Resumende iso17799

Universidad Científica del Perú

ContenidoRESUMEN INTEGRAL DE LA NORMA ISO 27001.....................................................................................4

1. POLÍTICAS DE SEGURIDAD.........................................................................................................4

1.1. Directrices de la Dirección en seguridad de la información...................................................4

1.1.1. Conjunto de políticas para la seguridad de la información................................................4

1.1.2. Revisión de las políticas para la seguridad de la información............................................4

2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION......................................5

2.1.1. Organización interna..........................................................................................................5

2.1.2. Asignación de responsabilidades para la segur. De la información....................................5

2.1.3. Segregación de tareas........................................................................................................5

2.1.4. Contacto con las autoridades.............................................................................................5

2.1.5. Contacto con grupos de interés especial...........................................................................6

2.1.6. Seguridad de la información en la gestión de proyectos...................................................6

2.1.7. Dispositivos para movilidad y teletrabajo..........................................................................6

2.1.8. Política de uso de dispositivos para movilidad...................................................................6

2.1.9. Teletrabajo.........................................................................................................................6

3. GESTIÓN DE ACTIVOS................................................................................................................7

3.1. Responsabilidad sobre los activos..........................................................................................7

3.1.1. Inventario de activos..........................................................................................................7

3.1.2. Propiedad de los activos....................................................................................................7

3.1.3. Uso aceptable de los activos..............................................................................................7

3.1.4. Devolución de activos........................................................................................................7

3.2. Clasificación de la información..............................................................................................8

4. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS....................................................................8

4.1.1. Antes de la contratación....................................................................................................8

4.1.2. Investigación de antecedentes..........................................................................................8

4.1.3. Términos y condiciones de contratación...........................................................................8

4.2. Durante la contratación.........................................................................................................8

4.2.1. Responsabilidades de gestión............................................................................................8

4.2.2. Concienciación, educación y capacitación en seguridad de la información.......................9

4.2.3. Proceso disciplinario..........................................................................................................9

4.3. Cese o cambio de puesto de trabajo......................................................................................9

4.3.1. Cese o cambio de puesto de trabajo................................................................................10

5. CONTROL DE ACCESOS.............................................................................................................10

1


5.1. Requisitos de negocio para el control de accesos................................................................10

5.1.1. Política de control de accesos..........................................................................................10

5.1.2. Control de acceso a las redes y servicios asociados.........................................................10

5.2. Gestión de acceso de usuario..............................................................................................10

5.2.1. Gestión de altas/bajas en el registro de usuarios............................................................10

5.2.2. Gestión de los derechos de acceso asignados a usuarios................................................10

5.2.3. Gestión de los derechos de acceso con privilegios especiales.........................................10

5.2.4. Gestión de información confidencial de autenticación de usuarios.................................10

5.2.5. Revisión de los derechos de acceso de los usuarios........................................................11

5.2.6. Retirada o adaptación de los derechos de acceso...........................................................11

5.3. Responsabilidades del usuario.............................................................................................11

5.3.1. Uso de información confidencial para la autenticación...................................................11

5.4. Control de acceso a sistemas y aplicaciones........................................................................11

5.4.1. Restricción del acceso a la información...........................................................................11

5.4.2. Procedimientos seguros de inicio de sesión....................................................................11

5.4.3. Gestión de contraseñas de usuario..................................................................................11

5.4.4. Uso de herramientas de administración de sistemas......................................................11

5.4.5. Control de acceso al código fuente de los programas.....................................................11

6. CIFRADO..................................................................................................................................11

6.1. Controles criptográficos.......................................................................................................11

6.1.1. Política de uso de los controles criptográficos.................................................................11

6.1.2. Gestión de claves.............................................................................................................11

7. SEGURIDAD FÍSICA Y AMBIENTAL............................................................................................12

7.1. Áreas seguras.......................................................................................................................12

7.1.1. Perímetro de seguridad física..........................................................................................12

7.1.2. Controles físicos de entrada.............................................................................................12

7.1.3. Seguridad de oficinas, despachos y recursos...................................................................12

7.1.4. El trabajo en áreas seguras..............................................................................................12

7.1.5. Áreas de acceso público, carga y descarga......................................................................12

7.2. Seguridad de los equipos.....................................................................................................12

7.2.1. Emplazamiento y protección de equipos.........................................................................12

7.2.2. Instalaciones de suministro.............................................................................................12

7.2.3. Seguridad del cableado....................................................................................................12

7.2.4. Mantenimiento de los equipos........................................................................................12

7.2.5. Salida de activos fuera de las dependencias de la empresa.............................................12

7.2.6. Seguridad de los equipos y activos fuera de las instalaciones.........................................12

2


7.2.7. Reutilización o retirada segura de dispositivos de almacenamiento...............................12

7.2.8. Equipo informático de usuario desatendido....................................................................13

7.2.9. Política de puesto de trabajo despejado y bloqueo de pantalla......................................13

8. SEGURIDAD EN LA OPERATIVA................................................................................................13

8.1. Responsabilidades y procedimientos de operación.............................................................13

8.1.1. Documentación de procedimientos de operación...........................................................13

8.1.2. Gestión de cambios..........................................................................................................13

8.1.3. Gestión de capacidades...................................................................................................13

8.1.4. Separación de entornos de desarrollo, prueba y producción..........................................13

8.2. Protección contra código malicioso.....................................................................................13

8.2.1. Controles contra el código malicioso...............................................................................13

8.3. Copias de seguridad.............................................................................................................13

8.3.1. Copias de seguridad de la información............................................................................13

8.4. Registro de actividad y supervisión......................................................................................13

8.4.1. Registro y gestión de eventos de actividad......................................................................13

8.4.2. Protección de los registros de información......................................................................13

8.4.3. Registros de actividad del administrador y operador del sistema...................................13

8.4.4. Sincronización de relojes.................................................................................................13

8.5. Control del software en explotación....................................................................................14

8.5.1. Instalación del software en sistemas en producción.......................................................14

8.6. Gestión de la vulnerabilidad técnica....................................................................................14

8.6.1. Gestión de las vulnerabilidades técnicas.........................................................................14

8.6.2. Restricciones en la instalación de software.....................................................................14

8.7. Consideraciones de las auditorías de los sistemas de información......................................14

8.7.1. Controles de auditoría de los sistemas de información...................................................14

9. SEGURIDAD EN LAS TELECOMUNICACIONES...........................................................................14

9.1. Gestión de la seguridad en las redes...................................................................................14

9.1.1. Controles de red..............................................................................................................14

9.1.2. Mecanismos de seguridad asociados a servicios en redes...............................................14

9.1.3. Segregación de redes.......................................................................................................14

9.2. Intercambio de información con partes externas................................................................14

10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DELOS SISTEMAS DE INFORMACION.....14

10.1. Requisitos de seguridad de los sistemas de información.................................................14

10.2. Seguridad en los procesos de desarrollo y soporte..........................................................14

10.3. Datos de prueba..............................................................................................................14

11. RELACIONES CON SUMINISTRADORES.................................................................................14

3


11.1. Seguridad de la información en las relaciones con suministradores................................14

11.2. Gestión de la prestación del servicio por suministradores..............................................14

12. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LAINFORMACIÓN.....................................15

12.1. Gestión de incidentes de seguridad de la información y mejoras....................................15

13. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO......................................................................................................15

13.1. Continuidad de la seguridad de la información...............................................................15

13.2. Redundancias...................................................................................................................15

14. CUMPLIMIENTO...................................................................................................................15

14.1. Cumplimiento de los requisitos legales y contractuales..................................................15

14.2. Revisiones de la seguridad de la información..................................................................15

4


RESUMEN INTEGRAL DELA NORMA ISO 27001.

1. POLÍTICAS DE SEGURIDAD1.1. Directrices de la Dirección en seguridad de la

información.Las directrices se elaboran de acuerdo a las necesidades de la

organización.

1.1.1. Conjunto de políticas para la seguridad de la información.

El Objetivo del conjunto de políticas es dirigir y dar soporte a la gestión de la seguridad de en concordancia con los requerimientos del negocio, las leyes y las regulaciones. La Gerencia debería establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización.

Existen Controles y Guías para establecer las políticas de información, dentro de los controles sugiere que la Gerencia debería aprobar, publicar y comunicar a todos los empleados en la forma adecuada, un documento de política de seguridad de información. Además la Gerencia debería establecer un compromiso y el enfoque de la organización para Gestionar la seguridad de la información.

1.1.2. Revisión de las políticas para la seguridad de la información.

Control. La Política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso contínuo adecuación y efectividad.Guia de Implementación. La política debería tener un responsable del desarrollo, revisión y evaluación de la política de seguridad.La revisión debe incluir oportunidades de evaluación para mejorar la política de seguridad de información de la organización y un acercamiento a la gestión de seguridad de información en respuesta a los cambios del ambiente organizacional, circunstancias del negocio, condiciones legales o cambios en el ambiente técnico.

2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION

2.1.1. Organización interna.

5


El objetivo principal es Gestionar la seguridad dela información dentro de la organización y menciona que debería establecerse una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización.Sugiere organizar foros de gestión adecuados con las gerencias para aprobar la política de seguridad de la información, asignar roles de seguridad y coordinar la implantación de la seguridad en toda la organización.Si la necesidad amerita, debería facilitarse el acceso dentro de la organización a un equipo de consultores especializados en seguridad de la información. También deberían desarrollarse contactos con especialistas externos en seguridad para mantenerse al día en las tendencias de la industria, la evolución de las normas y los métodos de evaluación, así como tener un punto de enlace para tratar las incidencias de seguridad. Debería fomentarse un enfoque multidisciplinario de la seguridad de la información.

2.1.2. Asignación de responsabilidades para la segur. De la información.

Se definen claramente las responsabilidades.

2.1.3. Segregación de tareas.Se deberían segregar las tareas y las áreas de responsabilidad con el fin de reducir las oportunidades de una modificación no autorizada o no intencionada, o el de un mal uso de los activos de la organización. Es un método muy eficaz para reducir el riesgo de mal uso accidental o deliberado de un sistema. Se debe tener cuidado de cualquier persona puede acceder, modificar o utilizar los activos sin autorización. La posibilidad de confabulación debe ser considerada en el diseño de los controles.Las organizaciones pequeñas pueden considerar que este método de control es difícil de lograr, pero el principio debería aplicarse en la medida en que sea posible y practicable. Cuando la segregación sea difícil, se considerarán otros controles como la monitorización de las actividades, las pistas de auditoria y la supervisión de la gestión. Es importante que la auditoria de seguridad permanezca independiente.

2.1.4. Contacto con las autoridades.

Deben tener contactos apropiados con autoridades relevantes Las Organizaciones deben tener procedimientos instalados que especifiquen cuando y porque autoridades deben ser contactados y como los incidentes identificados en la seguridad de información deben ser reportados de una manera oportuna si se sospecha que las leyes han sido rotas.

6


2.1.5. Contacto con grupos de interés especial.Deben ser considerados debido a que:

a) Mejoran el conocimiento sobre mejores prácticas.b) Asegurar que el entendimiento del ambiente de

seguridad de información es actual y completo.c) Recibir alertas de detección temprana, advertencias y

parches que detengan los ataques y las vulnerabilidades.

d) Ganar acceso a consejos especializados de seguridad de información

e) Compartir e intercambiar e información sobre nuevas tecnologías, productos, amenazas o vulnerabilidades.

f) Proveer puntos de enlaces convenientes cuando se trata con información de incidentes de seguridad.

2.1.6. Seguridad de la información en la gestión de proyectos.

Lograr y mantener una apropiada protección de los activos organizacionales. Todos los activos debieran ser inventariados y contar con un propietario nombrado. Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad por el mantenimiento de los controles apropiados. La implementación de controles específicos puede ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable por la protección apropiada de los activos.

2.1.7. Dispositivos para movilidad y teletrabajo.

El Objetivo es Garantizar la seguridad de la información cuando se usa dispositivos móviles y teletrabajo. La protección requerida debería ser proporcional a los riesgos que causan estas formas específicas de trabajo. Se deberían considerar los riesgos de trabajar en un entorno desprotegido cuando se usa informática móvil y aplicar la protección adecuada. En el caso del teletrabajo menciona que la organización debería implantar protección en el lugar de trabajo y asegurar que existen los acuerdos adecuados para este tipo de trabajo.También se deberían proteger físicamente los dispositivos de informática móvil, así como concienciar al personal que use dispositivos de informática móvil con objeto de aumentar su percepción de los riesgos adicionales que produce esta forma de trabajo y de las medidas y controles a implantar.

2.1.8. Política de uso de dispositivos para movilidad.Se debería adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática. Se debería tener un especial cuidado para asegurar que la información de

7


negocio no se comprometa cuando se usan dispositivos de informática móvil, como portátiles, agendas, calculadoras y teléfonos móviles, móviles. Dicha política debería incluir los requisitos de protección física, controles de acceso, técnicas criptográficas, respaldos y protección antivirus.

2.1.9. Teletrabajo.Se deberían desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de teletrabajo. Las organizaciones solo deberían autorizar las actividades de teletrabajo si se han satisfecho las disposiciones y controles de seguridad apropiados y se cumple la política de seguridad de la organización. Se debería proteger debidamente el lugar de teletrabajo contra, por ejemplo el robo de equipo o información. La distribución no autorizada de información, el acceso remoto no autorizado a los sistemas internos de la organización o el mal uso de los dispositivos. Es importante, que el trabajo se autorice y controle por la gerencia, y que existan los acuerdos adecuados para este tipo de trabajo.Considerar los siguientes puntos:

a) Seguridad Física Real del Teletrabajo.b) Entorno de teletrabajo propuesto.c) Requisitos de Seguridad de las comunicaciones.d) Amenaza de acceso no autorizado a información y

recursos del ambiente del teletrabajoe) Políticas y procedimientos para prevenir disputas

concernientes a propiedad intelectual desarrolladas en equipos privados.

f) Los acuerdos de licencias de software que hará que las organizaciones se vuelvan más confiables para el licenciamiento de clientes en las estaciones de trabajo.

3. GESTIÓN DE ACTIVOS.3.1. Responsabilidad sobre los activos.

3.1.1. Inventario de activos.Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de todos los activos importantes. Una organización debiera identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debiera incluir toda la información necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencias y un valor comercial. El inventario no debiera duplicar innecesariamente otros inventarios, pero se debiera asegurar que el contenido esté alineado. Además, se debiera acordar y documentar la propiedad y la clasificación de la propiedad para cada uno de los activos. Basados en la importancia del activo, su valor comercial y su clasificación de seguridad, se debieran identificar los niveles de protección

8


que se conmensuran con la importancia de los activos (se puede encontrar más información sobre cómo valorar los activos para representar su importancia en ISO/IEC TR 13335-3).

3.1.2. Propiedad de los activos.Toda la información y los activos asociados con los medios de procesamiento de información debieran ser propiedad2 de una parte designada de la organización.

3.1.3. Uso aceptable de los activos.Se debieran identificar, documentar e implementar reglas para el uso aceptable de la información y los activos asociados con los medios del procesamiento de la información.

3.1.4. Devolución de activos.Todos los usuarios empleados, contratistas y terceras personas debieran devolver todos los activos de la organización que tengan en su posesión a la terminación de su empleo, contrato o acuerdo. El proceso de terminación debiera ser formalizado para incluir la devolución de todo el software, documentos corporativos y equipo entregado previamente. También se debieran devolver otros activos organizacionales como dispositivos de cómputo móviles, tarjetas de crédito, tarjetas de acceso, software, manuales e información almacenada en medios electrónicos. En los casos donde el usuario empleado, contratista o tercera persona compra el equipo de la organización o utiliza su propio equipo, se debieran seguir procedimientos para asegurar que toda la información relevante sea transferida a la organización y sea adecuadamente borrada del equipo.

3.2. Clasificación de la informaciónSe deben determinar el nivel importancia, criticidad, sensibilidad, etc de los activos de información para dar una adecuada clasificación en función de su valor y requisitos legales.

4. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.4.1.1. Antes de la contratación.

Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades y que sean adecuados para los roles para que han sido considerados, reduciendo el riesgo de hurto, fraude o mal uso de las instalaciones.

4.1.2. Investigación de antecedentes.Se deben considerar listas de verificaciones anteriores de todos los candidatos para empleo, contratistas y terceros en concordancia con leyes, regulaciones y la ética, al igual que proporcionalmente a los requerimientos del negocio, la clasificación de la información a ser accesada y los riesgos percibidos.

4.1.3. Términos y condiciones de contratación.Como parte de su obligación contractual; los usuarios empleados, contratistas y terceros debieran aceptar y firmar un contrato con los términos y condiciones de su empleo, el cual debiera establecer sus responsabilidades y las de la organización para la seguridad de la información.

9


4.2. Durante la contratación.

Asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto de las amenazas e inquietudes de la seguridad de la información, sus responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano. Se debieran definir las responsabilidades de la gerencia para asegurar que se aplique la seguridad a lo largo de todo el tiempo del empleo de la persona dentro de la organización.

4.2.1. Responsabilidades de gestión.

La gerencia debiera requerir a los usuarios empleados, contratistas y terceras personas que apliquen la seguridad en concordancia con políticas y procedimientos bien establecidos por la organización.Las responsabilidades de la gerencia debieran incluir asegurar que los usuarios empleados, contratistas y terceras personas:

a) Estén apropiadamente informados sobre sus roles y responsabilidades de seguridad antes de otorgarles acceso a información confidencial o a los sistemas de información;

b) Reciban lineamientos para establecer las expectativas de seguridad de su rol dentro de la organización;

c) Estén motivados para cumplir con las políticas de seguridad de la organización;

d) Lograr un nivel de conciencia sobre seguridad relevante para sus roles y responsabilidades dentro de la organización;

e) Cumplan con los términos y condiciones de empleo, los cuales incluyen la política de seguridad de la información de la organización y los métodos de trabajo apropiados;

f) Continúen teniendo las capacidades y calificaciones apropiadas.

4.2.2. Concienciación, educación y capacitación en seguridad de la información.

Todos los empleados de la organización y, cuando sea relevante, los contratistas y terceras personas debieran recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos organizacionales conforme sea relevante para su función laboral. La capacitación y el conocimiento debieran comenzar con un proceso de inducción formal diseñado para introducir las políticas y expectativas de seguridad de la organización antes de otorgar acceso a la información o servicios. La

10


capacitación constante debiera incluir los requerimientos de seguridad, responsabilidades legales y controles comerciales, así como la capacitación en el uso correcto de los medios de procesamiento de información; por ejemplo, procedimiento de registro, uso de paquetes de software e información sobre los procesos disciplinarios

4.2.3. Proceso disciplinario.Debiera existir un proceso disciplinario para los empleados que han cometido un incumplimiento de la seguridad. El proceso disciplinario no debiera iniciarse sin una verificación previa de la ocurrencia del incumplimiento de la seguridad. El proceso disciplinario formal debiera asegurar el tratamiento correcto y justo para los empleados sospechosos de cometer incumplimientos de la seguridad. El proceso disciplinario debiera proporcionar una respuesta equilibrada que tome en consideración factores como la naturaleza y gravedad del incumplimiento y su impacto en el negocio, si esta es la primera ofensa, si el culpable fue apropiadamente capacitado, la legislación relevante, contratos comerciales y otros factores que se puedan requerir. En los casos serios de dolo, el proceso debiera permitir la remoción inmediata de los derechos de acceso y privilegios, y si fueses necesario, acompañar inmediatamente a la personas fuera del local.

4.3. Cese o cambio de puesto de trabajo.Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organización o cambien de empleo de una manera ordenada. Se debieran establecer las responsabilidades para asegurar que la salida de la organización del usuario empleado, contratista o tercera persona sea manejada y se complete la devolución de todo el equipo y se eliminen todos los derechos de acceso. Los cambios en las responsabilidades y empleos dentro de la organización se pueden manejar como la terminación de la responsabilidad o empleo respectivo en concordancia con esta sección, y cualquier empleo nuevo debiera ser manejado.4.3.1. Cese o cambio de puesto de trabajo.

Se debieran definir y asignar claramente las responsabilidades de realizar la terminación del empleo o el cambio de empleo. La comunicación de las responsabilidades de terminación debieran incluir requerimientos de seguridad constantes y responsabilidades legales y, cuando sea apropiado, las responsabilidades contenidas dentro de cualquier acuerdo de confidencialidad y los términos y condiciones de empleo (ver 8.1.3) continuando durante un período después de terminado el empleo del usuario empleado, contratista o tercera persona.

11


Las responsabilidades y debierares aún válidos después de la terminación del empleo debieran estar contenidos en los contratos del empleado, contratista o tercera persona. Los cambios en la responsabilidad o empleo debieran ser manejados como la terminación de la responsabilidad o empleo respectivo, y la responsabilidad o empleo nuevo debiera ser controlado tal como se describe en la cláusula

5. CONTROL DE ACCESOS.5.1. Requisitos de negocio para el control de accesos.

5.1.1. Política de control de accesos.Debe ser establecida, documentada y revisada basado en los requerimientos de la seguridad del negocio. En este punto se limitan accesos a personal o usuarios no autorizados.

5.1.2. Control de acceso a las redes y servicios asociados.Los controles y políticas establecidas deberían regular el uso de los recursos de red, así como el acceso a medios y servicios no autorizados a las personas específicas en horarios específicos.

5.2. Gestión de acceso de usuario.5.2.1. Gestión de altas/bajas en el registro de usuarios.

Se establecen los procedimientos formales para el permitir acceso al usuario y denegar los permisos al cese de sus funciones.

5.2.2. Gestión de los derechos de acceso asignados a usuarios.

Menciona acerca de la revisión continua de los permisos asignados a cada usuario para asegurar que los procedimientos formales se lleven tal como fueron designados.

5.2.3. Gestión de los derechos de acceso con privilegios especiales.

Se deberían restringir y controlar la asignación y uso de los privilegios especiales como el bloqueo de inicio de sesión simultaneo. O permitir que solo ciertos usuarios ingresen a ciertos medios y servicios.

5.2.4. Gestión de información confidencial de autenticación de usuarios.

Todos los usuarios tienen un identificado único (ID Usuario), permitir, mantener, cambiar el uso de claves secretas para la autenticación de Usuarios.

5.2.5. Revisión de los derechos de acceso de los usuarios.El órgano de Dirección debería revisar con regularidad los derechos de acceso de los usuarios, siguiendo un procedimiento formal. Para asegurar el acceso correcto a los usuarios que corresponden.

5.2.6. Retirada o adaptación de los derechos de accesoSe retiran los derechos de acceso al término del contrato de un usuario, o se adapta los derechos si el usuario cambia de puesto o le son asignados nuevas tareas.

12


5.3. Responsabilidades del usuario.5.3.1. Uso de información confidencial

para la autenticación.Se deberían utilizar métodos de autenticación adecuados para el control del acceso remoto de los usuarios que preserve y haga cumplir la confidencialidad de la información.

5.4. Control de acceso a sistemas y aplicaciones.5.4.1. Restricción del acceso a la información.

El acceso a la información debe estar protegida para el acceso no autorizado, permitiendo solo a personas con derechos asignados, especialmente cuando son manejados por sistemas de aplicaciones.

5.4.2. Procedimientos seguros de inicio de sesión.Los procedimientos seguros de inicio de sesión son reglas creadas para los usuarios para que la conexión sea confiable entre el terminal o estación y los activos de información. Por ejemplo creando claves robustas, cierre de sesión después de un periodo de tiempo, conexiones seguras SSL, entre otros.

5.4.3. Gestión de contraseñas de usuario.Se deberá exigir al usuario el uso de buenas prácticas en la creación de sus contraseñas, las contraseñas son de uso exclusivo personal e intransferible.

5.4.4. Uso de herramientas de administración de sistemas.

Estas herramientas también proveen una serie de reglas y procedimientos para restricción de usuarios al acceso no autorizados, al uso de recursos y ayudan a aumentar el nivel de seguridad.

5.4.5. Control de acceso al código fuente de los programas.

Los sistemas desarrollados deberían ser ejecutados solo aquellos que pasaron estándares y calidades. También se deberían establecer reglas al usuario al momento de la contratación para restringir el acceso al código fuente.

6. CIFRADO.6.1. Controles criptográficos.

6.1.1. Política de uso de los controles criptográficos.Es importante que lo controles criptográficos se cumplan con todos los acuerdos y leyes relevantes.

6.1.2. Gestión de claves.Este punto apoya las técnicas criptográficas en la organización Generar claves para distintos sistemas criptográficos y distintas aplicaciones. Asesorar a los usuarios a usar las claves, cambiar y actualizar las claves donde, cuando y como hacerlas.

7. SEGURIDAD FÍSICA Y AMBIENTAL.

13


7.1. Áreas seguras.7.1.1. Perímetro de seguridad física.

El perímetro de seguridad física es una estructura que protege del ambiente externo a equipos que contengan y manejen activos de información. Los muros deben ser sólidos, solo personal autorizado debe tener acceso.

7.1.2. Controles físicos de entrada.Establece reglas para personas que ingresan específicamente a realizar labores específicas. El personal debe llevar identificaciones dentro de las instalaciones de la organización, así como de ser posibles tarjetas de ingreso a las puertas principales, y otras medidas posibles para restringir el acceso no autorizado.

7.1.3. Seguridad de oficinas, despachos y recursos.Aquí debe ser asignada y aplicada, considerar regulaciones y estándares de salud y seguridad. Las edificaciones deben ser discretas sin signos obvios que expongan la seguridad de los ambientes.

7.1.4. El trabajo en áreas seguras.Dar a conocer a todo el personal áreas seguras si lo necesita su trabajo. Deben ser visibles, controladas periódicamente.

7.1.5. Áreas de acceso público, carga y descarga.Se deben establecer reglas para el acceso a estas áreas. Registrar todo el material entrante y coincidir con los documente.

7.2. Seguridad de los equipos.7.2.1. Emplazamiento y protección de equipos.

Los equipos tecnológicos deberían estar donde se minimicen los accesos innecesarios.

7.2.2. Instalaciones de suministro.Todas las instalaciones de agua, desagüe, electricidad, calefacción/ventilación deberían ser inspeccionados periódicamente, es importante contar con UPS.

7.2.3. Seguridad del cableado.Deben estar protegidos contra interceptaciones o daños en el cableado de energía.

7.2.4. Mantenimiento de los equipos.El mantenimiento de los equipos asegura la continuidad de los servicios en la organización, previniendo futuros inconvenientes. Debe existir un plan de mantenimiento programado.

7.2.5. Salida de activos fuera de las dependencias de la empresa.

Equipos que contengan información confidencial que salgan de las instalaciones no deberían quedar desatendidos en lugares públicos. Las salidas deben estar registradas adecuadamente y asignadas al personal designado para las tareas específicas.

7.2.6. Seguridad de los equipos y activos fuera de las instalaciones.

14


Los Equipos que están en modalidad de teletrabajo deben determinarse mediante una evaluación de los riesgos.

7.2.7. Reutilización o retirada segura de dispositivos de almacenamiento.

Los dispositivos usados para almacenar información deben ser rotulados, y guardados adecuadamente, al ser usados en reiteradas oportunidades asegurarse de que no contengan información sensible.

7.2.8. Equipo informático de usuario desatendido.Los usuarios deben cancelar o cerrar todas las sesiones activas antes de marcharse, y dar a conocer al personal los requisitos de seguridad para los equipos desatendidos.

7.2.9. Política de puesto de trabajo despejado y bloqueo de pantalla.

Se debe adoptar y difundir una Política de escritorio limpio para papeles y medios removibles de almacenamiento.

8. SEGURIDAD EN LA OPERATIVA.8.1. Responsabilidades y procedimientos de operación.

8.1.1. Documentación de procedimientos de operación.Se debe registrar y establecer procedimientos ante cualquier cambio, desastre de los activos de información.

8.1.2. Gestión de cambios.Trata de cualquier cambio que se realice en la organización, debe ser registrada, analizada, cuantificada, y evaluada para asegurar la continuidad del negocio, y comunicar a los detalles de cambios a las personas involucradas.

8.1.3. Gestión de capacidades.Administra la monitorización de recursos asi como las proyecciones de los requisitos de las capacidades adecuadas para el futuro con el objeto de asegurar el funcionamiento requerido del sistema.

8.1.4. Separación de entornos de desarrollo, prueba y producción.

Este punto reduce los riesgos de acceso no autorizado o de cambios al sistema operacional.

8.2. Protección contra código malicioso.8.2.1. Controles contra el código malicioso.

Estos controles detectan códigos maliciosos juntos procedimientos adecuados para concientizar a los usuarios.

8.3. Copias de seguridad.8.3.1. Copias de seguridad de la información.

Las copias de seguridad mantienen, la integridad, disponibilidad de la información ante cualquier pérdida. Estas copias deben estar guardadas en un lugar seguro, por personas autorizadas.

8.4. Registro de actividad y supervisión.8.4.1. Registro y gestión de eventos de actividad.

15


Se deben registrar todas las actividades de los administradores y operadores de sistemas.

8.4.2. Protección de los registros de información.Establece reglas y políticas de acciones forzosas y accesos no autorizados.

8.4.3. Registros de actividad del administrador y operador del sistema.

Es importante para ver y comparar registros futuros ante cualquier eventualidad.

8.4.4. Sincronización de relojes.Todos los relojes de los equipos dentro de la organización deben estar sincronizados.

8.5. Control del software en explotación.8.5.1. Instalación del software en sistemas en producción.

Garantizar la seguridad de los sistemas de archivos por medio de software adecuado.

8.6. Gestión de la vulnerabilidad técnica.8.6.1. Gestión de las vulnerabilidades técnicas.

Se debería tener información oportuna de las vulnerabilidades de los sistemas que se están utilizando para subsanar con las correcciones adecuadas.

8.6.2. Restricciones en la instalación de software.Todos los cambios como instalación deben ser controlados por los responsables designados.

8.7. Consideraciones de las auditorías de los sistemas de información.8.7.1. Controles de auditoría

de los sistemas de información.Se deberían planificar y acordar cuidadosamente los requisitos y actividades de auditoría que impliquen comprobaciones en los sistemas en activo con objeto de minimizar el riesgo de interrupciones de los procesos de negocio.

9. SEGURIDAD EN LAS TELECOMUNICACIONES.9.1. Gestión de la seguridad en las redes.

9.1.1. Controles de red.Asegurar que los controles funciones para proteger de ataques a la red y mantener la seguridad en los sistemas y aplicaciones.

9.1.2. Mecanismos de seguridad asociados a servicios en redes.

Se deberían establecer en los contratos las características, niveles y requisitos de seguridad a terceros o internos de la organización.

9.1.3. Segregación de redes.Es importante segregar grupos de usuarios, servicios y sistemas de información en las redes para la seguridad, minimizando los riesgos de exposición.

9.2. Intercambio de información con partes externas.Se deberían establecer políticas, procedimientos y controles formales de intercambio con objeto de proteger la información mediante el uso de todo tipo de servicios de comunicación.

16


10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DELOS SISTEMAS DE INFORMACION.10.1. Requisitos de seguridad de los sistemas de información.

Este punto garantiza que la seguridad es parte integral de los sistemas de información.

10.2. Seguridad en los procesos de desarrollo y soporte.Mantienen la seguridad del software del sistema de aplicaciones y la información.

10.3. Datos de prueba.Son seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas con las reglas y procedimientos establecidos.

11. RELACIONES CON SUMINISTRADORES.11.1. Seguridad de la información en las relaciones con

suministradores.No se debe divulgar información sensible que afecte la seguridad de los sistemas y/o activos de información.

11.2. Gestión de la prestación del servicio por suministradores.La prestación de servicios deben ser documentados y establecer las políticas en el contrato.

12. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LAINFORMACIÓN.12.1. Gestión de incidentes de seguridad de la información y

mejoras.Se debe comunicar los eventos y debilidades en la seguridad de la información para realizar mejora.

13. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.13.1. Continuidad de la seguridad de la información.

Desarrollan y mantienen un proceso de gestión en la continuidad del negocio que trate los requerimientos de seguridad de la información necesarios.

13.2. Redundancias.Se debe revisar y corregir las redundancias que afecten el rendimiento de la continuidad del negocio.

14. CUMPLIMIENTO.14.1. Cumplimiento de los requisitos legales y contractuales.

Evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. El diseño, operación, uso y gestión de los sistemas de información pueden estar sujetos a requerimientos de seguridad estatutarios, reguladores y contractuales

14.2. Revisiones de la seguridad de la información.Es necesario revisar la seguridad de la información porque el cambio del ambiente es constante, existen nuevas amenazas y nuevas vulnerabilidades.

17

Resumende iso17799

Technology

Transcript of Resumende iso17799