los riesgos de seg7ridad

)30 Tratando riesgos de seg7ridad

!1

!1

,3 POHTICA DE %EGURIDAD !0,3! Pol4tica de seg7ridad de la in5ormación

!0

F3 A%PECTO% ORGANIATI;O% PARA A %EGURIDAD !,

F3! OrganiJación interna

F30 %eg7ridad en los accesos de terceras +artes

!,

0)

.3CA%I=ICACIN CONTRO DE ACTI;O% "0

.3! Res+onsa6ilidad so6re los actios

.30 Clasi5icación de la in5ormación

"0

",

#3 %EGURIDAD EN RECUR%O% KUMANO% ".

i



#3! %eg7ridad antes del em+leo

#30 D7rante el em+leo".

)!

#3"

/3

=inaliJación o cam6io del em+leo

%EGURIDAD =H%ICA DE ENTORNO

))

).

/3! Lreas seg7ras

/30 %eg7ridad de los e@7i+os

).

,0

!13 GE%TIN DE COMUNICACIONE% OPERACIONE% ,/

!13! Procedimientos y res+onsa6ilidades de o+eración

!130 Gestión de sericios eBternos

!13" Plani5icación y ace+tación del sistema

!13) Protección contra so5tare malicioso

!13, Gestión de res+aldo y rec7+eración

!13F Gestión de seg7ridad en redes

!13. UtiliJación de los medios de in5ormación

!13# Intercam6io de in5ormación

!13/ %ericios de correo electrónico

,/

F)

F.

F/.0

.)

.F

#1

#.

!13!1

!!3

Monitoreo

CONTRO DE ACCE%O%

/!

/#

!!3! Re@7isitos de negocio +ara el control de accesos

!!30 Gestión de acceso de 7s7arios

!!3" Res+onsa6ilidades de los 7s7arios

!!3) Control de acceso a la red

!!3, Control de acceso al sistema o+eratio

!!3F Control de acceso a las a+licaciones y la in5ormación

!!3. In5orm8tica móil y teletra6a'o

/#

!11

!1,

!1#

!!,

!0!

!0)

!03 AD:UI%ICION$ DE%ARROO MANTENIMIENTO DE %I%TEMA% !0#

!03! Re@7isitos de seg7ridad de los sistemas

!030 %eg7ridad de las a+licaciones del sistema

!03" Controles cri+togr85icos

!03) %eg7ridad de los arc9ios del sistema

!03, %eg7ridad en los +rocesos de desarrollo y so+orte

!0#

!"1

!")

!"#

!)0

ii

!03FGestióndela



7lnera6ilidad técnica

!).

!"3 GE%TIN DE INCIDENTE% EN A %EGURIDAD DE IN=ORMACIN !)/

!"3! Re+ortando eentos y de6ilidades de la seg7ridad de in5ormación

!"30 Gestión de las me'oras e incidentes en la seg7ridad de in5ormación

!)/

!,0

!)3 GE%TIN DE CONTINUIDAD DE NEGOCIO !,F

!)3! As+ectos de la gestión de contin7idad del negocio !,F

!,3 CUMPIMIENTO !F)

!,3! C7m+limiento con los re@7isitos legales

!,30 Reisiones de la +ol4tica de seg7ridad y de la con5ormidad técnica

!,3" Consideraciones so6re la a7ditoria de sistemas

!F)

!.1

!.0

!F3 ANTECEDENTE% !.)

iii



PREFACIO

A.

A3!

RESEÑA HISORICA

a +resente Norma Técnica Per7ana 9a sido ela6orada +or el Comité

Técnico de NormaliJación de Codi5icación e Intercam6io Electrónico de Datos (EDI*$mediante el %istema ! 7 Ado+ción$ d7rante los meses de '7nio a '7lio del 011F$7tiliJando como antecedente a la Norma I%OIEC !..//<011, In5ormation tec9nology Code o5 +ractice 5or in5ormation sec7rity management3

A30 El Comité Técnico de NormaliJación de Codi5icación e Intercam6io

Electrónico de Datos (EDI* +resentó a la Comisión de Reglamentos Técnico yComerciales -CRT-$ con 5ec9a 011F-1.-0!$ el PNTP-I%OIEC !..//<011F +ara s7reisión y a+ro6ación siendo sometido a la eta+a de Disc7sión P26lica el 011F-!!-0,3

No 9a6iéndose +resentado o6seraciones 57e o5icialiJada como Norma Técnica Per7anaNP-ISO!IEC 177""#2007 EDI. $cn%&%g'a d$ &a in(%)*ación. Códig% d$ +,$nap)ácica pa)a &a g$ión d$ &a $g,)idad d$ &a in(%)*ación$ 0 Edición$ el 00 deenero del 011.3

A3" Esta Norma Técnica Per7ana es 7na ado+ción de la Norma I%OIEC

!..//<011,3 a +resente Norma Técnica Per7ana +resenta cam6ios editoriales re5eridos +rinci+almente a terminolog4a em+leada +ro+ia del idioma es+aQol y 9a sidoestr7ct7rada de ac7erdo a las G74as Per7anas GP 11!<!//, y GP 110<!//,3

/.INSICIONES E PARICIPARON EN A EA/ORACI3N DE

A NOR4A 5CNICA PERANA

%ecretar4a

Presidente

%ecretaria

ENIDAD

DI%TRI&UIDORA MAORI%TA %M&O %3A3

EAN PERU

Marco %78reJ

Mary ong

REPRESENANE

Deyanira ;illan7ea

i



DROSA%A PERU %3A3

E3 ONG %3A3=OIUM %3A3C3

IT% CON%UTANT% %3A3C3

I&C %OUTION% PERU %3A3C3

O=ICINA DE NORMAIACION PRE;I%IONA

PERU %ECURE E-NET %3A3C

PONT3 UNI;3 CATOICA DE PERU

PRE%IDENCIA DE CON%EODE MINI%TRO%

%UPERMERCADO% PERUANO% %3A3

TECNOOGHA =EOGRA=ICA %3A3

TRAN%PORTE CON=IDENCIA DEIN=ORMACIN %3A3 - TCI

UNIE;ER ANDINA PERU %3A3

EAN PERU

7an A@7i'e

Marcela A+aricioRo6erto K76y

Ricardo Dioses

Daniella Orellana

Ro6erto P7yó

Pa6lo Omonte

;itor S9le6nioilly Carrera

César ;ilc9eJMaB aJaro

Daid Mongr7t

Ra2l AdriaJola

RenJo Alc8ntara

Urs7la Toyo577

Milagros D8ilaTatiana PeQa

---%%%O%%%---



INRODCCION

, $ &a $g,)idad d$ &a In(%)*ación8

a in5ormación es 7n actio @7e$ como otros actios im+ortantes del negocio$ tiene alor +arala organiJación y re@7iere en consec7encia 7na +rotección adec7ada3 Esto es m7y im+ortanteen el creciente am6iente interconectado de negocios3 Como res7ltado de esta crecienteinterconectiidad$ la in5ormación esta eB+7esta a 7n mayor rango de amenaJas y7lnera6ilidades3

a in5ormación ado+ta diersas 5ormas3 P7ede estar im+resa o escrita en +a+el$ almacenadaelectrónicamente$ transmitida +or correo o +or medios electrónicos$ mostrada en ideo o9a6lada en conersación3 De6er4a +rotegerse adec7adamente c7al@7iera @7e sea la 5orma @7etome o los medios +or los @7e se com+arta o almacene3

a seg7ridad de la in5ormación +rotege a ésta de 7n am+lio rango de amenaJas +ara aseg7rar la contin7idad del negocio$ minimiJar los daQos a la organiJación y maBimiJar el retorno delas inersiones y las o+ort7nidades de negocios3

a seg7ridad de la in5ormación se consig7e im+lantando 7n con'7nto adec7ado de controles$@7e +7eden ser +ol4ticas$ +r8cticas$ +rocedimientos$ estr7ct7ras organiJatias y 57nciones deso5tare y 9ardare. Estos controles necesitan ser esta6lecidos$ im+lementados$monitoreados$ reisados y me'orados donde sea necesario$ +ara aseg7rar @7e se c7m+lan loso6'etios es+ec45icos de seg7ridad y negocios de la organiJación3

P%) 9, $ n$c$a)ia &a $g,)idad d$ in(%)*ación8

a in5ormación y los +rocesos @7e la a+oyan$ los sistemas y redes son im+ortantes actios dela organiJación3 De5inir$ realiJar$ mantener y me'orar la seg7ridad de in5ormación$ +7eden ser esencial +ara mantener la com+etitiidad$ 5l7'o de li@7ideJ$ renta6ilidad$ c7m+limiento de lalegalidad e imagen comercial3

as organiJaciones y s7s sistemas de in5ormación se en5rentan$ cada eJ mas$ con riesgos einseg7ridades +rocedentes de 7na am+lia ariedad de 57entes$ incl7yendo 5ra7des 6asados enin5orm8tica$ es+iona'e$ sa6ota'e$ andalismo$ incendios o in7ndaciones3 Ciertas 57entes de

!



daQos como ir7s in5orm8ticos y ata@7es de intr7sión o de negación de sericios se est8noliendo cada eJ m8s com7nes$ am6iciosos y so5isticados3

a seg7ridad de in5ormación es im+ortante en negocios tanto del sector +76lico como del

+riado y +ara +roteger las in5raestr7ct7ras cr4ticas3 En am6os sectores$ la seg7ridad dein5ormación +ermitir8$ +or e'em+lo lograr el go6ierno electrónico o el comercio electrónico$eitando y red7ciendo los riesgos releantes3 a interconeBión de las redes +76licas y

+riadas y el com+artir los rec7rsos de in5ormación a7mentan la di5ic7ltad de lograr elcontrol de los accesos3 a tendencia 9acia la in5orm8tica distri67ida de6ilita la e5icacia de 7ncontrol central y es+ecialiJado3

M7c9os sistemas de in5ormación no se 9an diseQado +ara ser seg7ros3 a seg7ridad @7e +7edelograrse a traés de los medios técnicos es limitada$ y de6er4a a+oyarse en 7na gestión y

+rocedimientos adec7ados3 a identi5icación de los controles @7e de6er4an instalarse re@7iere

7na +lani5icación c7idadosa y 7na atención al detalle3 a gestión de la seg7ridad de lain5ormación necesita$ como m4nimo$ la +artici+ación de todos los em+leados de laorganiJación3 Tam6ién +7ede re@7erir la +artici+ación de los +roeedores$ clientes oaccionistas3 a asesor4a es+ecialiJada de organiJaciones eBternas tam6ién +7ede ser necesaria3

Có*% $a+&$c$) &% )$9,ii% d$ $g,)idad8

Es esencial @7e la organiJación identi5i@7e s7s re@7isitos de seg7ridad3 EBisten tres 57entes +rinci+ales3

!3a +rimera 57ente +rocede de la aloración de los riesgos de la organiJación$

tomando en c7enta los o6'etios y estrategias generales del negocio3 Con ella seidenti5ican las amenaJas a los actios$ se eal2a la 7lnera6ilidad y la +ro6a6ilidad des7 oc7rrencia y se estima s7 +osi6le im+acto3

03

a seg7nda 57ente es el con'7nto de re@7isitos legales$ estat7tos$ reg7laciones y

contratos @7e de6er4a satis5acer la organiJación$ s7s socios comerciales$ los contratistasy los +roeedores de sericios3

"3

a tercera 57ente est8 5ormada +or los +rinci+ios$ o6'etios y re@7isitos @7e

5orman +arte del tratamiento de la in5ormación @7e la organiJación 9a desarrollado +araa+oyar s7s o+eraciones3

E:a&,ación d$ &% )i$g% d$ $g,)idad

os re@7isitos de seg7ridad se identi5ican mediante 7na eal7ación metódica de los riesgos3 Elgasto en controles de6er4a e@7ili6rarse con el +osi6le im+acto económico$ res7ltante de los5allos de seg7ridad3



0



os res7ltados de ésta eal7ación ay7dar8n a enca7Jar y determinar 7na adec7ada accióngerencial y las +rioridades +ara gestionar los riesgos de seg7ridad de la in5ormación$ y la

im+lantación de los controles seleccionados +ara +rotegerse contra dic9os riesgos3

as eal7aciones de riesgos de6en re+etirse +eriódicamente +ara tener en c7enta c7al@7ier cam6io @7e +7eda in5l7ir en los res7ltados de la eal7ación3

Mayor in5ormación so6re las eal7aciones de riesgos +7eden ser encontradas en el inciso )3!VEal7ando los riesgos de seg7ridadW

S$&$cción d$ c%n)%&$

Una eJ @7e los re@7isitos de seg7ridad 9an sido identi5icados y las decisiones +ara eltratamiento de riesgos 9an sido realiJadas$ de6er4an elegirse e im+lantarse los controles @7easeg7ren la red7cción de los riesgos a 7n niel ace+ta6le3 P7eden elegirse los controles

+artiendo de este doc7mento$ de otros con'7ntos de controles o de n7eos controles @7e +7eden diseQarse +ara c76rir adec7adamente las necesidades es+ec45icas3 a selección de loscontroles de seg7ridad de+ende de las decisiones organiJacionales 6asadas en el criterio +arala identi5icación y clasi5icación de riesgos$ las o+ciones +ara el tratamiento de estos y lagestión general de riesgos a+lica6le a la organiJación3 As4 mismo$ de6e ser s7'eto a todareg7lación y legislación nacional e internacional3

Ciertos controles eB+7estos en este doc7mento$ +7eden considerarse como +rinci+ios @7eg74an la gestión de la seg7ridad de la in5ormación$ a+lica6les a la mayor4a de lasorganiJaciones3 Estos se eB+lican en m8s detalle en el sig7iente inciso denominado VP7nto de

+artida de la seg7ridad de la in5ormaciónW3

Mayor in5ormación so6re la selección de controles y otros riesgos +7eden ser encontradas en

el inciso )303 V Tratando riesgos de seg7ridadW3

P,n% d$ pa)ida d$ &a $g,)idad d$ &a in(%)*ación

Cierto n2mero de controles se consideran +rinci+ios orientatios @7e +ro+orcionan 7n +7ntode +artida adec7ado +ara im+lantar la seg7ridad de la in5ormación3 %e a+oyan en re@7isitoslegislatios esenciales o se considera la me'or +r8ctica 9a6it7al +ara conseg7ir dic9aseg7ridad3

"



os controles @7e se consideran esenciales +ara 7na organiJación desde 7n +7nto de istalegislatio com+renden<

a*

la +rotección de los datos de car8cter +ersonal y la intimidad de las +ersonas

(éase el inciso !,3!3)*

6*

c*

la salag7arda de los registros de la organiJación (éase el inciso !,3!3"*

los derec9os de la +ro+iedad intelect7al (éase el inciso !,3!30*3

os controles @7e se consideran la me'or +r8ctica 9a6it7al +ara conseg7ir la seg7ridad de la

in5ormación com+renden<

a*,3!3!*

6*

c*#3030*

d*

e*

5*

g*

la doc7mentación de la +ol4tica de seg7ridad de la in5ormación (éase el inciso

la asignación de res+onsa6ilidades de seg7ridad (éase el inciso F3!3"*

la 5ormación y ca+acitación +ara la seg7ridad de la in5ormación (éase el inciso

el +rocedimiento correcto en las a+licaciones (éase el inciso !030*la gestión de la 7lnera6ilidad técnica (éase el inciso !03F*

la gestión de la contin7idad del negocio (éase el inciso !)*

el registro de las incidencias de seg7ridad y las me'oras (éase el inciso !"30*3

Estos controles +7eden a+licarse a la mayor4a de las organiJaciones y los entornos3

Es coneniente seQalar @7e +ese a la im+ortancia dada a los controles en este doc7mento$ laim+ortancia de c7al@7ier control de6er4a determinarse a la l7J de los riesgos es+ec45icos @7ea5ronta la organiJación3 Por tanto y a7n@7e el en5o@7e anterior se considere 7n 67en +7nto de

+artida$ no s7stit7ye a la selección de controles 6asada en 7na eal7ación del riesgo3

Fac%)$ c)'ic% d$ ;i%

a eB+eriencia m7estra @7e los sig7ientes 5actores s7elen ser cr4ticos +ara el éBito de laim+lantación de la seg7ridad de la in5ormación en 7na organiJación<

)



a*7na +ol4tica$ o6'etios y actiidades @7e re5le'en los o6'etios del negocio de la

organiJación

6*

7n en5o@7e +ara im+lantar$ mantener$ monitorear e im+roisar la seg7ridad @7e

sea consistente con la c7lt7ra de la organiJación

c*

d*

el a+oyo isi6le y el com+romiso de la alta gerencia

7na 67ena com+rensión de los re@7isitos de la seg7ridad$ de la eal7ación del

riesgo y de la gestión del riesgo

e*

la conicción e5icaJ de la necesidad de la seg7ridad a todos los directios y

em+leados

5*

la distri67ción de g74as so6re la +ol4tica de seg7ridad de la in5ormación de la

organiJación y de normas a todos los em+leados y contratistas

g*

a+roisionamiento +ara 5inanciar actiidades de gestión de seg7ridad de la

in5ormación

9*

i*

la 5ormación y ca+acitación adec7adas

esta6lecer 7n e5ectio +roceso de gestión de incidentes de la seg7ridad de

in5ormación

'*

7n sistema integrado y e@7ili6rado de medida @7e +ermita eal7ar el

rendimiento de la gestión de la seg7ridad de la in5ormación y s7gerir me'oras3

D$a))%&&% d$ di)$c)ic$ p)%pia

Este código de 67enas +r8cticas +7ede erse como +7nto de +artida +ara desarrollar la gestiónes+ec45ica de la seg7ridad en 7na organiJación3 P7eden no ser a+lica6les todas lasrecomendaciones y controles de este código3 Incl7so +7eden re@7erirse controles adicionales@7e este doc7mento no incl7ye3 C7ando esto s7ceda +7ede ser 2til mantener re5erenciascr7Jadas @7e 5aciliten la com+ro6ación de la con5ormidad a los a7ditores y otros asociados dela organiJación3



,

NORMA TECNICAPERUANA

NTP-I%OIEC !..//F de !."

EDI3 Tecnolog4a de la In5ormación3 Código de 67enas +r8cticas +ara la Gestión de la %eg7ridad de la In5ormación

1.O/<EO = CA4PO DE APICACI3N

Esta norma o5rece recomendaciones +ara realiJar la gestión de la seg7ridad de la in5ormación@7e +7eden 7tiliJarse +or los res+onsa6les de iniciar$ im+lantar o mantener y me'orar laseg7ridad en 7na organiJación3 Persig7e +ro+orcionar 7na 6ase com2n +ara desarrollar normas de seg7ridad dentro de las organiJaciones y ser 7na +r8ctica e5icaJ de la gestión de laseg7ridad3

a norma +7ede serir como 7na g74a +ractica +ara desarrollar est8ndares organiJacionales deseg7ridad y +racticas e5ectias de la gestión de seg7ridad3 Ig7almente$ +ermite +ro+orcionar con5ianJa en las relaciones entre organiJaciones3 as recomendaciones @7e se esta6lecen enesta norma de6er4an elegirse y 7tiliJarse de ac7erdo con la legislación a+lica6le en la materia3

2.5R4INOS = DEFINICIONES

Para los 5ines de esta norma son de a+licación las de5iniciones sig7ientes<

03!

030

aci:%# Algo @7e tenga alor +ara lo organiJación3 XI%OIEC !""",-!<011)Y

c%n)%&# Kerramienta de la gestión del riesgo$ incl7ido +ol4ticas$ +a7tas$

estr7ct7ras organiJacionales$ @7e +7eden ser de nat7raleJa administratia$ técnica$ gerencial o

legal3 NOTA< Control es tam6ién 7sado como sinónimo de salag7ardia o contramedida3

03"pa,a# Descri+ción @7e aclara @7e es lo @7e se de6e 9acer y como se 9ace$ con

el 5in de alcanJar los o6'etios +lanteados en las +ol4ticas3 XI%OIEC !""",-!<011)Y



03)ina&aci%n$ d$ p)%c$% d$ in(%)*ación# %istemas de in5ormación$ sericio o

in5raestr7ct7ra$ o locaciones 54sicas @7e los almacena3


NTP-I%OIEC !..//. de !."

03,$g,)idad d$ &a in(%)*ación# Preseración de la con5idencialidad$ integridad

y dis+oni6ilidad de la in5ormación$ as4 mismo$ otras +ro+iedades como la a7tenticidad$ norec9aJo$ conta6ilidad y con5ia6ilidad tam6ién +7eden ser consideradas3

03F$:$n% d$ $g,)idad d$ in(%)*ación# Es 7na oc7rrencia identi5icada de 7n

sistema$ sericio$ o red el c7al indica 7na +osi6le 6rec9a de la +ol4tica de seg7ridad dein5ormación o 5allas de las salag7ardias o 7na sit7ación desconocida @7e +7ede ser releante +ara la seg7ridad3 XI%OIEC !#1))-!<011)Y

03.incid$n$ d$ $g,)idad d$ in(%)*ación# Es indicado +or 7na o arias series

de eentos ines+erados y no deseados @7e tienen 7na gran +ro6a6ilidad de com+rometer laso+eraciones de negocios y de amenaJar la seg7ridad de in5ormación3 XI%OIEC TR !#1))<011)Y

03#

03/

p%&'ica< Dirección general y 5ormal eB+resada +or la gerencia3

)i$g%# Com6inación de la +ro6a6ilidad de 7n eento y s7s consec7encias3

XI%OIEC G7ide ."<0110Y

03!13aná&ii d$& )i$g%# Uso sistem8tico de la in5ormación +ara identi5icar 57entes

y estimar el riesgo3 XI%OIEC G7ide ."<0110Y

03!!3$:a&,ación d$& )i$g%# Proceso general de an8lisis y eal7ación del riesgo3


03!03:a&%)ación d$& )i$g%# Proceso de com+aración del riesgo estimado contra el

criterio del riesgo dado +ara determinar el signi5icado de este3 XI%OIEC G7ide ."<0110Y

03!"3g$ión d$& )i$g%# Actiidades coordinadas +ara dirigir y controlar 7na

organiJación considerando el riesgo3

NOTA< Gestión del riesgo incl7ye t4+icamente eal7ación del riesgo$ tratamiento del riesgo$ ace+tacióndel riesgo y com7nicación del riesgo3


03!3)3



)aa*i$n% d$& )i$g%# Proceso de selección e im+lementación de medidas +ara modi5icar el riesgo3 XI%OIEC G7ide ."<0110Y


NTP-I%OIEC !..//# de !."

03!,3$)c$)%# Persona @7e es reconocida +or ser inde+endiente de las +artes

inol7cradas concerniente al tema en c7estión3 XI%OIEC G7ide ."<0110Y

03!F3a*$na>a# Ca7sa +otencial de 7n incidente no deseado @7e +7ede res7ltar en

daQo al sistema 7 organiJación3 XI%OIEC !""",-!<011)Y

03!.3:,&n$)a+i&idad# De6ilidad de 7n actio o gr7+o de actios @7e +7eden ser

eB+lotados +or 7na o mas amenaJas3 XI%OIEC !""",-!<011)Y

?.ESRCRA DE ESE ESANDAR

Este est8ndar contiene !! cl87s7las de control de seg7ridad @7e contienen colectiamente 7ntotal de "/ categor4as +rinci+ales de seg7ridad y 7na cl87s7la introd7ctoria conteniendo temasde eal7ación y tratamiento del riesgo3

?.1C&á,,&a

Cada cl87s7la contiene 7n n7mero de categor4as +rinci+ales de seg7ridad3 as !! cl87s7las

(acom+aQadas +or el n7mero de categor4as +rinci+ales de seg7ridad incl7idas en cadacl87s7la* son<

a*

6*

c*

d*

e*

5*

g*

9*



4tica de seg7ridad (!*

ganiJando la seg7ridad deormación (0*

stión de actios (0*

%eg7ridad en rec7rsos 97manos ("*

%eg7ridad 54sica y am6iental (0*

Gestión de com7nicaciones y o+eraciones (!1*

Control de acceso (.*

Ad@7isición$ desarrollo y mantenimiento de sistemas de in5ormación (F*


NTP-I%OIEC !../// de !."

i*

'*

*

Gestión de incidentes de los sistemas de in5ormación (0*

Gestión de la contin7idad del negocio (!*

C7m+limiento ("*

NOTA< El orden de las cl87s7las en este est8ndar no im+lica s7 im+ortancia3 De+enden de lascirc7nstancias$ todas las cl87s7las +7eden ser im+ortantes$ +or lo tanto cada organiJación @7e a+lica esteest8ndar de6e identi5icar cl87s7las a+lica6les$ @7e tan im+ortantes son y s7s a+licaciones +ara +rocesos denegocios indiid7ales3 Ig7almente$ todas las listas de este est8ndar no se enc7entran en orden de +rioridada menos @7e se noti5i@7e lo contrario3

?.2Ca$g%)'a p)incipa&$ d$ $g,)idad

Cada categor4a +rinci+al de seg7ridad contiene<

a*

6*

7n o6'etio de control declarando lo @7e se de6e alcanJar3

7no o mas controles @7e +7eden ser a+licados +ara alcanJar el o6'etio de

control3

as descri+ciones del control son estr7ct7radas de la sig7iente manera<

C%n)%&

De5ine es+ec45icamente la declaración de control +ara satis5acer el o6'etio de control3

@,'a d$ i*p&$*$nación

Proee in5ormación mas detallada +ara a+oyar la im+lementación del control y conocer elo6'etio de control3 Alg7nas g74as +7eden no ser conenientes +ara todos los casos$ +or lotanto alg7nas otra 5ormas de im+lementar el control +7eden ser mas a+ro+iadas3



O)a in(%)*ación

Proee in5ormación adicional @7e +7eda ser necesaria$ +or e'em+lo consideraciones legales yre5erencias de otros est8ndares3


NTP-I%OIEC !..//!1 de !."

.

.1

EBAACION = RAA4IENO DE RIES@O

E:a&,and% &% )i$g% d$ $g,)idad

a eal7ación de riesgos de6e identi5icar$ c7anti5icar y +rioriJar riesgos contra el criterio +arala ace+tación del riesgo y los o6'etios releantes +ara la organiJación3 os res7ltados de6eng7iar y determinar la a+ro+iada acción de gestión y las +rioridades +ara mane'ar lain5ormación de los riesgos de seg7ridad y +ara im+lementar controles seleccionados +ara

+roteger estos riesgos3 El +roceso de eal7ación de riesgos y de seleccionar controles +7edere@7erir @7e sea realiJado 7n n7mero de eces con el 5in de c76rir di5erentes +artes de laorganiJación o sistemas de in5ormación indiid7ales3

a eal7ación del riesgo de6e incl7ir 7n alcance sistem8tico so6re la estimación de lamagnit7d del riesgo (an8lisis del riesgo* y so6re el +roceso de com+arar el riesgo estimado

con el criterio +ara determinar el signi5icado de los riesgos (aloración del riesgo*3

as eal7aciones del riesgo de6en ser realiJadas +eriódicamente +ara incl7ir los cam6ios enlos re@7erimientos del sistema y en la sit7ación del riesgo$ +or e'em+lo en los actios$amenaJas$ 7lnera6ilidades$ im+actos$ aloración del riesgo y c7ando cam6ios signi5icatiosoc7rran3 Estas eal7aciones del riesgo de6en ser em+rendidas de 7na 5orma metódica$ ca+aJde +rod7cir res7ltados com+ara6les y re+rod7ci6les3

a eal7ación de la in5ormación del riesgo de seg7ridad de6e tener 7n alcance claro yde5inido +ara @7e este sea e5ectio y de6e incl7ir relaciones con las eal7aciones del riesgoen otras 8reas$ si es a+ro+iado3

El alcance de la eal7ación del riesgo +7ede ser +ara toda la organiJación$ +artes de ella$ 7nsistema indiid7al de in5ormación$ com+onentes es+ec45icos del sistema o sericios dondeesto +7ede ser 7tiliJado$ realista y +roec9oso3 E'em+los de metodolog4as de la eal7ación delriesgo son disc7tidas en I%OIEC TR !""",-" (G74a +ara la gestión en la seg7ridad detecnolog4as de in5ormación*3

.2 )aand% )i$g% d$ $g,)idad

Antes de considerar el tratamiento de 7n riesgo$ la organiJación de6e decidir el criterio +aradeterminar si es @7e los riesgos son ace+tados o no3 os riesgos +7eden ser ace+tados si$ +or



NORMA TECNICAPERUANA NTP-I%OIEC !..//

!! de !."

e'em+lo$ se eal2a @7e el riesgo es menor o @7e el costo de tratarlo no es renta6le +ara laorganiJación3 Estas decisiones de6en ser gra6adas3

Para cada 7no de los riesgos identi5icados$ sig7iendo la eal7ación del riesgo$ se necesitarealiJar 7na decisión del tratamiento del riesgo3 Posi6les o+ciones +ara el tratamiento delriesgo incl7ye<

a*

6*

A+licar controles a+ro+iados +ara red7cir riesgos3

Riesgos ace+tados o6'etiamente y con conocimiento$ satis5aciendo claramente

el criterio +ara la ace+tación del riesgo y la +ol4tica de la organiJación3

c*Eitar riesgos no +ermitiendo realiJar acciones @7e +7edan ca7sar @7e estos

riesgos oc7rran3

d*

Trans5erir los riesgos asociados a terceros como son los +roeedores y

aseg7radores3

Para esos riesgos donde la decisión del tratamiento del riesgo 9a sido a+licado a controlesa+ro+iados$ esos controles de6en ser seleccionados e im+lementados +ara conocer losre@7erimientos identi5icados +or 7na eal7ación de riesgos3 os controles de6en aseg7rarse de@7e los riesgos son red7cidos a 7n niel ace+ta6le tomando en c7enta<

a*

EBigencias y coacciones de las legislaciones y reg7laciones nacionales e

internacionales3

6*

c*

d*

O6'etios organiJacionales3

EBigencias y coacciones o+eracionales3

Costo de la im+lementación y o+eración en relación con los riesgos @7e ser8n

red7cidos y siendo +ro+orcional a las eBigencias y coacciones de la organiJación3

e*

a necesidad +ara 6alancear la inersión en im+lementación y o+eración de los

controles contra el daQo @7e +7eda res7ltar de las 5allas en la seg7ridad3

os controles +7eden ser seleccionadas de este est8ndar o de otro con'7nto de controles o den7eos controles @7e +7eden ser designados +ara conocer las necesidades es+eci5icas de laorganiJación3 Como 7n e'em+lo$ !13!3" descri6e como los de6eres de6en ser segregados +ara

+reenir 5ra7de y error3 P7ede @7e no sea +osi6le +ara las organiJaciones +e@7eQas segregar todos s7s de6eres +or lo @7e +7eden ser necesarias otras 5ormas de alcanJar el mismo o6'etiode control3 Otro e'em+lo$ !13!1 descri6e como el 7so del sistema +7ede ser monitoreado y la




NTP-I%OIEC !..//!0 de !."

eidencia recolectada3 os controles descritos$ como el registro de eentos$ +7eden entrar en

con5licto con la legislación act7al$ en lo @7e se re5iere a la +rotección de la +riacidad +araclientes o en el esta6lecimiento de tra6a'o3

os controles en la seg7ridad de in5ormación de6en ser considerados en los sistemas y en lases+eci5icaciones de las eBigencias de los +royectos as4 como en la eta+a de diseQo3 as 5allas

+7eden res7ltar en costos adicionales y en sol7ciones menos e5ectias y +osi6lemente$ en el +eor de los casos$ in9a6ilidad +ara alcanJar 7na seg7ridad adec7ada3

%e de6e tener en c7enta @7e ning2n con'7nto de controles +7ede alcanJar com+leta seg7ridad

y @7e 7na gestión adicional de6er8 im+lementarse +ara monitorear$ eal7ar y me'orar lae5iciencia y e5ectiidad de los controles de seg7ridad +ara a+oyar las necesidades de laorganiJación3

.

.1

POICA DE SE@RIDAD

P%&'ica d$ $g,)idad d$ &a in(%)*ación

O&ETI;O< Dirigir y dar so+orte a la gestión de la seg7ridad de la in5ormación enconcordancia con los re@7erimientos del negocio$ las leyes y las reg7laciones3

a gerencia de6er4a esta6lecer de 5orma clara las l4neas de la +ol4tica de act7ación ymani5estar s7 a+oyo y com+romiso a la seg7ridad de la in5ormación$ +76licando ymanteniendo 7na +ol4tica de seg7ridad en toda la organiJación3

.1.1 D%c,*$n% d$ p%&'ica d$ $g,)idad d$ &a in(%)*ación

C%n)%&

a gerencia de6er4a a+ro6ar$ +76licar y com7nicar a todos los em+leados$ en la 5ormaadec7ada$ 7n doc7mento de +ol4tica de seg7ridad de la in5ormación3





NTP-I%OIEC !..//!" de !."

De6er4a esta6lecer el com+romiso de la gerencia y el en5o@7e de la organiJación +aragestionar la seg7ridad de la in5ormación3 El doc7mento de6er4a contener como m4nimo lasig7iente in5ormación<

a*

7na de5inición de seg7ridad de la in5ormación y s7s o6'etios glo6ales$ el

alcance de la seg7ridad y s7 im+ortancia como mecanismo @7e +ermite com+artir lain5ormación (éase el ca+4t7lo de Introd7cción*

6*

el esta6lecimiento del o6'etio de la gerencia como so+orte de los o6'etios y

+rinci+ios de la seg7ridad de la in5ormación

c*

7n marco +ara colocar los o6'etios de control y mandos$ incl7yendo la

estr7ct7ra de eal7ación de riesgo y gestión del riesgo

d*

7na 6ree eB+licación de las +ol4ticas$ +rinci+ios$ normas y re@7isitos de

con5ormidad m8s im+ortantes +ara la organiJación$ +or e'em+lo<

!*

0*

"*

)*

con5ormidad con los re@7isitos legislatios y contract7ales

re@7isitos de 5ormación en seg7ridad

gestión de la contin7idad del negocio

consec7encias de las iolaciones de la +ol4tica de seg7ridad

e*

7na de5inición de las res+onsa6ilidades generales y es+ec45icas en materia de

gestión de la seg7ridad de la in5ormación$ incl7ida la com7nicación de las incidenciasde seg7ridad

5*

las re5erencias a doc7mentación @7e +7eda s7stentar la +ol4tica +or e'em+lo$

+ol4ticas y +rocedimientos m7c9o m8s detallados +ara sistemas de in5ormaciónes+ec45icos o las reglas de seg7ridad @7e los 7s7arios de6er4an c7m+lir3

Esta +ol4tica de6er4a distri67irse +or toda la organiJación$ llegando 9asta a todos losdestinatarios en 7na 5orma @7e sea a+ro+iada$ entendi6le y accesi6le3

O)a in(%)*ación

a +ol4tica de seg7ridad de6e ser +arte de 7n doc7mento general de la +ol4tica em+resarial3 %ede6e tener c7idado al distri67ir la +ol4tica de seg7ridad 57era de la organiJación con el 5in deno com+artir in5ormación con5idencial3




NTP-I%OIEC !..//!) de !."

.1.2R$:iión $:a&,ación

C%n)%&

a +ol4tica de seg7ridad de6e ser reisada en interalos +lani5icados o si cam6iossigni5icantes oc7rren con el 5in de aseg7rar s7 7so contin7o$ adec7ación y e5ectiidad3


a +ol4tica de6er4a tener 7n +ro+ietario @7e sea res+onsa6le del desarrollo$ reisión yeal7ación de la +ol4tica de seg7ridad3 a reisión de6e incl7ir o+ort7nidades de eal7ación

+ara me'orar la +ol4tica de seg7ridad de in5ormación de la organiJación y 7n acercamiento a lagestión de seg7ridad de in5ormación en res+7esta a los cam6ios del am6iente organiJacional$circ7nstancias del negocio$ condiciones legales o cam6ios en el am6iente técnico3

a reisión de la +ol4tica de seg7ridad de in5ormación de6e tomar en c7enta los res7ltados delas reisiones de la gestión3 De6en eBistir +rocedimientos de5inidos de la gestión de reisión$incl7yendo 7n calendario o +eriodo de reisión3

El in+7t +ara la reisión de la gestión de6e incl7ir in5ormación acerca de<

a*

6*

c*

d*

e*

retroalimentación so6re terceros interesados

res7ltados de reisiones inde+endientes (éase el inciso F3!3#*

estado so6re acciones +reentias y correctias (er F3!3# y !,303!*

res7ltados de reisiones de gestión anteriores

desarrollo del +roceso y c7m+limiento de la +ol4tica de seg7ridad de

in5ormación

5*

cam6ios @7e +7eden a5ectar el alcance de la organiJación +ara gestionar la

seg7ridad de in5ormación$ incl7yendo cam6ios al am6iente organiJacional$circ7nstancias del negocio $ dis+oni6ilidad de rec7rsos$ condiciones contract7ales$reg7latorias y legales o cam6ios en el am6iente técnico

g*

9*

tendencias relacionadas con amenaJas y 7lnera6ilidades

incidentes re+ortados de seg7ridad de in5ormación (éase el inciso !"3!*


NTP-I%OIEC !..//!, de !."



i*recomendaciones dadas +or a7toridades releantes (éase el inciso F3!3F*3

El o7t+7t +ara la reisión de la gestión de6e incl7ir in5ormación acerca de<

a*me'oras en el alcance de la organiJación +ara gestionar seg7ridad de

in5ormación y s7s +rocesos

6*

c*

me'oras en los o6'etios de control y los controles

me'oras en la asignación de rec7rsos yo res+onsa6ilidades3

Un registro de la reisión de la gestión de6e ser mantenido3

A+ro6ación gerencial +ara la +ol4tica reisada de6e ser o6tenida3

6.

6.1

ASPECOS OR@ANIAIBOS PARA A SE@RIDAD

O)gani>ación in$)na

O&ETI;O< Gestionar la seg7ridad de la in5ormación dentro de la organiJación3

De6er4a esta6lecerse 7na estr7ct7ra de gestión +ara iniciar y controlar la im+lantación de laseg7ridad de la in5ormación dentro de la organiJación3

Es coneniente organiJar 5oros de gestión adec7ados con las gerencias +ara a+ro6ar la +ol4ticade seg7ridad de la in5ormación$ asignar roles de seg7ridad y coordinar la im+lantación de laseg7ridad en toda la organiJación3

%i 57era necesario$ de6er4a 5acilitarse el acceso dentro de la organiJación a 7n e@7i+o decons7ltores es+ecialiJados en seg7ridad de la in5ormación3 De6er4an desarrollarse contactos

con es+ecialistas eBternos en seg7ridad +ara mantenerse al d4a en las tendencias de laind7stria$ la eol7ción de las normas y los métodos de eal7ación$ as4 como tener 7n +7nto deenlace +ara tratar las incidencias de seg7ridad3 De6er4a 5omentarse 7n en5o@7em7ltidisci+linario de la seg7ridad de la in5ormación3

6.1.1C%*i d$ g$ión d$ $g,)idad d$ &a in(%)*ación


NTP-I%OIEC !..//!F de !."



C%n)%&

a gerencia de6e a+oyar actiamente en la seg7ridad dentro de la organiJación a traés dedirecciones claras demostrando com+romiso$ asignaciones eB+licitas y reconocimiento de lasres+onsa6ilidades de la seg7ridad de in5ormación3


Este comité de6er4a realiJar las sig7ientes 57nciones<

a*aseg7rar @7e las metas de la seg7ridad de in5ormación sean identi5icadas$

relacionarlas con las eBigencias organiJacionales y @7e sean integradas en +rocesosreleantes

6*

c*

d*

5orm7lar$ reisar y a+ro6ar la +ol4tica de seg7ridad de in5ormación

reisión de la e5ectiidad en la im+lementación de la +ol4tica de in5ormación

+roeer direcciones claras y 7n isi6le a+oyo en la gestión +ara iniciatias de

seg7ridad

e*

5*

+roeer los rec7rsos necesarios +ara la seg7ridad de in5ormación

a+ro6ar asignaciones de roles es+ec45icos y res+onsa6ilidades +ara seg7ridad

de in5ormación a traés de la organiJación

g*

iniciar +lanes y +rogramas +ara mantener la conciencia en seg7ridad de

in5ormación

9*

aseg7rar @7e la im+lementación de los controles de la seg7ridad de

in5ormación es coordinada a traés de la organiJación3 (éase el inciso F3!30*3

a gerencia de6e identi5icar las necesidades de asesor4a es+ecialista ya sea interna o eBterna$reisando y coordinando los res7ltados de la esta a traés de la organiJación3

De+endiendo del tamaQo de la organiJación$ estas res+onsa6ilidades +7eden ser mane'adas +or 7n 5or7m gerencial dedicado o +or 7n c7er+o gerencial eBistente$ como el conse'odirectio3

O)a in(%)*ación


Mayor in5ormación esta contenida en I%OIEC !""",-!<011)3

NTP-I%OIEC !..//!. de !."



6.1.2C%%)dinación d$ &a $g,)idad d$ &a in(%)*ación

C%n)%&

a in5ormación de las actiidades de seg7ridad de6en ser coordinadas +or re+resentantes dedi5erentes +artes de la organiJación con roles releantes y 57nciones de tra6a'o3


Com2nmente$ la coordinación de la seg7ridad de in5ormación de6e im+licar la coo+eración yla cola6oración de gerentes$ 7s7arios$ administradores$ diseQadores de la a+licación$ +ersonalde a7ditoria y seg7ridad$ y 9a6ilidades es+eciales en 8reas como seg7ros$ tramites legales$rec7rsos 97manos$ tecnolog4a de la in5ormación o gestión del riesgo3 Esta actiidad de6e<

a*aseg7rar @7e las actiidades de seg7ridad sean e'ec7tadas en c7m+limiento con

la +ol4tica de seg7ridad

6*

c*

identi5icar como mane'ar los no c7m+limientos

a+ro6ar metodolog4as y +rocesos +ara seg7ridad de in5ormación$ como +or

e'em+lo la eal7ación del riesgo y la clasi5icación de in5ormación

d*

e*

identi5icar cam6ios signi5icatios de amenaJas y eB+osición de in5ormación

eal2a la adec7ación y coordina la im+lantación de los controles de seg7ridad

de la in5ormación

5*

+romocionar e5ectiamente ed7cación$ entrenamiento y concientiJar en

seg7ridad de in5ormación$ a traés de la organiJación

g*

eal7ar in5ormación de seg7ridad reci6ida de monitorear y reisar los

incidentes de seg7ridad de in5ormación y recomendar acciones a+ro+iadas en res+7esta +ara identi5icar incidentes de seg7ridad de in5ormación3

%i la organiJación no 7sa 7n gr7+o 57ncional se+arado$ +or@7e ese gr7+o no es a+ro+iado +arael tamaQo de la organiJación$ las acciones descritas anteriormente de6en ser tomadas +or otroc7er+o gerencial a'7sta6le o +or 7n gerente indiid7al3


NTP-I%OIEC !..//!# de !."

6.1.?Aignación d$ )$p%na+i&idad$ %+)$ $g,)idad d$ &a in(%)*ación



C%n)%&

De6er4an de5inirse claramente las res+onsa6ilidades3


a asignación de res+onsa6ilidades so6re seg7ridad de la in5ormación de6en 9acerse enconcordancia con la in5ormación de la +ol4tica de seg7ridad (éase ca+it7lo )*3 as

res+onsa6ilidades +ara la +rotección de actios indiid7ales y +ara llear a ca6o +rocesos deseg7ridad es+ec45icos de6en ser claramente identi5icadas3 Esta asignación$ de6er4acom+letarse$ dónde sea necesario$ con 7na g74a m8s detallada +ara 76icaciones$ sistemas osericios es+ec45icos3 De6er4an de5inirse claramente las res+onsa6ilidades locales +ara actios54sicos y de in5ormación indiid7aliJados y los +rocesos de seg7ridad como$ +or e'em+lo$ el

+lan de contin7idad del negocio3

os +ro+ietarios de los actios de in5ormación +7eden delegar s7s res+onsa6ilidades deseg7ridad en directios a t4t7lo indiid7al o en +roeedores de sericios3 %in em6argo$ el

+ro+ietario sig7e manteniendo la res+onsa6ilidad 2ltima so6re la seg7ridad del actio y

de6er4a estar ca+acitado +ara determinar @7e c7al@7ier res+onsa6ilidad delegada se 9ac7m+lido correctamente3

Es esencial @7e se esta6leJcan claramente las 8reas de las @7e cada directio es res+onsa6leen +artic7lar de6er4an esta6lecerse las sig7ientes<

a*de6er4an identi5icarse claramente los actios y los +rocesos de seg7ridad

asociados con cada sistema es+ec45ico

6* de6er4a nom6rarse al res+onsa6le de cada actio o +roceso de seg7ridad$ y

de6er4an doc7mentarse los detalles de esta res+onsa6ilidad

c*

de6er4an de5inirse y doc7mentarse claramente los nieles de a7toriJación3

O)a in(%)*ación

M7c9as organiJaciones nom6ran 7n director de seg7ridad de la in5ormación como elres+onsa6le del desarrollo e im+lantación de la seg7ridad y +ara dar so+orte a la identi5icaciónde las medidas de control3


NTP-I%OIEC !..//!/ de !."

%in em6argo$ la res+onsa6ilidad de +ro+orcionar rec7rsos e im+lantar las medidas de controls7ele recaer en ciertos directios3 Una +r8ctica 9a6it7al consiste en designar 7n +ro+ietario decada actio de in5ormación$ @7e se conierte as4 en res+onsa6le de s7 seg7ridad cotidiana3

6.1.



P)%c$% d$ a,%)i>ación d$ )$c,)% pa)a $& )aa*i$n% d$ &a in(%)*ación

C%n)%&

De6er4a esta6lecerse 7n +roceso de a7toriJación +ara la gestión de cada n7eo rec7rso detratamiento de la in5ormación3


De6er4an considerarse los sig7ientes controles<

a*los n7eos medios de6er4an tener la a+ro6ación adec7ada de la gerencia de

7s7ario$ a7toriJando s7 +ro+ósito y 7so3 Tam6ién de6er4a o6tenerse la a+ro6ación deldirectio res+onsa6le del mantenimiento del entorno de seg7ridad del sistema dein5ormación local$ aseg7rando @7e c7m+le con todas las +ol4ticas y re@7isitos deseg7ridad corres+ondientes

6*

dónde sea necesario$ se de6er4a com+ro6ar @7e el 9ardare y el so5tare son

com+ati6les con los dem8s dis+ositios del sistema

c*

de6er4a a7toriJarse y eal7arse el 7so de medios in5orm8ticos +ersonales$ como

la+to+s o a+aratos móiles$ +ara el tratamiento de la in5ormación de la organiJación as4como los controles necesarios$ ya @7e +7eden introd7cir n7eas 7lnera6ilidades3

6.1.

Ac,$)d% d$ c%n(id$ncia&idad

C%n)%&

Re@7erimientos de con5idencialidad o ac7erdos de no di7lgación @7e re5le'en las necesidadesde la organiJación +ara la +rotección de in5ormación de6en ser identi5icadas y reisadasreg7larmente3



NTP-I%OIEC !..//01 de !."

Con5idencialidad o ac7erdos de no di7lgación de6en aneBar los re@7erimientos +ara +roteger

in5ormación con5idencial 7sando términos e'ec7ta6les legales3 Para identi5icar re@7erimientosde con5idencialidad o ac7erdos de no di7lgación$ se de6en considerar los sig7ienteselementos<

a*

6*



a de5inición de laormación a ser +rotegida d7ración es+erada del ac7erdo$ incl7yendo casos donde la con5idencialidad

+7eda necesitar ser mantenida inde5inidamente

c*

acciones re@7eridas c7ando 7n ac7erdo sea 5inaliJado

d*

res+onsa6ilidades y acciones de los signatarios +ara eitar acceso

desa7toriJado a la in5ormación

e* +ro+iedad de la in5ormación$ secretos del comercio y de la +ro+iedad

intelect7al$ y cómo esto se relaciona con la +rotección de la in5ormación con5idencial

5*

la +ermisión de 7tiliJar in5ormación con5idencial y los derec9os del signatario

+ara 7sar la in5ormación

g*

el derec9o de a7ditar y monitorear actiidades @7e im+li@7en in5ormación

con5idencial

9*

+rocesos +ara noti5icar y re+ortar acceso desa7toriJado a a6ert7ras de

in5ormación con5idenciali* términos +ara @7e la in5ormación sea retornada o destr7ida en la cesación delac7erdo y

'*

acciones +reista @7e se tomar8 en caso de 7na a6ert7ra de este ac7erdo3

&asado en los re@7erimientos de la seg7ridad de 7na organiJación$ otros elementos +7eden ser necesarios en 7na ac7erdo de con5idencialidad o de no-acceso3

os ac7erdos de con5idencialidad y de no-acceso de6en con5ormarse con todas las leyesa+lica6les y las reg7laciones +ara la '7risdicción a la c7al a+lica (éase el inciso !,3!3!*3

os re@7erimientos +ara ac7erdos de con5idencialidad y de no-acceso de6en ser reisados +eriódicamente y c7ando oc7rran cam6ios @7e in5l7yan en estos re@7erimientos3

O)a in(%)*ación


NTP-I%OIEC !..//0! de !."

os ac7erdos de con5idencialidad y de no-acceso +rete'en in5ormación organiJacional ein5orman a los signatarios de s7s res+onsa6ilidades a +roteger$ 7sando y accesandoin5ormación de 5orma res+onsa6le y a7toriJada3



P7ede ser necesario +ara 7na organiJación$ 7sar di5erentes 5ormas de ac7erdos decon5idencialidad o de no-acceso en di5erentes circ7nstancias3

6.1.6C%nac% c%n a,%)idad$

C%n)%&

De6en ser mantenidos contactos a+ro+iados con a7toridades releantes3


as organiJaciones de6en de tener +rocedimientos instalados @7e es+eci5i@7en c7ando y +or @7e a7toridades de6en ser contactados y como los incidentes identi5icados en la seg7ridad dein5ormación de6en ser re+ortados de 7na manera o+ort7na si se sos+ec9a @7e las leyes 9ansido rotas3

as organiJaciones 6a'o ata@7e desde el Internet +7eden necesitar de terceros (+roeedor delsericio de Internet 7 o+eradores de telecom7nicaciones* +ara tomar acción contra la 57entede ata@7e3

O)a in(%)*ación

Mantener dic9os contactos +7ede ser 7n re@7erimiento +ara a+oyar la gestión de losincidentes de seg7ridad de la in5ormación (sección !"30* o la contin7idad del negocio y lacontingencia del +laneamiento (sección !)*3 Contactos con c7er+os reg7latorios son tam6ién2tiles +ara antici+arse y +re+ararse a +róBimos cam6ios en la ley o en las reg7laciones$ @7ede6en ser seg7idos +or la organiJación3 Contactos con otras a7toridades incl7yen 7tilidades$

sericios de emergencia$ seg7ridad y sal7d$ como +or e'em+lo los 6om6eros (en coneBión conla contin7idad del negocio*$ +roeedores de telecom7nicaciones (en coneBión con la l4nea der7ta y la dis+oni6ilidad*$ +roeedores de ag7a (en coneBión con instalaciones de re5rigeración

+ara el e@7i+o*3

6.1.7C%nac% c%n g),p% d$ in$) $p$cia&


NTP-I%OIEC !..//00 de !."

C%n)%&

De6en mantenerse contactos a+ro+iados con gr7+os de interés es+ecial 7 otros es+ecialistas en5oros de seg7ridad y asociaciones +ro5esionales3


Mem6res4a en gr7+os de interés es+ecial o 5oros de6en ser considerados de6ido a @7e<

a*



me'orar el conocimiento so6re me'ores +racticas y estar act7aliJado con

in5ormación releante de seg7ridad

6*

aseg7rar @7e el entendimiento del am6iente de seg7ridad de in5ormación es

act7al y com+leto

c*

reci6ir alertas de detección tem+rana$ adertencias y +arc9es @7e +ara los

ata@7es y a las 7lnera6ilidades

d*

e*

ganar acceso a conse'os es+ecialiJados de seg7ridad de in5ormación

com+artir e intercam6iar in5ormación so6re n7eas tecnolog4as$ +rod7ctos$

amenaJas o 7lnera6ilidades5* +roeer +7ntos de enlaces conenientes c7ando se trata con in5ormación deincidentes de seg7ridad (éase el inciso !"303!*3

O)a in(%)*ación

Ac7erdos +ara com+artir in5ormación +7eden ser esta6lecidos +ara me'orar la coo+eración ycoordinación de temas de seg7ridad3 Estos ac7erdos de6en identi5icar re@7erimientos +ara la

+rotección de in5ormación sensi6le3

6.1.GR$:iión ind$p$ndi$n$ d$ &a $g,)idad d$ &a in(%)*ación.

C%n)%&

El alcance de la organiJación +ara gestionar la seg7ridad de in5ormación y s7 im+lementación(o6'etios de control$ controles$ +ol4ticas$ +rocesos y +rocedimientos +ara seg7ridad dein5ormación* de6en ser reisados inde+endientemente en interalos +lani5icados o c7andocam6ios signi5icatios a la +7esta en marc9a de la seg7ridad oc7rran3


NTP-I%OIEC !..//

0" de !."


a reisión inde+endiente de6e ser iniciado +or la gerencia3 Esta reisión inde+endiente esnecesaria +ara aseg7rar la contin7a coneniencia$ s75iciencia y e5icacia del alcance de laorganiJación 9acia la gestión de in5ormación de seg7ridad3 a reisión de6e incl7ir o+ort7nidades de eal7ación +ara me'orar y la necesidad de cam6ios +ara el acercamiento a la

seg7ridad$ incl7yendo la +ol4tica y los o6'etios de control3

Esta reisión de6e ser lleado a aca6o +or indiid7os inde+endientemente del 8rea 6a'oreisión3 os indiid7os @7e llean a ca6o estas reisiones de6en de tener las 9a6ilidades y laeB+eriencia a+ro+iada3



C7ando es necesario +ermitir el acceso a las instalaciones del +rocesamiento de in5ormación oa la in5ormación de 7na organiJación a 7n tercero$ 7na eal7ación el riesgo (éase tam6ién lasección )* de6e ser lleada a ca6o +ara identi5icar c7al@7ier re@7isito +ara controleses+ec45icos3 a identi5icación de los riesgos relacionados con el acceso a terceros de6e detomar en c7enta los sig7ientes +7ntos<

a*as instalaciones del +rocesamiento de la in5ormación a la @7e terceros

re@7ieren acceso

6*El ti+o de acceso @7e terceros tendr8n a la in5ormación y a las instalaciones del

+rocesamiento de in5amación<

!*

acceso 54sico$ +or e'em+lo o5icinas o salas de ordenadores


0*

"*

)*

NTP-I%OIEC !..//0, de !."

acceso lógico$ +or e'em+lo la 6ase de datos de la organiJación o sistemasde in5ormación

conectiidad de red entre la organiJación y terceros$ +or e'em+lo laconeBión +ermanente o acceso remoto

si el acceso esta oc7rriendo en el sitio o 57era de el

c*

el alor y la sensi6ilidad de la in5ormación im+licada$ y es critico +ara

o+eraciones de negocios

d*

los controles necesarios +ara +roteger la in5ormación @7e no de6e ser accesi6le

a terceros

e*el +ersonero eBterno im+licado en manio6rar la in5ormación de la

organiJación

5*

como la organiJación o el +ersonero a7toriJado +ara tener acceso +7ede ser

identi5icado$ la a7toriJación eri5icada y @7e tan seg7ido necesita ser recon5irmada

g*

los di5erentes signi5icados y controles em+leados +or terceros c7ando g7arde$

+rocese$ com7ni@7e$ com+arta e intercam6ia in5ormación

9*

el im+acto del acceso no dis+oni6le a terceros c7ando sea re@7erido$ y de

terceros ingresando o reci6iendo in5ormación ineBacta o engaQosai*



+racticas y +rocedimientos +ara lidiar con incidentes y daQos +otenciales en la

seg7ridad de in5ormación$ y los términos y condiciones +ara contin7ar con el acceso aterceros en el caso de 7n incidente en la seg7ridad de in5ormación

'*

re@7isitos legales y reg7latorios 7 otras o6ligaciones contract7ales releantes a

terceros @7e de6en ser tomadas en c7enta

* como los intereses de las +artes interesadas +7eden ser a5ectados +or los ac7erdos3

El acceso +or terceras +ersonas a la in5ormación de la organiJación no de6e ser +roista 9asta@7e se 9aya im+lementado los controles a+ro+iados y @7e estros sean 5acti6les$ 7n contrato 9asido 5irmado de5iniendo los términos y condiciones +ara la coneBión o el acceso y los arreglosde tra6a'o3 Generalmente$ todos los re@7erimientos res7ltantes del tra6a'o con terceros o delos controles internos de6en ser re5le'ados con el isto 67eno de ellos (éase tam6ién F3030 yF303"*3


NTP-I%OIEC !..//0F de !."

De6emos aseg7rarnos @7e las terceras +ersonas estén enteradas de s7s o6ligaciones y @7eace+ten las res+onsa6ilidades @7e im+lica acceder$ +rocesar$ com7nicar o mane'ar lain5ormación de la organiJación y las instalaciones del +rocesamiento de in5ormación3

O)a in(%)*ación

a in5ormación +7ede ser +7esta en riesgo +or terceros con 7na inadec7ada gestión deseg7ridad3 os controles de6en ser identi5icados y a+licados +ara administrar el acceso aterceros a las instalaciones de +rocesamiento de in5ormación3 Por e'em+lo$ si eBiste 7nanecesidad es+ecial de con5idencialidad de la in5ormación$ ac7erdos de no-acceso +7eden ser 7sados3

as organiJaciones +7eden en5rentar riesgos asociados con los +rocesos inter-organiJacionales$ gestión y com7nicación$ si 7n alto niel de o7tso7rcing es a+licado o dondeeBistan diersas terceras +artes im+licadas3

os controles F3030 y F303" c76ren di5erentes ac7erdos con terceras +artes$ incl7yendo<

a* +roeedores de sericios$ como I%Ps$ +roeedores de red$ sericio tele5ónico$

mantenimiento y sericios de a+oyo

6*

c*

d*

sericios de gestión de seg7ridad

clientes

o7tso7rcing de instalaciones yo o+eraciones$ como sistemas de in5ormación de

la in5ormación$ sericios de recolección de datos$ o+eraciones de central de llamadas

e* 5*



cons7ltores gerenciales y de negocios$ y a7ditores

+roeedores de +rod7ctos de so5tare y sericios de in5ormacióng* lim+ieJa$ ca5eter4a y otros sericios de a+oyo eBterno

9* +ersonal tem+oral$ est7diantes en +racticas 7 otros contratados +or tiem+olimitado3

Estos ac7erdos +7eden ay7dar a red7cir el riesgo asociado con terceros3

6.2.2R$9,ii% d$ $g,)idad c,and% $a )aa c%n c&i$n$


NTP-I%OIEC !..//0. de !."

C%n)%&

Todos los re@7isitos identi5icados de seg7ridad de6en ser aneBados antes de dar a los clientesacceso a la in5ormación o a los actios de la organiJación3


os sig7ientes términos de6en ser considerados +ara ser aneBados a la seg7ridad antes de dar

a los clientes acceso a los actios de seg7ridad (de+endiendo del ti+o y la eBtensión del accesodado$ no todos se a+lican*<

a* +rotección de actios$ incl7yendo<

!*

+rocedimientos +ara +roteger los actios de la organiJación$ incl7ida la

in5ormación y el so5tare

0*

+rocedimientos +ara determinar si 9a oc7rrido alg2n incremento del

riesgo de los actios$ +or e'em+lo$ 7na +érdida o modi5icación de datos

"*

)*

medidas de integridad

restricciones en la co+ia o di7lgación de la in5ormación

6*

c*

d*

la descri+ción del sericio o +rod7cto dis+oni6le

las di5erentes raJones$ re@7erimientos y 6ene5icios +ara el acceso del cliente

ac7erdos so6re control de accesos$ incl7yendo<

!*



métodos de acceso +ermitidos$ as4 como el control y 7so deidenti5icadores 2nicos$ como n2mero de identi5icación ID y contraseQas0*

"*

el +rocedimiento de a7toriJación del acceso y +riilegios a los 7s7arios

7na declaración de @7e todo acceso @7e no esta eB+l4citamentea7toriJado es +ro9i6ido

)*

7n +roceso +ara reocar el derec9o de acceso o interr7m+ir la coneBión

entre sistemas

e* arreglos +ara re+ortar$ noti5icar e inestigar ineBactit7des de in5ormación

(como detalles +ersonales*$ incidentes y a6ert7ras en la seg7ridad de in5ormación

5*

7na descri+ción de cada sericio a ser dis+oni6le


NTP-I%OIEC !..//0# de !."

g*

9*

el niel de sericio

el derec9o +ara controlar y reocar c7al@7ier actiidad relacionado con los

actios de la organiJación

i*

'*

las res+ectias res+onsa6ilidades de la organiJación y de los clientes

las res+onsa6ilidades en materia de legislación +or e'em+lo so6re +rotección de

datos +ersonales$ teniendo es+ecialmente en c7enta los di5erentes sistemas legalesnacionales si el contrato im+lica la coo+eración con organiJaciones de otros +a4ses(éase tam6ién el inciso !,3!*

*

los derec9os de +ro+iedad intelect7al$ +rotección contra co+ias (éase el inciso

!,3!303* y +rotección en tareas de cola6oración (éase tam6ién el inciso F3!3,*3

O)a in(%)*ación

os re@7erimientos de seg7ridad relacionados con el acceso a los actios de la organiJaciónde los clientes +7eden ariar considera6lemente de+endiendo de las instalación del

+rocesamiento de in5ormación y la in5ormación a la @7e se accede3 Estos re@7erimientos en laseg7ridad +7eden ser aneBados 7sando ac7erdos con los clientes$ @7e contienen todos losriesgos identi5icados y los re@7erimientos de seg7ridad3

os ac7erdos con terceros tam6ién +7eden im+licar a otras +artes3 Estos ac7erdosgarantiJando acceso a terceros de6en incl7ir +ermisos +ara la designación de otras +artes ycondiciones +ara s7 acceso y s7 incl7sión3

6.2.?



R$9,ii% d$ $g,)idad $n c%n)a% d$ %,%,)cing

C%n)%&

os ac7erdos con terceras +artes @7e im+lican el acceso$ +roceso$ com7nicación o gestión dela in5ormación de la organiJación o de las instalaciones de +rocesamiento de in5ormación o laadición de +rod7ctos o sericios a las instalaciones$ de6e c76rir todos los re@7isitos deseg7ridad releantes3


El ac7erdo de6e aseg7rar @7e no eBista desentendimiento entre la organiJación y las terceras +artes3 as organiJaciones de6en satis5acerse en c7anto a la indemnidad de los terceros3

NORMA TECNICA

PERUANA

NTP-I%OIEC !..//0/ de !."

os sig7ientes términos de6en ser considerados +ara incl7sión en el ac7erdo con el 5in desatis5acer los re@7isitos identi5icados de seg7ridad (éase el inciso F303!*3

a*

6*

la +ol4tica de in5ormación de seg7ridad

los controles @7e aseg7ren la +rotección del actio$ incl7yendo<

!*

+rocedimientos +ara +roteger los actios organiJacionales$ incl7yendo

in5ormación$ so5tare y 9ardare

0*

"*

)*

controles c7al@7iera de +rotección 54sica re@7erida y mecanismos

controles +ara aseg7rar la +rotección contra so5tare malicioso

+rocedimientos +ara determinar si es @7e se com+romete el actio$ como

la +erdida o modi5icación de la in5ormación$ so5tare y 9ardare$ 9a oc7rrido

,*

controles @7e aseg7ran el retorno o la destr7cción de in5ormación y

actios al 5inal de o de 7n tiem+o acordado d7rante el ac7erdo

F*

con5idencialidad$ integridad$ dis+oni6ilidad y c7al@7ier otra +ro+iedad

releante (éase el inciso 03!3,* de los actios

.*

restricciones +ara co+iar y di7lgar in5ormación y el 7so de ac7erdos de

con5idencialidadc*



ca+acitación en los métodos$ +rocedimientos y seg7ridad +ara 7s7ario y

administrador

d*

aseg7rar el conocimiento del 7s7ario +ara temas y res+onsa6ilidades de la

seg7ridad de in5ormación

e*

5*

dis+osición +ara trans5erir +ersonal$ c7ando sea a+ro+iado

res+onsa6ilidades con res+ecto a la instalación y el mantenimiento del

9ardare y so5tare

g*

9*

i*

7na clara estr7ct7ra y 5ormatos de re+ortes

7n claro y es+eci5icado +roceso de cam6io de gestión

+ol4tica de control de acceso$ c76riendo<


!*

NTP-I%OIEC !..//"1 de !."

las di5erentes raJones$ re@7erimientos y 6ene5icios @7e 9acen el acceso

+or terceros necesario

0*

métodos +ermitidos de acceso y el control y 7so de identi5icadores 2nicos

como ID de 7s7ario y contraseQas

"*

)*

7n +roceso a7toriJado +ara acceso de 7s7arios y los +riilegios

7n re@7erimiento +ara mantener 7na lista de indiid7os a7toriJados a

7sar el sericio @7e 9a sido dis+oni6le y c7al son s7s derec9os y +riilegiosres+ecto a s7 7so

,*7na declaración de @7e todos los accesos @7e no son eB+l4citamente

a7toriJados son +ro9i6idos

'*

arreglos +ara re+ortar$ noti5icar e inestigar incidentes de la seg7ridad de

in5ormación y a+ert7ras de seg7ridad$ como iolaciones de los re@7erimientosesta6lecidos en el ac7erdo

*

7na descri+ción del +rod7cto o sericio 9a ser +roisto y 7na descri+ción de la

in5ormación 9a ser dis+oni6le de ac7erdo con s7 clasi5icación de seg7ridad (éase elinciso .303!*

l*

m*re+orte



n* el o6'etio de niel de sericio y los nieles de no ace+tación

la de5inición del criterio de com+ro6ación del 57ncionamiento$ s7 control y s7

el derec9o de controlar y reocar c7al@7ier actiidad relacionada con losactios de la organiJación

o*

el derec9o +ara a7ditar res+onsa6ilidades de5inidas en el ac7erdo$ +ara @7e

dic9as a7ditorias sean lleadas a ca6o +or terceros y +ara en7merar los derec9osestat7tarios de los a7ditores

+*

@*

el esta6lecimiento de 7n +roceso de escalamiento +ara resoler +ro6lemas

re@7isitos contin7os de sericio$ incl7yendo medidas +ara la dis+oni6ilidad y la

con5ia6ilidad$ en concordancia con las +rioridades de negocio de la organiJación

r*

s*

las res+ectias res+onsa6ilidades de las +artes del ac7erdo

res+onsa6ilidades con res+ecto a temas legales y como se aseg7ra @7e los

re@7erimientos legales sean conocidos$ como +or e'em+lo la legislación de +rotecciónde datos$ considerar es+ecialmente diersos sistemas legislatios nacionales si el


NTP-I%OIEC !..//"! de !."

ac7erdo im+lica la coo+eración con organiJaciones de otros +a4ses (éase el incisoF3!3,*

t*

derec9os de +ro+iedad intelect7al y de asignación de co+yrig9t y +rotección de

c7al@7ier otro tra6a'o de cola6oración (éase tam6ién F3!3,*

7*

im+licancias entre los s76-contratantes y terceros$ y los controles de seg7ridad

@7e estos s76-contratantes necesitan im+lementar

*

condiciones +ara la renegociaciónterminacion de los ac7erdos<

!*

7n +lan de contingencia de6e llearse a ca6o en caso de @7e c7al@7iera

de las +artes desee cortar relaciones antes del termino de los ac7erdos

0*

renegociación de los ac7erdos si los re@7isitos de seg7ridad de la

organiJación cam6ian

"*

doc7mentación act7al de la lista de actios$ licencias$ ac7erdos o

derec9os relacionados con ellos3



O)a in(%)*ación

os ac7erdos +7eden ariar considera6lemente +ara di5erentes organiJaciones y entre losdi5erentes ti+os de terceros3 Es +or eso @7e es necesario tener c7idado al identi5icar riesgos yre@7isitos de seg7ridad (éase tam6ién F303!* en los ac7erdos3 Donde sea necesario$ loscontroles y +rocedimientos re@7eridos +7eden ser eBtendidos en el +lan de gestión deseg7ridad3%i la gestión de seg7ridad de in5ormación es eBterna$ los ac7erdos de6en aneBar como es @7e

las terceras +artes garantiJaran 7na seg7ridad adec7ada sera mantenida$ como esta de5inida enla eal7ación de riesgos$ y como la seg7ridad ser8 ada+tada +ara identi5icar y tratar concam6ios en los riesgos3

Alg7nas de las di5erencias entre el o7tso7rcing y otro ti+o de sericio de terceros incl7ye las +reg7ntas de res+onsa6ilidad$ +laneamiento del +eriodo de transición y la +otencialinterr7+ción de o+eraciones d7rante este +eriodo$ arreglos del +laneamiento de contingencia ylas reisiones de la diligencia de6ida$ y la colección y gestión de los incidentes de seg7ridadde in5ormación3 Por lo tanto$ es im+ortante @7e la organiJación +lani5i@7e y gestione latransición con 7n ac7erdo de o7tso7rcing y @7e tenga +rocesos adec7ados +ara mane'ar los

cam6ios y las renegociacionesterminaciones de los ac7erdos3

os +rocedimientos +ara el +roceso contin7o en el caso de @7e las terceras +artes seaninca+aces de s7ministrar s7s sericios$ necesitan ser considerados en el ac7erdo con el 5in deeitar c7al@7ier retraso en 9allar sericios de reem+laJo3


NTP-I%OIEC !..//

"0 de !."

os ac7erdos con terceros de6en incl7ir a otras +artes3 Ac7erdos en los c7ales se garanticeacceso a terceros de6e incl7ir +ermiso +ara designar otras +artes elegi6les y condiciones +aras7 acceso e incl7sión3

Generalmente$ los ac7erdos son desarrollados +rimariamente +or la organiJación3 P7ede 9a6er ocasiones en alg7nas circ7nstancias donde el ac7erdo +7eda ser desarrollado e im+7esto a 7naorganiJación +or 7n tercero3 a organiJación necesita aseg7rar @7e s7 +ro+ia seg7ridad noesta necesariamente im+actada +or re@7isitos de 7na tercera +ersona esti+7lado en ac7erdosim+7estos3

7.

7.1

CASIFICACI3N = CONRO DE ACIBOS

R$p%na+i&idad %+)$ &% aci:%

O&ETI;O< Mantener 7na +rotección adec7ada so6re los actios de la organiJación3



Todos los actios de6en ser considerados y tener 7n +ro+ietario asignado3

De6er4an identi5icarse los +ro+ietarios +ara todos los actios im+ortantes$ y se de6er4a asignar la res+onsa6ilidad del mantenimiento de los controles a+ro+iados3 a res+onsa6ilidad de laim+lantación de controles de6er4a delegarse3 Pero la res+onsa6ilidad de6er4a mantenerse en el

+ro+ietario designado del actio3

7.1.1In:$na)i% d$ aci:%

C%n)%&

Todos los actios de6en se claramente identi5icados y se de6e ela6orar y mantener 7ninentario de todos los actios im+ortantes3


Una organiJación de6e identi5icar todos los actios y la doc7mentación de im+ortancia deellos3 El inentario de actios de6e incl7ir toda la in5ormación necesaria con el 5in de


NTP-I%OIEC !..//"" de !."

rec7+erarse de 7n desastre$ incl7yendo el ti+o de actio$ 5ormato$ 76icación$ in5ormación deres+aldo$ in5ormación de licencia y el alor dentro del negocio3 El inentario no de6e d7+licar otros inentarios sin necesidad $ +ero de6e esta seg7ro de @7e el contenido se enc7entraalineado3

En adición$ los +ro+ietarios (éase el inciso .3!30* y la clasi5icación de la in5ormación (éaseel inciso .30* de6e ser ace+tada y doc7mentada +ara cada 7no de los actios3 &asado en laim+ortancia del actio$ s7 alor dentro del negocio y s7 clasi5icación de seg7ridad$ se de6enidenti5icar nieles de +rotección conmens7rados con la im+ortancia de los actios3

O)a in(%)*ación

EBisten m7c9os ti+os de actios$ incl7yendo<

a*

actios de in5ormación< arc9ios y 6ases de datos$ doc7mentación del sistema$

man7ales de los 7s7arios$ material de 5ormación$ +rocedimientos o+eratios o deso+orte$ +lanes de contin7idad$ con5ig7ración del so+orte de rec7+eración$ in5ormaciónarc9iada

6*

actios de so5tare< so5tare de a+licación$ so5tare del sistema$ 9erramientas

y +rogramas de desarrollo

c*

actios 54sicos< e@7i+o de com+7to$ e@7i+o de com7nicaciones$ medios



magnéticos (discos y cintas* 7 otro e@7i+o técnicod*

sericios< sericios de com+7to y com7nicaciones$ sericios generales

(cale5acción$ al7m6rado$ energ4a$ aire acondicionado*

e*

5*

+ersonas$ y s7s cali5icaciones$ 9a6ilidades y eB+eriencia

intangi6les$ como la re+7tación y la imagen organiJacional3

os inentarios de los actios ay7dan a aseg7rar @7e se inicie s7 +rotección e5icaJ$ +erotam6ién se re@7iere +ara otros +ro+ósitos de la organiJación$ +or raJones de +reenciónla6oral$ +óliJas de seg7ros o gestión 5inanciera3 El +roceso de constit7ir el inentario deactios es 7n as+ecto im+ortante de la gestión de riesgos3 Una organiJación tiene @7e +oder identi5icar s7s actios y s7 alor e im+ortancia relatios (éase tam6ién la sección )*3

7.1.2P)%pi$dad d$ &% aci:%


NTP-I%OIEC !..//") de !."

C%n)%&

Toda la in5ormación y los actios asociados con el +roceso de in5ormación de6en ser +ose4dos +or 7na +arte designada de la organiJación3


os +ro+ietarios de los actios de6en ser res+onsa6les +or<

a*aseg7rar @7e la in5ormación y los actios asociados con las instalaciones de

+rocesamiento de in5ormación son a+ro+iadamente clasi5icadas

6*de5iniendo y reisando +eriódicamente las restricciones de acceso y las

clasi5icaciones$ tomando en c7enta +ol4ticas de control a+lica6les3a +ro+iedad de6e ser asignada a<

a*

6*

c*

d*

+roceso de negocios

7n con'7nto de5inido de actiidades

7na +aliación o

7n con'7nto de5inido de datos3

O)a in(%)*ación



Tareas de r7tina +7eden ser delegadas$ como la de 7n c7stodio @7e se oc7+a de 7n actio en7na 6ase diaria$ +ero la res+onsa6ilidad recae en el +ro+ietario3En sistemas com+le'os de in5ormación$ +7ede ser 2til designar 7n gr7+o de actios @7e act2en

'7ntos +ara +roeer 7na 57nción +artic7lar como VsericesW3 En este caso$ el +ro+ietario delsericio es res+onsa6le +or la entrega del sericio$ incl7yendo la 57ncionalidad de los actiosa los c7al +roee3

7.1.?% ad$c,ad% d$ &% aci:%

C%n)%&

as reglas +ara 7n 7so ace+ta6le de la in5ormación y de los actios asociados con lasinstalaciones del +rocesamiento de la in5ormación de6en ser identi5icadas$ doc7mentados eim+lementadas3


NTP-I%OIEC !..//", de !."


Todos los em+leados$ contratistas y terceras +artes de6en de seg7ir las sig7ientes reglas +ara

7n 7so ace+ta6le de la in5ormación y de los actios asociados con las instalaciones del +rocesamiento de in5ormación$ incl7yendo<

a*

6*

reglas +ara correo electrónico y 7sos de Internet (éase el inciso !13#*

g74as +ara el 7so de a+aratos móiles$ es+ecialmente +ara el 7so 57era de las

+remisas de la organiJación (éase el inciso !!3.3!*Reglas es+eci5icas o g74as de6en ser +roistas +or la gerencia releante3 Em+leados$contratistas y 7s7arios de terceros 7sando o teniendo acceso a los actios de la organiJación

de6en estar al tanto de los limites eBistentes +ara el 7so de la in5ormación de la organiJación yde los actios asociados con las instalaciones de +rocesamiento de in5ormación y rec7rsos3Ellos de6en ser res+onsa6les del 7so de c7al@7ier rec7rso del +rocesamiento de in5ormación yde c7al@7ier otro 7so +arecido 6a'o s7 res+onsa6ilidad3

7.2C&ai(icación d$ &a in(%)*ación

O&ETI;O< Aseg7rar 7n niel de +rotección adec7ado a los actios de in5ormación3

a in5ormación de6er4a clasi5icarse +ara indicar la necesidad$ +rioridades y grado de +rotección3

a in5ormación tiene grados aria6les de sensi6ilidad y criticidad3 Alg7nos elementos dein5ormación +7eden re@7erir 7n niel adicional de +rotección o 7n 7so es+ecial3 De6er4a7tiliJarse 7n sistema de clasi5icación de la in5ormación +ara de5inir 7n con'7nto de nieles de



+rotección adec7ados$ y com7nicar la necesidad de medidas de 7tiliJación es+ecial3

7.2.1@,'a d$ c&ai(icación

C%n)%&

a in5ormación de6er4a clasi5icarse en 57nción de s7 alor$ re@7isitos legales$ sensi6ilidad y

criticidad +ara la organiJación3



NTP-I%OIEC !..//"F de !."

as clasi5icaciones de in5ormación y otros controles de +rotección asociados de6er4an tener enc7enta @7e el negocio necesita com+artir o restringir la in5ormación$ as4 como los im+actos enla organiJación asociados a esas necesidades3

as g74as de clasi5icación de6en incl7ir conenciones +ara la clasi5icación inicial y lareclasi5icación a traés del tiem+o$ en concordancia con alg7nas +ol4ticas de control

+redeterminadas (éase !!3!3!*3

De6e ser res+onsa6ilidad del +ro+ietario del actio (éase .3!30* de5inir la clasi5icación deeste$ reisarlo +eriódicamente y aseg7rarse @7e esta act7aliJado y en 7n niel a+ro+iado3 aclasi5icación de6e tomar en c7enta el e5ecto agregado mencionado en !13.303De6e darse consideración al n7mero de categor4as de clasi5icación y los 6ene5icios @7e seo6tendr8n de s7 7so3 Es@7emas m7y com+le'os +7eden ser incómodos y +oco renta6les de7sar o +7eden +ro6arse im+r8cticos3 %e de6e mantener c7idado al inter+retar las eti@7etas declasi5icación en doc7mentos de otras organiJaciones @7e +7edan tener di5erentes de5iniciones

+ara nom6res de eti@7etas ig7ales o similares3

O)a in(%)*ación

El niel de +rotección +7ede ser determinado analiJando la con5idencialidad$ integridad ydis+oni6ilidad 7 otro re@7isito +ara la in5ormación considerada3

a in5ormación contin7amente de'a de ser sensi6le o critica des+7és de 7n cierto +eriodo detiem+o$ +or e'em+lo$ c7ando la in5ormación 9a sido 9ec9a +76lica3 Estos as+ectos de6en ser tomados en c7enta$ como la so6re clasi5icación +7ede llear a la im+lementación de controlesinnecesarios res7ltando en gastos adicionales3

Considerando doc7mentos con similares re@7isitos de seg7ridad c7ando se asigne los nielesde clasi5icación$ +7eden ay7dar a sim+li5icar las tareas de clasi5icación3

En general$ la clasi5icación dada como in5ormación +ermite determinar como estain5ormación de6e ser manio6rada y +rotegida3

7.2.2



a +ala6ra em+leo 9ace re5erencia a c7al@7iera de las sig7ientes sit7aciones< em+leo de +ersonal (tem+oral o de

larga d7ración*$ re7niones de roles de tra6a'o$ cam6io de roles de tra6a'o$ asignación de contratos y lac7lminación de c7al@7iera de estos ac7erdos3

NORMA TECNICA

PERUANA

NTP-I%OIEC !..//"# de !."

as res+onsa6ilidades de la seg7ridad se de6en tratar antes del em+leo en 57ncionesadec7adas descritas y en términos y condiciones del em+leo3

Todos los candidatos +ara em+leo$ contratistas y 7s7arios de terceros de6en ser adec7adamente seleccionados$ es+ecialmente +ara tra6a'os sensi6les3

Em+leados$ contratistas y terceros @7e 7tiliJan las instalaciones del +rocesamiento dein5ormación de6en 5irmar 7n ac7erdo de con5idencialidad3

G.1.1Inc&,ión d$ &a $g,)idad $n &a )$p%na+i&idad$ (,nci%n$ &a+%)a&$

C%n)%&

as 57nciones y res+onsa6ilidades de los em+leados$ contratistas y terceros de6en ser de5inidas y doc7mentadas en concordancia con la +ol4tica de seg7ridad de la organiJación3


as 57nciones de seg7ridad y las res+onsa6ilidades de6en incl7ir los sig7ientes re@7isitos<

a*im+lementadas y realiJadas en concordancia con la +ol4tica de seg7ridad de la

organiJación (éase el inciso ,3!*

6*de6en +roteger a los actios de 7n acceso no a7toriJado$ modi5icación$

destr7cción o inter5erenciac*

d*

e*

e'ec7tar +rocesos +artic7lares o actiidades

aseg7rar @7e la res+onsa6ilidad sea asignada al indiid7o +ara tomar acciones

re+ortar eentos de seg7ridad o eentos +otenciales 7 otro riesgo de seg7ridad +ara la organiJación3

as 57nciones de seg7ridad y la res+onsa6ilidad de6en ser de5inidas y com7nicadasclaramente a los candidatos al tra6a'o d7rante el +roceso de selección3

O)a in(%)*ación




"/ de !."

as descri+ciones de tra6a'o +7eden ser 7sadas +ara doc7mentar 57nciones de seg7ridad yres+onsa6ilidades3 as 57nciones de seg7ridad y las res+onsa6ilidades +ara indiid7os norelacionados con el +roceso de selección de la organiJación$ como +or e'em+lo los @7e seenc7entran com+rometidos a traés de 7na organiJación de terceros$ de6e ser tam6iénclaramente de5inida y com7nicada3

G.1.2S$&$cción p%&'ica d$ p$)%na&

C%n)%&

%e de6e llear listas de eri5icación anteriores de todos los candidatos +ara em+leo$contratistas y terceros en concordancia con las leyes $ reg7laciones y la ética$ al ig7al @7e

+ro+orcionalmente a los re@7erimientos del negocio$ la clasi5icación de la in5ormación 9a ser aceJada y los riesgos +erci6idos3


as listas de eri5icación de6en tomar en c7enta la +riacidad$ la +rotección de los datos del +ersonal yo el em+leo 6asado en la legislación y de6e +ermitir incl7ir lo sig7iente<

a* la dis+oni6ilidad de re5erencias satis5actorias so6re actit7des$ +or e'em+lo$ 7na

+ersonal y otra de la organiJación

6*

la com+ro6ación (de los datos com+letos y +recisos* del C7rric7l7m ;itae del

candidato

c*d*

la con5irmación de las certi5icaciones académicas y +ro5esionales7na com+ro6ación inde+endiente de la identi5icación (con +asa+orte o

doc7mento similar*

e*

com+ro6aciones mas detalladas$ como criminales o de crédito3

a organiJación de6er4a considerar realiJar 7na com+ro6ación mas detallada a largo +laJo dela +ersona c7ando acceda +or s7 em+leo$ en contratación inicial o en +romoción$ a rec7rsos detratamiento de la in5ormación y en +artic7lar trate in5ormación sensi6le$ +or e'em+lo$in5ormación 5inanciera o altamente con5idencial3

os +rocedimientos de6en de5inir criterios y limitaciones +ara realiJar la eri5icación$ +or e'em+lo @7ien es elegi6le +ara escoger +ersonas y como$ c7ando y +or@7e las eri5icacionesson lleadas a ca6o3




NTP-I%OIEC !..//)1 de !."

Un +roceso similar de selección de6er4a realiJarse +ara el +ersonal tem+oral y s76contratado3C7ando este +ersonal +roceda de 7na agencia el contrato con ésta de6er4a es+eci5icar claramente s7s res+onsa6ilidades en la selección$ as4 como los +rocedimientos de noti5icaciónre@7eridos si las +r7e6as de selección no se 9an com+letado o si s7s res7ltados son d7dosos o

+reoc7+antes3 De la misma manera$ el ac7erdo con terceros (éase tam6ién F303"* de6ees+eci5icar claramente todas las res+onsa6ilidades y los +rocedimientos noti5icados +ara laselección3

a in5ormación de todos los candidatos @7e 9an sido considerados +ara +osiciones en laorganiJación de6en ser recolectados y manio6rados en concordancia con c7al@7ier legislacióna+ro+iada y eBistente en la '7risdicción releante3 De+endiendo de la legislación a+lica6le$ los

candidatos de6en ser in5ormados de antemano so6re las actiidades de selección3

G.1.?Ac,$)d% d$ c%n(id$ncia&idad

C%n)%&

Como +arte de s7 o6ligación contract7al$ em+leados$ contratistas y terceros de6en ace+tar y5irmar los términos y condiciones del contrato de em+leo el c7al esta6lecer8 s7s o6ligaciones

y las o6ligaciones de la organiJación +ara la seg7ridad de in5ormación3


os términos y condiciones del em+leo de6en re5le'ar la +ol4tica de organiJación de laorganiJación adem8s de aclarar y esta6lecer<

a* @7e todos los em+leados$ contratistas y terceros a los @7e se les 9a dado accesoa in5ormación sensi6le de6en 5irmar 7n ac7erdo de con5idencialidad y de no di7lgaciónantes de darle el acceso a las instalaciones de +rocesamiento de in5ormación

6*

las res+onsa6ilidades y derec9os del contratista de em+leados o c7al@7ier otro

7s7ario$ +or e'em+lo en relación con la legislación de la +rotección de las leyes o de losdatos del derec9o del a7tor

c*

las res+onsa6ilidades +ara la clasi5icación de la in5ormación y la gestión de los

actios organiJacionales asociados con los sistemas de in5ormación y los sericiosmanio6rados +or el em+leado$ contratista o tercero (éase tam6ién .303! y !13.3"*

d*

las res+onsa6ilidades del em+leado$ contratista o terceros +ara manio6rar la

in5ormación reci6ida de otras com+aQ4as o terceros NORMA TECNICAPERUANA



NTP-I%OIEC !..//)! de !."

e*las res+onsa6ilidades de la organiJación +ara manio6rar in5ormación +ersonal$

incl7yendo in5ormación creada como res7ltado del em+leo en la organiJación

5*

las res+onsa6ilidades @7e son eBtendidas 57era de las +remisas de la

organiJación y 57era del +eriodo normal del tra6a'o$ como +or e'em+lo en el caso deltra6a'o en casa$ (éase tam6ién /303, y !!3.3!*

g*

las acciones 9a ser tomadas si el em+leado$ contratista o tercero no c7m+le con

los re@7isitos de seg7ridad de la organiJación (éase tam6ién #303"*3

a organiJación de6e aseg7rarse @7e los em+leados$ contratistas y 7s7arios de tercerosace+ten los términos y condiciones re5erentes a la seg7ridad de in5ormación a+ro+iada a la

nat7raleJa y al grado de acceso @7e tendr8n con los actios de la organiJación asociados a lossistemas y a los sericios de in5ormación3

Donde sea a+ro+iado$ las res+onsa6ilidades contenidas en los términos y condiciones delem+leo de6en contin7ar +or 7n +eriodo de5inido des+7és del termino del este (éase tam6ién#3"*3

O)a in(%)*ación

Un código de cond7cta +7ede ser 7sado +ara c76rir las res+onsa6ilidades con res+ecto a lacon5idencialidad$ +rotección de datos$ ética$ 7so a+ro+iado del e@7i+o de la organiJación einstalaciones$ as4 como de em+leados$ contratistas o terceros$ +racticas 9onradas es+eradas

+or la organiJación3 El contratista o tercero +7ede ser asociado con 7na organiJación eBterna@7e +7eda ser re@7erida a entrar en ac7erdos contract7ales a 5aor del indiid7o contratado3

G.2D,)an$ $& $*p&$%

O&ETI;O< Aseg7rar @7e los em+leados$ contratistas$ y 7s7arios de terceros estén consientesde las amenaJas y riesgos en el 8m6ito de la seg7ridad de la in5ormación$ y @7e est8n

+re+arados +ara sostener la +ol4tica de seg7ridad de la organiJación en el c7rso normal de s7tra6a'o y de red7cir el riesgo de error 97mano3

as res+onsa6ilidades de la gerencia de6en ser de5inidas +ara aseg7rar @7e la seg7ridad seaa+lica6le a traés del em+leo de 7n indiid7o dentro de la organiJación3

Un niel adec7ado de conocimiento$ ed7cación y entrenamiento en +rocedimientos deseg7ridad y el correcto 7so de las instalaciones de +rocesamiento de in5ormación de6e ser

+roista a todos los em+leados$ contratistas y 7s7arios de terceros con el 5in de minimiJar los





NTP-I%OIEC !..//)" de !."

a mala gestión +7ede ca7sar al +ersonal sentirse in5raalorado res7ltando en 7n im+actonegatio en la seg7ridad de la organiJación3 Por e'em+lo$ +7ede llear a @7e la seg7ridad seadesc7idada o 7tiliJar de 5orma inadec7ada de los actios de la organiJación3

G.2.2C%n%ci*i$n% $d,cación $n)$na*i$n% d$ &a $g,)idad d$ in(%)*ación

C%n)%&

Todos los em+leados de la organiJación y donde sea releante$ contratistas y 7s7arios deterceros de6en reci6ir entrenamiento a+ro+iado del conocimiento y act7aliJaciones reg7laresen +ol4ticas y +rocedimientos organiJacionales como sean releantes +ara la 57nción de s7tra6a'o3


El entrenamiento en el conocimiento de6e em+eJar con 7na ind7cción 5ormal del +rocesodesignado +ara introd7cir la +ol4tica de seg7ridad de la organiJación y las eB+ectatias$ antesconceder acceso a la in5ormación o al sericio3

El entrenamiento en c7rso de6e incl7ir re@7isitos de seg7ridad$ res+onsa6ilidades legales ycontroles del negocio$ as4 como +racticas en el 7so correcto de los rec7rsos de tratamiento dein5ormación (+rocedimientos de concesión (log-on*$ 7so de +a@7etes de so5tare ein5ormación en el +roceso disci+linario (éase el inciso #303"**3

O)a in(%)*ación

El conocimiento so6re seg7ridad$ ed7cación y actiidades de entrenamiento de6en ser deac7erdo y +ertinentes al +a+el de la +ersona$ las res+onsa6ilidades y 9a6ilidades de6en incl7ir la in5ormación so6re las amenaJas conocidas @7e +ermitan in5ormar al conse'o de seg7ridad

s7+erior a traés de los caminos a+ro+iados los eentos relacionados con la seg7ridad dein5ormación (éase el inciso !"3!*3

%i se entrena +ara re5orJar el conocimiento$ +ermitir8 a los indiid7os reconocer la seg7ridadde la in5ormación$ los +ro6lemas y ca7sas$ y res+onder seg2n las necesidades de s7 +a+el detra6a'o3

G.2.?P)%c$% dicip&ina)i%


NTP-I%OIEC !..//)) de !."



C%n)%&

De6e eBistir 7n +roceso 5ormal disci+linario +ara em+leados @7e 9an cometido 7n a+ert7ra enla seg7ridad3


El +roceso disci+linario no de6e comenJar sin 7na eri5icación +reia de @7e la a+ert7ra en la

seg7ridad 9a oc7rrido (éase el inciso !"303"*3

El +roceso 5ormal disci+linario de6e aseg7rar 7n correcto y '7sto tratamiento de losem+leados @7e son sos+ec9osos de cometer a+ert7ras en la seg7ridad3 El +roceso 5ormaldisci+linario de6e +roeer +ara 7na res+7esta grad7ada @7e tome en consideración 5actorescomo la nat7raleJa$ la graedad de la a+ert7ra y s7 im+acto en el negocio$ si es @7e la o5ensaes re+etida o 2nica o si es @7e el iolador est7o +ro+iamente entrenado$ leyes releantes$contratos de negocio as4 como otros 5actores si son re@7eridos3 En casos serios de malacond7cta el +roceso de6e +ermitir el retiro de s7s la6ores$ derec9os de acceso y +riilegios as4como 7na escolta inmediata 57era del sitio$ si es @7e es necesario3

O)a in(%)*ación

El +roceso disci+linario de6e ser 7sado tam6ién como 7n im+edimento +ara +reenir @7e losem+leados$ contratistas y 7s7arios de terceros iolen las +ol4ticas y +rocedimientosorganiJacionales$ as4 como c7al@7ier otra a+ert7ra en la seg7ridad3

G.?

Fina&i>ación % ca*+i% d$& $*p&$%

O&ETI;O< Aseg7rar @7e los em+leados$ contratistas e 7s7arios de terceros salgan de laorganiJación o cam6ien de em+leo de 7na 5orma ordenada3

as res+onsa6ilidades se esta6lecen con el 5in de aseg7rarse @7e la salida de la organiJaciónde los em+leados$ contratistas e 7s7arios de terceros este mane'ada y @7e el retorno de todo ele@7i+o y el retiro de todo derec9o acceso este com+letado3

Cam6ios en la res+onsa6ilidad y em+leos dentro de la organiJación de6en ser mane'adoscomo la terminación de la res+ectia res+onsa6ilidad o em+leo$ en l4nea con esta sección y

c7al@7ier n7eo em+leo de6e ser mane'ado como se descri6ió en la sección #3!3

G.?.1R$p%na+i&idad$ d$ (ina&i>ación


NTP-I%OIEC !..//

), de !."

C%n)%&



as res+onsa6ilidades +ara realiJar la 5inaliJación de 7n em+leo o el cam6io de este de6en ser claramente de5inidas y asignadas3


a com7nicación de la 5inaliJación de las res+onsa6ilidades de6en incl7ir re@7isitos deseg7ridad en c7rso y res+onsa6ilidades legales y donde sea a+ro+iado$ res+onsa6ilidadescontenidas dentro de c7al@7ier ac7erdo de con5idencialidad (éase el inciso F3!3,* y términosy condiciones (éase el inciso #3!3"* contin7as +or 7n +eriodo de5inido des+7és del terminodel contrato de em+leo o de terceros3

as res+onsa6ilidades y tareas @7e son toda4a alidad des+7és de la 5inaliJación del em+leode6en ser contenidas en el contrato de em+leo o en los contratos de terceros3

os cam6ios de res+onsa6ilidad o em+leo de6en ser manio6rados como la 5inaliJación de lares+ectia res+onsa6ilidad o em+leo y la n7ea res+onsa6ilidad o em+leo de6e ser controladacomo se descri6e en la sección #3!3

O)a in(%)*ación

a 57nción de rec7rsos 97manos es generalmente res+onsa6le +or la 5inaliJación general del +royecto y tra6a'a con'7ntamente con el s7+erisor de la +ersona @7e de'a de mane'ar losas+ectos de seg7ridad de los +rocedimientos releantes3 En el caso de 7n contratista$ este

+roceso de la res+onsa6ilidad de 5inaliJación +7ede ser tomado en c7enta +or 7na agenciares+onsa6le del contratista y en caso sea otro 7s7ario$ esto de6e ser mane'ado +or laorganiJación3

P7ede ser necesario in5ormar a los em+leados$ clientes$ contratistas o terceros los cam6ios del +ersonal y arreglos de o+eración3

G.?.2R$%)n% d$ aci:%

C%n)%&

Todos los em+leados$ contratistas y terceros de6en retornar todos los actios de la

organiJación @7e estén en s7 +osesión 9asta la 5inaliJación de s7 em+leo$ contrato o ac7erdo3


NTP-I%OIEC !..//)F de !."


El +roceso de 5inaliJación de6e ser 5ormaliJado +ara incl7ir el retorno +reio de los so5tare$doc7mentos cor+oratios y e@7i+os3 Otros actios de la organiJación como dis+ositiosmóiles de com+7to$ tar'etas de crédito$ tar'etas de acceso$ man7ales$ so5tare e in5ormacióng7ardada en medios electrónicos$ tam6ién necesitan ser de7eltos3



En ciertas circ7nstancias los derec9os de acceso +7eden ser asignados en 6ase a ladis+oni6ilidad 9acia mas +ersonas @7e el em+leado$ contratista o 7s7ario de tercero saliente3En estas circ7nstancias$ los indiid7os salientes de6en ser remoidos de c7al@7ier lista degr7+os de acceso y se de6en realiJar arreglos +ara adertir a los dem8s em+leados$contratistas y 7s7arios de terceros inol7crados de no com+artir esta in5ormación con la

+ersona saliente3En casos de gerencia terminada$ contrariedad con los em+leados$ contratistas o 7s7arios deterceros +7eden llear a corrom+er in5ormación deli6eradamente o a sa6otear las instalacionesdel +rocesamiento de in5ormación3 En casos de ren7ncia de +ersonal$ estos +7eden ser

tentados a recolectar in5ormación +ara 7sos 57t7ros3

".

".1

SE@RIDAD FSICA = DE ENORNO

J)$a $g,)a

O&ETI;O< Eitar accesos no a7toriJados$ daQos e inter5erencias contra los locales y lain5ormación de la organiJación3

os rec7rsos +ara el tratamiento de in5ormación cr4tica o sensi6le +ara la organiJaciónde6er4an 76icarse en 8reas seg7ras +rotegidas +or 7n +er4metro de seg7ridad de5inido$ con

6arreras de seg7ridad y controles de entrada a+ro+iados3 %e de6er4a dar +rotección 54sicacontra accesos no a7toriJados$ daQos e inter5erencias3

Dic9a +rotección de6er4a ser +ro+orcional a los riesgos identi5icados3


NTP-I%OIEC !..//)# de !."

".1.1P$)'*$)% d$ $g,)idad ('ica

C%n)%&

os +er4metros de seg7ridad (como +aredes$ tar'etas de control de entrada a +7ertas o 7n +7esto man7al de rece+ción* de6en ser 7sados +ara +roteger 8reas @7e contengan in5ormacióne rec7rsos de +rocesamiento de in5ormación3


as sig7ientes +a7tas de6en ser consideradas e im+lementadas donde sea a+ro+iado +ara los +er4metros de seg7ridad 54sicos3

a*el +er4metro de seg7ridad de6er4a estar claramente de5inido y el l7gar y 57erJa

de cada +er4metro de6e de+ender de los re@7erimientos de seg7ridad del actio entre el +er4metro y los res7ltados de la eal7ación de riesgos



6*el +er4metro de 7n edi5icio o 7n l7gar @7e contenga rec7rsos de tratamiento de

in5ormación de6er4a tener solideJ 54sica (+or e'em+lo no tendr8 Jonas @7e +7edanderri6arse 58cilmente*3 os m7ros eBternos del l7gar de6er4an ser sólidos y todas las

+7ertas eBteriores de6er4an estar conenientemente +rotegidas contra accesos noa7toriJados$ +or e'em+lo$ con mecanismos de control$ alarmas$ re'as$ cierres$ etc3$ las

+7ertas y las entanas de6en ser cerradas con llae c7ando estén desatendidas y la +rotección eBterna de6e ser considerado +ara entanas$ +artic7larmente al niel dels7elo

c* se de6er4a instalar 7n 8rea de rece+ción man7al 7 otros medios de control delacceso 54sico al edi5icio o l7gar3 Dic9o acceso se de6er4a restringir sólo al +ersonala7toriJado

d*

las 6arreras 54sicas se de6er4an eBtender$ si es necesario$ desde el s7elo real al

tec9o real +ara eitar entradas no a7toriJadas o contaminación del entorno

e*

todas las +7ertas +ara incendios del +er4metro de seg7ridad de6er4an tener

alarma$ ser monitoreadas y +ro6adas en con'7nción con las +aredes +ara esta6lecer elniel re@7erido de resistencia en concordancia con los est8ndares regionales$ nacionalese internacionales a+ro+iados de6en o+erar en concordancia con el código de 57egolocal como 7na 5orma de seg7ridad

5*

se de6e instalar sistemas adec7ados de detección de intr7sos de ac7erdo a

est8ndares regionales$ nacionales o internacionales y de6en ser reg7larmente +ro6ados +ara c76rir todas las +7ertas eBternas y entanas de acceso$ las 8reas no oc7+adas de6en


NTP-I%OIEC !..//)/ de !."

tener 7na alarma todos el tiem+o$ tam6ién se de6e c76rir otras 8reas como las salas decom+7to o las salas de com7nicación

g*

los rec7rsos de +rocesamiento de in5ormación mane'adas +or la organiJación

de6en ser 54sicamente se+aradas de las @7e son mane'adas +or terceros3

O)a in(%)*ación

a +rotección 54sica +7ede ser lograda creando 7na o mas 6arreras 54sicas alrededor de las +remisas de la organiJación y los rec7rsos de +rocesamiento de in5ormación3 El 7so dem2lti+les 6arreras nos 6rinda +rotección adicional$ donde la 5alla de 7na sola 6arrera nosigni5ica @7e la seg7ridad este inmediatamente com+rometida3

Un 8rea de seg7ridad +7ede ser 7na o5icina cerrada o diersos es+acios rodeados +or 7na 6arrera contin7a de seg7ridad interna3 &arreras adicionales y +er4metros +ara controlar elacceso 54sico +7eden ser necesarios entre 8reas con re@7isitos de seg7ridad di5erentes dentrodel +er4metro de seg7ridad3



Consideraciones es+eciales 9acia la seg7ridad en el acceso 54sico de6en ser dados a edi5iciosdonde eBistan esta6lecidas organiJaciones m2lti+les3

".1.2C%n)%&$ ('ic% d$ $n)ada

C%n)%&

as 8reas de seg7ridad de6er4an estar +rotegidas +or controles de entrada adec7ados @7easeg7ren el +ermiso de acceso sólo al +ersonal a7toriJado3


De6er4an considerarse las sig7ientes +a7tas<

a*las isitas a las 8reas seg7ras se de6er4an s7+erisar$ a menos @7e el acceso

9aya sido a+ro6ado +reiamente$ y se de6e registrar la 5ec9a y momento de entrada ysalida3 os isitantes sólo tendr8n acceso +ara +ro+ósitos es+ec45icos y a7toriJados$

+ro+orcion8ndoles instr7cciones so6re los re@7isitos de seg7ridad del 8rea y los +rocedimientos de emergencia


NTP-I%OIEC !..//,1 de !."

6*se de6er4a controlar y restringir sólo al +ersonal a7toriJado el acceso a la

in5ormación sensi6le y a los rec7rsos de s7 tratamiento3 %e de6er4an 7sar controles dea7tenticación$ +or e'em+lo$ tar'etas con n2mero de identi5icación +ersonal (PIN*$ +araa7toriJar y alidar el acceso3 %e de6er4a mantener 7n rastro a7dita6le de todos losaccesos$ con las de6idas medidas de seg7ridad

c*

se de6er4a eBigir a todo el +ersonal @7e llee +7esta alg7na 5orma de

identi5icación isi6le y se le +edir8 @7e solicite a los eBtraQos no acom+aQados y ac7al@7iera @7e no llee dic9a identi5icación isi6le$ @7e se identi5i@7e

d*

se de6e garantiJar el acceso restringido al +ersonal de a+oyo de terceros$ 9acia

8reas de seg7ridad o a los rec7rsos de +rocesamiento de in5ormación sensi6les$ soloc7ando este sea re@7erido3 Este acceso de6e ser a7toriJado y monitoreado

e*

se de6er4an reisar y act7aliJar reg7larmente los derec9os de acceso a las 8reas

de seg7ridad (éase el inciso #3"3"*3

".1.?S$g,)idad d$ %(icina d$pac% )$c,)%



C%n)%&

a seg7ridad 54sica +ara o5icinas$ des+ac9os y rec7rsos de6e ser asignada y a+licada3


as sig7ientes +a7tas de6er4an ser consideradas<

a*

6*

c*

se de6er4a tomar en c7enta las reg7laciones y est8ndares de sal7d y seg7ridad

se de6en instalar e@7i+os con clae de6en +ara eitar el acceso del +76lico

donde sea a+lica6le$ los edi5icios de6en ser discretos y dar 7na m4nima

indicación de s7 +ro+ósito$ sin signos o6ios$ 57era o dentro del edi5icio$ @7eidenti5i@7en la +resencia de actiidades de tratamiento de in5ormación

d*

los directorios y las g74as tele5ónicas internas identi5icando locaciones de los

rec7rsos de in5ormación sensi6le no de6en ser 58cilmente accesi6les +or el +76lico3

".1.

C%n)%&

P)%$cción c%n)a a*$na>a $;$)na a*+i$na&$


NTP-I%OIEC !..//,! de !."

%e de6e designar y a+licar +rotección 54sica del 57ego$ in7ndación$ terremoto$ eB+losión$malestar ciil y otras 5ormas de desastre nat7ral o 97mana3


%e de6e dar consideración a c7al@7ier amenaJa de seg7ridad +resentada +or +remisasecinas$ como 7n incendio en el edi5icio ecino$ goteo de ag7a en el tec9o o en +isos76icados +or de6a'o del niel de la tierra o 7na eB+losión en la calle3

as sig7ientes +a7tas de6en ser consideradas +ara eitar daQo +or +arte del 57ego$in7ndación$ tem6lores$ eB+losiones$ malestar ciil y otras 5ormas de desastre nat7ral o97mana<

a* los materiales +eligrosos y com67sti6les se de6er4an almacenar en alg2n l7gar

distante de las 8reas seg7ras3 No se de6er4an almacenar dentro de 7n 8rea seg7ras7ministros a granel 9asta @7e se necesiten

6*

el e@7i+o y los medios de res+aldo de6er4an estar a 7na distancia de seg7ridad



coneniente +ara eitar @7e se daQen +or 7n desastre en el 8rea +rinci+al

".1.C

c* e@7i+o a+ro+iado contra incendio de6e ser +roisto y 76icado adec7adamente3

E& )a+aK% $n &a á)$a $g,)a

C%n)%&

%e de6er4a diseQar y a+licar +rotección 54sica y +a7tas +ara tra6a'ar en 8reas seg7ras3

@,'a d$ I*p&$*$nación

%e de6en considerar las sig7ientes +a7tas<

a*el +ersonal sólo de6er4a conocer la eBistencia de 7n 8rea seg7ra$ o de s7s

actiidades$ si lo necesitara +ara s7 tra6a'o

6*

se de6er4a eitar el tra6a'o no s7+erisado en 8reas seg7ras tanto +or motios

de sal7d como +ara eitar o+ort7nidades de actiidades maliciosas

NORMA TECNICA

PERUANA

NTP-I%OIEC !..//,0 de !."

c*las 8reas seg7ras de6er4an estar cerradas y controlarse +eriódicamente c7ando

estén ac4as

d*

no se de6er4a +ermitir la +resencia de e@7i+os de 5otogra54a$ 4deo$ a7dio 7

otras 5ormas de registro salo a7toriJación es+ecial

os arreglos +ara tra6a'ar en 8reas seg7ras de6en incl7ir controles +ara los em+leados$contratistas y 7s7arios de terceros @7e tra6a'en en dic9a 8rea$ as4 como otras actiidades deterceros @7e se lleen aca6o a943

".1.6

Acc$% p,+&ic% á)$a d$ ca)ga d$ca)ga

C%n)%&

%e de6er4an controlar las 8reas de carga y descarga$ y si es +osi6le$ aislarse de los rec7rsos detratamiento de in5ormación +ara eitar accesos no a7toriJados3




%e de6en considerar las sig7ientes +a7tas<

a*se de6er4an restringir los accesos al 8rea de carga y descarga desde el eBterior

2nicamente al +ersonal a7toriJado e identi5icado

6*

el 8rea de carga y descarga se de6er4a diseQar +ara @7e los s7ministros +7edan

descargarse sin tener acceso a otras Jonas del edi5icio

c*

d*

la +7erta eBterna del 8rea de6er4a estar cerrada c7ando la interna esté a6ierta

el material entrante se de6er4a ins+eccionar +ara eitar +osi6les amenaJas

segregado (éase el inciso /303ld* antes de llearlo a s7 l7gar de 7tiliJación

e*

el material entrante se de6er4a registrar en concordancia con los

+rocedimientos de gestión de actios (éase el inciso .3!3! ) al entrar en el l7gar

5* +osi6le3

el material entrante y saliente de6er4a ser 54sicamente se+arado$ donde sea

".2S$g,)idad d$ &% $9,ip%


NTP-I%OIEC !..//," de !."

O&ETI;O< Eitar +érdidas$ daQos o com+rometer los actios as4 como la interr7+ción de lasactiidades de la organiJación3

El e@7i+o de6er4a estar 54sicamente +rotegido de las amenaJas3

Tam6ién se de6er4a considerar s7 instalación (incl7yendo s7 7so 57era del local* ydis+oni6ilidad3 P7eden re@7erirse medidas o controles es+eciales contra riesgos de accesos noa7toriJados y +ara +roteger los sistemas de a+oyo$ como la alimentación interr7m+ida o lain5raestr7ct7ra de ca6leado3

".2.1Ina&ación p)%$cción d$ $9,ip%

C%n)%&

El e@7i+o de6er4a sit7arse y +rotegerse +ara red7cir el riesgo de amenaJas del entorno$ as4como las o+ort7nidades de accesos no a7toriJados3




%e de6er4a +roteger contra interce+taciones o daQos el ca6leado de energ4a ytelecom7nicaciones @7e trans+orten datos o so+orten sericios de in5ormación3


%e de6er4an considerar los sig7ientes +a7tas +ara la seg7ridad del ca6leado<

a*

las l4neas de energ4a y telecom7nicaciones en las Jonas de tratamiento de

in5ormación$ se de6er4an enterrar$ c7ando sea +osi6le$ o ado+tarse medidas alternatiasde +rotección

6*

la red ca6leada se de6er4a +roteger contra interce+ciones no a7toriJadas o

daQos$ +or e'em+lo$ 7sando cond7ctos y eitando r7tas a traés de 8reas +26licas

c*

se de6er4an se+arar los ca6les de energ4a de los de com7nicaciones +ara eitar

inter5erencias

d*

ca6les claramente identi5icados y marcas de e@7i+o de6en ser 7tiliJadas con el

5in de minimiJar errores de mane'o como el de +arc9ar ca6les de 7na red incorrecta

NORMA TECNICA

PERUANA

NTP-I%OIEC !..//,F de !."

e*7n lista doc7mentada de +arc9es de6e 7tiliJarse con el 5in de red7cir la

+osi6ilidad de errores

5*como<

se de6er4an considerar medidas adicionales +ara sistemas sensi6les o cr4ticos$

!* instalación de cond7ctos 6lindados y ca'as o salas cerradas en los +7ntos

de ins+ección y terminación

0*

"*

)*

,*

7so de r7tas o de medios de transmisión alternatios

7so de ca6leado de 5i6ra ó+tica

7so de 7n esc7do electromagnético +ara +roteger los ca6les

inicialiJación de ins+ecciones 54sicas y técnicas a los dis+ositios no

a7toriJados ad'7ntados a los ca6les

F*

acceso controlado +ara +arc9ar +aneles y c7artos de ca6le3



".2.4an$ni*i$n% d$ $9,ip%

C%n)%&

os e@7i+os de6er4an mantenerse adec7adamente +ara aseg7rar s7 contin7a dis+oni6ilidad eintegridad3


as sig7ientes +a7tas +ara el mantenimiento de los e@7i+os de6er4an ser considerados<

a*los e@7i+os se de6er4an mantener de ac7erdo a las recomendaciones de

interalos y es+eci5icaciones de sericio del s7ministrador

6*

sólo el +ersonal de mantenimiento de6idamente a7toriJado de6er4a realiJar la

re+aración y sericio de los e@7i+os

c*

se de6er4an registrar doc7mentalmente todos las 5allos$ reales o sos+ec9ados$

as4 como todo el mantenimiento +reentio y correctio

d*

se de6er4a im+lementar controles a+ro+iados c7ando el e@7i+o es +rogramado

+ara mantenimiento$ tomando en c7enta si este mantenimiento es realiJado +or +ersonal


NTP-I%OIEC !..//,. de !."

interno o eBterno a la organiJación donde sea necesario$ de6e des+e'arse la in5ormaciónsensi6le del e@7i+o

".2.C

e*

seg7ros3

se de6er4an c7m+lir todos los re@7isitos im+7estos +or las +ol4ticas de los

S$g,)idad d$ $9,ip% (,$)a d$ &% &%ca&$ d$ &a %)gani>ación

C%n)%&

%e de6e a+licar seg7ridad a los e@7i+os @7e se enc7entran 57era de los locales de laorganiJación tomando en c7enta los diersos riesgos a los @7e se esta eB+7esto3


%ólo la gerencia de6er4a +oder a7toriJar el 7so de c7al@7ier e@7i+o +ara tratamiento dein5ormación 57era de los locales de la organiJación$ sea @7ien sea s7 +ro+ietario3



os dis+ositios de almacenamiento con in5ormación sensi6le se de6er4an destr7ir 54sicamenteo la in5ormación de6e ser destr7ida$ 6orrada o so6rescrita 7sando técnicas +ara 9acer @7e lain5ormación original sea no rec7+era6le y no sim+lemente 7sando la 57nción normaliJada de

6orrado (delete* o la 57nción 5ormato.

O)a in(%)*ación

os dis+ositios daQados @7e contienen data sensi6le +7eden re@7erir 7na eal7ación de

riesgos +ara determinar si es @7e los 4tems de6en ser destr7idos 54sicamente en l7gar de ser re+arados o descartados3

a in5ormación +7ede ser com+rometida a traés de dis+ositios desc7idados o +or el re 7sodel e@7i+o (éase el inciso !13.30*3

".2.7R$i)% d$ &a p)%pi$dad

C%n)%&

El e@7i+o$ in5ormación o so5tare no de6e ser sacado 57era del local sin a7toriJación3



%e de6en de considerar las sig7ientes +a7tas<

NTP-I%OIEC !..//,/ de !."

a* el e@7i+o$ in5ormación o so5tare no de6e ser sacado 57era del local sina7toriJación

6*

los em+leados$ contratistas y 7s7arios de terceros @7e tengan a7toridad +ara

+ermitir el retiro de la +ro+iedad de los actios de6en ser claramente identi5icados

c*

los tiem+os limite +ara el retiro de e@7i+os de6en ser 5i'ados y el retorno del

e@7i+o eri5icado +ara aseg7rar la con5ormidad

d*

el e@7i+o de6e ser registrado$ si es necesario y a+ro+iado$ c7ando este sea

remoido 57era del local as4 como c7ando sea de7elto3

O)a in(%)*ación

Tam6ién +7eden realiJarse notas de salida$ emitidos +ara desc76rir si eBisten salidasdesa7toriJadas de la +ro+iedad$ +ara desc76rir dis+ositios magneto5ónicos desa7toriJado$armas$ etc3$ y +reiene s7 entrada en el l7gar3 as notas de salida de6en llearse a ca6osig7iendo la legislación +ertinente y las reg7laciones3 os indiid7os de6en ser conscientes de



@7e estos doc7mentos se emiten solo con la a7toriJación a+ro+iada y los re@7isitos legales yreg7ladores3

10.

10.1

@ESI3N DE CO4NICACIONES = OPERACIONES

P)%c$di*i$n% )$p%na+i&idad$ d$ %p$)ación

O&ETI;O< Aseg7rar la o+eración correcta y seg7ra de los rec7rsos de tratamiento dein5ormación3

%e de6er4an esta6lecer res+onsa6ilidades y +rocedimientos +ara la gestión y o+eración detodos los rec7rsos de tratamiento de in5ormación3 Esto incl7ye el desarrollo de instr7ccionesa+ro+iadas de o+eración y de +rocedimientos de res+7esta ante incidencias3

%e im+lantar8 la segregación de tareas$ c7ando sea adec7ado$ +ara red7cir el riesgo de 7n mal7so del sistema deli6erado o +or negligencia3


NTP-I%OIEC !..//F1 de !."

10.1.1D%c,*$nación d$ p)%c$di*i$n% %p$)ai:%

C%n)%&

%e de6er4an doc7mentar y mantener los +rocedimientos de o+eración y +onerlos a dis+osiciónde todos los 7s7arios @7e lo re@7ieran3


%e de6e +re+arar los +rocedimientos doc7mentados +ara actiidades del sistema asociadoscon el +rocesamiento de in5ormación y los rec7rsos de com7nicación$ como los

+rocedimientos de +rendido y a+agado de la com+7tadora$ 6ac7+s$ mantenimiento dee@7i+os$ mani+7lación de medios$ am6ientes de com+7to y mani+7lación de correos$ yseg7ridad3

Dic9os +rocedimientos de6er4an es+eci5icar las instr7cciones necesarias +ara la e'ec7cióndetallada de cada tarea$ incl7yendo<

a* 6*

c*

el +roceso y 7tiliJación correcto de la in5ormación

6ac7+ (éase el inciso !13,*

los re@7isitos de +lani5icación$ incl7yendo las interde+endencias con otros

sistemas$ con los tiem+os de comienJo m8s tem+rano y 5inal m8s tard4o +osi6les decada tarea



d*las instr7cciones +ara mane'ar errores 7 otras condiciones eBce+cionales @7e

+7edan oc7rrir d7rante la tarea de e'ec7ción$ incl7yendo restricciones en el 7so desericios del sistema (éase el inciso !!3,3)*

e*técnicas

5*

los contactos de a+oyo en caso de di5ic7ltades ines+eradas o+eracionales o

las instr7cciones es+eciales de 7tiliJación de res7ltados$ como el 7so de +a+el

es+ecial o la gestión de res7ltados con5idenciales$ incl7yendo +rocedimientos dedestr7cción seg7ra de res7ltados +rod7cidos como consec7encia de tareas 5allidas(éase tam6ién !13.30 y !13.3"*

g*

el reinicio del sistema y los +rocedimientos de rec7+eración a 7tiliJar en caso

de 5allo del sistema


NTP-I%OIEC !..//F! de !."

9*la gestión de la in5ormación del rastro de a7ditoria y del registro de sistema

(éase el inciso !13!1*3

%e de6er4an +re+arar +rocedimientos doc7mentados +ara las actiidades de administración delsistema y c7al@7ier cam6io @7e se de6a realiJar de6e ser a7toriJado +or la gerencia3 Dondesea técnicamente ia6le$ los sistemas de in5ormación de6en ser gestionados consistentemente7sando los mismos +rocedimientos$ 9erramientas y rec7rsos3

10.1.2@$ión d$ Ca*+i%

C%n)%&%e de6er4an controlar los cam6ios en los sistemas y rec7rsos de tratamiento de in5ormación3


os sistemas o+eracionales y los so5tare de a+licación de6en ser s7'etos a 7n estricto controlde la gestión de cam6ios3

En +artic7lar se de6er4an considerar los sig7ientes controles y medidas<

a*

6*

c*



deli6erado de 7n sistema3 %e de6e tener c7idado de @7e c7al@7ier +ersona +7ede acceder$modi5icar o 7tiliJar los actios sin a7toriJación o sin ser detectado3 a iniciación de 7n eentode6e estar se+arado de s7 a7toriJación3 a +osi6ilidad de con5a67lación de6e ser consideradaen el diseQo de los controles3

as organiJaciones +e@7eQas +7eden considerar @7e este método de control es di54cil delograr$ +ero el +rinci+io de6er4a a+licarse en la medida en @7e sea +osi6le y +ractica6le3C7ando la segregación sea di54cil$ se considerar8n otros controles como la monitoriJación delas actiidades$ las +istas de a7ditoria y la s7+erisión de la gestión3 Es im+ortante @7e la

a7ditoria de seg7ridad +ermaneJca inde+endiente3

10.1.S$pa)ación d$ &% )$c,)% pa)a d$a))%&&% pa)a p)%d,cción


NTP-I%OIEC !..//F" de !."

C%n)%&

a se+aración de los rec7rsos +ara desarrollo$ +r7e6a y +rod7cción es im+ortante +ara red7cir los riesgos de 7n acceso no a7toriJado o de cam6ios al sistema o+eracional3


%e de6er4a identi5icar e im+lementar controles adec7ados +ara el niel de se+aración entre losentornos de desarrollo$ +r7e6a y +rod7cción @7e es necesario +ara eitar +ro6lemaso+eracionales3

%e de6er4a considerar lo sig7iente<

a*las reglas de trans5erencia del so5tare desde 7n estado de desarrollo al de

+rod7cción de6en ser de5inidos y doc7mentados

6*

el so5tare de desarrollo y el de +rod7cción de6er4an$ si es +osi6le$ 57ncionar

en +rocesadores di5erentes$ o en dominios o directorios distintos

c*

los com+iladores$ editores y otros sericios del sistema no de6er4an ser

accesi6les desde los sistemas de +rod7cción$ c7ando no se necesiten

d*

el entorno de +r7e6a del sistema de6e em7lar el entorno del sistema

o+eracional lo mas cercano +osi6le

e*

los 7s7arios de6en 7tiliJar di5erentes +er5iles de 7s7ario +ara los sistemas

o+eracionales y de +r7e6a y los men2s de6en eB9i6ir mensa'es de identi5icación



a+ro+iados con el 5in de red7cir el riesgo +or error

5*

los datos sensi6les no de6en ser co+iados en el entorno del sistema de +r7e6a3

O)a In(%)*ación

as actiidades de desarrollo y +r7e6a +7eden ca7sar serios +ro6lemas$ +or e'em+lo$ cam6iosno deseados en los arc9ios o en el entorno del sistema o 5allos del sistema3 En este caso es

necesario mantener 7n entorno conocido y esta6le +ara +oder realiJar las +r7e6assigni5icatias y eitar el acceso ina+ro+iado del +ersonal de desarrollo3%i el +ersonal de desarrollo y el de +r7e6a t7ieran acceso al sistema de +rod7cción y a s7in5ormación$ +odr4an introd7cir 7n código no a7toriJado o no +ro6ado o alterar los datoso+eracionales3 En alg7nos sistemas esta +osi6ilidad +odr4a 7tiliJarse de 5orma inde6ida$ +ara

NORMA TECNICA

PERUANA

NTP-I%OIEC !..//F) de !."

cometer 5ra7des o +ara introd7cir 7n código no +ro6ado o malicioso$ lo @7e +odr4a ca7sar +ro6lemas o+eracionales serios3

os encargados del desarrollo o de las +r7e6as tam6ién s7+onen 7na amenaJa a lacon5idencialidad de la in5ormación de +rod7cción3 as actiidades de desarrollo y de +r7e6a

+7eden ca7sar cam6ios ines+erados en el so5tare y la in5ormación si com+arten el mismoentorno de tratamiento3 a segregación de los rec7rsos de desarrollo$ +r7e6a y +rod7cción esconeniente +ara red7cir el riesgo de cam6ios accidentales o del acceso no a7toriJado also5tare de +rod7cción y a los datos de la organiJación (éase el inciso !03)30 +ara la

+rotección de los datos de +r7e6a*3

10.2@$ión d$ $):ici% $;$)n%

O&ETI;O< Im+lementar y mantener 7n niel a+ro+iado de seg7ridad y de entrega de

sericio en l4nea con los ac7erdos con terceros3

a organiJación de6e eri5icar la im+lementación de ac7erdos$ el monitoreo de lacon5ormidad con los ac7erdos y los cam6ios gestionados con el 5in de aseg7rar @7e todos lossericios entregados c7m+len con todos los re@7erimientos acordados con terceros3

10.2.1S$):ici% d$ $n)$ga

C%n)%&

De6emos aseg7rarnos @7e todos los controles de seg7ridad$ de5iniciones de sericio y nielesde entrega incl7idas en el ac7erdo de entrega de sericio eBterno sean im+lementados$o+erados y mantenidos +or la +arte eBterna3




El sericio entregado +or terceros de6e incl7ir los arreglos de seg7ridad acordados$de5iniciones de sericio y as+ectos de la gestión del sericio3 En caso de arreglos deo7tso7rcing$ la organiJación de6e +lanear las transiciones (de in5ormación$ rec7rsos del

+rocesamiento de in5ormación y c7al@7ier otra cosa @7e re@7iere ser moido*$ y de6e aseg7rar @7e la seg7ridad sea mantenida a traés del +eriodo de transición3

a organiJación de6e aseg7rarse @7e los terceros mantengan 7na ca+acidad s75iciente '7ntocon +lanes realiJa6les designados +ara aseg7rar @7e los nieles contin7os del sericioacordado sean mantenidos sig7iendo 5allas mayores del sericio o desastre (éase !)3!*3


NTP-I%OIEC !..//F, de !."

10.2.24%ni%)$% )$:iión d$ &% $):ici% $;$)n%

C%n)%&

os sericios$ re+ortes y registros +roistos +or terceros de6en ser monitoreados y reisadosreg7larmente$ y las a7ditorias de6en ser lleadas a ca6o reg7larmente3


El monitoreo y la reisión de los sericios eBternos de6e aseg7rarse @7e todos los términos deseg7ridad de la in5ormación y las condiciones de los ac7erdos 9an sido ad9eridos$ y @7e losincidentes y +ro6lemas en la seg7ridad de in5ormación 9an sido mane'ados +ro+iamente3 Estode6e im+licar 7na relación y +roceso de gestión del sericio entre la organiJación y terceros

+ara<

a*sericio de monitoreo de nieles de 57ncionamiento +ara eri5icar @7e se

ad9ieran a los ac7erdos

6*

re+ortes de reisión de sericio +rod7cidos +or terceros y @7e arregle re7niones

reg7lares de +rogreso como re@7ieran los ac7erdos

c*

+roeer in5ormación acerca de los incidentes de seg7ridad de in5ormación y

reisión de esta in5ormación +or terceros y la organiJación como re@7iera los ac7erdosy c7al@7ier +a7tas de a+oyo y +rocedimientos

d*reisar los ac7erdos y los rastros de interención de los eentos de seg7ridad$

+ro6lemas o+eracionales$ 5allas$ traJa6ilidad de 5altas e interr7+ciones relacionadas conel sericio entregado

e*



oler y mane'ar c7al@7ier +ro6lema identi5icado3

a res+onsa6ilidad +ara mane'ar las relaciones con 7n tercero de6e ser asignado a 7nindiid7o designado o a 7n e@7i+o de gestión de sericio3 a organiJación de6e aseg7rar @7elos +roeedores eBternos asignen res+onsa6ilidades +ara eri5icar la con5ormidad y elc7m+limiento de los re@7isitos de los ac7erdos3 De6en estar dis+oni6les 9a6ilidades yrec7rsos s75icientes +ara monitorear los re@7isitos de los ac7erdos (éase F303"*$ en +artic7lar los re@7isitos de seg7ridad de in5ormación3 %e de6en de tomar acciones a+ro+iadas c7ando seo6seren de5iciencias en el sericio entregado3


NTP-I%OIEC !..//FF de !."

a organiJación de6e mantener 7n control y 7na isión general s75iciente en todos losas+ectos +ara in5ormación sensi6le o critica o a los rec7rsos del +rocesamiento de in5ormación

accedidos$ +rocesados o gestionados +or terceros3 a organiJación de6e aseg7rar @7e retenganla isión en las actiidades de seg7ridad como el cam6io en la gerencia$ identi5icación de las7lnera6ilidades e incidentes de la seg7ridad de in5ormación3

O)a in(%)*ación

En caso de o7tso7rcing$ la organiJación necesita estar al tanto @7e la 7ltima res+onsa6ilidad +ara el +rocesamiento de in5ormación realiJada +or 7n tercero recae en la organiJación3

10.2.?@$i%nand% ca*+i% pa)a &% $):ici% $;$)n%

C%n)%&

Cam6ios en la +roisión del sericio$ incl7yendo mantenimiento y me'oras en las +ol4ticas deseg7ridad de in5ormación eBistentes3


El +roceso de gestionar cam6ios +ara los sericios eBternos necesita tomar en c7enta losig7iente<

a*cam6ios realiJados +or la organiJación +ara im+lementar<

!*

0*

"*

realces en el act7al sericio o5recido

desarrollo de c7al@7ier a+licación o sistema n7eo

modi5icaciones o act7aliJaciones de las +ol4ticas y +rocedimientos

organiJacionales

)*

controles n7eos +ara resoler incidentes en la seg7ridad de in5ormación



y +ara me'orar la seg7ridad 6*

cam6ios en los sericios eBternos +ara im+lementar<

!*

0*

"*

cam6ios y realces en las redes

el 7so de n7eas tecnolog4as

ado+ción de n7eos +rod7ctos o ersiones o lanJamientos n7eos


)*

,*

F*

NTP-I%OIEC !..//F. de !."

n7eas 9erramientas y am6ientes de desarrollo

cam6ios en la locación 54sica de los rec7rsos de sericio

cam6ios en el endedor3

10.?P&ani(icación ac$pación d$& i$*a

O&ETI;O< MinimiJar el riesgo de 5allos de los sistemas3

%on necesarios 7na +lani5icación y +re+aración +ara aseg7rar la dis+oni6ilidad de ca+acidad yde rec7rsos adec7ados +ara entregar el sistema de 57ncionamiento re@7erido3

De6er4an realiJarse +royecciones de los re@7isitos 57t7ros de ca+acidad +ara red7cir el riesgode so6recarga del sistema3

%e de6er4a esta6lecer$ doc7mentar y +ro6ar$ antes de s7 ace+tación$ los re@7isitoso+eracionales de los sistemas n7eos3

10.?.1

P&ani(icación d$ &a capacidad

C%n)%&

El 7so de rec7rsos de6e ser monitoreado y las +royecciones 9ec9as de re@7isitos deca+acidades adec7adas 57t7ras +ara aseg7rar el sistema de 57ncionamiento re@7erido3

@,'a d$ c%n)%&

Para cada actiidad @7e se este lleando a ca6o o +ara 7na actiidad n7ea$ los re@7isitos deca+acidad de6en ser identi5icados3 %e de6e a+licar el monitoreo de los sistemas con el 5in deaseg7rar$ y donde sea necesario$ me'orar la dis+oni6ilidad y la e5iciencia de los sistemas3Controles de detección de6en ser instalados +ata detectar los +ro6lemas en 7n tiem+o de6ido3as +royecciones de6er4an tener en c7enta los re@7isitos de las n7eas actiidades y sistemas$as4 como la tendencia act7al y +royectada de tratamiento de la in5ormación en la organiJación3



%e re@7iere +oner +artic7lar atención a c7al@7ier rec7rso con tiem+o de llegada largo o concostos altos +or esto$ la gerencia de6e monitorear la 7tiliJación de los rec7rsos claes delsistema3 %e de6er4an identi5icar las tendencias de 7so$ +artic7larmente relatias a lasa+licaciones del negocio o a las 9erramientas de administración de sistemas de in5ormación3

NORMA TECNICA

PERUANA

NTP-I%OIEC !..//F# de !."

os administradores de6er4an 7sar esta in5ormación +ara identi5icar y eitar los +osi6lesc7ellos de 6otella @7e +7edan re+resentar 7na amenaJa a la seg7ridad del sistema o a lossericios al 7s7ario$ y +ara +lani5icar la acción correctora a+ro+iada3

10.?.2Ac$pación d$& i$*a

C%n)%&

%e de6er4an esta6lecer criterios de ace+tación +ara n7eos sistemas de in5ormación yersiones n7eas o me'oradas y se de6er4an desarrollar con ellos las +r7e6as adec7adas antesde s7 ace+tación3


os administradores se de6er4an aseg7rar @7e los re@7isitos y criterios de ace+tación de losn7eos sistemas estén claramente de5inidos$ acordados$ doc7mentados y +ro6ados3 osn7eos sistemas de in5ormación$ act7aliJaciones y las n7eas ersiones de6en ser migradas a

+rod7cción solamente des+7és de o6tener 7na ace+tación 5ormal3 %e de6er4an considerar lossig7ientes +7ntos antes de o6tener la ace+tación 5ormal<

a*

6*

los re@7isitos de rendimiento y ca+acidad de los com+7tadores

los +rocedimientos de rec7+eración de errores y reinicio$ as4 como los +lanes

de contingencia

c*

la +re+aración y +r7e6a de +rocedimientos o+eratios de r7tina seg2n las

normas de5inidas

d*

e*

5*

g*

7n con'7nto acordado de controles y medidas de seg7ridad instalados

man7al de +rocedimiento e5icaJ

+lan de contin7idad del negocio como se re@7iere en el inciso !!3!

la eidencia de @7e la instalación del n7eo sistema no +rod7cir8 re+erc7siones

negatias so6re los eBistentes$ +artic7larmente en los tiem+os con +ico de +roceso comoa 5in de mes



9* la eidencia de @7e se 9a tenido en c7enta el e5ecto @7e tendr8 el n7eo sistemaen la seg7ridad glo6al de la organiJación


NTP-I%OIEC !..//F/ de !."

i*

'*

la 5ormación en la +rod7cción o 7tiliJación de los sistemas n7eos3

la 5acilidad de em+leo$ como este a5ecta el 57ncionamiento del 7s7ario y eita

los errores 97manos3

Para n7eos desarrollos im+ortantes$ se de6er4a cons7ltar al res+onsa6le de o+eraciones y alos 7s7arios en todos los nieles del +roceso de desarrollo +ara aseg7rar la e5icaciao+eracional del diseQo del sistema +ro+7esto3 %e de6er4an realiJar +r7e6as a+ro+iadas +ara

con5irmar @7e se 9an satis5ec9o com+letamente todos los criterios de ace+tación3

O)a in(%)*ación

a ace+tación +7ede incl7ir 7na certi5icación 5ormal y 7n +roceso de acreditación +araeri5icar @7e los re@7isitos de seg7ridad 9an sido a+ro+iadamente aneBados3

10.P)%$cción c%n)a %(Ma)$ *a&ici%%

O&ETI;O< Proteger la integridad del so5tare y de la in5ormación3

%e re@7ieren ciertas +reca7ciones +ara +reenir y detectar la introd7cción de so5taremalicioso3

El so5tare y los rec7rsos de tratamiento de in5ormación son 7lnera6les a la introd7cción deso5tare malicioso como ir7s in5orm8ticos$ Vg7sanos de la redW$ Vca6allos de troyaW yV6om6as lógicasW3 os 7s7arios de6er4an conocer los +eligros @7e +7ede ocasionar el so5taremalicioso o no a7toriJado y los administradores de6er4an introd7cir controles y medidas

es+eciales +ara detectar o eitar s7 introd7cción3

10..14$dida c%n)%&$ c%n)a %(Ma)$ *a&ici%%

C%n)%&

%e de6er4an im+lantar controles +ara detectar el so5tare malicioso y +reenirse contra él$ '7nto a +rocedimientos adec7ados +ara concientiJar a los 7s7arios3





NTP-I%OIEC !..//.1 de !."

a +rotección contra el so5tare malicioso de6er4a 6asarse en la conciencia de la seg7ridad$en sistemas adec7ados de acceso y en controles de gestión de los cam6ios3 os controlessig7ientes de6er4an ser considerados<

a*

7na +ol4tica 5ormal @7e re@7iera el c7m+limiento de las licencias de so5tare y

la +ro9i6ición del 7so de so5tare no a7toriJado (éase el inciso !,3!30*

6*

7na +ol4tica 5ormal de +rotección contra los riesgos asociados a la o6tención de

arc9ios y so5tare +or redes eBternas o c7al@7ier otro medio$ indicando las medidas +rotectoras a ado+tar

c*

la realiJación de reisiones reg7lares del so5tare y de los datos contenidos en

los sistemas @7e so+ortan +rocesos cr4ticos de la organiJación3 %e de6er4a inestigar 5ormalmente la +resencia de todo arc9io no a+ro6ado o toda modi5icación noa7toriJada

d*

la instalación y act7aliJación 5rec7ente de so5tare de detección y re+aración

de ir7s$ @7e eB+loren los com+7tadores y los medios de 5orma r7tinaria o como 7ncontrol +reentio las reisiones lleadas a ca6o de6en incl7ir<

!*

eri5icación de arc9ios electrónicos de origen incierto o no a7toriJado$ o

reci6idos a traés redes no 5ia6les$ +ara com+ro6ar la eBistencia de ir7s antesde 7sarlos

0*

eri5icación de todo arc9io ad'7nto a 7n correo electrónico o de toda

descarga +ara 67scar so5tare malicioso antes de 7sarlo3 Esta com+ro6ación se9ar8 en distintos l7gares$ +or e'em+lo$ en los seridores de correo$ en loscom+7tadores +ersonales o a la entrada en la red de la organiJación

"*

la eri5icación de códigos maliciosos en las +aginas e63

e*

los +rocedimientos y res+onsa6ilidades de administración +ara la 7tiliJación de

la +rotección de antiir7s$ la 5ormación +ara s7 7so$ la in5ormación de los ata@7es de losir7s y la rec7+eración de éstos (éanse los incisos !"3! y !"30*5* los +lanes de contin7idad del negocio a+ro+iados +ara rec7+erarse de losata@7es de ir7s$ incl7yendo todos los datos y so5tare necesarios de res+aldo y lasdis+osiciones +ara la rec7+eración (éase el ca+4t7lo !)*

g*

la im+lementación de +rocedimientos +ara recolectar in5ormación

reg7larmente$ como s7scri6irse a listas de correo yo eri5icar +aginas e6 @7econtengan in5ormación so6re n7eos ir7s3

9*

los +rocedimientos +ara eri5icar toda la in5ormación relatia al so5tare



malicioso y aseg7rarse @7e los 6oletines de alerta son +recisos e in5ormatios3 osadministradores se de6er4an aseg7rar @7e se di5erencian los ir7s reales de los 5alsos


NTP-I%OIEC !..//.! de !."

aisos de ir7s$ 7sando 57entes cali5icadas$ +or e'em+lo$ reistas re+7tadas$ sitios deInternet 5ia6les o los +roeedores de so5tare antiir7s3 %e de6er4a adertir al +ersonalso6re el +ro6lema de los 5alsos aisos de ir7s y @7é 9acer en caso de reci6irlos3

O)a in(%)*ación

El 7so de dos o mas +rod7ctos de so5tare +rotegiéndonos contra códigos maliciosos a traésdel am6iente de +rocesamiento de in5ormación desde di5erentes endedores +7ede me'orar lae5ectiidad de esta +rotección3

os so5tare @7e +rotegen contra códigos maliciosos +7eden ser instalados +ara +roeer act7aliJaciones a7tom8ticas de arc9ios de de5inición y +ara eB+lorar los motores +araaseg7rar @7e la +rotección se enc7entre act7aliJada3 En adición$ este so5tare +7ede ser instalado en c7al@7ier escritorio +ara llear a ca6o eri5icaciones a7tom8ticas3

%e de6e tener m7c9o c7idado al +roteger contra la introd7cción de código malicioso d7ranteel mantenimiento y los +rocedimientos de emergencia$ ya @7e estos +7eden +asar controlesnormales de +rotección3

10..24$dida c%n)%&$ c%n)a códig% *ó:i&

C%n)%&

Donde el 7so de código móil es a7toriJado$ la con5ig7ración de6e aseg7rar @7e dic9o códigomóil o+era de ac7erdo a 7na +ol4tica de seg7ridad de5inida y @7e se de6e +reenir @7e estesea e'ec7tado3


as sig7ientes acciones de6en ser consideradas +ara +rotegernos contra acciones noa7toriJadas de códigos móiles<

a*

6*c*

d*

e'ec7tar 7n código móil en 7n am6iente lógico aislado

6lo@7ear c7al@7ier 7so de código móil

6lo@7ear el reci6o de código móil

actiar medidas técnicas como estén dis+oni6les en 7n sistema es+eci5ico +ara

aseg7rar @7e el código móil esta mane'ado




NTP-I%OIEC !..//.0 de !."

e*

5*

controlar los rec7rsos dis+oni6les al acceso de código móil

controlar cri+togr85icamente +ara a7tenti5icar indiid7almente 7n código

móil3

O)a In(%)*ación

El código móil es 7n código de so5tare @7e se trans5iere desde 7na com+7tadora a otra yl7ego e'ec7ta a7tom8ticamente y realiJa 7na 57nción es+eci5ica con +oco o ning7nainteracción del 7s7ario3 El código móil esta asociado con 7n n2mero de sericiosmiddleare3

En adición +ara aseg7rar @7e los códigos móiles no contienen código malicioso$ es esencialcontrolarlos con el 5in de eitar 7n 7so desa7toriJado o 7na interr7+ción del sistema$ red oa+licaciones y otras ramas de la seg7ridad de in5ormación3

10.@$ión d$ )$pa&d% )$c,p$)ación

O&ETI;O< Mantener la integridad y la dis+oni6ilidad de los sericios de tratamiento dein5ormación y com7nicación3

%e de6er4an esta6lecer +rocedimientos r7tinarios +ara conseg7ir la estrategia ace+tada deres+aldo (éase el inciso !)3!* 9aciendo co+ias de seg7ridad y ensayando s7 o+ort7narec7+eración3

10..1R$c,p$)ación d$ &a in(%)*ación

C%n)%&

%e de6er4an 9acer reg7larmente co+ias de seg7ridad de toda la in5ormación esencial delnegocio y del so5tare$ en concordancia con la +ol4tica acordada de rec7+eración3


Adec7ados sericios de res+aldo de6en ser +roistos +ara aseg7rar @7e toda la in5ormación

esencial del negocio +7eda rec7+erarse tras 7n desastre o 7n 5allo de los medios3




NTP-I%OIEC !..//." de !."

os sig7ientes +7ntos de la rec7+eración de in5ormación de6en ser considerados<

a*

6*

se de6er4a de5inir el niel necesario de rec7+eración de la in5ormación

se de6er4a almacenar 7n niel m4nimo de in5ormación de res+aldo$ '7nto a los

registros eBactos y com+letos de las co+ias de seg7ridad y a +rocedimientosdoc7mentados de rec7+eración

c*

la eBtensión y 5rec7encia de los res+aldos de6en re5le'ar las necesidades de la

organiJación$ los re@7isitos de seg7ridad de la in5ormación en7elta$ y la criticidad de lain5ormación +ara la o+eración contin7a de la organiJación

d*

los res+aldos de6en estar almacenados en 7na locación remota$ en 7na

distancia s75iciente +ara esca+ar de c7al@7ier daQo 5rente a 7n desastre en el local +rinci+al

e*

se de6er4a dar a la in5ormación de res+aldo 7n niel adec7ado de +rotección

54sica y del entorno (éase el ca+4t7lo /*$ 7n niel consistente con las normas a+licadasen el local +rinci+al3 %e de6er4an eBtender los controles y medidas a+licados a losmedios en el local +rinci+al +ara c76rir el local de res+aldo

5*

los medios de res+aldo se de6er4an +ro6ar reg7larmente$ donde sea 5acti6le$

+ara aseg7rar @7e son 5ia6les c7ando sea +reciso s7 7so en caso de emergencia

g*

se de6er4an com+ro6ar y +ro6ar reg7larmente los +rocedimientos de

rec7+eración +ara aseg7rar @7e son e5icaces y @7e +7eden c7m+lirse en el tiem+oesta6lecido +or los +rocedimientos o+eratios de rec7+eración

9*

en sit7aciones donde la con5idencialidad sea im+ortante$ los res+aldos de6en

ser +rotegidos +or medios de encri+tación3

De6en +ro6arse reg7larmente arreglos indiid7ales de las co+ias de seg7ridad de los sistemas +ara aseg7rar @7e estos re2nen los re@7isitos de los +lanes de contin7idad del negocio (éaseel ca+it7lo !)*3 Para los sistemas cr4ticos$ los arreglos a7Biliares de6en c76rir toda lain5ormación de los sistemas$ a+licaciones y datos necesarios de rec7+erarse del sistemacom+leto en caso de 7n desastre3

El +eriodo de retención +ara la in5ormación esencial del negocio$ y tam6ién c7al@7ier re@7isito +ermanente +ara las co+ias de los arc9ios de6e determinarse (éanse el inciso!,3!3"*3

O)a in(%)*ación

NORMA TECNICA



PERUANA

NTP-I%OIEC !..//.) de !."

as co+ias de seg7ridad +7eden a7tomatiJarse +ara aliiar el +roceso de resta7ración3 De6en +ro6arse tales sol7ciones a7tomatiJadas s75icientemente antes de la im+lementación y ainteralos reg7lares3

10.6@$ión d$ $g,)idad $n )$d$

O&ETI;O< Aseg7rar la salag7arda de la in5ormación en las redes y la +rotección de s7in5raestr7ct7ra de a+oyo3

a gestión de la seg7ridad de las redes @7e cr7Jan las 5ronteras de la organiJación re@7iere

7na atención @7e se concreta en controles y medidas adicionales +ara +roteger los datossensi6les @7e circ7lan +or las redes +26licas3

Controles adicionales +7eden ser re@7eridos tam6ién con el 5in de +roteger in5ormaciónsensi6le +asando so6re redes +76licas3

10.6.1C%n)%&$ d$ )$d

C%n)%&

as redes de6en ser mane'adas y controladas adec7adamente +ara +rotegerse de amenaJas y +ara mantener la seg7ridad en los sistemas y a+licaciones 7sando las redes$ incl7yendoin5ormación en transito3


os administradores de redes de6er4an im+lantar los controles y medidas re@7eridas +araconseg7ir y conserar la seg7ridad de los datos en las redes de com+7tadores$ as4 como la

+rotección de los sericios conectados contra accesos no a7toriJados3 En +artic7lar$ sede6er4an considerar los controles y medidas sig7ientes<

a*a res+onsa6ilidad o+eratia de las redes de6er4a estar se+arada de la

o+eración de los com+7tadores si es necesario (éase el inciso !13!3"*

6*

%e de6er4an esta6lecer res+onsa6ilidades y +rocedimientos +ara la gestión de

los e@7i+os remotos$ incl7yendo los de las 8reas de los 7s7arios

c*%e de6er4an esta6lecer$ si +rocede$ controles y medidas es+eciales +ara

salag7ardar la con5idencialidad y la integridad de los datos @7e +asen a traés de redes +26licas$ as4 como +ara +roteger los sistemas conectados (éanse los incisos !!3) y




NTP-I%OIEC !..//., de !."

!03"*3 Tam6ién se de6er4an re@7erir controles y medidas es+eciales +ara mantener ladis+oni6ilidad de los sericios de las redes y de los com+7tadores conectados

d*

Un registro y monitoreo a+ro+iado de6e ser a+licado +ara +ermitir el registro

de acciones releantes de seg7ridad

e*

%e de6er4an coordinar estrec9amente las actiidades de gestión tanto +ara

o+timiJar el sericio al negocio como +ara aseg7rar @7e los controles y medidas sea+lican co9erentemente en toda la in5raestr7ct7ra de tratamiento de la in5ormación3

O)a In(%)*ación

In5ormación adicional en seg7ridad de redes +7ede ser encontrada en I%OIEC !#10#3

10.6.2S$g,)idad $n &% $):ici% d$ )$d$

C%n)%&

as caracter4sticas de seg7ridad$ nieles de sericio y los re@7isitos de gestión de todos lossericios de red de6en ser identi5icados e incl7idos en c7al@7ier ac7erdo de sericio de red$as4 estos sericios sean +roistos dentro o 57era de la organiJación3


a 9a6ilidad del +roeedor del sericio de red +ara mane'ar sericios acordados de 7namanera seg7ra de6e ser determinado y monitoreado reg7larmente$ y el derec9o +ara a7ditar de6e ser acordado3

os ac7erdos de seg7ridad necesarios +ara sericios +artic7lares$ como caracter4sticas deseg7ridad$ nieles de sericio y los re@7isitos de gestión$ de6en ser identi5icados3 aorganiJación de6e aseg7rarse @7e los +roeedores del sericio de red im+lementen estasmedidas3

O)a in(%)*ación

os sericios de red incl7yen la +roisión de coneBiones$ sericios de red +riados y redes dealor agregado as4 como sol7ciones mane'adas de seg7ridad de redes como 5irealls ysistemas de detección de intr7sos3 Estos sericios +7eden alcanJar desde 7n sim+le anc9o de

6ando no mane'ado 9asta o5ertas com+le'as de alor agregado3 NORMA TECNICAPERUANA



as caracter4sticas de los sericios de seg7ridad de redes +7eden ser<

NTP-I%OIEC !..//.F de !."

a*tecnolog4a a+licada +ara sericios de seg7ridad de red$ como a7tenti5icación$

encri+tado y controles de coneBión de red

6* +ar8metros técnicos re@7eridos +ara 7na coneBión seg7ra con los sericios de

red en concordancia con las reglas de seg7ridad y coneBión de red

c*

+rocedimientos +ara el 7so de los sericios de red +ara restringir el acceso a

estos sericios o a+licaciones donde sea necesario3

10.7i&i>ación d$ &% *$di% d$ in(%)*ación

O&ETI;O< Preenir acceso no a7toriJado$ modi5icaciones$ eitar daQos a los actios einterr7+ciones de las actiidades de la organiJación3

os medios de6en ser controlados y 54sicamente +rotegidos3

%e de6er4an esta6lecer los +rocedimientos o+eratios adec7ados +ara +roteger losdoc7mentos$ medios in5orm8ticos (discos$ cintas$ etc3*$ datos de entrada o salida y

doc7mentación del sistema$ de daQo$ modi5icación$ ro6o y acceso no a7toriJado3

10.7.1@$ión d$ *$di% )$*%:i+&$

C%n)%&

De6er4a 9a6er +rocedimientos +ara la gestión de los medios in5orm8ticos remoi6les3


%e de6er4an considerar las sig7ientes +a7tas +ara la gestión de los medios remoi6les<

a*se de6er4an 6orrar c7ando no se necesiten m8s$ los contenidos +reios de todo

medio re7tiliJa6le del @7e se des+renda la organiJación

6*

donde sea necesario y +ractico$ todo medio desec9ado +or la organiJación

de6er4a re@7erir a7toriJación y se de6er4a g7ardar registro de dic9a remoción +arag7ardar 7na +ista de a7ditoria




NTP-I%OIEC !..//.# de !."

6*los +rocedimientos de6en +ermitir identi5icar los 4tems @7e +7edan re@7erir 7n

dis+ositio de seg7ridad

c*

+7ede ser m8s 58cil recoger y eliminar con seg7ridad todos los ti+os de medios

@7e intentar se+arar los @7e contienen in5ormación sensi6le

d*

m7c9as organiJaciones o5recen sericios de reco'o y eliminación de +a+el$

e@7i+os y medios3 De6er4a c7idarse la selección de los +roeedores adec7ados seg2n s7eB+eriencia y lo satis5actorio de los controles @7e ado+ten

e*

se de6er4a registrar la eliminación de elementos sensi6les donde sea +osi6le

+ara mantener 7na +ista de a7ditoria3

%e de6er4a considerar el e5ecto de ac7m7lación de medios a la 9ora de eliminar$ ya @7e +7edes7ceder @7e 7na gran cantidad de in5ormación no clasi5icada sea m8s sensi6le @7e 7na

+e@7eQa cantidad de in5ormación clasi5icada3

O)a In(%)*ación

a in5ormación sensi6le +7ede ser di7lgada a traés de medios desec9ados sin c7idado(éase el inciso /303F*3

10.7.?P)%c$di*i$n% d$ *anip,&ación d$ &a in(%)*ación

C%n)%&

os +rocedimientos +ara la mani+7lación y almacenamiento de la in5ormación de6en ser esta6lecidos +ara +roteger esta in5ormación de di7lgaciones o 7sos no a7toriJados3


%e de6er4an esta6lecer +rocedimientos de mani+7lación y almacenamiento de la in5ormaciónde 5orma co9erente con s7 clasi5icación (éase el inciso .30*3 os sig7ientes 4tems de6en ser considerados<

a*

6*

c*

eti@7etado en la administración de todos los medios

restricciones de acceso +ara identi5icar al +ersonal no a7toriJado

mantenimiento de 7n registro 5ormal de reci+ientes a7toriJados de datos




NTP-I%OIEC !..//./ de !."

d*aseg7ramiento de @7e los datos de entrada$ s7 +roceso y la alidación de la

salida est8n com+letos

e*

+rotección de los datos @7e est8n en cola +ara s7 salida en 7n niel co9erente

con s7 criticidad

5*

almacenamiento de los medios en 7n entorno acorde con las es+eci5icaciones

del 5a6ricante

g*

9*

minimiJar la distri67ción de datos

identi5icación clara de todas las co+ias de datos +ara s7 atención +or el rece+tor

a7toriJado

i*

reisión de las listas de distri67ción y de rece+tores a7toriJados a interalos

reg7lares3

O)a In(%)*ación

Estos +rocedimientos a+lican a la in5ormación en doc7mentos$ sistemas de com+7to$ redes$

com+7tadores móiles$ com7nicaciones móiles$ correo$ correo de oJ$ com7nicaciones deoJ en general$ m7ltimedia$ sericios y rec7rsos +ostales$ 7so de ma@7inas de 5aB y c7al@7ier otro 4tem sensi6le$ como c9e@7es o 5act7ras310.7. S$g,)idad d$ &a d%c,*$nación d$ i$*a

C%n)%&

os doc7mentación de sistemas de6e ser +rotegida contra acceso no a7toriJado3@,'a d$ I*p&$*$nación

Para +roteger la doc7mentación de sistemas de accesos no a7toriJados se de6er4an considerar lo sig7iente<

a*

6*

la doc7mentación de sistemas se de6er4a almacenar con seg7ridad

la lista de acceso a la doc7mentación de sistemas se de6er4a limitar al m8Bimo$

y ser a7toriJada +or el +ro+ietario de la a+licación

c*

la doc7mentación de sistemas mantenida en 7na red +26lica$ o s7ministrada 4a

7na red +26lica$ se de6er4a +roteger adec7adamente3

NORMA TECNICA

PERUANA



NTP-I%OIEC !..//#1 de !."

O)a In(%)*ación

a doc7mentación de sistemas +7ede contener 7n rango de in5ormación sensi6le como +or e'em+lo descri+ciones de los +rocesos de las a+licaciones$ +rocedimientos$ estr7ct7ra de datosy a7toriJación de +rocesos3

10.GIn$)ca*+i% d$ in(%)*ación

O&ETI;O< Eitar la +érdida$ modi5icación o mal 7so de la in5ormación intercam6iada entreorganiJaciones

%e de6er4an realiJar los intercam6ios so6re la 6ase de ac7erdos 5ormales3 %e de6er4ancontrolar los intercam6ios de in5ormación y so5tare entre organiJaciones$ @7e de6er4an

c7m+lir con toda la legislación corres+ondiente (éase el ca+4t7lo !,*3

%e de6er4an esta6lecer +rocedimientos y normas +ara +roteger la in5ormación de los mediosen tr8nsito3

10.G.1P%&'ica p)%c$di*i$n% pa)a $& in$)ca*+i% d$ in(%)*ación %(Ma)$

C%n)%&

%e de6er4an esta6lecer +ol4ticas$ +rocedimientos y controles 5ormales de intercam6io con el5in de +roteger la in5ormación a traés de todos los ti+os de instalaciones de com7nicación3


os +rocedimientos y controles 9a ser seg7idos c7ando se 7tilice instalaciones electrónicas decom7nicación +ara el intercam6io de in5ormación de6en considerar lo sig7iente<

a*los +rocedimientos designados +ara +roteger la in5ormación intercam6iada de

7na interce+ción$ co+iado$ modi5icación$ cam6io de r7ta y destr7cción

6*

los +rocedimientos +ara la detección y +rotección contra código malicioso @7e

+7ede ser transmitido a traés del 7so de com7nicación electrónica (éase el inciso!13)3!*

c*

los +rocedimientos +ara +roteger in5ormación electrónica sensi6le @7e esta en

5orma de arc9io ad'7nto NORMA TECNICAPERUANA



recordar al +ersonal so6re los +ro6lemas de 7sar las ma@7inas de 5aB$

nom6rando<


!*

NTP-I%OIEC !..//#0 de !."

el acceso no a7toriJado +ara crear almacenes de mensa'es con el 5in de

rec7+erarlos

0*

la +rogramación deli6erada o accidentada de las ma@7inas +ara eniar

mensa'es a n2meros es+ec45icos

"*

en4o de doc7mentos y mensa'es a 7n n7mero e@7iocado +or 7n mal

discado o +or el 7so de 7n n7mero mal gra6ado

n*

recordar al +ersonal no registrar datos demogr85icos$ como la dirección de

correo 7 otra in5ormación +ersonal en c7al@7ier so5tare +ara eitar s7 7so noa7toriJado

o*

recordar al +ersonal @7e los 5aB modernos y las 5otoco+iadoras tienen +aginas

cac9e y +aginas almacenadas en caso de @7e el +a+el se tra6e y lo im+rimir8 7na eJ@7e se corri'a el error3

En adición$ el +ersonal de6e recordar @7e no de6en de tener conersaciones con5idenciales enl7gares +26licos o en o5icinas a6iertas y salas de re7nión con +aredes @7e no sean a+r7e6a desonido3

os rec7rsos de intercam6io de in5ormación de6en concordar con c7al@7ier re@7isito legalreleante (éase ca+it7lo !,*3

O)a In(%)*ación

El intercam6io de in5ormación +7ede oc7rrir a traés del 7so de 7n n7mero di5erente de ti+osde rec7rsos de com7nicación$ incl7yendo correo electrónico$ oJ$ 5aB y ideo3

El intercam6io de so5tare +7ede oc7rrir a traés de 7n n7mero di5erente de medios$incl7yendo descargas desde el Internet y ad@7isición +or medio de endedores3

%e de6en considerar las im+licaciones de negocio$ legales y de seg7ridad$ asociados con elintercam6io electrónico de datos$ comercio electrónico$ com7nicaciones electrónicas y losre@7erimientos +ara los controles3

a in5ormación +7ede ser com+rometida de6ido a la 5alta de +reca7ción$ +ol4tica o +rocedimientos en el 7so de los rec7rsos de intercam6io de in5ormación$ como ser esc7c9ado



en 7n telé5ono móil en 7n l7gar +76lico$ mala dirección de 7n correo electrónico$ ma@7inas


NTP-I%OIEC !..//#" de !."

contestadoras esc7c9adas$ acceso no a7toriJado a los sistemas de correo de oJ y el en4o de5aBes al e@7i+o e@7iocado3

as o+eraciones de negocio +7eden ser interr7m+idas y la in5ormación +7ede ser com+rometida si las instalaciones de com7nicación 5allan$ se so6recargan o se interr7m+en(éase !13" y el ca+it7lo !)*3 a in5ormación +7ede ser com+rometida si es accesada +or 7s7arios no a7toriJados (éase el ca+it7lo !!*3

10.G.2Ac,$)d% d$ In$)ca*+i%

C%n)%&

os ac7erdos de6en ser esta6lecidos +ara el intercam6io de in5ormación y so5tare entre laorganiJación y terceros3


os ac7erdos de intercam6io de6en considerar las sig7ientes condiciones de seg7ridad<

a*las res+onsa6ilidades de la gerencia +ara controlar y noti5icar la transmisión$

des+ac9o y reci6o

6*c*

d*

e*

5*

g*

+rocedimientos +ara noti5icar al @7e en4a la transmisión$ des+ac9o o reci6o +rocedimientos +ara aseg7rar al traJa6ilidad y la no re+rod7cción

est8ndares técnicos m4nimos +ara em+acado y transmisión

ac7erdos de 5ideicomiso

est8ndares de identi5icación de mensa'er4a

res+onsa6ilidades en los eentos de los incidentes de la seg7ridad de

in5ormación como la +erdida de datos

9*

7so de 7n sistema acordado de eti@7etado +ara in5ormación sensi6le o critica$

aseg7rando @7e los signi5icados de las eti@7etas sea entendido de inmediato y @7e la

in5ormación sea +rotegida a+ro+iadamente

i*

las +ro+iedades y res+onsa6ilidades de la +rotección de datos$ co+yrig9t$

con5ormidad de la licencia de so5tare y consideraciones similares (éase !,3!30 y!,3!3)*

'*



est8ndares técnicos +ara gra6ar y leer in5ormación y so5tare


NTP-I%OIEC !..//#) de !."

*c7al@7ier control es+ecial @7e +7eda ser re@7erido +ara +roteger 4tems

sensi6les como las llaes cri+togr85icas (éase el inciso !03"*3

as +ol4ticas$ +rocedimientos y est8ndares de6en ser esta6lecidos y mantenidos +ara +roteger in5ormación y medios 54sicos en transito (éase el inciso !13#3"* y de6en ser re5erenciados enlos ac7erdos de intercam6io3

a contenido de seg7ridad de c7al@7ier ac7erdo de6e re5le'ar la sensi6ilidad de la in5ormaciónde negocios en7elta3

O)a In(%)*ación

os ac7erdos +7eden ser electrónicos o man7ales y +7eden tomar la 5orma de contratos5ormales o condiciones de em+leo3 Para la in5ormación sensi6le$ los mecanismos es+ec45icos7sados +ara el intercam6io de dic9a in5ormación de6en ser consistentes +ara todas lasorganiJaciones y ti+os de ac7erdo3

10.G.?4$di% ('ic% $n )áni%

C%n)%&

os medios conteniendo in5ormación de6en ser +rotegidos contra acceso no a7toriJado$ mal7so o corr7+ción d7rante el trans+orte 57era de los limites 54sicos de la organiJación3


as sig7ientes +a7tas de6en ser considerada +ara +roteger medios de in5ormacióntrans+ortados entre l7gares<

a in5ormación +7ede ser 7lnera6le a accesos no a7toriJados$ a mal 7so o a corr7+ciónd7rante s7 trans+orte 54sico3 %e de6er4an a+licar los sig7ientes controles y medidas +arasalag7ardar los medios in5orm8ticos trans+ortados entre sedes<

a*

6*

de6er4an 7sarse trans+ortes o mensa'eros 5ia6les

de6er4a conenirse entre las gerencias 7na lista de mensa'eros a7toriJados3

NORMA TECNICA



PERUANA

NTP-I%OIEC !..//#, de !."

c*

d*

e*

se de6er4a realiJar 7n +rocedimiento +ara com+ro6ar la identi5icación de losmensa'eros 7tiliJados

el enase de6er4a ser s75iciente +ara +roteger el contenido contra c7al@7ier daQo 54sico @7e +7eda oc7rrir d7rante el tr8nsito$ de ac7erdo con lases+eci5icaciones de los 5a6ricantes$ +or e'em+lo +rotegiéndonos contrac7al@7ier 5actor am6iental @7e +7eda red7cir la e5ectiidad de la resta7racióndel medio como 7na eB+osición al calor$ 97medad o a cam+oselectromagnéticos

de6er4an ado+tarse controles es+eciales +ara +roteger la in5ormación sensi6lede la di7lgación o modi5icación no a7toriJadas$ +or e'em+lo<

!*

0*

"*

)*

7so de contenedores cerrados

entrega en mano

enase con detección de a+ert7ra (@7e reela c7al@7ier intento deacceso*

en casos eBce+cionales$ 5raccionamiento del en4o en ar4as entregas

@7e se en4an +or r7tas di5erentes

O)a In(%)*ación

a in5ormación +7ede ser 7lnera6le a los accesos no a7toriJados$ al mal 7so o corr7+ciónd7rante el trans+orte 54sico$ +ara instancias en donde se en4e medios 4a sericio +ostal o 4amensa'er4a3

10.G.S$g,)idad $n &a *$naK$)'a $&$c)ónica

C%n)%&

a in5ormación im+licado con la mensa'er4a electrónica de6e ser +rotegida a+ro+iadamente3


as consideraciones de seg7ridad +ara la mensa'er4a electrónica de6er4an incl7ir lo sig7iente<

a*

+rotección de mensa'es de accesos no a7toriJados$ modi5icaciones o negación

del sericio NORMA TECNICAPERUANA



NTP-I%OIEC !..//#F de !."

6*

c*

d*e*

aseg7rar 7na dirección y 7n trans+orte correcto del mensa'e

con5ia6ilidad y dis+oni6ilidad general del sericio

consideraciones legales$ +or e'em+lo los re@7isitos +ara 5irmas electrónicas

o6tención de a+ro6ación antes de 7tiliJar sericios eBternos +26licos como

mensa'er4a instant8nea o arc9ios com+artidos

5*

nieles mas 57ertes de a7tenti5icación del acceso de control de redes +76licas

accesi6les3

O)a In(%)*ación

a mensa'er4a electrónica como los correos$ el intercam6io electrónico de datos y lamensa'er4a instant8nea$ '7egan 7n +a+el im+ortante en las com7nicaciones de negocios3 amensa'er4a electrónica tiene di5erentes riesgos @7e las com7nicaciones en +a+el3

10.G.Si$*a d$ In(%)*ación d$ N$g%ci%

C%n)%&

%e de6er4an desarrollar e im+lementar +ol4ticas y +rocedimientos con el 5in de +roteger lain5ormación asociada con la interconeBión de sistemas de in5ormación de negocios3


as consideraciones dadas a la seg7ridad e im+licaciones de seg7ridad de interconectar dic9asinstalaciones$ de6en incl7ir<

a* 7lnera6ilidades conocidas en los sistemas de administración y conta6ilidad

donde la in5ormación es com+artida +or di5erentes +artes de la organiJación

6*

7lnera6ilidades de in5ormación en sistemas de com7nicación de negocios$

como el gra6ado de llamadas tele5ónicas o de con5erencia$ las llamadas con5idenciales$el almacenamiento de 5aBes$ el correo a6ierto$ la distri67ción de correo

c*

+ol4ticas y controles a+ro+iados +ara mane'ar in5ormación com+artida

NORMA TECNICA

PERUANA



NTP-I%OIEC !..//#. de !."

d*eBcl7ir categor4as de in5ormación de negocios sensi6le y clasi5icar doc7mentos

si los sistemas no +roeen 7n niel a+ro+iado de +rotección (éase el inciso .30*

e*

acceso restringido a la in5ormación diaria relacionado con indiid7os selectos$

como el +ersonal @7e tra6a'a en +royectos sensi6les

5*

categor4as de +ersonal$ contratistas o socios de negocios a los @7e se les

+ermite el 7so del sistema y de las locaciones desde donde +7ede ser accesado (éaseF30 y F3"*

g*

9*

instalaciones restringidas seleccionadas +ara categor4as de 7s7ario es+eci5icas

identi5icación del estado de 7s7arios$ como los em+leados de la organiJación o

contratistas en los directorios +ara 6ene5icio de otros 7s7ariosi*!13,3!*

'*

retención y so+orte de la in5ormación colgada en el sistema (éase el inciso

re@7isitos en el retraso y en los arreglos (éase ca+it7lo !)*3

O)a In(%)*ación

os sistemas de in5ormación de o5icinas son o+ort7nidades +ara 7na r8+ida diseminación y elcom+artir in5ormación de negocio 7sando 7na com6inación de< doc7mentos$ com+7tadores$com+7tadores móiles$ com7nicaciones móiles$ correo$ correo de oJ$ com7nicaciones deoJ en general$ m7ltimedia$ sericiosinstalaciones +ostales y ma@7inas de 5aB3

10."S$):ici% d$ c%))$% $&$c)ónic%

O&ETI;O< Aseg7rar la seg7ridad de los sericios de comercio electrónico y de s7 7so

seg7ro3as im+licaciones de seg7ridad asociadas con el 7so de sericios de comercio electrónico$incl7yendo transacciones en l4nea y los re@7isitos +ara los controles3 a integridad ydis+oni6ilidad de la in5ormación electrónica +76licada a traés de sistemas dis+oni6les de

+76licidad de6en ser tam6ién consideradas3

10.".1

C%n)%&

C%*$)ci% E&$c)ónic%




NTP-I%OIEC !..//## de !."

a in5ormación en7elta en el comercio electrónico +asando a traés de redes +76licas$ de6enser +rotegidas de actiidad 5ra7d7lenta$ dis+7tas de contratos y de acceso y modi5icación noa7toriJada3

@,'a d$ I*p&$*$naciónas consideraciones de seg7ridad +ara el comercio electrónico de6e incl7ir lo sig7iente<

a*

6*

el niel de con5idencia @7e cada +arte re@7iere en la identidad demanda

los +rocesos de a7toriJación asociados con el @7e +7ede designar los +recios$

ediciones o 5irmas en los doc7mentos de negocio

c*

aseg7rar @7e los socios de negocio se enc7entran totalmente in5ormados de s7s

a7toriJaciones

d*

determinar los re@7erimientos de con5idencialidad$ integridad$ +r7e6a de

des+ac9o y rece+ción de los doc7mentos clae y la no negación de contratos$ como +or e'em+lo los @7e est8n asociados con los +rocesos de o5recimiento y contrato

e*

el niel de con5ianJa re@7erido en la integridad de las listas de +recio

an7nciadas

5*

g*

la con5idencialidad de c7al@7ier dato o in5ormación sensi6le$

la con5idencialidad e integridad de c7al@7ier orden de transacción$ in5ormación

de +ago$ detalles de direcciones de entrega y con5irmaciones de reci6os3

9*

el grado de eri5icación a+ro+iado +ara eri5icar la in5ormación de +ago

s7ministrada +or 7n cliente

i*

selección de la 5orma de esta6lecimiento de +ago m8s a+ro+iada con el 5in de

eitar 5ra7des

'*

el niel de +rotección re@7erido +ara mantener la con5idencialidad e integridad

de la in5ormación de orden

*

l*

m*

eitar la +érdida o d7+licidad de la in5ormación de transacciones

con5ia6ilidad asociada con c7al@7ier transacción 5ra7d7lenta

re@7isitos de seg7ro3




NTP-I%OIEC !..//#/ de !."

M7c9as de las consideraciones mencionadas anteriormente +7eden ser aneBadas +or laa+licación de controles cri+togr85icos (éase el inciso !03"*$ tomando en c7enta lacon5ormidad con los re@7isitos legales (éase el inciso !,3!$ es+ecialmente !,3!3F +ara lalegislación cri+togr85ica*3

os arreglos de comercio electrónico entre los socios del negocio de6en ser a+oyados +or 7nac7erdo doc7mentado @7e com+rometa am6as +artes a ace+tar los términos de intercam6io$incl7yendo los detalles de a7toriJación (éase 6* arri6a*3 %e +7eden necesitar otros ac7erdoscon sericio de in5ormación y alor agregado a las redes de los +roeedores3

El sistema +26lico de intercam6io de6e +76licar s7s términos de negocio a los clientes3

%e de6e dar consideración +ara la resistencia al ata@7e de 9ost(s* 7tiliJado +ara el comercioelectrónico y las im+licancias de seg7ridad de c7al@7ier red de interconeBión re@7erida +ara laim+lementación de sericios de comercio electrónico (éase el inciso !!3)3F*3

O)a In(%)*ación

El comercio electrónico es 7lnera6le a 7n n2mero de amenaJas de red @7e +7eden res7ltar enactiidad 5ra7d7lenta$ dis+7tas de contrato y acceso o modi5icación de la in5ormación3

El comercio electrónico +7ede 9acer 7so de métodos seg7ros de a7tenti5icación$ como el 7sode 5irmas digitales (éase el inciso !03"* +ara red7cir riesgos3 Ig7almente$ se +7ede 7tiliJar

+ersonal eBterno con5ia6le donde s7s sericios sean re@7eridos3

10.".2)anacci%n$ $n &'n$a

C%n)%&

a in5ormación im+licada en las transacciones en l4nea de6e ser +rotegida +ara +reenir latransmisión incom+leta$ r7ta e@7iocada$ alteración no a7toriJada de mensa'es$ acceso noa7toriJado$ d7+licado no a7toriJado del mensa'e o re+rod7cción3


as consideraciones de seg7ridad +ara las transacciones en l4nea de6en incl7ir lo sig7iente<


NTP-I%OIEC !..///1 de !."



a*

el 7so de 5irmas electrónicas +or cada 7na de las +artes en7eltas en latransacción

6*

todos los as+ectos de la transacción$ aseg7rando @7e<

!*0*"*

las credenciales de 7s7ario de todas las +artes son alidas y eri5icadasla transacción @7ede con5idencialla +riacidad asociada con todas las +artes es retenida

c*ci5rados

d*seg7roe*

los medios de com7nicación entre todas las +artes im+licadas de6en ser

los +rotocolos 7tiliJadas +ara com7nicarse entre todas las +artes de6e ser

aseg7rar @7e el almacenamiento de los detalles de la transacción estén

localiJados 57era de c7al@7ier am6iente +76lico$ como en 7n +lata5orma de

almacenamiento eBistente en el Intranet de la organiJación$ y @7e no sea retenida nieB+7esta en 7n medio de almacenamiento al @7e se +7ede acceder +or Internet

5*

c7ando 7na a7toridad con5ia6le sea 7sada (+ara +ro+ósitos de +76licar o

mantener 5irmas digitales yo certi5icados digitales* la seg7ridad es integrada a traésde todo +roceso de gestión del certi5icado5irma3

O)a In(%)*ación

El grado de los controles ado+tados necesitar8 ser conmens7rado con el niel de riesgoasociado con cada 5orma de la transacción en l4nea3

as transacciones +7eden necesitar @7e sean con5ormes con las leyes$ reglas y reg7laciones enla '7risdicción en donde la transacción sea generada3

EBisten m7c9as 5ormas de transacciones como las contract7ales o 5inancieras$ @7e +7eden ser realiJadas en l4nea3

10.".?In(%)*ación p,+&ica dip%ni+&$

C%n)%&

a integridad de la in5ormación @7e se 9a 9ec9o dis+oni6le en 7n sistema +26lico de6e ser +rotegido +ara +reenir modi5icaciones no a7toriJadas3


NTP-I%OIEC !..///! de !."




%o5tare$ datos y otra in5ormación @7e re@7iera 7n alto niel de integridad y @7e se enc7entredis+oni6le en 7n sistema +76lico$ de6e ser +rotegido mediante 7n mecanismo a+ro+iado como5irmas digitales (éase !03"*3 El sistema de +76licación accesi6le de6e ser +ro6ado contrade6ilidades y 5allas antes de @7e la in5ormación se enc7entre dis+oni6le3

De6e eBistir 7n +roceso 5ormal a+ro6ado antes de @7e la in5ormación este +26licamente

dis+oni6le3 En adición$ todos los ingresos +roistos desde el eBterior al sistema de6en ser eri5icados y a+ro6ados3

os sistemas de +76licación electrónicos de6en ser controlados c7idadosamente$es+ecialmente los @7e +ermiten retroalimentación e ingreso directo de la in5ormación$ con el5in de @7e<

a*

la in5ormación o6tenida conc7erde con c7al@7ier legislación de +rotección de

datos (éase el inciso !,3!3)*

6*

el ingreso y +rocesamiento de in5ormación en el sistema ser8 +rocesado

com+letamente y act7aliJado a tiem+o

c*

la in5ormación sensi6le ser8 +rotegida d7rante la recolección$ +rocesamiento y

almacenamiento

d*

el acceso al sistema +26lico no +ermite el ingreso inol7ntario a redes a las @7e

el sistema se enc7entre conectado3

O)a In(%)*ación

a in5ormación en 7n sistema +76lico dis+oni6le$ como +or e'em+lo la in5ormación enseridor e6 accesi6le 4a Internet$ +7ede necesitar @7e sea con5orme con las reglas$ leyes yreg7laciones de la '7risdicción en donde dic9o sistema se enc7entra localiJado$ donde elintercam6io se esta lleando a ca6o o donde el +ro+ietario resida3 as modi5icaciones noa7toriJadas de la in5ormación +76licada +7eden daQar la re+7tación de la organiJación

+76licadora3

10.10 4%ni%)$%

O&ETI;O< Detectar las actiidades de +rocesamiento de in5ormación no a7toriJadas3


NTP-I%OIEC !..///0 de !."

os sistemas de6en ser monitoreados y los eentos de la seg7ridad de in5ormación de6en ser gra6adas3 El registro de los o+eradores y el registro de aer4as de6e ser 7sado +ara aseg7rar



@7e los +ro6lemas del sistema de in5ormación sean identi5icados3

Una organiJación de6e c7m+lir con todos los re@7erimientos legales a+lica6les +ara elmonitoreo y el registro de actiidades3

El monitoreo del sistema de6e ser 7tiliJado +ara eri5icar la e5ectiidad de los controlesado+tados y +ara eri5icar la con5ormidad de 7n acceso a 7n modelo de +ol4tica3

10.10.1

R$gi)% d$ &a a,di%)ia

C%n)%&

os registros de a7ditoria gra6ando actiidades de los 7s7arios$ eBce+ciones y eentos de laseg7ridad de in5ormación de6en ser +rod7cidos y g7ardados +ara 7n +eriodo acordado con el5in de @7e asistan en inestigaciones 57t7ras y en el monitoreo de los controles de acceso3


os registros de a7ditoria de6en incl7ir$ c7ando sea releante<

a*

6*

c*

d*

e*

5*

g*

9*

i*

'*

identi5icaciones de 7s7arios

5ec9a y 9ora de coneBión y desconeBión

identidad del terminal o locación si es +osi6le

registros de éBito y 5racaso de los intentos de acceso al sistema

registros de éBito o 5racaso de datos y de otros intentos de acceso a rec7rsos

cam6ios en la con5ig7ración del sistema

7so de +riilegios

7so de las instalaciones y a+licaciones del sistema

arc9ios accesados y el ti+o de acceso

direcciones de red y +rotocolos


NTP-I%OIEC !..///" de !."

*

l*

las alarmas realiJadas +or el sistema de control de accesos

actiación y desactiación de los sistemas de +rotección$ como los sistemas

antiir7s y los sistemas de detección de intr7sos3



O)a In(%)*ación

os registros de a7ditoria de6en contener datos +ersonales con5idenciales3 %e de6en tomar enc7enta medidas a+ro+iadas +ara la +rotección de la +riacidad (éase el inciso !,3!3)*3 Dondesea +osi6le$ los administradores del sistema no de6en de tener +ermiso +ara 6orrar odesactiar los registros de s7s +ro+ias actiidades (éase el inciso !13!3"*3

10.10.24%ni%)$and% $& ,% d$& i$*a

C%n)%&

os +rocedimientos +ara el 7so del monitoreo de las instalación de +rocesamiento dein5ormación de6en ser esta6lecidos y los res7ltados de las actiidades de monitoreo de6en ser reisadas reg7larmente3


El niel de monitoreo re@7erido +ara las instalaciones indiid7ales de6e ser determinado +or 7na eal7ación de riesgos3 Una organiJación de6e c7m+lir con todos los re@7erimientoslegales a+lica6les a s7s actiidades de monitoreo3 as 8reas @7e de6en ser consideradasincl7yen<

a*acceso a7toriJado$ incl7yendo detalles como<

!*

0*

"*

)*

,*

la identi5icación del 7s7ario

la 5ec9a y 9ora de los eentos clae

el ti+o de eento

los arc9ios ingresados

el +rograma e rec7rso 7tiliJados

6*

todas las o+eraciones +riilegiadas$ como<


!*

0*

"*

NTP-I%OIEC !..///) de !."

7so de c7entas +riilegiadas$ como s7+erisores$ administradores

+7esta en marc9a y +arada del sistema

coneBión o desconeBión de 7n rec7rso de entrada o salida

c*



intentos de acceso no a7toriJado$ como<

!*0*

"*

intentos 5allidosacciones con 5allas o rec9aJadas @7e inol7cran datos y otros rec7rsos

iolaciones a la +ol4tica de acceso y las noti5icaciones de los 5irealls y

entradas de red

)*

las alertas de los sistemas de detección de intr7sos del +ro+ietario

d*

alertas o 5allas del sistema como<

!*

0*

"*

)*

alertas o mensa'es de consola

eBce+ciones de registro en el sistema

alarmas de la gerencia de red

alarmas leantadas +or los sistemas de control de accesos

e*

cam6ios o intentos de cam6io a la con5ig7ración y controles de los sistemas de

seg7ridad3

El n7mero de eces @7e de6er8n ser reisados las actiidades de monitoreo de6e de+ender delos riesgos im+licados3 os 5actores de riesgo @7e de6en ser considerados incl7yen<

a*

6*

c*

criticidad de los +rocesos de a+licación

alor$ sensi6ilidad y criticidad de la in5ormación im+licada

eB+eriencias +asadas de in5iltraciones del sistema y mal 7so y la 5rec7encia de

la 7lnera6ilidades eB+lotadas

d*

e*

eBtensión de la interconeBión del sistema (+artic7larmente redes +76licas*

registro de la instalación @7e esta siendo desactiada3


NTP-I%OIEC !..///, de !."

O)a In(%)*ación

El 7so de +rocedimientos de monitoreo son necesarios +ara aseg7rar @7e los 7s7arios solorealicen actiidades @7e 9an sido eB+l4citamente a7toriJadas3



Una reisión del registro im+lica 7n entendimiento de las amenaJas en5rentadas +or el sistemay la manera en @7e estas se +resentan3 E'em+los de eentos @7e +7edan re@7erir inestigación57t7ra en caso de incidentes en la seg7ridad de in5ormación est8n dados en !"3!3!3

10.10.?P)%$cción d$ &a in(%)*ación d$ )$gi)%

C%n)%&

as instalaciones de in5ormación de registro de6en ser +rotegidas contra acciones 5orJosas 7acceso no a7toriJado3


os controles de6en +roteger contra cam6ios no a7toriJados y +ro6lemas o+eracionales con lainstalación de registro incl7yendo<

a*

6*

c*

alteraciones a los ti+os de mensa'e @7e son gra6ados

arc9ios de registro editados o eliminados

la ca+acidad de almacenamiento del medio del arc9io de registro @7e 9a sido

eBcedido$ res7ltando en la 5alla de los eentos almacenados o la so6re escrit7ra deeentos +asados3

Alg7nos registros de a7ditoria +7eden re@7erir ser arc9iados como +arte de la +ol4tica deretención de registros o de6ido a los re@7erimientos +ara recolectar y mantener eidencia(éase el inciso !"303"*3

O)a In(%)*ación

os registros del sistema contienen 7n ol7men largo de in5ormación$ m7c9o del c7al eseBtraQo +ara el monitoreo de seg7ridad3 Para ay7dar a identi5icar eentos signi5icatios +ara

+ro+ósitos del monitoreo de seg7ridad$ se de6en considerar el co+iado de ti+os de mensa'es


NTP-I%OIEC !..///F de !."

a+ro+iados a7tom8ticamente a 7n seg7ndo registro yo el 7so de 7tilidades adec7adas delsistema o las 9erramientas de a7ditoria +ara realiJar la interrogación del arc9io y la

nacionaliJación3

os registros del sistema necesitan ser +rotegidos de6ido a @7e si los datos +7eden ser modi5icados o eliminados$ s7 eBistencia +7ede crear 7na 5alsa sensación de seg7ridad3

10.10.



R$gi)% d$ ad*ini)ad%)$ %p$)ad%)$

C%n)%&

as actiidades del administrador y de los o+eradores del sistema de6en ser registradas3


os registros de6en incl7ir<

a*

6*

c*

d*

el tiem+o en el @7e oc7rrió el eento (éBito o 5racaso*

in5ormación acerca del eento o 5allas

@7e c7enta y @7e administrador 7 o+erador 57e im+licado

@7e +rocesos 57eron im+licados

os registros de los administradores y 7s7arios del sistema de6en ser reisados en 7na 6asereg7lar3

O)a In(%)*ación

Un sistema de detección de intr7sos mane'ado 57era del control del sistema y de las redes deadministradores +7ede ser 7tiliJado +ara monitorear y dar con5ormidad a las actiidades3

10.10.R$gi)% d$ &a a:$)'a

C%n)%&

as aer4as de6en ser registradas$ analiJadas y se de6e tomar acciones a+ro+iadas3


NTP-I%OIEC !..///. de !."


as aer4as re+ortadas +or 7s7arios o +or +rogramas del sistema relacionados con +ro6lemasen el +rocesamiento o com7nicación de la in5ormación$ de6en ser registradas3 De6en eBistir reglas claras +ara manio6rar las aer4as re+ortadas incl7yendo<

a* reisión de los registros de aer4as +ara aseg7rar @7e las 5allas 9an sidores7eltas satis5actoriamente

6*



isión de las medidas correctias +ara aseg7rar @7e los controles no 9an sidocom+rometidos y @7e la acción realiJada es totalmente a7toriJada3

%e de6e aseg7rar @7e el registro de error este actiado$ si es @7e se enc7entra dis+oni6le en elsistema3

O)a In(%)*ación

os registros de errores y aer4as +7eden im+actar en el desarrollo del sistema3 Este registrode6e ser 9a6ilitado +or +ersonal com+etente y el niel de registro re@7erido +ara sistemasindiid7ales de6e ser determinado +or 7na eal7ación de riesgos$ tomando en c7enta ladegradación del 57ncionamiento3

10.10.6Sinc)%ni>ación d$& )$&%K

C%n)%&

os relo'es de todos los sistemas de +rocesamiento de in5ormación dentro de la organiJacióno en el dominio de seg7ridad de6en ser sincroniJados con 7na 57ente acordada y eBacta detiem+o3


Donde 7na com+7tadora o 7n dis+ositio de com7nicación tenga la ca+acidad de o+erar con7n relo' en tiem+o real$ este relo' de6e ser instalado con 7n est8ndar acordado$ como elTiem+o Coordinado Uniersal o 7n est8ndar local de tiem+o3 De6ido a @7e m7c9os relo'es

son conocidos +or ariar en el tiem+o$ de6e eBistir 7n +rocedimiento @7e eri5i@7e y corri'ac7al@7ier ariación signi5icatia3

a inter+retación correcta del 5ormato tiem+o5ec9a es im+ortante +ara aseg7rar @7e se re5le'eel tiem+o5ec9a correcto3 as es+eci5icaciones locales de6en ser tomadas en c7enta3


NTP-I%OIEC !..///# de !."

O)a In(%)*ación

os a'7stes correctos en los relo'es de las com+7tadoras son im+ortantes de6ido a @7easeg7ran la eBactit7d de los registros de a7ditoria$ @7e +7eden ser re@7eridos +arainestigaciones o como eidencia en casos legales o disci+linarios3 os registros de a7ditoriaineBactos +7eden o6stac7liJar dic9as inestigaciones y daQar la credi6ilidad de dic9a

eidencia3 Un relo' inc7lado a 7n 6roadcast de radio de tiem+o desde 7n relo' atómiconacional +7ede ser 7tiliJado como el relo' maestro +ara los sistemas de registro3 Un +rotocolode tiem+o de red +7ede ser 7sado +ara mantener todos los seridores en sincroniJación con elrelo' maestro3

11.



11.1

CONRO DE ACCESOS

R$9,ii% d$ n$g%ci% pa)a $& c%n)%& d$ acc$%

O&ETI;O< Controlar los accesos a la in5ormación3

%e de6er4a controlar el acceso a la in5ormación y los +rocesos del negocio so6re la 6ase de losre@7isitos de seg7ridad y negocio3

%e de6er4an tener en c7enta +ara ello las +ol4ticas de distri67ción de la in5ormación y dea7toriJaciones3

11.1.1P%&'ica d$ c%n)%& d$ acc$%

C%n)%&

Una +ol4tica de control de acceso de6e ser esta6lecida$ doc7mentada y reisada y de6e estar 6asada en los re@7erimientos de seg7ridad y del negocio3


%e de6er4an esta6lecer claramente en 7na +ol4tica de accesos las reglas y los derec9os de cada

7s7ario o gr7+o de 7s7arios3 os controles de acceso son lógicos y 54sicos (éase el ca+it7lo/* y estos de6en ser considerados '7ntos3 %e de6er4a dar a los 7s7arios y +roeedores de


NTP-I%OIEC !..//// de !."

sericios 7na es+eci5icación clara de los re@7isitos de negocio c76iertos +or los controles deaccesos3

Esta +ol4tica de6er4a contem+lar lo sig7iente<

a*

6*

re@7isitos de seg7ridad de cada a+licación de negocio indiid7almente

identi5icación de toda la in5ormación relatia a las a+licaciones y los riesgos

@7e la in5ormación esta en5rentando

c*

+ol4ticas +ara la distri67ción de la in5ormación y las a7toriJaciones (+or

e'em+lo$ el +rinci+io de s7ministro sólo de la in5ormación @7e se necesita conocer y losnieles de seg7ridad +ara la clasi5icación de dic9a in5ormación* (éase el inciso .30*

d*



co9erencia entre las +ol4ticas de control de accesos y las +ol4ticas de

clasi5icación de la in5ormación en los distintos sistemas y redes

e*

legislación a+lica6le y las o6ligaciones contract7ales res+ecto a la +rotección

del acceso a los datos o sericios (éase el inciso !,3!*

5*tra6a'os

g*

+er5iles de acceso de 7s7arios estandariJados seg2n las categor4as com7nes de

administración de los derec9os de acceso en 7n entorno distri67ido en red @7e

reconoJca todos los ti+os dis+oni6les de coneBión

9*

segregación de los roles de control de acceso$ como el +edido de acceso$

a7toriJación de acceso$ administración de accesos

i*

re@7erimientos +ara la a7toriJación 5ormal de los +edidos de acceso (éase el

inciso !!303!*

'*

re@7erimientos +ara la reisión +eriódica de los controles de acceso (éase el

inciso !!303)*

*

retiro de los derec9os de acceso (éase el inciso #3"3"*3

O)a In(%)*ación

Al es+eci5icar las reglas de los controles de accesos se tendr8 la +reca7ción de considerar<


NTP-I%OIEC !..//!11 de !."

a*la distinción entre reglas a c7m+lir siem+re y reglas o+cionales o

condicionales

6*

el esta6lecimiento de las reglas 6as8ndose en la +remisa Vest8 +ro9i6ido todo lo

@7e no esté +ermitido eB+l4citamenteW$ +remisa @7e es contraria a la regla Vest8 +ermitido todo lo @7e no esté +ro9i6ido eB+l4citamenteW$ considerada m8s dé6il o m8s +ermisia3c* los cam6ios en las eti@7etas de in5ormación (éase el inciso .30* iniciadas

a7tom8ticamente +or los rec7rsos del tratamiento de la in5ormación y las @7e inicia el7s7ario man7almente

d*

los cam6ios en las a7toriJaciones al 7s7ario realiJados a7tom8ticamente +or el

sistema de in5ormación y los @7e realiJa 7n administradore*



la distinción entre reglas @7e re@7ieren o no la a+ro6ación del administrador o

de otra a7toridad antes de s7 +rom7lgación3

as reglas de control de acceso de6en ser a+oyadas +or +rocedimientos 5ormales y +or res+onsa6ilidades claramente de5inidos (éase$ +or e'em+lo$ F3!3"$ !!3"$ !13)3!$ !!3F*3

11.2@$ión d$ acc$% d$ ,,a)i%

O&ETI;O< Aseg7rar el acceso a7toriJado de 7s7ario y +reenir accesos no a7toriJados alos sistemas de in5ormación3

%e de6er4a esta6lecer +rocedimientos 5ormales +ara controlar la asignación de los derec9os deacceso a los sistemas y sericios3

Estos +rocedimientos de6er4an c76rir todas las eta+as del ciclo de ida del acceso de los7s7arios$ desde el registro inicial de los n7eos 9asta la 6a'a del registro de los 7s7arios @7eya no re@7ieran dic9o acceso a los sistemas y sericios3 %e de6er4a +restar es+ecial atención$

donde sea a+ro+iado$ al necesario control de la asignación de derec9os de acceso +riilegiados @7e +ermitan a ciertos 7s7arios eitar los controles del sistema3

11.2.1R$gi)% d$ ,,a)i%

C%n)%&

%e de6er4a 5ormaliJar 7n +rocedimiento de registro de altas y 6a'as de 7s7arios +ara garantiJar el acceso a los sistemas y sericios de in5ormación m7lti7s7ario3


NTP-I%OIEC !..//!1! de !."


%e de6er4a controlar el acceso a los sericios de in5ormación m7lti7s7ario mediante 7n +roceso 5ormal de registro @7e de6er4a incl7ir<

a*

la 7tiliJación de 7n identi5icador 2nico +ara cada 7s7ario$ de esta 5orma +7ede

inc7larse a los 7s7arios y res+onsa6iliJarles de s7s acciones3 %e de6er4a +ermitir el 7so

de identi5icadores de gr7+o c7ando sea coneniente +ara el desarrollo del tra6a'o y estosde6en ser a+ro6ados y doc7mentados

6*

la com+ro6ación de la a7toriJación del 7s7ario +or el +ro+ietario del sericio

+ara 7tiliJar el sistema o el sericio de in5ormación3 Tam6ién +7ede ser coneniente @7ela gerencia a+r7e6e +or se+arado los derec9os de acceso



c*eri5icación de la adec7ación del niel de acceso asignado al +ro+ósito del

negocio (éase el inciso !!3!* y s7 consistencia con la +ol4tica de seg7ridad de laorganiJación (+or e'em+lo$ s7 no contradicción con el +rinci+io de segregación de tareas(éase el inciso!13!3"*

d*

e*

la entrega a los 7s7arios de 7na relación escrita de s7s derec9os de acceso

la +etición a los 7s7arios +ara @7e reconoJcan con s7 5irma la com+rensión de

las condiciones de acceso

5*

la garant4a de @7e no se +roea acceso al sericio 9asta @7e se 9ayan

com+letado los +rocedimientos de a7toriJación

g*

el mantenimiento de 7n registro 5ormaliJado de todos los a7toriJados +ara 7sar

el sericio

9* la eliminación inmediata de las a7toriJaciones de acceso a los 7s7arios @7e

de'an la organiJación o cam6ien de tra6a'o en ella

i*

la reisión +eriódica y eliminación de identi5icadores y c7entas de 7s7ario

red7ndantes (éase el inciso !!303)*

'*

la garant4a de no reasignación a otros 7s7arios de los identi5icadores de 7s7ario

red7ndantes3

O)a In(%)*ación

%e de6er4a considerar el esta6lecimiento de roles de acceso a 7s7ario 6asado en re@7isitos denegocio @7e res7man 7n n7mero de derec9os de acceso en 7n eB+ediente t4+ico de acceso de


NTP-I%OIEC !..//!10 de !."

7s7ario3 os +edidos y reisiones de acceso (éase el inciso !!303)* son mane'adas mas58cilmente al niel de dic9os roles @7e los nieles de derec9os +artic7lares3

%e de6er4a considerar la incl7sión de cl87s7las en los contratos la6orales y de sericio @7ees+eci5i@7en sanciones si s7s signatarios realiJan accesos no a7toriJados (éase el inciso F3!3)y F3!3,*3

11.2.2@$ión d$ p)i:i&$gi%



C%n)%&

De6er4a restringirse y controlarse el 7so y asignación de +riilegios3


%e de6er4a controlar la asignación de +riilegios +or 7n +roceso 5ormal de a7toriJación en lossistemas m7lti7s7ario3 %e de6er4an considerar los +asos sig7ientes<

a*identi5icar los +riilegios asociados a cada elemento del sistema$ +or e'em+lo$

el sistema o+eratio$ el sistema gestor de 6ase de datos y cada a+licación as4 como lascategor4as de em+leados @7e necesitan de ellos

6*

asignar +riilegios a los indiid7os seg2n los +rinci+ios de Vnecesidad de s7

7soW y Vcaso +or casoW y en l4nea con la +ol4tica de control de acceso (éase el inciso!!3!3!*$ +or e'em+lo$ el re@7isito m4nimo +ara c7m+lir s7 57nción sólo c7ando senecesite

c*mantener 7n +roceso de a7toriJación y 7n registro de todos los +riilegios

asignados3 No se otorgar8n +riilegios 9asta @7e el +roceso de a7toriJación 9ayaconcl7ido

d*

+romoer el desarrollo y 7so de r7tinas del sistema +ara eitar la asignación de

+riilegios a los 7s7arios

e*

+romoer el desarrollo y 7so de +rogramas @7e eitan la necesidad de correr

con +riilegios

5*

asignar los +riilegios a 7n identi5icador de 7s7ario distinto al asignado +ara 7n

7so normal3


NTP-I%OIEC !..//!1" de !."

O)a in(%)*ación

Un 7so ina+ro+iado de los +riilegios de la administración del sistema (c7al@7ier caracter4stica o 5acilidad de 7n sistema de in5ormación @7e 9a6ilite al 7s7ario so6rescri6ir loscontroles del sistema o de la a+licación* +7eden ser 7n gran 5actor contri67idor de 5allas o

a6ert7ras en los sistemas3

11.2.?@$ión d$ c%n)a$a d$ ,,a)i%



C%n)%&

%e de6er4a controlar la asignación de contraseQas +or medio de 7n +roceso de gestión 5ormal3


El +roceso de6e incl7ir los sig7ientes re@7isitos<

a*

re@7erir @7e los 7s7arios 5irmen 7n com+romiso +ara mantener en secreto s7s

contraseQas +ersonales y las com+artidas +or 7n gr7+o sólo entre los miem6ros de esegr7+o (com+romiso @7e +odr4a incl7irse en los términos y condiciones del contrato deem+leo$ éase el inciso #3!3"*

6*

+ro+orcionar inicialmente 7na contraseQa tem+oral seg7ra (éase el inciso

!!3"3!* @7e 5orJosamente de6en cam6iar inmediatamente des+7és

c*

esta6lecer +rocedimientos +ara eri5icar la identidad de 7n 7s7ario antes de

+roeer 7na contraseQa n7ea$ de reem+laJo o tem+oral

d*

esta6lecer 7n cond7cto seg7ro +ara 9acer llegar las contraseQas tem+orales a

los 7s7arios3 %e de6er4a eitar s7 en4o +or terceros o +or mensa'es no ci5rados decorreo electrónico

e*o6ias

5*

g*

las contraseQas tem+orales de6en ser 2nicas +ara cada indiid7o y no de6en ser

los 7s7arios de6er4an remitir ac7se de reci6o de s7s contraseQas

las contraseQas n7nca de6en ser almacenadas en sistemas de cóm+7to sin ser

+rotegidos

9*

las contraseQas +or de5ecto de los endedores de6en ser alteradas des+7és de la

instalación de los sistemas o so5tare3


NTP-I%OIEC !..//!1) de !."

O)a In(%)*ación

as contraseQas son 7n medio com2n de eri5icar la identidad del 7s7ario antes de @7e elacceso a 7n sistema de in5ormación o sericio sea dado de ac7erdo a la a7toriJación del7s7ario3 %e de6en considerar$ si son a+ro+iadas$ otras tecnolog4as +ara identi5icación ya7tenti5icación de 7s7ario como las 6iométricas (como la eri5icación de 97ellas$ laeri5icación de la 5irma* o el 7so de dis+ositios 9ardare (como las tar'etas inteligentes*3



os 7s7arios de6er4an ser conscientes de s7s res+onsa6ilidades en el mantenimiento de lae5icacia de las medidas de control de acceso$ en +artic7lar res+ecto al 7so de contraseQas y ala seg7ridad del material +7esto a s7 dis+osición3

Un escritorio lim+io$ as4 como 7na +ol4tica de +antalla clara de6e ser im+lementado con el 5inde red7cir el riesgo de acceso no a7toriJado o de daQo a los +a+eles$ medios e instalacionesdel +rocesamiento de in5ormación3

11.?.1 % d$ c%n)a$a

C%n)%&

os 7s7arios de6er4an seg7ir 67enas +r8cticas de seg7ridad +ara la selección y 7so de s7scontraseQas3


Todos los 7s7arios de6er4an ser in5ormados acerca de<

a*

6*

mantener la con5idencialidad de las contraseQas

eitar g7ardar registros (+a+el$ arc9ios de so5tare o dis+ositios* de las

contraseQas$ salo si eBiste 7na 5orma seg7ra de 9acerlo y el método de almacenamiento9a sido a+ro6ado

c* cam6iar las contraseQas si se tiene alg2n indicio de s7 7lnera6ilidad o de la

del sistema

d*

seleccionar contraseQas de 67ena calidad$ con 7na longit7d m4nima caracteres$

@7e sean<


!*

0*

NTP-I%OIEC !..//!1F de !."

58ciles de recordar

no estén 6asadas en algo @7e c7al@7iera +7eda adiinar 7 o6tener 7sando

in5ormación relacionada con el 7s7ario$ +or e'em+lo$ nom6res$ 5ec9as de

nacimiento$ n2meros de telé5ono$ etc3

"*

no sean 7lnera6les a ata@7es de diccionario (no consisten en +ala6ras

incl7idas en diccionarios*

)*



én carentes de caracteres consec7tios re+etidos o @7e sean todosn2meros o todas letras

e*

cam6iar las contraseQas a interalos de tiem+o reg7lares o en +ro+orción al

n2mero de accesos (las contraseQas de las c7entas con +riilegios es+eciales de6er4ancam6iarse con m8s 5rec7encia @7e las normales*$ eitando 7tiliJar contraseQas antig7aso c4clicas

5*

cam6iar las contraseQas tem+orales asignadas +ara inicio$ la +rimera eJ @7e se

ingrese al sistema

g*

no incl7ir contraseQas en ning2n +rocedimiento a7tom8tico de coneBión$ @7e$

las de'e almacenadas +ermanentemente

9*

i*

no com+artir contraseQas de 7s7ario indiid7ales3

no 7tiliJar la misma contraseQa +ara +ro+ósitos +ersonales o de negocio3

%i los 7s7arios necesitan acceder a m2lti+les sericios o +lata5ormas y se les +ide @7emantengan contraseQas m2lti+les$ de6er4an ser aconse'ados so6re la +osi6ilidad de 7sar 7nasola contraseQa de calidad (éase el +7nto anterior d* +ara todos los sericios$ @7e 6rinde 7nniel raJona6le de +rotección +ara la contraseQa almacenada3

O)a In(%)*ación

a gestión de los sistemas de ay7da @7e tratan con +ro6lemas de +erdida 7 olido decontraseQa necesitan 7n c7idado es+ecial ya @7e esto tam6ién signi5ica medios de ata@7e alsistema de contraseQas3

11.?.2E9,ip% in(%)*áic% d$ ,,a)i% d$a$ndid%


NTP-I%OIEC !..//!1. de !."

C%n)%&

os 7s7arios de6er4an aseg7rar @7e los e@7i+os in5orm8ticos desatendidos estén de6idamente +rotegidos3


Todos los 7s7arios y +roeedores de sericios de6er4an conocer los re@7isitos de seg7ridad ylos +rocedimientos +ara +roteger los e@7i+os desatendidos$ as4 como s7s res+onsa6ilidades

+ara im+lantar dic9a +rotección3 %e les de6er4a recomendar<



a*

cancelar todas las sesiones actias antes de marc9arse$ salo si se dis+one de7na 9erramienta de 6lo@7eo general$ +or e'em+lo$ 7na contraseQa +ara +rotector de

+antalla

6*

desconectar (log-o55* los seridores o los com+7tadores centrales c7ando se 9a

terminado la sesión (y no sólo a+agar el terminal o el com+7tador +ersonal*

c*

+roteger el terminal o el +7esto de tra6a'o c7ando no estén en 7so con 7n

6lo@7eador de teclado o 7na medida similar$ +or e'em+lo$ 7na contraseQa de acceso(éase el inciso !!3"3"*3

O)a In(%)*ación

El e@7i+o instalado en 8reas de 7s7arios$ como las estaciones de tra6a'o o los seridores dearc9io$ +7eden re@7erir +rotección es+eci5ica +ara 7n acceso no a7toriJado c7ando sedesatienda +or 7n +eriodo eBtenso3

11.?.?P%&'ica d$ pana&&a $c)i%)i% &i*pi%

C%n)%&

%e de6er4a ado+tar 7na +ol4tica de escritorio lim+io +ara +a+eles y medios remoi6les dealmacenamiento as4 como 7na +ol4tica de +antalla lim+ia +ara instalaciones de +rocesamientode in5ormación3


a +ol4tica de +antalla y escritorio lim+io de6e tomar en c7enta la clasi5icación de lain5ormación (éase el inciso .30*$ los re@7erimientos legales y contract7ales (éase el inciso


NTP-I%OIEC !..//

!1# de !."

!,3!*$ los riesgos corres+ondientes y los as+ectos c7lt7rales de la organiJación3 as sig7ientes +a7tas de6en ser consideradas<

a*la in5ormación critica o sensi6le del negocio (+a+el o medios electrónicos de

almacenamiento* de6e ser aseg7rada (seria ideal 7n ca'a 57erte$ gaetas 7 otras 5ormas

de m7e6les de seg7ridad* c7ando no sea re@7erido$ es+ecialmente c7ando la o5icina esteac4a

6*

los com+7tadores y terminales de6en ser a+agados o +rotegidos con 7n

mecanismo de +rotección de +antalla o de teclado controlado +or contraseQa 7 otromecanismo de a7tenti5icación$ c7ando estas se enc7entren desatendidos y de6en ser



+rotegidas +or cerrad7ras clae$ contraseQas 7 otro ti+o de control c7ando no sean7tiliJados

c*

los +7ntos salientes o entrantes de correo y los 5aBes desatendidos de6en ser

+rotegidos

d*

de6e ser +reenido el 7so no a7toriJado de 5otoco+iadoras y otras tecnolog4as

de re+rod7cción como scanner o c8maras digitales

e*los doc7mentos @7e contienen in5ormación sensi6le y clasi5icada de6en ser

remoidos de las im+resoras de inmediato3

O)a In(%)*ación

Una +ol4tica de +antalla y escritorio lim+io red7ce los riegos de 7n acceso no a7toriJado y dela +erdida o daQo de la in5ormación d7rante 9oras de tra6a'o no esta6lecidas3 as ca'as 57ertes

7 otras 5ormas de instalaciones de almacenamiento +7eden tam6ién +roteger in5ormaciónalmacenada contra desastres como incendio$ terremotos$ in7ndación 7 eB+losión3

Considere el 7so de im+resoras con código +in de modo tal @7e los creadores sean los 2nicos@7e +7edan sacar s7s im+resiones y solo c7ando se enc7entren al costado de la im+resora3

11.C%n)%& d$ acc$% a &a )$d

O&ETI;O< Preenir el acceso no a7toriJado de los sericios de la red3

De6er4a controlarse el acceso a los sericios a las redes internas y eBternas3

Kay @7e aseg7rarse @7e el acceso de los 7s7arios a las redes y s7s sericios no com+rometanla seg7ridad de dic9os sericios$ +or medio de<


NTP-I%OIEC !..//!1/ de !."

a*inter5aces adec7adas entre la red de la organiJación y las redes +26licas o las

+riadas de otras organiJaciones

6*

c*

11..1

mecanismos adec7ados de a7tenticación +ara los 7s7arios y los e@7i+os

control de los accesos de los 7s7arios a los sericios de in5ormación

P%&'ica d$ ,% d$ &% $):ici% d$ &a )$d



C%n)%&

os 7s7arios sólo de6er4an tener acceso directo a los sericios +ara los @7e estén a7toriJadosde 7na 5orma es+ec45ica3


%e de6er4a 5orm7lar la +ol4tica de 7so de las redes y los sericios de la red$ @7e es coneniente

@7e c76ra<

a*

6*

las redes y los sericios de la red a los @7e se +7ede acceder

los +rocedimientos de a7toriJación +ara determinar @7ién +7ede acceder a @7é

redes y a @7é sericios de la red

c*

los controles y +rocedimientos de gestión +ara +roteger el acceso a las

coneBiones de las redes y a los sericios de la red

d*

los medios 7sados +ara el acceso y los sericios de red (las condiciones +ara

+ermitir el acceso +or discado al +roeedor de sericio de Internet o a 7n sistemaremoto*3

a +ol4tica de6er4a ser co9erente con la +ol4tica de control de accesos de la organiJación(éase el inciso !!3!*3

11..2

A,$ni(icación d$ ,,a)i% pa)a c%n$;i%n$ $;$)na

C%n)%&

%e de6en 7tiliJar métodos a+ro+iados de a7tenti5icación +ara controlar el acceso de 7s7ariosremotos3


NTP-I%OIEC !..//!!1 de !."


a a7tenti5icación de 7s7arios remoto +7ede realiJarse 7tiliJando$ +or e'em+lo$ 7na técnica

6asada en cri+togra54a$ s4m6olos de 9ardare o 7n +rotocolo de desa54ores+7esta3 %e +7edenencontrar +osi6les im+lementaciones de dic9as técnicas en arias sol7ciones de redes +riadasirt7ales3 Tam6ién se +7eden 7tiliJar l4neas +riadas dedicadas$ con el 5in de +roeer aseg7ramiento en la 57ente de coneBiones3

os +rocedimientos y controles de dial-6ac +or e'em+lo$ 7sando módems de dial-6ac$



+7eden o5recer +rotección contra coneBiones no a7toriJadas ni deseadas a los rec7rsos detratamiento de in5ormación de 7na organiJación3 Este ti+o de control a7tentica a los 7s7arios@7e tratan de esta6lecer coneBión a la red de la organiJación desde l7gares remotos3 C7andose 7sa este control$ la organiJación no de6er4a 7sar sericios de red @7e incl7yan reeB+ediciónde llamadas y si la tienen$ de6er4an desconectarla +ara eitar la de6ilidad consec7ente3Tam6ién es im+ortante @7e el +roceso de dial-6ac aseg7re la desconeBión del lado de laorganiJación3 %i no$ el 7s7ario remoto +odr4a mantener la l4nea a6ierta +retendiendo @7e se 9aeri5icado el dial-6ac3 os +rocedimientos y controles de dial-6ac de6er4an +asar +r7e6as

+ara eitar esta +osi6ilidad3

Un nodo de a7tenti5icación +7ede serir como 7n medio alternatio +ara a7tenti5icar gr7+osde 7s7arios remotos donde estén conectados a 7n com+7tador seg7ro3 as técnicascri+togr85icas$ 6asados en certi5icados de ma@7inas$ +7eden ser 7tiliJados +ara a7tenti5icar nodos3

Controles adicionales de a7tenti5icación de6en ser im+lementados +ara el control de acceso deredes inal8m6ricas3 En +artic7lar$ se re@7iere es+ecial c7idado en la selección de controles

+ara redes inal8m6ricas de6ido a las grandes o+ort7nidades de interce+ciones no detectadas einserciones de tr85ico en la red3

O)a in(%)*ación

as coneBiones eBternas +roeen 7n +otencial acceso no a7toriJado a la in5ormacion delnegocio$ como los accesos mediante métodos de discado3 EBisten di5erentes ti+os de métodosde a7tenti5icación y alg7nos +7eden +roeer 7n mayor niel de +rotección @7e otros$ como

+or e'em+lo los métodos 6asados en técnicas cri+togr85icas las c7ales +7eden +roeer 7na57erte a7tenti5icación3 Es im+ortante determinar$ desde 7na eal7ación de riesgos$ el niel de

+rotección re@7erida3 Esto es necesario +ara la a+ro+iada selección de 7n método dea7tenti5icación3


NTP-I%OIEC !..//!!! de !."

Una instalación +ara 7na coneBión a7tom8tica a 7n com+7tador remoto +7ede +roeer 7na5orma de ganar acceso no a7toriJado a 7na a+licación de negocio3 Estos es es+ecialmenteim+ortante si la coneBión 7sa 7na red @7e se enc7entra 57era del control de la gestión deseg7ridad de la organiJación3

11..?Id$ni(icación d$ $9,ip% $n &a )$d$

C%n)%&

as identi5icaciones a7tom8ticas de e@7i+o de6en ser consideradas como medios +araa7tenti5icar coneBiones desde locales y e@7i+os es+ec45icos3


a identi5icación de e@7i+os +7ede ser 7tiliJada si es im+ortante @7e las com7nicaciones +7edan ser iniciadas desde 7n local y e@7i+o es+eci5ico3 Un identi5icador dentro o ad'7nto ale@7i+o +7ede ser 7tiliJado +ara indicar si el e@7i+o esta a7toriJado +ara conectarse a la red3



Estos identi5icadores de6en identi5icar claramente a @7e redes se +7eden conectar los e@7i+os$si eBiste m8s de 7na red y +artic7larmente si estas redes son de sensi6ilidad di5erida3 P7edeser necesario considerar +rotección 54sica del e@7i+o con el 5in de mantener la seg7ridad delos identi5icadores del e@7i+o3

O)a In(%)*ación

Este control +7ede ser com+lementado con otras técnicas +ara a7tenti5icar el 7s7ario dele@7i+o (éase !!3)30*3 a identi5icación de los e@7i+os +7ede ser a+licado adicionalmente a la

identi5icación de 7s7arios3

11..Diagn%ic% )$*%% c%n(ig,)ación d$ p)%$cción d$ p,$)%

C%n)%&

%e de6er4a controlar el acceso 54sico y log4stico +ara diagnosticar y con5ig7rar +7ertos3


Controles +otenciales +ara el acceso de diagnostico y con5ig7ración de +7ertos incl7yen el 7sode 7n cierre con llae y de +rocedimientos de a+oyo +ara controlar el acceso 54sico al +7erto3


NTP-I%OIEC !..//

!!0 de !."

Un e'em+lo +ara dic9o +rocedimientos de a+oyo es aseg7rar @7e el diagnostico ycon5ig7ración de +7ertos sean solo accesi6les +or arreglo entre el director del sericio decom+7to y el +ersonal de mantenimiento de 9ardareso5tare @7e re@7iere acceso3

os +7ertos$ sericios e instalaciones similares instaladas en 7na com+7tadora o instalación decom+7to @7e no son re@7eridas es+ec45icamente +ara la 57ncionalidad del negocio$ de6e ser

in9a6ilitado o remoido3

O)a In(%)*ación

M7c9os sistemas de com+7to$ sistemas de red y de com7nicación son instaladas con 7ndiagnostico remoto o instalación de con5ig7ración +ara 7so de ingenieros de mantenimiento3%i se enc7entra des+rotegida$ el diagnostico de +7ertos +roee medios de acceso noa7toriJado3

11.. S$g)$gación $n &a )$d$

C%n)%&

os gr7+os de sericios de in5ormación$ 7s7arios y sistemas de in5ormación de6en ser



segregados en las redes3


Un método +ara controlar la seg7ridad de grandes redes es diidirlas en dominios lógicosse+arados (+or e'em+lo dominios de redes internas a la organiJación o de redes eBternas*$cada 7no +rotegido +or 7n +er4metro de5inido de seg7ridad3 %e +7ede a+licar 7n con'7ntograd7ado de controles en di5erentes dominios de redes lógicas +ara segregar a 57t7ro losam6ientes de seg7ridad de red$ como +or e'em+lo sistemas +26licos accesi6les$ redes internas

y actios cr4ticos3 os dominios de6en ser de5inidos 6asados en 7na eal7ación de riesgos ylos di5erentes re@7isitos de seg7ridad entre cada 7no de los dominios3

Entre las dos redes a interconectar +7ede im+lantarse como +er4metro 7n gateay seg7ro @7econtrole los accesos y los 5l7'os de in5ormación entre los dominios3 %e de6er4a con5ig7rar estegateay +ara @7e 5iltre el tr85ico entre ellos (éanse los incisos !!3)3F y !!3)3.* y 6lo@7ee losaccesos no a7toriJados de ac7erdo con la +ol4tica de control de accesos de la organiJación(éase el inciso !!3!*3 Un e'em+lo de este ti+o de gateay es lo @7e com2nmente se conocecomo 5ireall3 Otro método de segregar dominios lógicos es restringir el acceso a red7tiliJando redes irt7ales +riadas +ara 7s7arios de gr7+os entre las organiJaciones3


NTP-I%OIEC !..//!!" de !."

as redes +7eden ser segregadas tam6ién 7tiliJando la 57ncionalidad de los dis+ositios de redcomo el cam6io de IP3 os dominios se+arados +7eden ser im+lementados des+7éscontrolando los 5l7'os de datos 7tiliJando ca+acidades de enr7tamiento como las listas decontrol de acceso3

os criterios +ara segregar las redes en dominios se de6er4an 6asar en la +ol4tica de control deaccesos y en los re@7isitos de acceso (éase el inciso !13!* teniendo tam6ién en c7enta elcosto relatio y el im+acto en el rendimiento +or la incor+oración de la tecnolog4a adec7adade enr7tamiento de gateay en la red (éanse los incisos !!3)3F y !!3)3.*3

En adición$ la segregación de redes en dominios de6e ser 6asado en el alor y clasi5icación dela in5ormación almacenada o +rocesada en la red$ nieles de con5ianJa o l4neas de negociocon el 5in de red7cir el im+acto total de 7na interr7+ción de sericio3

%e de6e tomar consideración con las redes inal8m6ricas desde 7na red interna 9acia 7na +riada3 Como los +er4metros de las redes inal8m6ricas no est8n 6ien de5inidos$ se de6ellear a aca6o 7na eal7ación de riesgos en dic9os casos +ara identi5icar controles (7na 57ertea7tenti5icación$ métodos cri+togr85icos y 5rec7encia de selección* +ara mantener 7nasegregación de red3

O)a In(%)*ación

as redes 9an sido crecientemente eBtendidas mas all8 de las 6arreras organiJacionalestradicionales$ como se 5orman alianJas de negocios @7e +7edan re@7erir la interconeBión o elcom+artir las instalaciones de red y de +rocesamiento de in5ormación3 Estas eBtensiones



+7eden incrementar el riesgo de 7n acceso no a7toriJado a los sistemas de in5ormacióneBistentes @7e 7tiliJan la red$ alg7nos de los c7ales +7eden re@7erir +rotección de otros7s7arios de redes de6ido a s7 sensi6ilidad o criticidad3

11..6C%n)%& d$ c%n$;ión a &a )$d$

C%n)%&

os re@7isitos de la +ol4tica de control de accesos +ara redes com+artidas$ so6re todo +ara las@7e atraiesan las 5ronteras de la organiJación$ se de6er4an 6asar en los re@7isitos de lasa+licaciones del negocio (éase el inciso !!3!*3



NTP-I%OIEC !..//!!) de !."

os derec9os de acceso de los 7s7arios de6en ser mantenidos y act7aliJados como re@7iere la +ol4tica de control de accesos (éase el inciso !!3!3!*3

a ca+acidad de coneBión de los 7s7arios +7eden ser restringido a traés de entradas @7e

5iltren el tra5ico +or medio de ta6las o reglas +re de5inidas3 Alg7nos e'em+los de a+licacionesa las c7ales las @7e se de6e a+licar las restricciones son<

a*

6*

c*

d*

correo electrónico

trans5erencia de arc9ios

acceso interactio

acceso a la a+licación3

%e de6e considerar inc7lar los derec9os de acceso a red en ciertos +eriodos del d4a o en5ec9as3

O)a In(%)*ación

P7ede ser re@7erida$ +or la +ol4tica de control de acceso +ara redes com+artidas$ laincor+oración de controles +ara restringir las ca+acidades de coneBión de los 7s7arios

es+ecialmente a traés de las 5ronteras de la organiJación3

11..7C%n)%& d$ $n),a*i$n% $n &a )$d



C%n)%&

%e de6er4an im+lementar controles de enr7tamiento @7e garanticen @7e las coneBiones entrecom+7tadores y los 5l7'os de in5ormación no inc7m+lan la +ol4tica de control de acceso a lasa+licaciones3


os controles del enr7tamiento +odr4an 6asarse en mecanismos +ositios de eri5icación delas direcciones de origen y destino de los mensa'es3


NTP-I%OIEC !..//!!, de !."

as salidas +7eden ser 7tiliJadas +ara alidar la 57ente y los destinos de los mensa'es en

+7ntos de control de redes internas o eBternas si se 7tiliJan tecnolog4as de conersión 7 ototi+o de 9erramienta similar3 %7 im+lementación de6er4a tener en c7enta la ro67steJ de los +ro+ios mecanismos em+leados3 os re@7isitos +ara el enr7tamiento de los controles de6enestar 6asados en la +ol4tica de control de accesos (éase el inciso !!3!*3

O)a In(%)*ación

as redes com+artidas$ es+ecialmente las @7e se eBtienden a traés de las 5ronteras de laorganiJación$ +7eden re@7erir controles de enr7tamiento adicionales3 Esto a+lica

+artic7larmente c7ando las redes son com+artidas con 7s7arios eBternos3

11.C%n)%& d$ acc$% a& i$*a %p$)ai:%

O&ETI;O< Eitar accesos no a7toriJados a los com+7tadores3

as +restaciones de seg7ridad a niel de sistema o+eratio se de6er4an 7tiliJar +ara restringir el acceso a los rec7rsos del com+7tador3 Estos sericios de6er4an ser ca+aces de<

a* identi5icar y eri5icar la identidad de cada 7s7ario a7toriJado en concordancia

con 7na +ol4tica de5inida de control de acceso

6*

c*

d*

e*

5*

11..1

registrar los accesos satis5actorios y 5allidos al sistema

registrar el 7so de +riilegios es+eciales del sistema

alarmas +ara c7ando la +ol4tica del sistema de seg7ridad sea a6ierta

s7ministrar mecanismos$ adec7ados de a7tenticación

c7ando +roceda$ restringir los tiem+os de coneBión de 7s7arios

P)%c$di*i$n% d$ c%n$;ión d$ $)*ina&$



C%n)%&

El acceso a los sericios de in5ormación de6er4a estar dis+oni6le mediante 7n +roceso deconeBión seg7ro3



NTP-I%OIEC !..//!!F de !."

%e de6er4a diseQar 7n +rocedimiento +ara conectarse al sistema in5orm8tico @7e minimice la +osi6ilidad de accesos no a7toriJados3 Por tanto$ el +roceso de coneBión de6er4a mostrar elm4nimo +osi6le de in5ormación so6re el sistema +ara no 5acilitar ay7da innecesaria a 7s7arios

no a7toriJados3 Un 67en +rocedimiento de coneBión de6er4a<

a*no mostrar identi5icación del sistema o a+licación 9asta @7e termine el +roceso

de coneBión

6*

mostrar 7n mensa'e @7e adierta la restricción de acceso al sistema sólo a

7s7arios a7toriJados

c*

no o5recer mensa'es de ay7da d7rante el +roceso de coneBión @7e +7edan g7iar

a 7s7arios no a7toriJados

d*

alidar la in5ormación de coneBión sólo tras rellenar todos s7s datos de entrada3

%i se +rod7ce 7na condición de error$ el sistema no de6er4a indicar @7é +arte de esosdatos es correcta o no

e*

limitar el n2mero de intentos 5allidos de coneBión (se recomienda tres* y

considerar<

!*

0*

el registro de los intentos 5allidos de coneBión

7n tiem+o 5orJoso de es+era antes de +ermitir 7n n7eo intento de

coneBión o s7 rec9aJo sin 7na a7toriJación es+ec45ica

"*)*

la desconeBión de la com7nicación de datosel en4o de 7n mensa'e de alerta a la consola del sistema si se alcanJa el

n2mero m8Bimo de o+ort7nidades de coneBión

,*

esta6lecer el n2mero de +r7e6as de contraseQa en con'7nción con s7

largo m4nimo y el alor de los sistemas @7e est8n siendo +rotegidos



5*limitar los tiem+os m8Bimo y m4nimo +ermitidos +ara e5ect7ar el +roceso de

coneBión y concl7ir si se eBceden

g*

mostrar la sig7iente in5ormación tras com+letar 7na coneBión con éBito<

!*

0*

5ec9a y 9ora de la anterior coneBión realiJada con éBito

in5ormación de los intentos 5allidos desde la 2ltima coneBión realiJada

con éBito3


NTP-I%OIEC !..//!!. de !."

9*no mostrar la contraseQa @7e se ingresa o considerar esconderla con caracteres

sim6ólicos

i*

no transmitir contraseQas en teBto legi6le a traés de la red

O)a In(%)*ación

%i las contraseQas son transmitidas en teBto legi6le d7rante la sesión de coneBión$ estas +7eden ser ca+t7radas +or +rogramas Vs7ccionadoresW de red3

11..2Id$ni(icación a,$nicación d$& ,,a)i%

C%n)%&

Todos los 7s7arios de6er4an dis+oner de 7n identi5icador 2nico +ara s7 7so +ersonal y de6er4aser escogida 7na técnica de a7tenti5icación adec7ada +ara eri5icar la identidad de estos3


Este control de6e ser a+licado +ara todos los ti+os de 7s7ario (incl7idos los administradoresde red y de 6ases de datos$ los +rogramadores de sistemas y el +ersonal técnico de a+oyo*3

os ID de los 7s7arios de6en ser 7tiliJados +ara seg7ir la +ista de las actiidades de cadares+onsa6le indiid7al3 as actiidades reg7lares del 7s7ario no de6en ser realiJadas desde

c7entas +riilegiadas3En circ7nstancias eBce+ciona!es @7e se '7sti5i@7en +or s7s enta'as +7eden 7sarseidenti5icadores de 7s7ario com+artidos +ara 7n gr7+o de 7s7arios o 7n tra6a'o es+ec45ico3 Enestos casos se de6er4a necesitar la a+ro6ación escrita de la gerencia3 P7ede necesitarse laim+lantación de controles adicionales +ara la res+onsa6ilidad3



os ID[s genéricos 7tiliJados +or indiid7os de6en ser solo +ermitidos donde las 57nciones oacciones lleadas a ca6o no re@7ieren ser traJadas (como la lect7ra* o c7ando eBistan otroscontroles esta6lecidos (contraseQas genéricas 7tiliJadas solamente +or 7n gr7+o de +ersonas ala eJ y conect8ndose en dic9o momento*3

Donde se re@7iera 7na 57erte a7tenti5icación e identi5icación$ se +7eden 7tiliJar métodosalternatios a las contraseQas como medios cri+togr85icos$ tar'etas inteligentes o medios

6iométricos3


NTP-I%OIEC !..//!!# de !."

O)a In(%)*ación

as contraseQas (éase tam6ién el inciso !!3"3! y !!3,3"* son 7na 5orma com2n de conseg7ir

la identi5icación y la a7tenticación (I \ A* del 7s7ario$ est8n 6asadas en 7n secreto @7e sólo élconoce3 Esto mismo tam6ién se +7ede conseg7ir +or medios cri+togr85icos y +rotocolos dea7tenticación3 a rigideJ de la identi5icación y a7tenti5icación de 7s7arios de6e ser adec7ada ala sensi6ilidad de la in5ormación a la @7e se accede3

Tam6ién +7ede conseg7irse I \ A con o6'etos como tar'etas inteligentes$ minicalc7ladorascon claes almacena6les o 6ien con tecnolog4as 6iométricas @7e 7tiliJan caracter4sticas oatri67tos 2nicos de 7n indiid7o3 Una com6inación de tecnolog4as y mecanismos$relacionados mediante el esta6lecimiento de 7n enlace seg7ro$ +7eden +ro+orcionar 7naa7tenticación re5orJada o m8s ro67sta3

11..?Si$*a d$ g$ión d$ c%n)a$a

C%n)%&

os sistemas de gestión de contraseQas de6er4an +ro+orcionar 7n medio e5icaJ e interactio +ara aseg7rar la calidad de las mismas3


Un 67en sistema de gestión de contraseQas de6er4a<a* im+oner el 7so de contraseQas indiid7ales con el 5in de esta6lecer res+onsa6ilidades

6*

+ermitir @7e los 7s7arios esco'an s7s contraseQas$ las cam6ien e incl7yan 7n

+rocedimiento de con5irmación +ara eitar errores al introd7cirlas

c*

d*

e*

im+oner la selección de contraseQas de calidad (éase el inciso !!3"3!*

im+oner el cam6io de contraseQas (éase el inciso !!3"3!*

im+oner el cam6io de contraseQas iniciales en la +rimera coneBión (éase el

inciso !!303"*



5*mantener 7n registro de las anteriores contraseQas 7tiliJadas$ +or e'em+lo$

d7rante el 2ltimo aQo$ e im+edir s7 re7tiliJación

g*

no mostrar las contraseQas en la +antalla c7ando se est8n introd7ciendo


NTP-I%OIEC !..//!!/ de !."

9*almacenar las contraseQas y los datos del sistema de a+licaciones en sitios

distintos

i*

almacenar las contraseQas en 5orma ci5rada mediante 7n algoritmo de ci5rado

7nidireccional

O)a In(%)*ación

as contraseQas son 7no de los +rinci+ales medios +ara alidar la a7toridad de los 7s7arios +ara acceder al sericio de cóm+7to3Alg7nas a+licaciones re@7ieren de contraseQas de 7s7ario +ara ser asignadas +or 7naa7toridad inde+endiente en dic9os casos$ los +7ntos 6*$ d* y e* anteriores no a+lican3 En la

mayor4a de los casos las contraseQas son seleccionadas y mantenidas +or los 7s7arios3 ;éaseel inciso !!3"3! +ara +a7tas en el 7so de contraseQas3

11..i&i>ación d$ &a (aci&idad$ d$& i$*a

C%n)%&

a mayor4a de las instalaciones in5orm8ticas dis+onen de +rogramas del sistema ca+aces de

el7dir las medidas de control del sistema o de las a+licaciones3 Es 57ndamental @7e s7 7so serestrin'a y se mantenga 57ertemente controlado3


as sig7ientes +a7tas de6er4an ser consideradas<

a*7sar +rocedimientos de a7tenticación$ identi5icación y a7toriJación +ara las

5acilidades del sistema 6*

c*

se+arar las 5acilidades del sistema de las a+licaciones de so5tare

limitar el 7so de las 5acilidades del sistema al m4nimo n2mero de 7s7arios

a7toriJados y 5ia6les (éase tam6ién !!3030*



d*

e*

a7toriJar el 7so de las 5acilidades con 7n +ro+ósito concreto (ad 9oc*

limitar la dis+oni6ilidad de las 5acilidades del sistema$ +or e'em+lo$ d7rante 7n

cam6io a7toriJado

5*

registrar (logging* todo 7so de las 5acilidades del sistema


NTP-I%OIEC !..//!01 de !."

g*sistema

9*

de5inir y doc7mentar los nieles de a7toriJación +ara las 5acilidades del

desactiar o retirar todas las 5acilidades 6asadas en so5tare y el so5tare de

sistemas @7e no sean necesarios3

i*

no +oner en dis+oni6ilidad las 5acilidades del sistema a 7s7arios @7e tengan

acceso a a+licaciones en sistemas donde la segregación de tareas sea re@7erida3

O)a In(%)*ación

a mayor4a de las instalaciones de cóm+7to tienen 7no o mas +rogramas de 5acilidades delsistema @7e +7eden ser ca+aces de el7dir los controles del sistema o de las a+licaciones3

11..D$c%n$;ión a,%*áica d$ $i%n$

C%n)%&

as sesiones se de6er4an desactiar tras 7n +eriodo de5inido de inactiidad3


Este dis+ositio de desactiación de6er4a 6orrar la +antalla y cerrar la a+licación y lassesiones de coneBión a red tras dic9o +eriodo de5inido de inactiidad3 El tiem+o dedesactiación de6er4a re5le'ar los riesgos de seg7ridad del 8rea$ la clasi5icación de lain5ormación @7e se mane'a$ las a+licaciones @7e se 7tiliJan y los riesgos relacionados con los

7s7arios de lo e@7i+os3

M7c9os com+7tadores +ersonales s7elen tener limitado de alg7na 5orma este dis+ositio @7e 6orra la +antalla +ara eitar el acceso no a7toriJado$ +ero no cierra la a+licación o las sesionesde coneBión a red3



O)a In(%)*ación

Este control es +artic7larmente im+ortante en locaciones con alto riesgo e incl7yen 8reas +26licas o eBternas 57era de la gestión de seg7ridad de la organiJación3 a sesión de6e ser desactia +ara +reenir el acceso +or +ersonas no a7toriJadas3


NTP-I%OIEC !..//

!0! de !."

11..6i*iación d$& i$*p% d$ c%n$;ión

C%n)%&

as restricciones en los tiem+os de coneBión o5recen seg7ridad adicional +ara a+licaciones dealto riesgo3


Estas medidas de control se de6er4an em+lear +ara a+licaciones sensi6les$ en es+ecial +araterminales instalados en 8reas de alto riesgo$ las +26licas o no c76iertas +or la gestión deseg7ridad de la organiJación3 Restricciones como +or e'em+lo<

a* el 7so de ]entanas^ de tiem+o +redeterminadas$ +or e'em+lo +ara

transmisiones de arc9ios en 6atc9 , o +ara sesiones interactias reg7lares de cortad7ración

6*

la restricción de tiem+os de coneBión al 9orario normal de o5icina$ si no eBisten

re@7isitos +ara o+erar 57era de este 9orario

c*

considerar la re-a7tenti5icación en interalos medidos3

O)a In(%)*ación

imitar el +eriodo d7rante el c7al las coneBiones a los sericios de com+7to est8n +ermitidas$red7ce la entana de o+ort7nidad +ara 7n acceso no a7toriJado3 imitar la d7ración de lassesiones actias +reiene a los 7s7arios de mantener s7 sesión a6ierta +ara +reenir la re-a7tenti5icación3

11.6C%n)%& d$ acc$% a &a ap&icaci%n$ &a in(%)*ación

O&ETI;O< Preenir el acceso no a7toriJado a la in5ormación contenida en los sistemas3

%e de6er4an 7sar las 5acilidades de seg7ridad lógica dentro de los sistemas de a+licación +ararestringir el acceso3



%e de6er4an restringir el acceso lógico al so5tare y a la in5ormación sólo a los 7s7ariosa7toriJados3 as a+licaciones de6er4an<

a*

controlar el acceso de los 7s7arios a la in5ormación y las 57nciones del sistema

de a+licación$ de ac7erdo con la +ol4tica de control de accesos


NTP-I%OIEC !..//!00 de !."

6* +rotegerse de accesos no a7toriJados desde otras 5acilidades o so5tare de

sistemas o+eratios @7e sean ca+aces de el7dir los controles del sistema o de las a+licaciones

c*no com+rometer la seg7ridad de otros sistemas con los @7e se com+artan

rec7rsos de in5ormación

11.6.1R$)icción d$ acc$% a &a in(%)*ación

C%n)%&

%e de6er4a dar acceso a la in5ormación y a las 57nciones del sistema de a+licaciones sólo a los

7s7arios de éste$ incl7ido el +ersonal de a+oyo$ de ac7erdo con 7na +ol4tica de control deaccesos de5inida3


as restricciones de acceso de6en estar 6asadas en re@7isitos es+ec45icos de la a+licación yconsistente con la +ol4tica de acceso a la in5ormación de la organiJación (éase el inciso!!3!*3De6er4an considerarse las sig7ientes +a7tas +ara dar so+orte a los re@7isitos de restricción deaccesos<

a*esta6lecer men2s +ara controlar los accesos a las 57nciones del sistema de

a+licaciones

6*

controlar los derec9os de acceso de los 7s7arios$ +or e'em+lo lect7ra$ escrit7ra$

6orrado$ e'ec7ción

c*

d*

controlar los derec9os de acceso de otras a+licaciones

aseg7rarse @7e las salidas de los sistemas de a+licación @7e +rocesan

in5ormación sensi6le$ sólo contienen la in5ormación corres+ondiente +ara el 7so de lasalida y se en4an$ 2nicamente$ a los terminales y sitios a7toriJados$ incl7yendo lareisión +eriódica de dic9as salidas +ara garantiJar la s7+resión de in5ormaciónred7ndante3




NTP-I%OIEC !..//!0" de !."

11.6.2Ai&a*i$n% d$ i$*a $ni+&$

C%n)%&

os sistemas sensi6les +7eden necesitar entornos in5orm8ticos dedicados (aislados*3


Alg7nos sistemas de a+licaciones son tan sensi6les a +osi6les +érdidas @7e +7eden necesitar

7n tratamiento es+ecial$ @7e corran en 7n +rocesador dedicado$ @7e sólo com+artan rec7rsoscon otros sistemas de a+licaciones garantiJados o @7e no tengan limitaciones3 asconsideraciones sig7ientes son a+lica6les +ara el aislamiento de sistemas sensi6les<

a*el +ro+ietario de la a+licación de6er4a indicar eB+l4citamente y doc7mentar la

]sensi6ilidad^ de ésta (éase el inciso .3!30*

6*

c7ando 7na a+licación sensi6le se e'ec7te en 7n entorno com+artido$ se

de6er4an identi5icar y acordar con s7 +ro+ietario los sistemas de a+licación con los @7ecom+artan rec7rsos3

O)a In(%)*ación

Alg7nas a+licaciones de sistemas son lo s75icientemente sensi6les a +erdidas +otenciales @7ere@7ieren 7n tratamiento es+ecial3 a sensi6ilidad +7ede indicar @7e la a+licación<

a*

6*

de6e correr en 7na com+7tadora dedicada o

de6e com+artir rec7rsos solamente con a+licaciones con5ia6les3

El aislamiento +7ede ser alcanJado 7sando métodos 54sicos o lógicos (éase el inciso !!3)3,*3

11.7In(%)*áica *ó:i& $&$)a+aK%

O&ETI;O< GarantiJar la seg7ridad de la in5ormación c7ando se 7san dis+ositios dein5orm8tica móil y teletra6a'o3

a +rotección re@7erida de6er4a ser +ro+orcional a los riesgos @7e ca7san estas 5ormases+ec45icas de tra6a'o3 %e de6er4an considerar los riesgos de tra6a'ar en 7n entorno




NTP-I%OIEC !..//!0) de !."

des+rotegido c7ando se 7sa in5orm8tica móil y a+licar la +rotección adec7ada3 En el caso delteletra6a'o la organiJación de6er4a im+lantar +rotección en el l7gar del teletra6a'o y aseg7rar @7e eBisten los ac7erdos adec7ados +ara este ti+o de tra6a'o3

11.7.1In(%)*áica *ó:i& c%*,nicaci%n$

C%n)%&

%e de6er4a ado+tar 7na +ol4tica 5ormal y medidas de seg7ridad a+ro+iadas con el 5in de +rotegernos contra los riesgos c7ando se 7san dis+ositios de in5orm8tica3


%e de6er4a tener 7n es+ecial c7idado +ara aseg7rar @7e la in5ormación de negocio no secom+rometa c7ando se 7san dis+ositios de in5orm8tica móil como +ort8tiles$ agendas$calc7ladoras y telé5onos móiles3 %e de6er4a 5ormaliJar 7na +ol4tica @7e tenga en c7enta losriesgos de tra6a'ar con dis+ositios de in5orm8tica móil$ es+ecialmente en entornosdes+rotegidos3

Dic9a +ol4tica de6er4a incl7ir los re@7isitos de +rotección 54sica$ controles de acceso$ técnicascri+togr85icas$ res+aldos y +rotección antiir7s3 Esta +ol4tica tam6ién de6er4a incl7ir reglas yconse'os +ara conectar los dis+ositios de in5orm8tica móil a las redes as4 como 7na g74a

+ara el 7so de estos dis+ositios en l7gares +26licos3 %e de6er4a tener c7idado c7ando se 7sendis+ositios de in5orm8tica móil en l7gares +26licos$ salas de re7niones y otras 8reasdes+rotegidas 57era de locales de la organiJación3 %e de6er4a instalar 7na +rotección$ +or e'em+lo$ 7sando técnicas cri+togr85icas (éase el inciso !03"*$ +ara eitar el acceso noa7toriJado o la di7lgación de la in5ormación almacenada y +rocesada +or estos dis+ositios3

C7ando estos dis+ositios se 7sen en l7gares +26licos$ es im+ortante tener c7idado +ara eitar

el riesgo de @7e se enteren +ersonas no a7toriJadas3 %e de6er4an instalar y mantener al d4a +rocedimientos contra el so5tare malicioso (éase el inciso!13)*3

%e de6en realiJar reg7larmente 6ac7+s de in5ormación cr4tica de negocio3 El e@7i+o de6e ser ca+aJ de +ermitir 7n r8+ido y 58cil 6ac7+s de in5ormación3 Estos 6ac7+ de6en tener 7na

+rotección adec7ada contra 97rto o +erdida de in5ormación3

%e de6er4a +roteger de6idamente el 7so de dis+ositios de in5orm8tica móil conectados a lasredes3 %ólo se de6er4an realiJar accesos remotos a la in5ormación del negocio 7sando

dis+ositios de in5orm8tica móil y a traés de la red +26lica +asando +or los mecanismos




NTP-I%OIEC !..//!0, de !."

adec7ados de control de accesos (éase el inciso !!3)* y des+7és de conseg7ir con éBito la +ro+ia identi5icación y a7tenticación3

Tam6ién se de6er4an +roteger 54sicamente los dis+ositios de in5orm8tica móil contra el

ro6o$ so6re todo c7ando se de'an$ +or e'em+lo$ en coc9es 7 otros trans+ortes$ en 9a6itacionesde 9oteles$ en centros de con5erencias y en l7gares de re7nión3 %e de6er4a esta6lecer 7n +rocedimiento adec7ado tomando en c7enta re@7isitos legales$ de seg7ro y otros re@7isitos deseg7ridad +ara los casos de ro6o o +erdida de las instalaciones móiles3 No se de6er4a de'ar solo$ o sin igilar$ 7n e@7i+o @7e contenga in5ormación im+ortante$ sensi6le yo cr4tica si es

+osi6le se de6er4a g7ardar 6a'o llae3 P7ede encontrarse m8s in5ormación so6re +rotección54sica de dis+ositios de in5orm8tica móil en el inciso /303,3

%e de6er4a concienciar al +ersonal @7e 7se dis+ositios de in5orm8tica móil con o6'eto dea7mentar s7 +erce+ción de los riesgos adicionales @7e +rod7ce esta 5orma de tra6a'o y de las

medidas y controles a im+lantar3

O)a In(%)*ación

as coneBiones móiles inal8m6ricas son similares a otros ti+os de coneBiones de red$ +erotienen im+ortantes di5erencias @7e de6en ser consideradas c7ando se identi5ican los controles3as di5erencias t4+icas son<

a*alg7nos +rotocolos de seg7ridad inal8m6ricos son inmad7ros y se les conoce

de6ilidades

6*

la in5ormación almacenada en los com+7tadores móiles +7eden no tener

6ac7+s de6ido al anc9o de 6anda limitado yo +or@7e el e@7i+o móil +7ede no estar conectado c7ando estos 6ac7+s se realiJan3

11.7.2$&$)a+aK%

C%n)%&

%e de6er4an desarrollar e im+lementar 7na +ol4tica$ +lanes o+eracionales y +rocedimientos +ara las actiidades de teletra6a'o3



NTP-I%OIEC !..//!0F de !."



as organiJaciones sólo de6er4an a7toriJar las actiidades de teletra6a'o si se 9an satis5ec9olas dis+osiciones y controles de seg7ridad a+ro+iados y se c7m+le la +ol4tica de seg7ridad dela organiJación3

%e de6er4a +roteger de6idamente el l7gar de teletra6a'o contra$ +or e'em+lo$ el ro6o dele@7i+o o in5ormación3 a distri67ción no a7toriJada de in5ormación$ el acceso remoto noa7toriJado a los sistemas internos de la organiJación o el mal 7so de los dis+ositios3 Esim+ortante$ @7e el teletra6a'o se a7torice y controle +or la gerencia$ y @7e eBistan los ac7erdosadec7ados +ara este ti+o de tra6a'o3

%e de6er4a considerar lo sig7iente<

a*la seg7ridad 54sica real del l7gar de teletra6a'o$ teniendo en c7enta la del

edi5icio y la de s7 entorno local

6*c*

el entorno de teletra6a'o +ro+7estolos re@7isitos de seg7ridad de las com7nicaciones$ teniendo en c7enta la

necesidad de acceso remoto a los sistemas internos de la organiJación$ la criticidad de lain5ormación a acceder y el +aso +or alto del enlace de com7nicación y de la criticidaddel sistema interno

d*

la amenaJa de acceso no a7toriJado a in5ormación y rec7rsos +or otras

+ersonas +róBimas$ +or e'em+lo$ la 5amilia o amigos

e*

el 7so de redes de casa y los re@7isitos o restricciones de la con5ig7ración de

los sericios inal8m6ricos

5*

las +ol4ticas y +rocedimientos +ara +reenir las dis+7tas concernientes a los

derec9os de la +ro+iedad intelect7al desarrollada en e@7i+os +riados +ro+ios

g*

el acceso a 7n e@7i+o +riado +ro+io (+ara eri5icar la seg7ridad de la ma@7ina

o d7rante 7na inestigación*$ @7e +7ede ser +reenido +or la legislación

9*

los ac7erdos de licencia de so5tare @7e 9ar8 @7e dic9as organiJaciones se

7elan con5ia6les +ara el licenciamiento de so5tare de clientes en las estaciones detra6a'o +ertenecientes a em+leados$ contratistas o terceros

i*

la +rotección antiir7s y los re@7erimientos de 5ireall3

os controles y adec7aciones a ser consideradas incl7yen<


NTP-I%OIEC !..//!0. de !."



a* el a+roisionamiento del e@7i+o y mo6iliario adec7ados +ara las actiidades de

teletra6a'o$ donde no esta +ermitido el 7so de e@7i+os +riados +ro+ios @7e no estén 6a'o el control de la organiJación

6*

la de5inición del tra6a'o +ermitido$ las 9oras de tra6a'o$ la clasi5icación de la

in5ormación @7e +7ede 7tiliJar y los sistemas y sericios internos a los @7e elteletra6a'ador esté a7toriJado a acceder

c*

d*

e*

5*

g*

9*

i*

'*

el s7ministro del e@7i+o de com7nicación adec7ado$ incl7idos los métodos +ara aseg7rar el acceso remoto

la seg7ridad 54sica

reglas y g74as so6re la 5amilia y el acceso de isitas al e@7i+o y la in5ormación

+ro+orcionar el so+orte y mantenimiento +ara el 9ardare y el so5tare

+ro+orcionar 7na +óliJa de seg7roslos +rocedimientos de res+aldo y contin7idad del negocio

la a7ditoria y seg7imiento de la seg7ridad

la reocación de a7toriJaciones$ derec9os de acceso y deol7ción del e@7i+o

c7ando cesen las actiidades de teletra6a'o3

O)a In(%)*ación

El teletra6a'o 7tiliJa la tecnolog4a de com7nicaciones +ara +ermitir al +ersonal tra6a'ar remotamente desde 7na locación 76icada 57era de la organiJación3

12.

12.1

ADISICION DESARROO = 4ANENI4IENO DE SISE4AS

R$9,ii% d$ $g,)idad d$ &% i$*a

O&ETI;O< Aseg7rar @7e la seg7ridad esté im67ida dentro de los sistemas de in5ormación3

Esto incl7ir8 la in5raestr7ct7ra$ las a+licaciones de negocio y las a+licaciones desarrolladas +or 7s7arios3 El diseQo y la im+lantación de los +rocesos de negocio @7e so+ortan lasa+licaciones o el sericio$ +7eden ser cr7ciales +ara la seg7ridad3 os re@7isitos de seg7ridadde6er4an ser identi5icados y consens7ados antes de desarrollar los sistemas de in5ormación3


NTP-I%OIEC !..//!0# de !."

Todos los re@7isitos de seg7ridad de6er4an ser identi5icados y '7sti5icados en la 5ase de



re@7isitos de 7n +royecto$ consens7ados y doc7mentados como +arte del +roceso de negocioglo6al +ara 7n sistema de in5ormación3

12.1.1Aná&ii $p$ci(icación d$ &% )$9,ii% d$ $g,)idad

C%n)%&

os en7nciados de los re@7isitos de negocio +ara sistemas n7eos o me'oras a sistemaseBistentes de6er4an es+eci5icar los re@7isitos de control3


as es+eci5icaciones de6er4an considerar los controles a7tomatiJados a ser incor+orados en elsistema y la necesidad de controles man7ales de a+oyo3 %e de6er4an a+licar consideracionessimilares c7ando se eal2en$ desarrollen o com+ren +a@7etes de so5tare +ara a+licaciones denegocio3

os re@7isitos y controles de seg7ridad de6er4an re5le'ar el alor de los actios de in5ormaciónim+licados (éase el inciso .30* y el +osi6le daQo a la organiJación @7e res7ltar4a de 5allos oa7sencia de seg7ridad3

os re@7isitos del sistema +ara la seg7ridad de in5ormación y +rocesos +ara im+lementar laseg7ridad de6en ser integrados en las eta+as iniciales de los +royectos de sistema dein5ormación3 os controles introd7cidos en la eta+a de diseQo son signi5icantemente menoscostos de im+lementar y mantener @7e los @7e se incl7yen d7rante o des+7és de laim+lementación3

%i los +rod7ctos son com+rados$ se de6e realiJar 7na +r7e6a 5ormal y 7n +roceso dead@7isición3 os contratos con el +roeedor de6en indicar los re@7isitos de seg7ridad3 %i losre@7isitos no satis5acen la 57ncionalidad de la seg7ridad en 7n +rod7cto se de6e reconsiderar los riesgos introd7cidos y los controles asociados antes de com+rar el +rod7cto3 Donde ses7ministre 7na 57ncionalidad adicional @7e ca7se 7n riesgo en la seg7ridad$ se de6e desactiar o se de6e reisar la estr7ct7ra del control +ro+7esto +ara determinar si se +7ede tomar enta'ade la 57ncionalidad dis+oni6le3

O)a In(%)*ación

%i se considera a+ro+iado$ +or e'em+lo +or raJones de costos$ la gerencia +7ede desear 9acer 7so de +rod7ctos inde+endientemente eal7ados y certi5icados3 Para mayor in5ormación so6re


NTP-I%OIEC !..//!0/ de !."

el criterio de eal7ación +ara +rod7ctos de seg7ridad de TI se +7ede cons7ltar la I%OIEC!,)1# 7 otro est8ndar de eal7ación o certi5icación3

a I%OIEC TR !""",-" +roee g74a en el 7so de los +rocesos de gestión de riesgos +araidenti5icar los re@7isitos +ara controles de seg7ridad3



12.2S$g,)idad d$ &a ap&icaci%n$ d$& i$*a

O&ETI;O< Eitar +érdidas$ modi5icaciones o mal 7so de los datos de 7s7ario en lasa+licaciones3

%e de6er4an diseQar dentro de las a+licaciones (incl7idas las a+licaciones escritas +or los

7s7arios* las medidas de control3 Éstos de6er4an incl7ir la alidación de los datos de entrada$el tratamiento interno y los datos de salida3

%e +odr8 re@7erir controles adicionales +ara sistemas @7e +rocesen o tengan im+acto enin5ormación sensi6le$ con m7c9o alor o cr4ticas3 Estos controles de6en ser determinados en

6ase a los re@7isitos de seg7ridad y la eal7ación de riesgos3

12.2.1Ba&idación d$ &% da% d$ $n)ada

C%n)%&

%e de6er4an alidar los datos de entrada a las a+licaciones del sistema +ara garantiJar @7e soncorrectas y a+ro+iadas3


%e de6er4an a+licar eri5icaciones a la entrada de las transacciones$ de los datos de re5erencia

(+or e'em+lo nom6res y direcciones$ l4mites de crédito$ n2meros de clientes* y de las ta6las de +ar8metros (+or e'em+lo +recios de enta$ tasas de cam6io de diisas$ tasas de im+7estos*3os controles sig7ientes de6er4an ser considerados<

a*

entrada d7+licada 7 otras eri5icaciones$ como eri5icación de 5ronteras o

cam+os limitados +ara es+eci5icar los rangos de los datos de entrada$ +ara detectar loserrores sig7ientes<

l*

alores 57era de rango


0*

"*

)*

,*

NTP-I%OIEC !..//!"1 de !."

caracteres in8lidos en los cam+os de datos

datos @7e 5altan o est8n incom+letosdatos @7e eBceden los l4mites de ol7men +or eBceso o de5ecto

datos de control no a7toriJados o inconsistentes

6* reisión +eriódica del contenido de los cam+os clae o los arc9ios de datos



+ara con5irmar s7 alideJ e integridad

c*

ins+ección de los doc7mentos 54sicos de entrada +ara er si 9ay cam6ios no

a7toriJados a los datos de entrada (todos de6er4an estar a7toriJados*

d*

e*

5*

+rocedimientos +ara res+onder a los errores de alidación

+rocedimientos +ara com+ro6ar la integridad de los datos de entrada

de5inición de las res+onsa6ilidades de todos los im+licados en el +roceso de

entrada de datos

g*

creación de 7n registro de actiidades en7eltas en el +rocesamiento de los

datos de entrada (éase el inciso !13!13!*3

O)a In(%)*ación

a reeBaminación a7tom8tica y la alidación de los datos de entrada +7eden ser consideradas$donde sea a+lica6le$ +ara red7cir el riesgo de errores y +ara +reenir los ata@7es est8ndar incl7yendo el des6ordamiento del 6755er y la inyección del código3

12.2.2C%n)%& d$& p)%c$% in$)n%

C%n)%&

%e de6er4an incor+orar a los sistemas com+ro6aciones de alidación +ara detectar c7al@7ier ti+o de corr7+ción de in5ormación a traés de errores del +roceso o +or actos deli6erados3


El diseQo de las a+licaciones de6er4a aseg7rar la im+lantación de restricciones @7e minimicenel riesgo de los 5allos del +roceso con +érdidas de integridad3 Areas de riesgo es+ec45icas aconsiderar ser4an<

a*

el 7so en los +rogramas de 57nciones ]aQadir^ y ]6orrar^ +ara cam6iar los datos


NTP-I%OIEC !..//!"! de !."

6*

c*

d*



+rocedimientos +aratar +rogramas @7e corranorden e@7iocado o+7és del 5allo de 7n

+roceso anterior (éase el inciso!13!3!*

el 7so de +rogramas correctos de rec7+eración des+7és de 5allas +ara aseg7rar el +roceso correcto de los datos

la +rotección contra ata@7es 7tiliJando corridas o des6ordes de 6755ers3

%e de6er4a tener +re+arado 7na lista de eri5icación a+ro+iada$ tener las actiidadesdoc7mentadas y los res7ltados de6en mantenerse seg7ros3 A contin7ación se dan e'em+los decom+ro6aciones @7e +7eden incor+orarse<

a*controles de sesión o de lotes$ +ara conciliar los c7adres de los arc9ios tras las

act7aliJaciones de las transacciones

6*

controles +ara com+ro6ar los c7adres de a+ert7ra contra los c7adres +reios del

cierre$ como<

!*

0*

"*

controles de +asada en +asada

totales de act7aliJación de arc9ios

controles de +rograma a +rograma

c*

d*

alidación de los datos generados +or el sistema (éase el inciso !0303!*

com+ro6aciones de la integridad$ a7tenticidad 7 otro as+ecto de seg7ridad de

datos o del so5tare trans5eridos entre el com+7tador central y las com+7tadorasremotas

e*

5*

totales de com+ro6ación de registros y arc9ios

com+ro6aciones @7e aseg7ren @7e los +rogramas de las a+licaciones se

e'ec7tan en el momento adec7ado

g*

com+ro6aciones @7e aseg7ren @7e los +rogramas se e'ec7tan en el orden

correcto$ @7e 5inaliJan en caso de 5alla y @7e no sig7e el +roceso 9asta @7e el +ro6lemase res7ele3

9*

crear 7n registro de las actiidades en7eltas en el +rocesamiento (éase el

inciso !13!13!*3

O)a In(%)*ación


NTP-I%OIEC !..//!"0 de !."



os datos @7e 9an sido ingresados correctamente +7eden ser corrom+idos +or errores de9ardare$ +rocesamiento de errores o a traés de actos deli6erados3 a com+ro6aciónre@7erida de+ender8 de la nat7raleJa de la a+licación y del im+acto en el negocio de c7al@7ier corr7+ción de datos3

12.2.?In$g)idad d$ *$naK$

C%n)%&

%e de6er4a identi5icar los re@7erimientos +ara aseg7rar la a7tenticación y +rotección de laintegridad de los mensa'es en a+licaciones y se de6er4an de identi5icar e im+lementar controles a+ro+iados3


Una eal7ación de riesgos de seg7ridad de6e ser lleada a ca6o +ara determinar si la

integridad de los mensa'es es re@7erida e identi5icar el método mas a+ro+iado +ara s7im+lementación3

O)a In(%)*ación

%e +7eden 7sar técnicas cri+togr85icas (éase el inciso !03"* como 7n medio adec7ado +araim+lantar dic9a a7tenticación3

12.2.Ba&idación d$ &% da% d$ a&ida

C%n)%&

%e de6er4an alidar los datos de salida de 7n sistema de a+licación +ara garantiJar @7e el +roceso de la in5ormación 9a sido correcto y a+ro+iado a las circ7nstancias3


a alidación de salidas +7ede incl7ir<

a*alidaciones de erosimilit7d +ara com+ro6ar @7e los datos de salida son

raJona6les

NORMA TECNICA

PERUANA

NTP-I%OIEC !..//!"" de !."

6*

c*

c7entas de control de conciliación +ara aseg7rar el +roceso de todos los datos

s7ministro de s75iciente in5ormación al lector o a 7n sistema de +roceso



s76sig7iente +ara +oder determinar la eBactit7d$ com+letit7d$ +recisión y clasi5icaciónde la in5ormación

d*

e*

+rocedimientos +ara contestar los c7estionarios de alidación de salidas

de5inición de las res+onsa6ilidades de todos los im+licados en el +roceso de

salida de datos

5*

creación de 7n registro de actiidades en el +roceso de alidación de los datos

de salida3

O)a In(%)*ación

T4+icamente$ los sistemas y a+licaciones son constr7idos con la s7+osición de @7e si se tomoen c7enta 7na alidación$ eri5icación y +r7e6a a+ro+iada$ las salidas ser8n siem+re correctas3%in em6argo$ esta s7+osición no siem+re es alida ya @7e eBisten sistemas @7e 9an sido

+ro6ados y @7e +7eden +rod7cir a2n salidas incorrectas 6a'o ciertas circ7nstancias3

12.?C%n)%&$ c)ip%g)á(ic%

O&ETI;O< Proteger la con5idencialidad$ a7tenticidad o integridad de la in5ormación3

%e de6er4an 7sar sistemas y técnicas cri+togr85icas +ara +roteger la in5ormación sometida ariesgo$ c7ando otras medidas y controles no +ro+orcionen la +rotección adec7ada3

12.?.1P%&'ica d$ ,% d$ &% c%n)%&$ c)ip%g)á(ic%

C%n)%&

a organiJación de6er4a desarrollar e im+lementar 7na +ol4tica de 7so de las medidascri+togr85icas +ara +roteger la in5ormación3


El desarrollo de 7na +ol4tica de6er4a considerar lo sig7iente<


NTP-I%OIEC !..//!") de !."

a*7n en5o@7e de gestión del 7so de las medidas cri+togr85icas a traés de la

organiJación$ incl7yendo los +rinci+ios generales en 6ase a los c7ales se de6er4a +roteger la in5ormación del negocio (éase el inciso ,3!3!*



6* 6asados en la eal7ación de riesgos$ el niel re@7erido de +rotección de6e ser

identi5icado tomando en c7enta el ti+o$ 57erJa y calidad del algoritmo ci5rado re@7erido

c*

el 7so de ci5rado +ara la +rotección de in5ormación sensi6le trans+ortada en

medios o dis+ositios móiles o remoi6les y en las l4neas de com7nicación

d*

7n en5o@7e de gestión de claes$ incl7yendo métodos +ara tratar la

rec7+eración de la in5ormación ci5rada en caso de +érdida$ di7lgación o daQo de lasclaes

e*

los roles y res+onsa6ilidades de cada c7al @7e es res+onsa6le de<

!*

0*

la im+lementación de la +ol4tica

la gestión de claes$ incl7yendo la generación de claes (éase el inciso

!03"30*

5*

los est8ndares a ser ado+tados +ara 7na e5ectia im+lementación a traés de la

organiJación (@7e sol7ción es 7tiliJada +ara cada +roceso del negocio*

g*

las normas +ara 7tiliJar in5ormación ci5rada en controles @7e con54en en la

ins+ección de contenido (como la detección de ir7s*3

C7ando se im+lemente la +ol4tica cri+togr85ica de la organiJación se de6e tener enconsideración las reg7laciones y restricciones nacionales @7e +7eden a+licar al 7so detécnicas cri+togr85icas en di5erentes +artes del m7ndo y los temas de des6ordamiento dein5ormación 57era de las 5ronteras (éase el inciso !,3!3F*3

os controles cri+togr85icos +7eden se 7tiliJados +ara alcanJar di5erentes o6'etios deseg7ridad como +or e'em+lo<

a*con5idencialidad< 7tiliJando ci5rado de in5ormación +ara +roteger in5ormación

sensi6le o cr4tica$ as4 sea transmitida o almacenada3 6* integridada7tenticidad< 7tiliJando 5irmas digitales o códigos de a7tenti5icaciónde mensa'es +ara +roteger la a7tenticidad e integridad de la in5ormación cr4tica osensi6le @7e es almacenada o transmitida3


NTP-I%OIEC !..//!", de !."

c*no re+7dio< 7tiliJando técnicas cri+togr85icas +ara o6tener +r7e6a de



oc7rrencia o no oc7rrencia de 7n eento o acción3

12.?.2@$ión d$ c&a:$

C%n)%&

a gestión de claes de6e cri+togr85icas de6e a+oyar el 7so de las técnicas cri+togr85icas en laorganiJación3


%e de6er4an +roteger todos los ti+os de claes de s7 modi5icación o destr7cción las claessecretas y las +riadas adem8s re@7ieren +rotección contra s7 distri67ción no a7toriJada3 Coneste 5in tam6ién +7eden 7sarse técnicas cri+togr85icas3 %e de6er4a 7tiliJar +rotección 54sica

+ara c76rir el e@7i+o 7sado en la generación$ almacenamiento y arc9io de claes3

El sistema de gestión de claes se de6er4a 6asar en 7n con'7nto acordado de normas$ +rocedimientos y métodos seg7ros +ara<

a*

6*

c*

generar claes +ara distintos sistemas cri+togr85icos y distintas a+licaciones

generar y o6tener certi5icados de clae +26lica

distri67ir claes a los 7s7arios +reistos$ incl7yendo la 5orma de actiar y

reci6ir las claes

d* almacenar claes$ incl7yendo la 5orma de o6tención de acceso a las claes +or los 7s7arios

e*

cam6iar o act7aliJar claes$ incl7yendo reglas +ara sa6er c78ndo y cómo

de6er4a 9acerse

5*

g*

tratar las claes com+rometidas (a5ectadas*

reocar claes$ incl7yendo la 5orma de desactiarlas o retirarlas$ +or e'em+lo$

c7ando tienen +ro6lemas o el 7s7ario de'a la organiJación (en c7yo caso las claestam6ién se arc9ian*

9*

rec7+erar claes @7e se 9an +erdido o corrom+ido como +arte de la gestión de

contin7idad del negocio$ +or e'em+lo$ +ara rec7+erar la in5ormación ci5rada


NTP-I%OIEC !..//!"F de !."

i*

'*

*



9iar claes$ +or e'em+lo$a in5ormación arc9iada ores+aldo

destr7ir claes

9acer seg7imiento y a7ditorias de las actiidades relacionadas con la gestión delas claes3

Para red7cir la +ro6a6ilidad de com+rometer las claes$ se de6er4an de5inir 5ec9as deactiación y desactiación +ara @7e sólo +7edan 7tiliJarse d7rante 7n +eriodo limitado3 Estede6er4a de+ender de las circ7nstancias del 7so de las medidas de control cri+togr85icas y del

riesgo +erci6ido3Adem8s de la gestión seg7ra de las claes +riadas y secretas$ se de6er4a considerar laa7tenticidad de las claes +26licas3 Este +roceso se realiJa normalmente +or 7na a7toridadcerti5icadora @7e de6er4a ser 7na organiJación reconocida y +oseer controles y +rocedimientosadec7ados +ara +ro+orcionar el grado de 5ia6ilidad re@7erido3

El contenido de los ac7erdos de niel de sericio o de los contratos con los +roeedores desericios cri+togr85icos (+or e'em+lo 7na a7toridad certi5icadora* de6er4a c76rir los as+ectosde las o6ligaciones$ 5ia6ilidad de los sericios y tiem+os de res+7esta +ara s7 s7ministro(éase el inciso F303"*3

O)a In(%)*ación

a gestión de claes cri+togr85icas es esencial +ara 7n 7so e5ectio de las técnicascri+togr85icas3 a I%OIEC !!..1 +roee mayor in5ormación de la gestión de claes3 os dosti+os de técnicas cri+togr85icas son<

a*las técnicas de clae secreta$ donde dos o m8s +artes com+arten la misma

clae$ @7e se 7sa tanto +ara ci5rar como +ara desci5rar la in5ormación3 Este clae 9a de

mantenerse en secreto$ +7esto @7e c7al@7iera @7e acceda a ella +7ede desci5rar lain5ormación ci5rada o introd7cir in5ormación no a7toriJada

6*

las técnicas de clae +26lica$ donde cada 7s7ario tiene 7n +ar de claes$ 7na

+26lica (@7e +7ede conocer c7al@7iera* y otra +riada (@7e 9a de mantenerse ensecreto*3 Estas técnicas se 7san +ara ci5rado y +ara +rod7cir 5irmas digitales (éasetam6ién I%OIEC /./F y la I%OIEC !)###*3

EBiste 7na amenaJa en 5or'ar 7na 5irma digital reem+laJando 7na clae +26lica de 7s7ario3Este +ro6lema es tra4do +or el 7so de 7n certi5icado clae +26lico3


NTP-I%OIEC !..//!". de !."

as técnicas cri+togr85icas +7eden ser 7tiliJadas +ara +roteger claes cri+togr85icas3 os +rocedimientos +7eden necesitar ser considerados +ara manio6rar +edidos legales de acceso alas claes cri+togr85icas$ +or e'em+lo la in5ormación ci5rada +7ede necesitar ser dis+oni6le de7na manera no ci5rada como eidencia en 7n caso de corte3

12.S$g,)idad d$ &% a)ci:% d$& i$*a



O&ETI;O< Aseg7rar la seg7ridad de los arc9ios del sistema3

El acceso a los arc9ios del sistema de6er4a ser controlado y los +royectos de Tecnolog4a dela In5ormación (TI* y las actiidades com+lementarias de6en ser lleadas a ca6o de 7na 5ormaseg7ra3 %e de6er4a tener c7idado de eitar la eB+osición de datos sensi6les en am6ientes de

+r7e6a3

12..1C%n)%& d$& %(Ma)$ $n p)%d,cción

C%n)%&

De6er4an eBistir +rocedimientos +ara controlar la instalación del so5tare en sistemaso+eracionales3


Para minimiJar el riesgo de corr7+ción de6er4an considerarse los sig7ientes controles<

a*

la act7aliJación de las li6rer4as de +rogramas o+eratios sólo se de6er4a realiJar

+or el administrador ca+acitado +reia a7toriJación de la gerencia (éase el inciso!03)3"*

6*

los sistemas o+eratios de6er4an tener sólo código e'ec7ta6le y no desarrollo de

código o com+iladoresc*

no se de6er4a im+lantar código e'ec7ta6le en 7n sistema o+eratio mientras no

se tenga eidencia del éBito de las +r7e6as$ la ace+tación del 7s7ario y la act7aliJaciónde las li6rer4as de +rogramas 57ente3 De6en ser realiJadas en 7n sistema se+arado (éaseel inciso !13!3)*

d*

se de6er4a 7tiliJar 7n sistema de control de con5ig7ración +ara mantener 7n

control de todo el so5tare im+lementado as4 como la doc7mentación del sistema


NTP-I%OIEC !..//!"# de !."

e*de6er4a eBistir 7na estrategia de resta7ración no act7aliJada antes de @7e se

im+lementen los cam6ios

5*

se de6er4a mantener 7n registro de a7ditoria de todas las act7aliJaciones a las

li6rer4as de +rogramas en +rod7cción

g*



de6er4an retener las ersiones anteriores de so5tare como medida de +reca7ción +ara contingencias

9*

las ersiones antig7as de so5tare de6en ser arc9iadas '7nto con toda la

in5ormación re@7erida$ los +ar8metros$ +rocedimientos$ detalles de con5ig7ración yso5tare de so+orte$ d7rante el tiem+o en @7e los datos sean retenidos3

El so5tare ad@7irido @7e se 7se en sistemas o+eratios se de6er4a mantener en el niel de

so+orte del +roeedor3 A traés del tiem+o$ los endedores de so5tare cesaran de s7ministrar ersiones antig7as3 a organiJación de6e considerar los riesgos de con5iar en 7n so5tare @7eno c7ente con so+orte3

C7al@7ier decisión de act7aliJación de6e tomar en c7enta los re@7isitos del negocio +aradic9o cam6io y la seg7ridad del n7eo lanJamiento$ como +or e'em+lo la introd7cción de 7nan7ea 57ncionalidad de seg7ridad o el n2mero y seeridad de los +ro6lemas de seg7ridad @7ea5ectan esta ersión3 os +arc9es de so5tare de6en ser a+licados c7ando ay7den a remoer ored7cir las 7lnera6ilidades (éase el inciso !03F3!*3

%ólo se de6er4a +ermitir acceso 54sico o lógico a los +roeedores c7ando sea im+rescindi6le +or motios de so+orte$ y con a+ro6ación de la gerencia3 as actiidades de los +roeedoresde6er4an ser s7+erisadas y controladas3El so5tare de com+7tación de6e recaer en so5tare y mód7los s7ministrados eBternamentelos c7ales de6en ser monitoreados y controlados +ara eitar cam6ios no a7toriJados @7e

+7edan introd7cir de6ilidades en la seg7ridad3

O)a In(%)*ación

os sistemas o+eratios solo de6en ser act7aliJados c7ando eBista 7n re@7erimiento +ararealiJarlo$ +or e'em+lo si la ersión act7al no a+oya los re@7erimientos del negocio3 asact7aliJaciones no de6en realiJarse solo +or@7e eBista 7na n7ea ersión dis+oni6le3 asn7eas ersiones de sistemas o+eratios +7eden ser menos seg7ras$ menos esta6les y menosentendi6les @7e la ersión act7al3

12..2P)%$cción d$ &% da% d$ p),$+a d$& i$*a


NTP-I%OIEC !..//!"/ de !."

C%n)%&

os datos de +r7e6a de6en ser seleccionados c7idadosamente$ as4 como +rotegidos ycontrolados3


%e de6er4a eitar el 7tiliJar 6ases de datos en +rod7cción @7e contengan in5ormación de +ersonas3 %i esta in5ormación se 7tiliJase$ los datos +ersonales se de6er4an modi5icar o



remoer antes de 7tiliJarlos +ara las +r7e6as3 %e de6er4an a+licar los controles y medidassig7ientes +ara +roteger los datos de +rod7cción c7ando se 7sen +ara +r7e6as<

a*los +rocedimientos de control de acceso @7e se consideran +ara las a+licaciones

del sistema o+eracional se de6er4an 7tiliJar tam6ién en los sistemas de a+licaciones en +r7e6a

6*

se de6er4a a7toriJar +or se+arado cada eJ @7e se co+ie in5ormación o+eratia

a 7n sistema de a+licación en +r7e6a

c*

se de6er4a 6orrar la in5ormación o+eratia de la a+licación del sistema en

+r7e6a en c7anto ésta se com+lete

d*

se de6er4a registrar la co+ia y 7so de la in5ormación o+eratia a e5ectos de

seg7imiento +ara a7ditoria3

O)a In(%)*ación

os sistemas de +r7e6a 7s7almente re@7ieren de ol2menes s76stanciales de datos de +r7e6a@7e sean lo m8s +arecidos a los datos o+eracionales3

12..?C%n)%& d$ acc$% a &% códig% d$ p)%g)a*a (,$n$

C%n)%&

El acceso a los códigos de +rogramas 57ente de6e ser restringido3



NTP-I%OIEC !..//!)1 de !."

El acceso a los +rogramas de códigos 57ente y s7s 4tems asociados (como diseQos$es+eci5icaciones$ +lanes de eri5icación y +lanes de alidación* de6en ser controladosestrictamente con el 5in de +reenir la introd7cción de 57ncionalidades no a7toriJadas y +araeitar los cam6ios no intencionales3 Para los códigos de +rogramas 57ente$ esto +7ede ser logrado$ controlando el almacena'e central de dic9a 57ente$ +re5erentemente en li6rer4as de

+rogramas 57ente3 as sig7ientes +a7tas de6en ser consideradas (éase tam6ién el ca+it7lo !!*

+ara controlar el acceso a dic9a li6rer4a de +rogramas 57ente$ con el 5in de red7cir la +ro6a6ilidad de corr7+ción de los +rogramas del sistema3

a*si es +osi6le$ las li6rer4as de +rogramas 57entes no de6er4an residir en los

sistemas o+eratios



6*el código y li6rer4a de +rogramas 57ente de6e ser manio6rado de ac7erdo a

+rocedimientos esta6lecidos

c*

el +ersonal de a+oyo in5orm8tico no de6er4a tener li6re acceso$ sin restricción$

a las li6rer4as de +rogramas 57entes

d*

la act7aliJación de li6rer4as de +rogramas y la entrega de +rogramas a los

+rogramadores se de6er4a realiJar sólo +or el res+onsa6le con a7toriJación del gerentede so+orte in5orm8tico +ara la a+licación

e*

los listados de +rogramas se de6er4an mantener en 7n entorno seg7ro (éase el

inciso!13.3)*

5*

se de6er4a mantener 7n registro de a7ditoria de todos los accesos a las li6rer4as

de +rogramas 57entes

g*

el mantenimiento y co+ia de las li6rer4as de +rogramas 57ente de6er4a estar

s7'eta a +rocedimientos estrictos de control de cam6ios (éase el inciso !03,3!*3

O)a In(%)*ación

os códigos de +rogramas 57ente son códigos realiJados +or +rogramadores los c7ales soncom+ilados +ara crear e'ec7ta6les3 Ciertos leng7a'es de +rogramación no disting7en5ormalmente el código 57ente con los e'ec7ta6les ya @7e estos e'ec7ta6les son creados c7andoestos son actiados3

os est8ndares I%O !111. e I%OIEC !0001. +roeen mayor in5ormación so6re la gestión decon5ig7ración y el +roceso ciclo de ida del so5tare3


NTP-I%OIEC !..//!)! de !."

12.S$g,)idad $n &% p)%c$% d$ d$a))%&&% %p%)$

O&ETI;O< Mantener la seg7ridad del so5tare de a+licación y la in5ormación3

%e de6er4an controlar estrictamente los entornos del +royecto y de so+orte3

os directios res+onsa6les de los sistemas de a+licaciones tam6ién lo de6er4an ser de laseg7ridad del entorno del +royecto o s7 so+orte3 %e de6er4an aseg7rar de la reisión de todocam6io +ro+7esto al sistema +ara com+ro6ar @7e no de6ilite s7 seg7ridad o la del sistemao+eratio3



12..1

P)%c$di*i$n% d$ c%n)%& d$ ca*+i%

C%n)%&

a im+lementación de cam6ios de6e ser controlada 7sando +rocedimientos 5ormales decam6io3


Para minimiJar la corr7+ción de los sistemas de in5ormación$ se de6er4an mantener estrictoscontroles so6re la im+lantación de cam6ios3 a introd7cción de n7eos sistemas y cam6iosmayores al sistema eBistente de6e seg7ir 7n +roceso 5ormal de doc7mentación$ es+eci5icación$

+r7e6a$ control de calidad e im+lementación3

Este +roceso de6e incl7ir 7na eal7ación de riesgos$ 7n an8lisis de los im+actos de loscam6ios y 7na es+eci5icación de los controles de seg7ridad necesarios3 Este +roceso de6etam6ién aseg7rar @7e no se com+rometa la seg7ridad y los +rocedimientos de controleBistentes$ @7e a los +rogramadores de so+orte se les de acceso solo a las +artes del sistemanecesarias +ara s7 tra6a'o y @7e se de6e tener 7na a+ro6ación y ac7erdo 5ormal +ara c7al@7ier cam6io3

a a+licación y s7s +rocedimientos de control de cam6ios de6er4an estar integrados siem+re@7e sea +osi6le (éase el inciso !13!30*3 Este +roceso de6er4a incl7ir<

a*

6*

el mantenimiento de 7n registro de los nieles de a7toriJación acordados

la garant4a de @7e los cam6ios se realiJan +or 7s7arios a7toriJados


NTP-I%OIEC !..//!)0 de !."

c* la reisión de los controles y los +rocedimientos de integridad +ara aseg7rarse

@7e los cam6ios no los de6ilitan

d*

la identi5icación de todo el so5tare , in5ormación$ entidades de 6ases de datos

y 9ardare @7e re@7iera me'ora

e*

la o6tención de la a+ro6ación 5ormal +ara +ro+7estas detalladas antes de

em+eJar el tra6a'o

5*

la garant4a de la ace+tación +or el 7s7ario a7toriJado de los cam6ios antes de

c7al@7ier im+lantación

g*



garant4a de act7aliJación de la doc7mentación del sistema al com+letar c7al@7ier cam6io y del arc9io o destr7cción de la doc7mentación antig7a

9*

i*cam6io

'*

el mantenimiento de 7n control de ersiones de toda act7aliJación del so5tare

el mantenimiento de 7n seg7imiento de a7ditoria de todas las +eticiones de

la garant4a del cam6io de la doc7mentación o+eratia (éase el inciso !13!3!* y

de los +rocedimientos de 7s7ario en 57nción de la necesidad

*

la garant4a de la adec7ación del tiem+o de im+lantación de los cam6ios +ara no

di5ic7ltar los +rocesos de negocio im+licados3

O)a In(%)*ación

os cam6ios en el so5tare +7eden im+actar en el am6iente o+eracional3

as 67enas +racticas incl7yen la +r7e6a de n7eo so5tare en 7n am6iente segregado de losam6ientes de +rod7cción y desarrollo (éase el inciso !13!3)*3 Esto +ermite controlar el n7eoso5tare y a7mentar la +rotección de la in5ormación o+eratia @7e se 7se +ara +r7e6as3 %ede6en incl7ir +arc9es$ +a@7etes de sericio y otras act7aliJaciones3 as act7aliJacionesa7tom8ticas no de6en ser 7tiliJadas en sistemas cr4ticos ya @7e alg7nas act7aliJaciones

+7eden ca7sar @7e las a+licaciones criticas 5allen (éase el inciso !03F*3

12..2

C%n)%&

R$:iión cnica d$ &% ca*+i% $n $& i$*a %p$)ai:%


NTP-I%OIEC !..//!)" de !."

%e de6er4an reisar y +ro6ar las a+licaciones del sistema c7ando se e5ect2en cam6ios$ +araaseg7rar @7e no im+actan adersamente en el 57ncionamiento o en la seg7ridad3


Este +roceso de6er4a c76rir<

a*

la reisión de los +rocedimientos de control de la a+licación y de la integridad

+ara aseg7rar @7e los cam6ios en el sistema o+eratio no 9an sido com+rometidos

6*

la garant4a de @7e el +lan de so+orte an7al y el +res7+7esto c76ren las

reisiones y las +r7e6as del sistema @7e re@7ieran los cam6ios del sistema o+eratio



c*la garant4a de @7e la modi5icación de los cam6ios del sistema o+eratio se

realiJa a tiem+o +ara @7e +7edan 9acerse las reisiones a+ro+iadas antes de s7im+lantación

d*

la garant4a de @7e se realiJan los cam6ios a+ro+iados en los +lanes de

contin7idad del negocio (éase el ca+4t7lo !)*3

%e le de6e dar la res+onsa6ilidad$ a 7n gr7+o es+ec45ico o indiid7o$ de monitorear las7lnera6ilidades y los lanJamientos de +arc9es y arreglos +or +arte de los endedores (éaseel inciso !03F*3

12..?R$)icci%n$ $n &% ca*+i% a &% pa9,$$ d$ %(Ma)$

C%n)%&

No se recomiendan modi5icaciones a los +a@7etes de so5tare. %e de6er4a limitar a cam6iosnecesarios y todos estos de6en ser estrictamente controlados3


%e de6er4an 7sar los +a@7etes de so5tare s7ministrados +or los +roeedores sin modi5icaciónen la medida @7e sea +osi6le y +ractica6le3 C7ando 9aya necesidad de modi5icarlos$ sede6er4an considerar los as+ectos sig7ientes<

a*el riesgo de de6ilitamiento de las medidas de control incor+oradas y s7s

+rocesos de integridad


NTP-I%OIEC !..//!)) de !."

6*

c*

la o6tención del consentimiento del endedor

la +osi6ilidad de o6tener los cam6ios re@7eridos como act7aliJaciones

normales del +rograma del endedor

d*

el im+acto ca7sado si la organiJación ad@7iere la res+onsa6ilidad del

mantenimiento 57t7ro del so5tare como res7ltado de los cam6ios3

%i se considera @7e son necesarios los cam6ios$ se de6er4a g7ardar el so5tare original y loscam6ios realiJados en 7na co+ia claramente identi5icada3 Un +roceso de gestión deact7aliJación de so5tare de6e ser im+lementado +ara aseg7rar @7e eBista la mayor cantidadde +arc9es act7ales y de act7aliJaciones instaladas +ara todo el so5tare a7toriJado (éase



!03F*3 %e de6er4an +ro6ar y doc7mentar totalmente los cam6ios de 5orma @7e +7edan olersea a+licar a las act7aliJaciones del so5tare3 %i 57ese necesario$ las modi5icaciones +7eden ser

+ro6adas y alidadas +or 7n c7er+o inde+endiente de eal7ación3

12..F,ga d$ In(%)*ación

C%n)%&

as o+ort7nidades de 57ga de in5ormación de6en ser +reenidas3


%e de6e considerar lo sig7iente +ara limitar el riesgo de 57ga de in5ormación$ como +or e'em+lo a traés del 7so y eB+lotación de canales c76iertos<

a*

6*

escaneo de medios de salida y com7nicaciones +ara in5ormación oc7lta

sistema de mod7lación y enmascarado$ y el com+ortamiento de las

com7nicaciones +ara red7cir la +ro6a6ilidad de @7e 7n tercero sea ca+aJ de ded7cir in5ormación desde dic9o com+ortamiento

c*

9aciendo 7so de los sistemas y so5tare @7e se consideran de alta integridad$

+or e'em+lo +rod7ctos eal7ados (éase I%OIEC !,)1#*

d*

monitoreo reg7lar de las actiidades del +ersonal y del sistema$ donde sea

+ermitido 6a'o la legislación o reg7lación eBistente

e*

monitoreo del 7so de rec7rsos en sistemas de cóm+7to3

NORMA TECNICA

PERUANA

NTP-I%OIEC !..//!), de !."

O)a In(%)*ación

Un canal enc76ierto son trayectorias @7e no tienen +reisto cond7cir in5ormación$ +ero @7esin em6argo +7eden eBistir en 7n sistema o red3 Por e'em+lo$ la mani+7lación de 6its en

+a@7etes de +rotocolos de com7nicación +7ede ser 7tiliJada como 7n método oc7lto de

seQalar3 De6ido a s7 nat7raleJa$ +reenir la eBistencia de todos los canales c76iertos +osi6lesseria m7y di54cil$ si no es im+osi6le3 De todas 5ormas$ la eB+lotación de dic9os canales esrealiJado 5rec7entemente +or código Troyano (éase tam6ién !13)3!*3 Tomando medidas +ara

+rotegernos contra códigos troyanos$ red7ce el riesgo de la eB+lotación del canal c76ierto3

a +reención de acceso a red no a7toriJado (éase el inciso !!3)*$ as4 como las +ol4ticas o



+rocedimientos +ara @7e desaliente el mal 7so de los sericios de in5ormación +or +arte del +ersonal (éase el inciso !,3!3,*$ ay7dara a +rotegernos contra canales c76iertos3

12..D$a))%&&% $;$)n% d$& %(Ma)$

C%n)%&

El desarrollo eBterno del so5tare de6e ser s7+erisado y monitoreado +or la organiJación3


De6er4an ser considerados los sig7ientes as+ectos c7ando se eBternalice el desarrollo deso5tare<

a*ac7erdos 6a'o licencia$ +ro+iedad del código y derec9os de +ro+iedad

intelect7al (éase el inciso !,3!30*

6*

c*

d*

e*

5*

certi5icación de la calidad y eBactit7d del tra6a'o realiJado

ac7erdos +ara 9acerse cargo en el caso de 5allo de terceros

derec9os de acceso +ara a7ditar la calidad y eBactit7d del tra6a'o realiJado

re@7isitos contract7ales so6re la calidad y 57ncionalidad seg7ra del código

+r7e6as antes de la im+lantación +ara detectar el código Troyano3


NTP-I%OIEC !..//!)F de !."

12.6@$ión d$ &a :,&n$)a+i&idad cnica

O&ETI;O< Red7cir los riesgos res7ltantes de la eB+lotación de 7lnera6ilidades técnicas +76licadas3

a gestión de la 7lnera6ilidad técnica de6e ser im+lementada de 7na manera e5ectia$sistem8tica y res+eta6le con medidas tomadas +ara con5irmar s7 e5ectiidad3 Estasconsideraciones de6en incl7ir los sistemas o+eratios y otras a+licaciones en 7so3

12.6.1C%n)%& d$ &a :,&n$)a+i&idad$ cnica.

C%n)%&



%e de6e o6tener a tiem+o la in5ormación so6re las 7lnera6ilidades técnicas de los sistemasin5ormación 7tiliJadas3 Ig7almente$ se de6e eal7ar la eB+osición de la organiJación a tales7lnera6ilidades y las medidas a+ro+iadas +ara tratar a los riegos asociados3


Un inentario act7al y com+leto de actios (éase el inciso .3!* es 7n +rerre@7isito +ara 7nae5ectia gestión de 7lnera6ilidades técnicas3 a in5ormación es+eci5ica re@7erida +ara a+oyar la gestión de 7lnera6ilidades técnicas incl7ye al endedor de so5tare$ n7mero de ersiones$el estado act7al de des+lieg7e (+or e'em+lo @7e so5tare es instalado en @7e sistema* y las

+ersonas dentro de la organiJación res+onsa6les del so5tare3

Una acción a+ro+iada y a tiem+o de6e ser tomada en c7enta en res+7esta a la identi5icación de7lnera6ilidades técnicas +otenciales3 as sig7ientes +a7tas de6en seg7irse +ara esta6lecer 7n

+roceso de gestión de 7lnera6ilidades técnicas e5ectias<

a*la organiJación de6e de5inir y esta6lecer los roles y res+onsa6ilidades

asociados con la gestión de 7lnera6ilidades técnicas$ incl7yendo el monitoreo de7lnera6ilidades$ la eal7ación de la 7lnera6ilidad de riesgo$ el +arc9ado$ elseg7imiento de actios y c7al@7ier otra res+onsa6ilidades coordinadas

6*

los rec7rsos de in5ormación @7e se 7tiliJaran +ara identi5icar las

7lnera6ilidades técnicas releantes y +ara mantener +reca7ción so6re ellos se de6enidenti5icar +ara el so5tare y otras tecnolog4as (6asadas en el inentario de actios$éase .3!3!* estos rec7rsos de in5ormación de6en ser act7aliJados 6asados en cam6iosde inentario o c7ando 7n rec7rso n7eo o mas 2til se enc7entre


NTP-I%OIEC !..//!). de !."

c*se de6er4a de5inir 7na l4nea de tiem+o +ara reaccionar ante noti5icaciones de

7lnera6ilidades técnicas +otenciales y releantes

d*

7na eJ identi5icada las 7lnera6ilidades técnicas +otenciales$ la organiJación

de6e identi5icar los riesgos asociados y las acciones a ser tomadas en c7enta3 Estaacción +7ede im+licar el +arc9ado de sistemas 7lnera6les yo la a+licación de otroscontroles

e*

de+endiendo en @7e tan 7rgente sea necesario tratar 7na 7lnera6ilidad técnica$

la acción a ser tomada en c7enta de6e ser lleada a ca6o de ac7erdo a controlesrelacionados con la gestión de cam6ios (éase el inciso !03,3!* o sig7iendo los +rocedimientos de res+7esta ante incidentes en la seg7ridad de in5ormación (éase elinciso !"30*

5*

si 7n +arc9e se enc7entra dis+oni6le$ se de6en tratar los riesgos asociados con



la instalación (los riesgos +lanteados +or la 7lnera6ilidad de6en ser com+arados conlos riesgos de instalación del +arc9e*

g*

los +arc9es de6en ser +ro6ados y eal7ados antes de @7e sean instalados con el

5in de aseg7rar @7e sean e5ectios y @7e no res7lten en e5ectos sec7ndarios @7e no +7edan ser tolerados si no eBiste ning2n +arc9e dis+oni6le$ se de6er4an considerar otroscontroles como<

!*

0*

a+agar los sericios y ca+acidades relacionadas con la 7lnera6ilidadada+tar o tratar los controles de acceso$ +or e'em+lo los 5ireall en los

6ordes de red (éase el inciso !!3)3,*

"*

)*

monitoreo creciente +ara detectar o +reenir ata@7es act7ales

a7mento en la +reca7ción de la 7lnera6ilidad

9*

7n registro de ingreso de6e ser mantenido +ara todos los +rocedimientos

em+rendidos

i*

se de6er4a monitorear y eal7ar la gestión de +rocesos en la 7lnera6ilidad

técnica con el 5in de aseg7rar s7 e5ectiidad y e5iciencia

'*

los sistemas en alto riego de6en ser tratados +rimero3

O)a In(%)*ación

El 57ncionamiento correcto de 7n +roceso de gestión de 7lnera6ilidades técnicas de 7naorganiJación es cr4tico +ara m7c9as organiJaciones y +or lo tanto de6e ser monitoreado3 Un


NTP-I%OIEC !..//!)# de !."

inentario act7aliJado es esencial +ara aseg7rar @7e las 7lnera6ilidades técnicas +otencialessean identi5icadas3

a gestión de 7lnera6ilidades técnicas +7ede ser istas como 7na s76-57nción de la gestiónde cam6ios y +7ede tomar enta'a de los +rocesos y +rocedimientos de la gestión de cam6ios(éase !13!30 y !03,3!*3

os endedores se enc7entran 5rec7entemente 6a'o 7na +resión signi5icante +ara lanJar los +arc9es lo m8s r8+ido +osi6le3 Es +or este motio @7e los +arc9es +7eden no tratar el +ro6lema adec7adamente trayendo consigo e5ectos sec7ndarios negatios3 Ig7almente$ enalg7nos casos$ desinstalar el +arc9e +7ede ser di54cil de realiJar 7na eJ @7e este se 9aa+licado3



%i no es +osi6le 7na +r7e6a adec7ada de los +arc9es de6ido al costo o a la 5alta de rec7rsos$ se +7ede considerar 7na demora en el +arc9ado +ara eal7ar los riesgos asociados$ 6as8ndonosen la eB+eriencia re+ortada +or otros 7s7arios3

1?.

1?.1

@ESI3N DE INCIDENES EN A SE@RIDAD DE INFOR4ACI3N

R$p%)and% $:$n% d$+i&idad$ d$ &a $g,)idad d$ in(%)*ación

O&ETI;O< Aseg7rar @7e los eentos y de6ilidades en la seg7ridad de in5ormación asociadoscon los sistemas de in5ormación sean com7nicados de 7na manera @7e +ermita @7e se realice7na acción correctia a tiem+o3

El re+orte 5ormal de eentos y los +rocedimientos de escalada de6en estar im+lementados3Todos los em+leados$ contratistas y terceros de6en estar al tanto de los +rocedimientos +arare+ortar los di5erentes ti+os de eentos y de6ilidades @7e +7edan tener im+acto en la

seg7ridad de los actios organiJacionales3 %e les de6e re@7erir @7e re+orten c7al@7ier eentoo de6ilidad en la seg7ridad de in5ormación$ lo m8s r8+ido +osi6le$ al +7nto de contactodesignado3

1?.1.1

C%n)%&

R$p%)and% &% $:$n% $n &a $g,)idad d$ in(%)*ación


NTP-I%OIEC !..//!)/ de !."

os eentos en la seg7ridad de in5ormación de6en ser re+ortados lo m8s r8+ido +osi6le atraés de 7na gestión de canales a+ro+iada


Un +rocedimiento 5ormal de re+orte de eentos en la seg7ridad de in5ormación de6e ser esta6lecido '7nto con 7na res+7esta a incidencias y +rocedimientos de escalada$ esta6leciendolas acciones a ser tomadas en c7enta al reci6ir dic9o re+orte3 %e de6e esta6lecer 7n +7nto decontacto +ara el re+orte de eentos en la seg7ridad de in5ormación3 %e de6e aseg7rar @7e este

+7nto de contacto es conocido a traés de la organiJación$ este siem+re dis+oni6le y @7e seaca+aJ de +roeer 7na res+7estas adec7ada y a tiem+o3

Todos los em+leados$ contratistas y terceros de6en ser +reenidos so6re s7s res+onsa6ilidadesde re+ortar c7al@7ier eento en la seg7ridad de in5ormación lo m8s r8+ido +osi6le3Ig7almente$ de6en ser +reenidos del +rocedimiento +ara re+ortar dic9o eento y del +7nto decontacto3 os +rocedimientos de re+orte de6en incl7ir<

a*



+rocesos de retroalimentación adec7ados +ara aseg7rar @7e dic9os eentos

re+ortados de la seg7ridad de in5ormación sean noti5icados de los res7ltados des+7és de@7e el tema 9aya sido re+artido y cerrado

6*

5orm7larios de re+orte de eentos en la seg7ridad de in5ormación$ con el 5in de

a+oyar la acción de re+orte y +ara ay7dar a la +ersona @7e re+orta recordar todas lasacciones necesarias en caso de 7n eento

c*

el com+ortamiento correcto a ser em+rendido en caso de 7n eento en la

seg7ridad de in5ormación$ +or e'em+lo<

!*

notar todos los detalles im+ortantes (ti+os de no con5ormidad$ mal

57ncionamiento$ a6ert7ras$ mensa'es en la +antalla$ cond7cta eBtraQa*inmediatamente

0*

no llear a ca6o ning7na acción +or si mismo$ +ero re+ortar

inmediatamente al +7nto de contacto

d*

re5erencias a 7n +roceso 5ormal disci+linario esta6lecido +ara tratar con

em+elados$ contratistas o terceros @7e cometan 7na a6ert7ra en la seg7ridad3En am6ientes de alto riesgo$ se de6e +roeer 7na alarma de o6ligación con el @7e 7na +ersona

+7eda indicar dic9os +ro6lemas3 os +rocedimientos +ara res+onder a las alarmas deo6ligación de6en re5le'ar la sit7ación de alto riesgo @7e las alarmas est8n indicando3


O)a In(%)*ación

E'em+los de eentos e incidentes en la seg7ridad de in5ormación son<

NTP-I%OIEC !..//!,1 de !."

a*

6*

c*

d*

e*

5*

g*

9*

+erdida de sericio$ e@7i+o o instalaciones

so6recargo o mal 57ncionamiento del sistema

errores 97manos

no con5ormidades con +ol4ticas o +a7tas

a6ert7ras en los arreglos de seg7ridad 54sica

cam6ios incontrola6les en el sistemamal 57ncionamiento del so5tare o 9ardare

iolación de acceso3



Teniendo el de6ido c7idado en as+ectos de con5idencialidad$ los incidentes en la seg7ridad dein5ormación +7ede ser 7tiliJado en el entrenamiento de +reención de 7s7arios (éase elinciso #3030* como e'em+lo de lo @7e +odr4a s7ceder$ como res+onder a tales incidentes ycomo eitarlos en 7n 57t7ro3 Para ser ca+aJ de tratar +ro+iamente eentos e incidentes de laseg7ridad de in5ormación +7ede ser necesario recolectar eidencia lo mas +ronto +osi6ledes+7és de la oc7rrencia (éase el inciso !"303"*3

El mal 57ncionamiento 7 otro com+ortamiento anormal en el sistema +7ede ser 7n indicador de 7n ata@7e de seg7ridad o de 7na a6ert7ra en la seg7ridad y de6e ser siem+re re+ortado

como 7n eento de la seg7ridad de in5ormación3

Para mayor in5ormación so6re el re+orte de eentos y la gestión de incidentes en la seg7ridadde in5ormación se +7ede cons7ltar la I%OIEC TR !#1))3

1?.1.2

C%n)%&

R$p%)and% d$+i&idad$ $n &a $g,)idad d$ in(%)*ación


NTP-I%OIEC !..//!,! de !."

Todos los em+leados$ contratistas y terceros @7e son 7s7arios de los sistemas y sericios dein5ormación de6en anotar y re+ortar c7al@7ier de6ilidad o6serada o sos+ec9ada en laseg7ridad de estos3


Todos los em+leados$ contratistas y terceros de6en re+ortar estas materias a s7s gerencias odirectamente al +roeedor del sericio lo m8s +ronto +osi6le con el 5in de +reenir losincidentes en la seg7ridad de in5ormación3 El mecanismo de re+orte de6e ser 58cil$ accesi6le ydis+oni6le como sea +osi6le3 De6en ser in5ormados @7e +or ning7na circ7nstancia de6en

tratar de +ro6ar 7na de6ilidad sos+ec9osa3

O)a In(%)*ación

os em+leados$ contratistas y terceros de6en ser adertidos a no tratar de +ro6ar de6ilidadesde seg7ridad sos+ec9osas3 Pro6ar las de6ilidades +7ede ser inter+retado como 7n +otencialmal 7so del sistema y +7ede ocasionar daQo al sistema o sericio de in5ormación y res7ltar enres+onsa6ilidad legal +ara el indiid7o @7e realiJa la +r7e6a3

1?.2@$ión d$ &a *$K%)a $ incid$n$ $n &a $g,)idad d$ in(%)*ación

O&ETI;O< Aseg7rar 7n alcance consistente y e5ectio a+licado a la gestión de incidentes enla seg7ridad de in5ormación3



as res+onsa6ilidades y +rocedimientos de6en esta6lecerse +ara manio6rar los eentos yde6ilidades en la seg7ridad de in5ormación de 7na manera e5ectia 7na eJ @7e 9ayan sidore+ortados3 Un +roceso de me'ora contin7a de6e ser a+licado en res+7esta al monitoreo$eal7ación y gestión general de los incidentes en la seg7ridad de in5ormación3

Donde se re@7iera eidencia$ esta de6e ser recolectada +ara aseg7rar el c7m+limiento de losre@7isitos legales3

1?.2.1 R$p%na+i&idad$ p)%c$di*i$n%

C%n)%&

as res+onsa6ilidades y +rocedimientos de la gerencia de6en ser esta6lecidas +ara aseg7rar 7na r8+ida$ e5ectia y ordenada res+7esta a los incidentes en la seg7ridad de in5ormación3


NTP-I%OIEC !..//!,0 de !."


En adición a los re+ortes de eentos y de6ilidades en la seg7ridad de in5ormación (éase elinciso !"3!*$ el monitoreo de los sistemas$ alertas y 7lnera6ilidades (éase el inciso !13!130*$de6en ser 7tiliJados +ara detectar los incidentes en la seg7ridad de in5ormación3 assig7ientes +a7tas de6en ser consideradas +ara los +rocedimientos en la gestión de incidentesen la seg7ridad de in5ormación<

a*los +rocedimientos de6en ser esta6lecidos +ara manio6rar di5erentes ti+os de

incidentes en la seg7ridad de in5ormación como +or e'em+lo<

!*

0*

"*

)*

,*F*

5allas y +erdidas de sericio en los sistemas de in5ormación

código malicioso (éase el inciso !13)3!*

negación de sericio

errores res7ltantes de datos incom+letos o no act7aliJados

a+ert7ras en la con5idencialidad e integridadmal 7so de los sistemas de in5ormación

6*en adición a los +lanes de contingencias normales (éase el inciso !)3!3"*$ los

+rocedimientos tam6ién de6en c76rir (éase el inciso !"3030*<

!* 0*



"*an8lisis e identi5icación de la ca7sa del incidente

contención

si es necesario$ +laneamiento e im+lementación de acciones correctias +ara +reenir la re oc7rrencia

)*

com7nicaciones con lo a5ectados o im+licados en rec7+erarse del

incidente

,* re+ortar acciones a la a7toridad a+ro+iada

c*

7n registro de a7ditorias y se de6e recolectar eidencia similar (éase el inciso

!"303"* y resg7ardada como sea a+ro+iado +ara<

!*

an8lisis de +ro6lemas internos


0*

NTP-I%OIEC !..//!," de !."

el 7so de eidencia 5orense en relación con 7na a+ert7ra +otencial del

contrato$ re@7isitos reg7lados o en el caso de +rocedimientos ciiles o

criminales$ como +or e'em+lo el mal 7so del com+7tador o la legislación de +rotección de datos

"*

negociaciones +ara com+ensaciones +or +arte de los +roeedores de

so5tare o del sericio

d*

acción +ara rec7+erarse de a+ert7ras de seg7ridad y controlar 5ormal y

c7idadosamente las 5allas del sistema @7e 9an sido corregidas los +rocedimientos de6en

aseg7rar @7e<!*

solo el +ersonal claramente identi5icado y a7toriJado est8n +ermitidos de

acceder a los sistemas y datos ios (éase tam6ién F30 +ara acceso eBterno*

0*

todas las acciones de emergencia @7e se realiJaron sean doc7mentadas a

detalle

"*

las acciones de emergencia sean re+ortadas a la gerencia y reisados de

7na manera ordenada

)*

la integridad de los sistemas y controles de negocio son con5irmados con

7n m4nimo de retraso3



os o6'etios de la gestión de incidentes en la seg7ridad de in5ormación de6en estar acordecon la gerencia y se de6e aseg7rar @7e los res+onsa6les +ara la gestión entienden las

+rioridades de la organiJación +ara manio6rar dic9os incidentes3

O)a In(%)*ación

os incidentes en la seg7ridad de in5ormación +7eden trascender las 6arreras organiJacionalesy nacionales3 Para res+onder a dic9os incidentes eBiste 7na creciente necesidad de coordinar res+7estas y de com+artir in5ormación con organiJaciones eBternas como sea a+ro+iado3

1?.2.2Ap)$ndi$nd% d$ &% incid$n$ $n &a $g,)idad d$ in(%)*ación

C%n)%&

De6e eBistir 7n mecanismo @7e +ermita @7e los ti+os$ ol2menes y costos de los incidentes enla seg7ridad de in5ormación sean c7anti5icados y monitoreados3



NTP-I%OIEC !..//!,) de !."

a in5ormación ganada de la eal7ación de los incidentes en la seg7ridad de in5ormaciónde6en ser 7tiliJados +ara identi5icar incidentes @7e se re+iten o de gran im+acto3

O)a In(%)*ación

a eal7ación de los incidentes en la seg7ridad de in5ormación +7ede indicar la necesidad decontroles realJados o adicionales +ara limitar la 5rec7encia$ daQo y costos de oc7rrencias57t7ras o +ara ser tomado en c7enta en el +roceso de reisión de la +ol4tica de seg7ridad(éase el inciso ,3!30*3

1?.2.? R$c%&$cción d$ $:id$ncia

C%n)%&

C7ando 7na acción de seg7imiento contra 7na +ersona 7 organiJación$ des+7és de 7nincidente en la seg7ridad de in5ormación$ im+li@7e acción legal (ciil o criminal*$ la eidenciade6e ser recolectada$ retenida y +resentada +ara estar con5orme con las reglas +ara lacolocación de eidencia en la '7risdicción releante3


os +rocesos internos de6en ser desarrollados y seg7idos c7ando se recolecte y +resenteeidencia +ara +ro+ósitos disci+linarios manio6rados dentro de la organiJación3



En general$ las reglas +ara eidencia c76ren<

a*

6*

admisi6ilidad de eidencia< si es @7e la eidencia +7ede ser 7tiliJada en corte

+eso en la eidencia< calidad y lo com+leto de la eidencia3

Para lograr la admisi6ilidad de la eidencia$ la organiJación de6e aseg7rar @7e s7s sistemas dein5ormación c7m+len con c7al@7ier est8ndar o código +76licado de +r8ctica +ara la

+rod7cción de eidencia admisi6le3

El +eso en la eidencia de6e c7m+lir con c7al@7ier re@7erimiento a+lica6le3 Para lograr +esoen la eidencia$ la calidad y lo com+leto de los controles 7sados +ara corregir y +roteger consistentemente la eidencia (como +or e'em+lo el +roceso de control de eidencia* d7ranteel +eriodo en @7e la eidencia @7e se rec7+era se almacena y se +rocesa$ de6e estar demostrado +or 7n 57erte seg7imiento de dic9a eidencia3 En general$ dic9o seg7imiento

+7ede ser esta6lecido 6a'o las sig7ientes condiciones<


NTP-I%OIEC !..//!,, de !."

a* +ara doc7mentos en +a+el< el original es g7ardado con seg7ridad con 7n

registro del indiid7o @7e encontró el doc7mento$ donde se encontró$ c7ando 57eencontrado y @7ien +resenció dic9o desc76rimiento3 C7al@7ier inestigación de6easeg7rar @7e los originales no 9ayan sido 5orJados

6*

+ara in5ormación en medios in5orm8ticos< se de6en de tomar en c7enta

im8genes es+e'o o co+ias (de+endiendo de los re@7erimientos a+lica6les* de c7al@7ier medio remoi6le$ in5ormación en discos d7ros o en memoria con el 5in de aseg7rar ladis+oni6ilidad3 El registro de todas las acciones d7rante el +roceso de co+iado de6e ser mantenido y el +roceso de6e ser +resenciado el medio original y el registro (si este noes +osi6le$ al menos con im8genes es+e'o o co+ias* de6e ser mantenido de 7na 5ormaseg7ra e intoca6le3

C7al@7ier tra6a'o 5orense de6e ser realiJado solamente en las co+ias del material eneidencia3 a integridad de todo el material en eidencia de6e ser +rotegida3 as co+ias de6enser s7+erisadas +or +ersonal con5ia6le y se de6e registrar la in5ormación de c7ando y donde57e e'ec7tado el +roceso de co+ia$ @7ien realiJó dic9as actiidades y @7e 9erramientas y

+rogramas se 7tiliJaron3

O)a In(%)*ación

C7ando se detecta 7n eento en la seg7ridad de in5ormación$ no ser8 o6io si es @7e el eentores7ltar8 en corte3 Por lo tanto$ el +eligro re@7iere @7e la eidencia necesaria sea destr7ida

intencional o accidentalmente antes de @7e lo seero del incidente sea realiJado3 Esrecomenda6le im+licar con antici+ación a 7n a6ogado o a +olic4a ante c7al@7ier acción legalcontem+lada y tomar conse'o en la eidencia re@7erida3

a eidencia +7ede trascender las 5ronteras organiJacionales yo '7risdiccionales3 En dic9oscasos$ se de6e aseg7rar @7e la organiJación se dedi@7e a recolectar la in5ormación re@7erida



como eidencia3 os re@7erimientos de di5erentes '7risdicciones de6en ser tam6iénconsiderados +ara maBimiJar las o+ort7nidades de admisión a traés de las '7risdiccionesreleantes3

1.

1.1

@ESI3N DE CONINIDAD DE NE@OCIO

Ap$c% d$ &a g$ión d$ c%nin,idad d$& n$g%ci%

O&ETI;O< Reaccionar a la interr7+ción de actiidades del negocio y +roteger s7s +rocesoscr4ticos 5rente a grandes 5allos de los sistemas de in5ormación o desastres3


NTP-I%OIEC !..//!,F de !."

%e de6er4a im+lantar 7n +roceso de gestión de contin7idad del negocio +ara red7cir$ a nielesace+ta6les$ la interr7+ción ca7sada +or los desastres y 5allas de seg7ridad (@7e$ +or e'em+lo$

+7edan res7ltar de desastres nat7rales$ accidentes$ 5allas de e@7i+os o acciones deli6eradas*mediante 7na com6inación de controles +reentios y de rec7+eración3 Este +roceso de6eidenti5icar los +rocesos cr4ticos de negocio e integrar los re@7isitos de gestión de la seg7ridadde in5ormación +ara la contin7idad del negocio con otros re@7isitos de contin7idadrelacionados con dic9os as+ectos como o+eraciones$ +roeedores de +ersonal$ materiales$

trans+orte e instalaciones3

%e de6er4an analiJar las consec7encias de los desastres$ 5allas de seg7ridad$ +érdidas desericio y la dis+oni6ilidad del sericio3 %e de6er4an desarrollar e im+lantar +lanes decontingencia +ara aseg7rar @7e los +rocesos del negocio se +7eden resta7rar en los +laJosre@7eridos las o+eraciones esenciales3 a seg7ridad de in5ormación de6e ser 7na +arte integraldel +lan general de contin7idad del negocio y de los dem8s +rocesos de gestión dentro de laorganiJación3

a gestión de la contin7idad del negocio de6er4a incl7ir en adición al +roceso de eal7ación$controles +ara la identi5icación y red7cción de riesgos$ limitar las consec7encias de

incidencias daQinas y aseg7rar la rean7dación$ a tiem+o$ de las o+eraciones esenciales3

1.1.1Inc&,$nd% &a $g,)idad d$ in(%)*ación $n $& p)%c$% d$ g$ión d$ &a

c%nin,idad d$& n$g%ci%

C%n)%&

%e de6er4a instalar en toda la organiJación 7n +roceso de gestión +ara el desarrollo y elmantenimiento de la contin7idad del negocio a traés de la organiJación @7e trate losre@7erimientos en la seg7ridad de in5ormación necesarios +ara la contin7idad del negocio3




El +roceso de6er4a re7nir los sig7ientes elementos clae de la gestión de contin7idad delnegocio<

a*com+render los riesgos @7e la organiJación corre desde el +7nto de ista de s7

7lnera6ilidad e im+acto$ incl7yendo la identi5icación y +rioriJación de los +rocesoscr4ticos del negocio (éase el inciso !)3!30*

6*

identi5icar todos los actios im+licados en los +rocesos cr4ticos de negocio

(éase el inciso .3!3!*


NTP-I%OIEC !..//!,. de !."

c* com+render el im+acto @7e tendr4an las interr7+ciones en el negocio (es

im+ortante encontrar sol7ciones @7e mane'en las +e@7eQas incidencias as4 como losgrandes accidentes @7e +7edan amenaJar la ia6ilidad de la organiJación* y esta6lecer los o6'etios del negocio en lo re5erente a los medios in5orm8ticos

d*

considerar la ad@7isición de los seg7ros adec7ados @7e 5ormar8n +arte del

+roceso general de contin7idad del negocio as4 como +arte de la gestión o+eracional deriesgo

e*identi5icar y considerar la im+lementación de controles adicionales de

+reención

5*

identi5icar los rec7rsos 5inancieros$ organiJacionales$ técnicos y am6ientales

necesarios +ara @7e realiJar los re@7isitos identi5icados de seg7ridad de in5ormación

g*

aseg7rar la seg7ridad del +ersonal y la +rotección de las instalaciones de

+rocesamiento y de la +ro+iedad de la organiJación

9*

5orm7lar y doc7mentar +lanes de contin7idad del negocio$ tratando los

re@7isitos de la seg7ridad de in5ormación$ en l4nea con la estrategia acordada (éase elinciso !)3!3"*i* +ro6ar y act7aliJar reg7larmente los +lanes y +rocesos instalados (éase elinciso !)3!3,*

'*

aseg7rar @7e la gestión de la contin7idad del negocio se incor+ora en los

+rocesos y estr7ct7ra de la organiJación3 %e de6er4a asignar la res+onsa6ilidad decoordinar este +roceso de gestión a 7n niel alto de la organiJación (éase el incisoF3!3!*3

1.1.2



C%nin,idad d$& n$g%ci% $:a&,ación d$ )i$g%

C%n)%&

os eentos @7e +7eden ca7sar interr7+ciones a los +rocesos de negocio de6en ser identi5icados$ '7nto con la +ro6a6ilidad e im+acto de dic9as interr7+ciones y s7sconsec7encias +ara la seg7ridad de in5ormación3


El est7dio +ara la contin7idad del negocio de6er4a em+eJar +or la identi5icación de loseentos (o sec7encia de eentos* @7e +7eden ca7sar interr7+ciones en los +rocesos denegocio$ +or e'em+lo$ 7na 5alla del e@7i+o$ 7na in7ndación o 7n incendio3 %e de6er4a

NORMA TECNICA

PERUANA

NTP-I%OIEC !..//!,# de !."

contin7ar con 7na eal7ación del riesgo +ara determinar la +ro6a6ilidad e im+acto de dic9asinterr7+ciones (en términos tanto de escala de daQos como de +eriodo de rec7+eración*3

a eal7ación del riesgo de contin7idad de negocio de6e ser lleada a ca6o con 7na totalim+licancia +or +arte de los +ro+ietarios de los rec7rsos y +rocesos de negocio3 De6er4aconsiderar todos los +rocesos del negocio sin limitarse a los dis+ositios in5orm8ticos$ +ero

de6e incl7ir los res7ltados es+ec45icos +ara la seg7ridad de in5ormación3 Es im+ortanteinc7lar los di5erentes as+ectos de riesgos +ara o6tener 7na 5ig7ra com+leta de losre@7erimientos de contin7idad de negocio de la organiJación3 a eal7ación de6e identi5icar$c7anti5icar y +rioriJar los riesgos contra criterios y o6'etios releantes +ara la organiJaciónincl7yendo rec7rsos cr4ticos$ im+actos de las interr7+ciones$ tiem+os +ermisi6les deinterr7+ción y +rioridades de rec7+eración3

%e de6er4a desarrollar 7n +lan estratégico +ara determinar 7n en5o@7e glo6al de la contin7idaddel negocio a +artir de los res7ltados de la eal7ación del riesgo3 Una eJ creada la estrategia$la gerencia de6er8 res+aldarla y crear 7n +lan +ara im+lementar dic9a estrategia3

1.1.?R$dacción $ i*p&anación d$ p&an$ d$ c%nin,idad 9,$ inc&,$n &a

$g,)idad d$ in(%)*ación

C%n)%&

%e de6er4an desarrollar +lanes de mantenimiento y rec7+eración de las o+eraciones delnegocio$ +ara aseg7rar la dis+oni6ilidad de in5ormación al niel y en las escalas de tiem+o

re@7eridas$ tras la interr7+ción o la 5alla de s7s +rocesos cr4ticos3


El +roceso de +lani5icación de la contin7idad del negocio de6er4a considerar los sig7ientesas+ectos<



a*la identi5icación de los +rocedimientos de emergencia y los ac7erdos de todas

las res+onsa6ilidades

6*

c*

la identi5icación de las +érdidas ace+ta6les de in5ormación y sericios

la im+lementación de +rocedimientos @7e +ermiten la rec7+eración y

resta7ración de las o+eraciones de negocio y la dis+oni6ilidad de in5ormación en escalasde tiem+o re@7erido3 %e necesita +artic7lar atención +ara la eal7ación de las

de+endencias de negocio eBternas e internas y de los contratos igentes


NTP-I%OIEC !..//!,/ de !."

d* los +rocedimientos o+eracionales de seg7imiento +ara com+letar la

resta7ración y rec7+eración

e*

d*

la doc7mentación de los +rocedimientos y +rocesos acordados

la 5ormación a+ro+iada del +ersonal en los +rocedimientos y +rocesos de

emergencia acordados$ incl7yendo la gestión de crisis

e*

la +r7e6a y act7aliJación de los +lanes3

El +roceso de +lani5icación se de6er4a centrar en los o6'etios re@7eridos del negocio$ +or e'em+lo$ en la rec7+eración de sericios es+ec45icos a los clientes en 7n +laJo ace+ta6le3 %ede6er4an considerar los sericios y rec7rsos necesarios +ara conseg7irlo$ incl7yendo el

+ersonal$ los rec7rsos no in5orm8ticos y los contratos de res+aldo de los dis+ositiosin5orm8ticos3 Estos contratos +7eden incl7ir arreglos con terceros en la 5orma de ac7erdosrec4+rocos o sericios de s76scri+ciones comerciales3

o +lanes de contin7idad del negocio de6en tratar las 7lnera6ilidades organiJacionales y +or lo tanto de6en contener in5ormación sensi6le @7e necesita ser +rotegida a+ro+iadamente3 asco+ias de los +lanes de contin7idad del negocio de6en ser g7ardadas en 7na locación remota$a 7na distancia s75iciente +ara esca+ar de c7al@7ier daQo de 7n desastre en el sitio +rinci+al3a gerencia de6e aseg7rar @7e las co+ias de los +lanes de contin7idad de negocio esténact7aliJadas y +rotegidas con el mismo niel de seg7ridad a+licada al sitio +rinci+al3 Otromaterial necesario +ara e'ec7tar los +lanes e contin7idad de6e ser tam6ién almacenado en lalocación remota3

%i se 7tiliJan locaciones alternatias tem+orales$ el niel de control de seg7ridadim+lementado de6e ser e@7ialente al sitio +rinci+al3

O)a In(%)*ación

%e de6e notar @7e los +lanes y actiidades de gestión de crisis (éase el inciso !)3!3" 5* de6enser di5erentes de la gestión de negocio contin7a$ ya @7e +7ede oc7rrir 7na crisis @7e +7eda ser



so6relleada +or +rocedimientos normales de gestión3

1.1.

C%n)%&

4a)c% d$ p&ani(icación pa)a &a c%nin,idad d$& n$g%ci%


NTP-I%OIEC !..//!F1 de !."

%e de6er4a mantener 7n es@7ema 2nico de +lanes de contin7idad del negocio +ara aseg7rar @7e dic9os +lanes son consistentes$ +ara tratar los re@7isitos de seg7ridad y +ara identi5icar las

+rioridades de +r7e6a y mantenimiento3


Cada +lan de contin7idad del negocio de6er4a descri6ir el alcance +ara la contin7idad$ +or e'em+lo el alcance +ara aseg7rar la seg7ridad y dis+oni6ilidad de la in5ormación o de lossistemas de in5ormación3 Tam6ién de6e es+eci5icar claramente las condiciones +ara s7actiación$ as4 como las +ersonas res+onsa6les de e'ec7tar cada eta+a del +lan3 C7ando seidenti5i@7en n7eos re@7isitos se de6er4an corregir de 5orma a+ro+iada los +rocedimientos deemergencia esta6lecidos$ +or e'em+lo$ los +lanes de eac7ación o los contratos de res+aldoeBistentes3 os +rocedimientos de6en ser incl7idos dentro del +rograma de gestión de cam6iosde la organiJación con el 5in de aseg7rar @7e los temas de la contin7idad del negocio sean

tratados a+ro+iadamente3

Cada +lan de6er4a tener 7n +ro+ietario3 os +rocedimientos de emergencia y los +lanes deres+aldo man7al y de rean7dación de6er4an estar 6a'o la res+onsa6ilidad de los +ro+ietarios delos corres+ondientes rec7rsos o +rocesos del negocio im+licados3 os ac7erdos de res+aldo

+or sericios técnicos alternatios -tales como dis+ositios in5orm8ticos y de com7nicaciones-de6er4an normalmente estar 6a'o la res+onsa6ilidad de los +roeedores del sericio3

El marco de +lani5icación +ara la contin7idad del negocio de6er4a considerar lo sig7iente<

a*las condiciones +ara actiar los +lanes @7e descri6en el +roceso a seg7ir antes

de dic9a actiación (cómo eal7ar la sit7ación$ @7iénes tienen @7e estar im+licados$etc3*

6*

los +rocedimientos de emergencia @7e descri6en las acciones a realiJar tras 7na

contingencia @7e amenace las o+eraciones del negocio

c*

los +rocedimientos de res+aldo @7e descri6en las acciones a realiJar +ara

des+laJar de 5orma tem+oral a l7gares alternatios las actiidades esenciales delnegocio o so+ortar sericios y +ara deoler la o+eratiidad a los +rocesos del negocioen el +laJo re@7erido

d*



cedimientos tem+orales de o+eración +ara seg7ir con las terminaciones +endientes de rean7dación y resta7ración

e*

los +rocedimientos de rean7dación @7e descri6en las acciones a realiJar +ara

@7e las o+eraciones del negocio 7elan a la normalidad


NTP-I%OIEC !..//!F! de !."

5*7n calendario de mantenimiento @7e es+eci5i@7e cómo y c78ndo se 9ar8n

+r7e6as del +lan$ as4 como el +roceso +ara s7 mantenimiento

g*

actiidades de concientiJación y 5ormación diseQadas +ara com+render los

+rocesos de contin7idad del negocio y aseg7rar @7e los +rocesos +rosigan con e5icacia

9*

las res+onsa6ilidades de las +ersonas$ descri6iendo a cada res+onsa6le de la

e'ec7ción de cada eta+a del +lan3 %i se re@7iere se de6er4a nom6rar s7+lentes

i*

los actios y rec7rsos cr4ticos necesarios +ara +oder realiJar los +rocedimientos

de emergencia$ res+aldo y reactiación3

1.1. P),$+a *an$ni*i$n% )$$:a&,ación d$ &% p&an$ d$ c%nin,idad

C%n)%&

os +lanes de contin7idad del negocio se de6er4an +ro6ar reg7larmente +ara aseg7rarse de s7act7aliJación y e5icacia3

@,'a d$ I*p&$*$naciónas +r7e6as de los +lanes de contin7idad del negocio de6en aseg7rar @7e todos los miem6rosdel e@7i+o de rec7+eración y otro +ersonal releante est8n +reenidos de los +lanes y de s7sres+onsa6ilidades +ara la contin7idad del negocio y la seg7ridad de in5ormación3 Todos de6ensa6er s7 rol c7ando el +lan sea inocado3

El calendario de +r7e6as +ara +lan(es* de contin7idad del negocio de6er4a indicar cómo yc78ndo +ro6ar cada elemento del +lan3 %e recomienda +ro6ar los com+onentes indiid7alesdel +lan con 5rec7encia3

De6er4an 7tiliJarse diersas técnicas +ara +ro+orcionar la seg7ridad de @7e los +lanes57ncionar8n en la ida real3 Éstas de6er4an incl7ir<

a*la +r7e6a so6re el +a+el de arios escenarios (analiJando las dis+osiciones de



rec7+eración del negocio con ay7da de e'em+los de interr7+ciones*

6*

las sim7laciones (en +artic7lar +ara entrenar en s7s res+ectios +a+eles al

+ersonal @7e gestione la crisis tras la contingencia*


NTP-I%OIEC !..//

!F0 de !."

c*las +r7e6as de rec7+eración técnica (aseg7rando @7e los sistemas de

in5ormación +7eden resta7rarse con e5ectiidad*

d*

las +r7e6as de rec7+eración en 7n l7gar alternatio (9aciendo 57ncionar los

+rocesos del negocio en +aralelo con las o+eraciones de rec7+eración 57era del l7gar

+rinci+al*

e*

las +r7e6as de los rec7rsos y sericios del +roeedor (aseg7rando @7e los

sericios eBternos +ro+orcionados c7m+len el com+romiso contra4do*5* los ensayos com+letos (+ro6ando @7e +7eden 9acer 5rente a las interr7+cionesde la organiJación$ el +ersonal$ los rec7rsos y los +rocesos*3

C7al@7ier organiJación +7ede 7sar estas técnicas$ y de6er4an$ en c7al@7ier caso$ re5le'ar la

nat7raleJa del +lan de rec7+eración es+ec45ico3 os res7ltados de las +r7e6as de6en ser gra6ados y las acciones tomadas en c7enta$ c7ando sea necesario$ +ara me'orar los +lanes3

%e de6er4an asignar res+onsa6ilidades +ara reisar reg7larmente cada +lan de contin7idad delnegocio3 %e de6er4a 9acer 7na act7aliJación a+ro+iada del +lan tras la identi5icación decam6ios en las caracter4sticas del negocio no re5le'adas en los +lanes de contin7idad delnegocio3 Este +roceso 5ormal de control de cam6ios de6er4a aseg7rar @7e las reisionesreg7lares del +lan com+leto ay7den a re5orJar y distri67ir los +lanes act7aliJados3

E'em+los de sit7aciones @7e necesitar4an la act7aliJación de +lanes< la ad@7isición de n7eose@7i+os o la me'ora de los sistemas o+eratios con cam6ios en<

a*

6*

c*

d*

e*

5*

g*

9*



ersonal

direcciones o n2meros de5ono

strategia del negocio

l7gares$ dis+ositios y7rsos

la legislación

los contratistas$ +roeedores y clientes +rinci+ales

los +rocesos eBistentes$ n7eos o retirados

los riesgos (o+eratios o 5inancieros*3


NTP-I%OIEC !..//!F" de !."

1.

1.1

C4PI4IENO

C,*p&i*i$n% c%n &% )$9,ii% &$ga&$

O&ETI;O< Eitar los inc7m+limientos de c7al@7ier ley ciil o +enal$ re@7isitoreglamentario$ reg7lación 7 o6ligación contract7al$ y de todo re@7isito de seg7ridad3

El diseQo$ o+eración$ 7so y gestión de los sistemas de in5ormación +7ede estar s7'eto are@7isitos estat7tarios$ reg7latorios y contract7ales de seg7ridad3

%e de6er4a 67scar el asesoramiento so6re re@7isitos legales es+ec45icos de los asesores legales

de la organiJación$ o de +ro5esionales del derec9o cali5icados3 os re@7isitos legales ar4an de7n +a4s a otro$ al ig7al @7e en el caso de las transmisiones internacionales de datos (datoscreados en 7n +a4s y transmitidos a otro*3

1.1.1Id$ni(icación d$ &a &$gi&ación ap&ica+&$

C%n)%&

%e de6er4an de5inir$ doc7mentar y mantener act7aliJado de 5orma eB+l4cita todos los re@7i-sitos legales$ reg7latorios y contract7ales @7e sean im+ortantes +ara cada sistema dein5ormación3


os controles$ medidas y res+onsa6ilidades es+ec45icos de6en ser similarmente de5inidos ydoc7mentados +ara c7m+lir dic9os re@7erimientos3

1.1.2D$)$c% d$ p)%pi$dad in$&$c,a& DPI

C%n)%&



%e de6er4an im+lantar los +rocedimientos a+ro+iados +ara aseg7rar el c7m+limiento de lasrestricciones legales$ reg7ladores y contract7ales so6re el 7so del material +rotegido +or derec9os de +ro+iedad intelect7al y so6re el 7so de +rod7ctos de so5tare +ro+ietario3


NTP-I%OIEC !..//!F) de !."


as sig7ientes +a7tas de6en ser consideradas +ara +roteger c7al@7ier material @7e +7eda ser considerado +ro+iedad intelect7al<

a* +76licar 7na +ol4tica de con5ormidad de los derec9os de a7tor del so5tare @7e

de5ina el 7so legal de los +rod7ctos de so5tare e in5ormación

6*

ad@7irir so5tare solamente a traés de 57entes conocidas +ara aseg7rar @7e el

co+yrig9t no sea iolado

c*

mantener la concientiJación so6re los derec9os de a7tor del so5tare y la

+ol4tica de ad@7isiciones$ +76licando la intención de ado+tar medidas disci+linarias +arael +ersonal @7e los iole

d*

mantener los registros a+ro+iados de actios e identi5icar todos los actios con

re@7erimientos +ara +roteger los derec9os de la +ro+iedad intelect7al

e*

mantener los doc7mentos @7e acrediten la +ro+iedad de licencias$ material

original$ man7ales$ etc3

5*

im+lantar controles +ara aseg7rar @7e no se eBceda el n2mero m8Bimo de

7s7arios +ermitidos

g*

9*licencia

i*terceros

'*

*

com+ro6ar @7e sólo se instale so5tare a7toriJado y +rod7ctos 6a'o licencia

esta6lecer 7na +ol4tica de mantenimiento de las condiciones adec7adas de la

esta6lecer 7na +ol4tica de eliminación de so5tare o de s7 trans5erencia a

7sar 9erramientas adec7adas de a7ditoria

c7m+lir los términos y condiciones de 7so del so5tare y de la in5ormación

o6tenida de redes +26licas

l*

no d7+licar$ conertir en otro 5ormato o eBtraer de gra6ados comerciales



(a7dio$ 5ilmaciones* lo @7e no sea +ermitido +or la ley de co+yrig9tm*

no co+iar +arcial o totalmente li6ros$ art4c7los$ re+ortes 7 otros doc7mentos

@7e no sean +ermitidos +or la ley de co+yrig9t3


NTP-I%OIEC !..//!F, de !."

O)a In(%)*ación

os derec9os de la +ro+iedad intelect7al incl7yen al so5tare o co+yrig9t del doc7mento$derec9os de diseQo$ marca registrada$ +atente y 57entes de licencia de código3

os +rod7ctos de so5tare +ro+ietario son s7ministrados 7s7almente 6a'o 7n ac7erdo delicencia @7e es+eci5ica los términos y condiciones$ +or e'em+lo limitar el 7so de +rod7ctos

+ara ma@7inas es+eci5icas o limitar el co+iado solamente en la creación de las co+ias deres+aldo3 a sit7ación de los derec9os de la +ro+iedad intelect7al re@7iere ser esclarecido +or el +ersonal3

os re@7isitos legislatios$ reg7latorios y contract7ales +7eden indicar restricciones en elco+iado de material +ro+ietario3 En +artic7lar$ +7eden re@7erir @7e solo se 7tilice el material@7e sea desarrollado +or la organiJación o @7e sea licenciado o +roisto +or el creador a laorganiJación3 a in5racción de co+yrig9t +7ede llear a acciones legales @7e +7edeninol7crar +rocedimientos criminales3

1.1.? Sa&:ag,a)da d$ &% )$gi)% d$ &a %)gani>ación

C%n)%&

%e de6er4an +roteger los registros im+ortantes de la organiJación 5rente a s7 +érdida$destr7cción y 5alsi5icación en concordancia con los re@7isitos reg7latorios$ contract7ales y denegocio3


%e de6er4a clasi5icar los registros +or ti+os< registros conta6les$ registros de 6ases de datos$registros de transacciones$ registros de a7ditoria y +rocedimientos o+eratios$ cada ti+o conlos detalles de s7s +laJos de retención y medios de almacenamiento (+a+el$ micro5ic9as$so+orte magnético 7 ó+tico*3 as claes cri+togr85icas relacionadas con arc9ios ci5rados o5irmas digitales (éase el inciso !03"* se de6er4an g7ardar de 5orma seg7ra con el 5in de9a6ilitar el decri+tado de los registros +or el tamaQo de tiem+o @7e estos se enc7entranretenidos3

%e de6er4a considerar la +osi6ilidad de degradación de los medios 7tiliJados +ara almacenar los registros3 %e de6er4an im+lantar +rocedimientos +ara s7 almacenamiento y 7tiliJación deac7erdo con las recomendaciones del 5a6ricante3 Para 7n almacenamiento a largo +laJo$ se

+7ede considerar el 7so de +a+el o de micro5ic9as3C7ando se 7tilicen medios electrónicos de almacenamiento se de6er4an incl7ir +rocedimientos@7e aseg7ren la ca+acidad de acceso a los datos (o sea$ la legi6ilidad tanto del medio como




!FF de !."

del 5ormato* d7rante el +laJo de retención$ como o6'eto de salag7ardarlos contra s7 +érdida +or 57t7ros cam6ios de tecnolog4a3

%e de6er4an elegir los sistemas de almacenamiento de datos +ara @7e éstos +7edan rec7+erarsea tiem+o y en 7n 5ormato ace+ta6le$ de+endiendo de los re@7isitos3

El sistema de almacenamiento y 7tiliJación de6er4a aseg7rar 7na identi5icación clara de losregistros y de s7 +eriodo de retención legal o reg7latorio3 Esto de6er4a +ermitir la destr7ccióna+ro+iada de los registros tras dic9o +eriodo c7ando ya no los necesite la organiJación3Para dar c7m+limiento a éstas o6ligaciones la organiJación de6er4a dar los +asos sig7ientes<

a* se de6er4a +76licar g74as so6re la retención$ almacenamiento$ tratamiento y

eliminación de los registros y la in5ormación

6*

se de6er4a esta6lecer 7n calendario de retenciones @7e identi5i@7e los +er4odos

+ara cada ti+o esencial de registros

c*

d*

se de6er4a mantener 7n inentario de las 57entes de in5ormación clae

se de6er4an im+lantar los controles y medidas a+ro+iadas +ara la +rotección de

los registros y la in5ormación esencial contra s7 +érdida$ destr7cción o 5alsi5icación3

O)a In(%)*ación

Es necesario g7ardar de 5orma seg7ra ciertos registros$ tanto +ara c7m+lir ciertos re@7isitoslegales o reg7latorios$ como +ara so+ortar actiidades esenciales del negocio3 Por e'em+lo$ losregistros @7e +7edan re@7erirse +ara acreditar @7e la organiJación o+era dentro de las reglasestat7tarias o reg7latorias$ +ara aseg7rar 7na de5ensa adec7ada contra 7na +osi6le acción ciil

o +enal$ o 6ien +ara con5irmar el estado 5inanciero de la organiJación res+ecto a losaccionistas$ socios y a7ditores3 a legislación nacional 7 otros reglamentos s7elen esta6lecer el +laJo y contenido de la in5ormación a retener3

Para mayor in5ormación so6re el mane'o de los registros organiJacionales$ se +7ede cons7ltar la I%O !,)#/-!3

1.1.

C%n)%&

P)%$cción d$ &% da% d$ &a p)i:acidad d$ &a in(%)*ación p$)%na&




NTP-I%OIEC !..//!F. de !."

a +rotección de datos y la +riacidad de6e ser aseg7rada como se re@7iere en la legislación$las reg7laciones y$ si es a+lica6le$ en las cl87s7las contract7ales3


%e de6er4a im+lementar y desarrollar 7na +ol4tica organiJacional de +riacidad y de +rotección de datos3 Esta +ol4tica de6e ser com7nicada a todo el +ersonal im+licado en el +rocesamiento de in5ormación +ersonal3

El c7m+limiento de la legislación de +rotección de datos +ersonales re@7iere 7na estr7ct7ra ycontroles de gestión a+ro+iados3 Este o6'etio s7ele alcanJarse con mayor 5acilidad$designando 7n encargado de dic9a +rotección @7e oriente a los directios$ 7s7arios y

+roeedores de sericios so6re s7s res+onsa6ilidades indiid7ales y so6re los +rocedimientoses+ec45icos a seg7ir3 a res+onsa6ilidad +ara manio6rar in5ormación +ersonal y aseg7rar el

conocimiento de los +rinci+ios de +rotección de datos de6e ser con5rontado con la legislacióny reg7laciones act7ales3 %e de6er4a im+lementar medidas técnicas y organiJacionalesa+ro+iadas +ara +roteger la in5ormación +ersonal3

O)a In(%)*ación

M7c9os +a4ses 9an esta6lecido legislación colocando controles y medidas +ara el tratamientoy transmisión de datos +ersonales (en general la in5ormación so6re +ersonas 54sicas @7e +7edaidenti5icarlas*3 De+endiendo de la legislación nacional act7al$ estos controles y medidass7+onen ciertas o6ligaciones a @7ien reco'a$ +rocese$ ceda o com7ni@7e in5ormación +ersonal$

y +7ede restringir la +osi6ilidad de trans5erir estos datos a otros +a4ses3

1.1.P)$:$nción $n $& *a& ,% d$ &% )$c,)% d$ )aa*i$n% d$ &a in(%)*ación

C%n)%&

El +ersonal de6e ser dis7adido de 7tiliJar los rec7rsos de tratamiento de la in5ormación +ara +ro+ósitos no a7toriJados3


a organiJación de6er4a +ro+orcionar rec7rsos in5orm8ticos +ara los 5ines del negocio3 agerencia de6er4a a7toriJar s7 7so3 %e de6er4a considerar como im+ro+io todo 7so de estosrec7rsos +ara 5ines no a7toriJados o a'enos al negocio (éase el inciso F3!3)*3 %i dic9aactiidad se identi5ica mediante s7+erisión y control 7 otros medios$ se de6er4a +oner enconocimiento del gerente res+onsa6le de ado+tar la acción disci+linaria yo legal a+ro+iada3


NTP-I%OIEC !..//!F# de !."



Es esencial @7e todos los 7s7arios sean conscientes del alcance +reciso del acceso @7e se les +ermite y del monitoreo @7e se llea aca6o +ara detecta 7n 7so no a7toriJado3 Esto +7edeconseg7irse$ +or e'em+lo$ con 7na a7toriJación escrita c7ya co+ia de6er4a 5irmar el 7s7ario yser almacenada +or la organiJación3 %e de6er4a in5ormar a los em+leados de la organiJación ya 7s7arios de terceros @7e no se +ermitir8 otro acceso @7e no sea el a7toriJado3

Al registrarse 7n 7s7ario$ 7n mensa'e de adertencia de6er4a indicar en la +antalla @7e elsistema al @7e se entra es +riado y @7e no se +ermite el acceso no a7toriJado3 El 7s7ariotiene @7e darse +or enterado y reaccionar de 5orma a+ro+iada al mensa'e +ara +oder contin7ar el +roceso de registro (éase el inciso !!3,3!*3

O)a In(%)*ación

os rec7rsos del tratamiento de la in5ormación de 7na organiJación son 7tiliJados +rimaria yeBcl7siamente +ara +ro+ósitos de negocio3

a detección de 7n intr7so$ la ins+ección de contenido y otras 9erramientas de monitoreoay7dan a +reenir y detectar el mal 7so de los rec7rsos3

M7c9os +a4ses tienen 7na legislación de +rotección contra el mal 7so de la in5orm8tica3 El 7sode 7n com+7tador con 5ines no a7toriJados +7ede llegar a ser 7n delito +enal3

a legalidad de la s7+erisión y el control del 7so de los rec7rsos$ ar4a de 7n +a4s a otro y +7ede re@7erir @7e se aise de s7 eBistencia a los em+leados o @7e se re@7iera s7consentimiento3 C7ando el sistema al @7e se ingrese sea 7tiliJado como acceso +76lico (+or

e'em+lo 7n seridor de red* y este s7'eto a monitoreo de seg7ridad$ de6er4a eB9i6irse 7nmensa'e indic8ndolo3

1.1.6R$g,&ación d$ &% c%n)%&$ c)ip%g)á(ic%

C%n)%&

os controles cri+togr85icos de6en ser 7tiliJados en con5ormidad con todos los ac7erdos$leyes y reg7laciones3


NTP-I%OIEC !..//!F/ de !."


%e de6er4a considerar los sig7ientes 4tems en con5ormidad con todos los ac7erdos$ leyes yreg7laciones<

a*



restricciones en la im+ortación yo eB+ortación de 9ardare y so5tare +ara

realiJar 57nciones cri+togr85icas

6*

restricciones en la im+ortación yo eB+ortación de 9ardare y so5tare @7e

incl7ya 57nciones cri+togr85icas

c*

d*

restricciones en el 7so del encri+tado

métodos o6ligatorios o discrecionales de los +a4ses +ara acceder a la

in5ormación @7e esté ci5rada +or 9ardare o so5tare +ara +roteger la con5idencialidadde s7 contenido3

%e de6er4a +edir asesoramiento legal +ara aseg7rar el c7m+limiento de la legislación del +a4sen la materia$ as4 como antes de trasladar a otro +a4s in5ormación ci5rada o controles deci5rado3

1.2R$:ii%n$ d$ &a p%&'ica d$ $g,)idad d$ &a c%n(%)*idad cnica

O&ETI;O< Aseg7rar la con5ormidad de los sistemas con las +ol4ticas y normas de seg7ridad3

%e de6er4an 9acer reisiones reg7lares de la seg7ridad de los sistemas de in5ormación3Éstas se de6er4an atener a las +ol4ticas de seg7ridad a+ro+iadas y se a7ditar8 el c7m+limientode las normas de im+lantación de la seg7ridad en los sistemas de in5ormación y en loscontroles de seg7ridad im+lementados3

1.2.1C%n(%)*idad c%n &a p%&'ica d$ $g,)idad &% $ánda)$

C%n)%&

os gerentes de6er4an aseg7rarse @7e se c7m+lan correctamente todos los +rocedimientos deseg7ridad dentro de s7 8rea de res+onsa6ilidad c7m+liendo las +ol4ticas y est8ndares deseg7ridad3


NTP-I%OIEC !..//!.1 de !."


os gerentes de6en realiJar reisiones reg7lares @7e aseg7ren el c7m+limiento de las +ol4ticasy normas de seg7ridad3

%i se enc7entra 7na no con5ormidad como res7ltado de la reisión$ los gerentes de6en de<

a* 6*



determinar las ca7sas de la no con5ormidad

eal7ar la necesidad de acciones +ara aseg7rar @7e la no con5ormidad no7ela a oc7rrir

c*

d*

determinar e im+lementar 7na acción correctia a+ro+iada

reisar la acción correctia @7e se realiJo

os res7ltados de las reisiones y de las acciones correctias lleadas a ca6o +or los gerentesde6en ser gra6ados y mantenidos3 os gerentes de6en re+ortar los res7ltados a las +ersonas@7e llean a ca6o las reisiones inde+endientes (éase el inciso F3!3#*$ c7ando dic9a reisiónes lleada a ca6o en el 8rea de s7 res+onsa6ilidad3

O)a In(%)*ación

El seg7imiento o+eratio del 7so del sistema se c76re +or el inciso !13!13

1.2.2C%*p)%+ación d$ &a c%n(%)*idad cnica

C%n)%&

%e de6er4a com+ro6ar reg7larmente la con5ormidad con las normas de im+lantación de laseg7ridad en los sistemas de in5ormación3


a com+ro6ación de la con5ormidad técnica de6er4a ser realiJada man7almente +or 7ningeniero de sistemas eB+erimentado (con a+oyo de 9erramientas lógicas a+ro+iadas si esnecesario*$ o 6ien a7tom8ticamente +or 7n +a@7ete @7e genere 7n in5orme técnico$ ainter+retar +osteriormente +or el es+ecialista técnico3


NTP-I%OIEC !..//

!.! de !."

%i se 7tiliJan +r7e6as de intr7sión o eal7aciones de 7lnera6ilidad$ se de6er4a tener c7idadode6ido a @7e estas actiidades llegar a 7n com+romiso de la seg7ridad del sistema3 Estas

+r7e6as de6en ser +laneadas$ doc7mentadas y re+eti6les3

Toda com+ro6ación de la con5ormidad técnica sólo se de6er4a realiJar o s7+erisar +or +ersonas com+etentes y a7toriJadas3

O)a In(%)*ación

a com+ro6ación de la con5ormidad técnica im+lica eBaminar los sistemas o+eracionales conel 5in de aseg7rar @7e los controles de 9ardare y so5tare 9an sido im+lementadoscorrectamente3 Este ti+o de com+ro6ación de la con5ormidad re@7iere de 7n es+ecialista



técnico eB+erto3

a com+ro6ación de la con5ormidad tam6ién c76re$ +or e'em+lo$ +r7e6as de intr7sión yeal7ación de 7lnera6ilidades$ @7e +7ede ser lleado a ca6o +or eB+ertos inde+endientescontratados es+ec45icamente +ara este +ro+ósito3 Esto +7ede ser 2til +ara la detección de7lnera6ilidades en el sistema y +ara eri5icar @7e tan e5ectios son los controles en +reenir el acceso no a7toriJado de6ido a estas 7lnera6ilidades3

as +r7e6as de intr7sión y las eal7aciones de 7lnera6ilidades +roeen 7na 5oto del sistemaen 7n estado es+ec45ico y en 7n tiem+o determinado3 Esta 5oto esta limitada a esas +artes delsistema @7e 9an sido +ro6ados d7rante los intentos de intr7sión3 as +r7e6as de intr7sión yeal7ación de 7lnera6ilidades no son 7n s76stit7to de la eal7ación de riesgos3

1.?C%nid$)aci%n$ %+)$ &a a,di%)ia d$ i$*a

O&ETI;O< MaBimiJar la e5ectiidad y minimiJar las inter5erencias en el +roceso de

a7ditoria del sistema3

%e de6er4an esta6lecer controles +ara salag7ardar los sistemas o+eratios y las 9erramientasde a7ditoria d7rante las a7ditorias del sistema3 Tam6ién se re@7iere +rotección +arasalag7ardar la integridad y eitar el mal 7so de las 9erramientas de a7ditoria3

1.?.1C%n)%&$ d$ a,di%)ia d$ i$*a


NTP-I%OIEC !..//!.0 de !."

C%n)%&

%e de6er4an +lani5icar c7idadosamente y acordarse los re@7isitos y actiidades de a7ditoria@7e im+li@7en com+ro6aciones en los sistemas o+eratios$ +ara minimiJar el riesgo deinterr7+ción de los +rocesos de negocio3


%e de6er4a o6serar las sig7ientes +a7tas<

a*

6*c*

de6er4an acordarse los re@7isitos de a7ditoria con la gerencia a+ro+iada

de6er4a acordarse y controlarse el alcance de las eri5icaciones

las eri5icaciones se de6er4an limitar a accesos solo de lect7ra al so5tare y a

los datos

d*

otro acceso distinto a solo lect7ra$ 2nicamente se de6er4a +ermitir +ara co+ias



aisladas de arc9ios del sistema$ @7e se de6er4an 6orrar c7ando se termine la a7ditoriae*

los rec7rsos de tecnolog4a de la in5ormación +ara realiJar eri5icaciones

de6er4an ser eB+l4citamente identi5icados y +7estos a dis+osición

5*

los re@7isitos +ara +rocesos es+eciales o adicionales de6er4an ser identi5icados

y acordados

g*

todos los accesos de6er4an ser registrados y s7+erisados +ara +rod7cir 7n

seg7imiento de re5erencia el 7so de seg7imiento de re5erencia de tiem+o de6e ser considerado +ara sistemas o datos cr4ticos9* todos los +rocedimientos$ re@7isitos y res+onsa6ilidades de6er4an estar doc7mentados

i*

las +ersonas @7e llean a ca6o la a7ditoria de6en ser inde+endientes de las

actiidades a7ditadas3

1.?.2 P)%$cción d$ &a $))a*i$na d$ a,di%)ia d$ i$*a

C%n)%&

%e de6er4an +roteger los accesos a las 9erramientas de a7ditoria de sistemas con el 5in de +reer c7al@7ier +osi6le mal 7so o daQo3


NTP-I%OIEC !..//!." de !."


as 9erramientas de a7ditoria de sistemas$ +or e'em+lo$ so5tare o arc9ios de datos$ de6enestar se+aradas de los sistemas de desarrollo y de +rod7cción y no se mantendr8n en li6rer4as

de cintas o en 8reas de los 7s7arios$ salo @7e se les +ro+orcione 7n niel a+ro+iado de +rotección adicional3

O)a In(%)*ación

%i el +ersonal eB+erto esta im+licado en la a7ditoria$ +7ede eBistir 7n riesgo de mal 7so de las9erramientas de a7ditoria y de la in5ormación a la @7e acceden3 os controles como el F303!(+ara determinar los riesgos* y /3!30 (+ara restringir el acceso 54sico* +7eden ser considerados

+ara tratar estos riesgos y se de6e tomar consec7encia como el cam6io inmediato decontraseQas di7lgadas a los a7ditores3

16.ANECEDENES

!F3!3

I%OIEC !..//<0111



In5ormation tec9nology Code o5 +ractice 5or in5ormation sec7rity management

!F303UNE-I%OIEC !..//<0110 Tecnolog4a de la in5ormación3 Código de 67enas

+r8cticas +ara la Gestión de la %eg7ridad de laIn5ormación3

Norma Tecnica Peruana Isoiec17799

Documents

Transcript of Norma Tecnica Peruana Isoiec17799