Sie sind auf Seite 1von 0

N C h 2 7 7 7

I
Contenido
Pgina
Prembulo I V
0 Introduccin 1
1 Alcance y campo de aplicacin 6
2 Trminos y definiciones 6
3 Poltica de seguridad 7
4 Seguridad organizacional 8
4 . 1 I n fra e stru c tu ra d e la se g u rid ad d e la in fo rm a c i n 8
4 . 2 S e g u rid a d d e l a c c e so d e u n a te rc e ra p a rte 1 2
4 . 3 E x te rn a liza c i n 1 5
5 Clasificacin y control de bienes 1 7
5 . 1 R e sp o n sa b ilid ad d e lo s b ie n e s 1 7
5 . 2 C la sific a c i n d e la in fo rm a c i n 1 8
6 Seguridad del personal 1 9
6 . 1 S e g u rid a d e n la d e fin ic i n d e l tra b a jo y re c u rso s 1 9
6 . 2 E n tre n a m ie n to d e l u su a rio 2 1
6 . 3 R e sp u e sta a lo s in c id e n te s d e se g u rid a d y m a lfu n c io n a m ie n to 2 2
7 Seguridad fsica y del ambiente 2 4
7 . 1 A re a s se g u ra s 2 4
N C h 2 7 7 7
I I
Contenido
Pgina
7 . 2 S e g u rid a d d e lo s eq u ip o s 2 7
7 . 3 C o n tro le s g e n e ra le s 3 2
8 Gestin de las operaciones y de las comunicaciones 3 3
8 . 1 R e sp o n sa b ilid ad e s y p ro c e d im ie n to s d e la s o p e ra c io n e s 3 3
8 . 2 A c e p ta c i n y p la n ific a c i n d e l siste m a 3 8
8 . 3 P ro te c c i n c o n tra e l so ftw a re m a lic io so 4 0
8 . 4 A d m in istra c i n in te rn a 4 1
8 . 5 G e sti n d e re d 4 3
8 . 6 S e g u rid a d y m a n ip u la c i n d e d isp o sitiv o s 4 3
8 . 7 I n te rc a m b io s d e in fo rm a c i n y so ftw a re 4 6
9 Control de acceso 5 3
9 . 1 R e q u isito s d e l n e g o c io p a ra e l c o n tro l d e a c c e so 5 3
9 . 2 G e sti n d e a c c e so d e u su a rio 5 4
9 . 3 R e sp o n sa b ilid ad e s d e l u su a rio 5 7
9 . 4 C o n tro l d e a c c e so a la re d 5 9
9 . 5 C o n tro l d e a c c e so a la o p e ra c i n d e l siste m a 6 4
9 . 6 C o n tro l d e a c c e so a la a p lic a c i n 6 8
9 . 7 M o n ito re o d e u so y a c c e so a l siste m a 6 9
9 . 8 C o m p u tad o re s m v ile s y te le tra b a jo 7 3
10 Desarrollo y mantenimiento de sistemas 7 5
1 0 . 1 R e q u isito s d e se g u rid a d d e lo s siste m a s 7 5
N C h 2 7 7 7
I I I
Contenido
Pgina
1 0 . 2 S e g u rid a d d e la s a p lic a c io n e s d e lo s siste m a s 7 6
1 0 . 3 C o n tro le s c rip to g r fic o s 7 9
1 0 . 4 S e g u rid a d d e lo s a rc h iv o s d e siste m a 8 3
1 0 . 5 S e g u rid a d e n lo s p ro c e so s d e d e sa rro llo y ap o y o 8 6
11 Gestin de la continuidad del negocio 8 9
12 Cumplimiento 9 3
1 2 . 1 C u m p lim ie n to c o n lo s re q u isito s le g a le s 9 3
1 2 . 2 R e v isi n d e la s p o ltic a s d e se g u rid a d y c u m p lim ie n to t c n ic o 9 8
1 2 . 3 C o n sid e ra c io n e s so b re la a u d ito ra d e l siste m a 1 0 0
I V
NORMA CHILENA OFICIAL NCh2777.Of2003
I S O /I E C 1 7 7 9 9 : 2 0 0 0
Tecnologa de la informacin - Cdigo de prctica para la
gestin de seguridad de la informacin
Prembulo
E l I n stitu to N a c io n a l d e N o rm a liza c i n , I N N , e s e l o rg a n ism o q u e tien e a su c a rg o e l
e stu d io y p re p a ra c i n d e la s n o rm a s t c n ic a s a n iv e l n a c io n a l. E s m ie m b ro d e la
I N T E R N A T I O N A L O R G A N I Z A T I O N F O R S T A N D A R D I Z A T I O N (I S O ) y d e la C O M I S I O N
P A N A M E R I C A N A D E N O R M A S T E C N I C A S (C O P A N T ), re p re se n ta n d o a C h ile a n te e so s
o rg a n ism o s.
L a n o rm a N C h 2 7 7 7 - I S O /I E C 1 7 7 9 9 : 2 0 0 0 h a sid o p re p a ra d a p o r la D iv isi n d e N o rm a s
d e l I n stitu to N a c io n a l d e N o rm a liza c i n , y e n su e stu d io p a rtic ip a ro n lo s o rg an ism o s y la s
p e rso n a s n a tu ra le s sig u ie n te s:
A rm a d a d e C h ile B e rn a rd J o h n so n H .
B a n c o d e l E stad o H c to r M o n je V .
B a n c o S a n ta n d e r M a rc e lo M u o z A .
C m a ra N a c io n a l d e C o m e rc io - O N C E B e rn a rd in o A ra n c e M .
P a u la S ilv a B .
C e rtib a n c - E n a b le R o b e rto R iv e ro s D .
C o rp o ra c i n d e F o m e n to d e la P ro d u c c i n , C O R F O P a u l S a ffe ry G .
C o rp o ra c i n d e I n v e stig a c i n T e c n o l g ic a d e C h ile - I N T E C V e r n ic a A c h a A .
P a tric io E sc o b a r R .
e -C e rt C h ile E ste b a n S e g u ra R .
I n stitu to N a c io n a l d e N o rm a liza c i n , I N N L e o n o r C e ru ti M .
J o rg e M u o z C .
A n d r s T ab ja R .
M in iste rio d e S a lu d - D I P L A P C h ristia n Y e z V .
O ri n C la u d io O rd e z U .
O ri n 2 0 0 0 A n d r s B o r P .
S e rv ic io d e I m p u e sto s I n te rn o s, S I I F e rn a n d o B a rra za L .
J a im e L a b b S .
N C h 2 7 7 7
V
S u b se c re ta ra d e E c o n o m a R a l A rrie ta C .
S u b se c re ta ra d e T e le c o m u n ic a c io n e s C la u d io P e zo a L .
S u b se c re ta ra S e c re ta ra G e n e ra l d e la P re sid e n c ia D a n ie l C o rt s E .
G o n za lo M a rtn e r F .
S u p e rin te n d e n c ia d e B a n co s e I n stitu c io n e s F in a n c ie ra s R e n a to C rd o v a G .
U n iv e rsid a d d e S a n tia g o - D e p to . d e I n g en ie ra I n fo rm tic a R o g e rs A te ro
U n iv e rsid a d T c n ic a F ed e ric o S a n ta M a ra - D e p to . d e I n d u stria s A le ja n d ro B e d in i
E sta n o rm a se e stu d i p a ra e sta b le c e r la s re c o m e n d a c io n e s so b re la g e sti n d e se g u rid ad
d e la in fo rm a c i n p a ra la s p e rso n a s re sp o n sa b le s d e im p le m e n ta r y m a n te n e r e sta
se g u rid a d en la o rg a n iza c i n .
E sta n o rm a es u n a h o m o lo g aci n d e la N o rm a In tern acio n al IS O /IE C 1 7 7 9 9 : 2 0 0 0 Information
technology - Code of practice for information security management, sien d o id n tica a la m ism a.
S in e m b a rg o , a l e stu d ia r la n o rm a I S O /I E C 1 7 7 9 9 : 2 0 0 0 p a ra a d o p ta rla c o m o n o rm a
c h ile n a , e l C o m it T c n ic o d e l I N N q u e a n a liz e sta n o rm a a c o rd :
- n o tra d u c ir c ie rto s t rm in o s d e b id o a q u e so n d e u so c o m n e n la lite ra tu ra t c n ic a ;
- tra d u c ir a lg u n o s t rm in o s in d ic a n d o e l t rm in o o rig in a l e n in g l s p a ra u n m e jo r
e n te n d im ie n to ;
- in c lu ir lo s t rm in o s in d ic a d o s e n lo s p u n to s a n te rio re s e n u n a ta b la e n e l p re m b u lo d e
la n o rm a p a ra n o m o d ific a r la n o rm a I S O /I E C 1 7 7 9 9 : 2 0 0 0 , y a q u e e sta n o rm a c h ile n a
e s u n a h o m o lo g a c i n id n tic a a la m ism a .
Trmino en ingls (ISO/IEC
17799: 2000)
Trmino utilizado en
la norma chilena
Otros trminos de uso
habitual en el pas
m a n a g e m e n t d ire c c i n /g e sti n g e re n c ia / a d m in istra c i n
m a n a g e r d ire c tiv o , e n c a rg a d o g e re n te
fo ra , fo ru m c o m it fo ro
d e n ia l o f se rv ic e a tta c k a ta q u e d e d e n e g a c i n d e se rv ic io a ta q u e d e n e g a c i n d e se rv ic io
h a c k in g h a c k in g p ira te ra
u se r I D s u se r I D s id e n tific a c i n d e u su a rio
w o rm s w o rm s g u sa n o s
c o u rie r c o u rie r m e n sa je ro , c o rre o
to k e n to k e n d isp o sitiv o d e h a rd w a re
sm a rt c a rd ta rje ta in te lig e n te
b a tc h b a tc h p o r lo te s
lo g g e d o n se si n a b ie rta
lo g g e d o u t se si n c e rra d a
lo g g e d b a c k se si n re in ic ia d a
fire w a ll fire w a ll e q u ip o m u ro c o rta fu e g o
g a te w a y g a te w a y e q u ip o p u e rta d e a c c e so
tim e slo t in te rv a lo d e tie m p o
jo in t v e n tu re jo in t v e n tu re so c io d e l n e g o c io
c a ll fo rw a rd in g d e sv o d e lla m a d a s
N C h 2 7 7 7
V I
E sta n o rm a h a sid o a p ro b ad a p o r e l C o n se jo d e l I n stitu to N a c io n a l d e N o rm a liza c i n , e n
se si n e fe c tu a d a e l 2 7 d e D ic ie m b re d e 2 0 0 2 .
E sta n o rm a h a sid o d eclarad a O ficia l d e la R ep b lic a d e C h ile p o r R eso lu c i n E x en ta N 9 2 ,
d e fech a 0 7 d e M arzo d e 2 0 0 3 , d el M in isterio d e E co n o m a, F o m en to y R eco n stru cci n ,
p u b licad a en el D iario O fic ial d e l 1 3 d e M arzo d e 2 0 0 3 .
1
NORMA CHILENA OFICIAL NCh2777.Of2003
I S O /I E C 1 7 7 9 9 : 2 0 0 0
Tecnologa de la informacin - Cdigo de prctica para la
gestin de seguridad de la informacin
0 Introduccin
Qu es la seguridad de la informacin?
L a in fo rm a c i n e s u n b ie n q u e , c o m o o tro s b ie n e s d e l n e g o c io , tien e v a lo r p a ra u n a
o rg a n iza c i n y c o n se c u e n te m e n te n e c e sita se r p ro teg id a e n fo rm a a p ro p ia d a. L a se g u rid a d
d e la in fo rm a c i n p ro te g e la in fo rm a c i n d e u n a a m p lia g am a d e a m e n a za s c o n e l fin d e
a se g u ra r la c o n tin u id a d d e l n e g o c io , m in im iza r e l d a o d e l n e g o c io y m a x im iza r e l re to rn o
d e la in v e rsi n y la s o p o rtu n id a d e s d e l n e g o c io .
L a in fo rm a c i n p u ed e e x istir d e m u c h a s fo rm a s. P u ed e se r im p re sa o e sc rita e n p a p e l,
a lm a c e n a d a e le c tr n ic a m e n te , tra n sm itid a p o r c o rre o o u sa n d o m ed io s e le c tr n ic o s,
m o stra d a e n p e lc u la s o h ab la d a e n u n a c o n v e rsa c i n . C u a lq u ie r fo rm a q u e to m e la
in fo rm a c i n , o lo s d isp o sitiv o s p o r lo s c u a le s e s co m p a rtid a o a lm a c e n a d a, sie m p re
d e b e ra e sta r p ro te g id a en fo rm a a d e c u a d a.
L a se g u rid a d d e la in fo rm a c i n se c a ra c te riza a q u c o m o la p re se rv a c i n d e la :
a ) c o n fid e n c ia lid a d : a se g u ra r q u e la in fo rm a c i n se a a c c e sib le s lo p o r a q u e llo s u su a rio s
a u to riza d o s p a ra te n e r a c c e so ;
b ) in te g rid a d : sa lv a g u a rd a r q u e la in fo rm a c i n y lo s m to d o s d e p ro c e sa m ie n to se a n
e x a c to s y c o m p le to s;
c ) d isp o n ib ilid a d : a se g u ra r q u e lo s u su a rio s a u to riza d o s te n g a n a c c e so a la in fo rm a c i n y
b ie n e s a so c ia d o s c u an d o lo re q u ie ra n .
N C h 2 7 7 7
2
L a se g u rid a d d e la in fo rm a c i n se lo g ra m e d ia n te la im p le m en ta c i n d e u n ad e c u a d o
c o n ju n to d e c o n tro le s, lo s q u e p o d ra n se r p o ltic a s, p r c tic a s, p ro c e d im ie n to s, e stru c tu ra s
o rg a n iza c io n a le s y fu n c io n e s d e so ftw a re . S e n e c e sita e sta b le c e r e sto s c o n tro le s p a ra
a se g u ra r q u e se c u m p la n lo s o b je tiv o s e sp e c fic o s d e se g u rid a d d e la o rg an iza c i n .
Por qu es necesaria la seguridad de la informacin?
L a in fo rm a c i n y lo s p ro c e so s d e a p o y o , siste m a s y re d e s so n im p o rta n te s b ie n e s d e l
n e g o c io . L a c o n fid e n c ia lid a d , in te g rid ad y d isp o n ib ilid ad d e la in fo rm a c i n p u e d e se r
e se n c ia l p a ra m a n te n e r e l m a rg en d e c o m p e titiv id a d , flu jo d e c a ja , u tilid a d , c u m p lim ie n to
le g a l e im a g e n d e l n eg o c io .
L a s o rg a n iza c io n e s y su s sistem a s d e in fo rm a c i n y re d e s e st n e n fre n ta d o s e n fo rm a
c re c ie n te a la s a m e n a za s d e la seg u rid a d d e sd e u n a a m p lia g a m a d e fu e n te s, in c lu y e n d o
fra u d e s a p o y a d o s p o r c o m p u ta d o r, e sp io n a je , sa b o ta je , v a n d a lism o , fu eg o o in u n d a c i n .
L a s fu e n te s d e d a o ta le s c o m o lo s v iru s co m p u ta c io n a le s, h a c k in g p o r c o m p u ta d o r y
a ta q u e s d e d e n e g a c i n d e se rv ic io h an lle g a d o a se r m s c o m u n e s, m s a m b ic io sa s y
c a d a v e z m s so fistic a d a s.
L a d e p e n d en c ia e n lo s siste m a s d e in fo rm a c i n y d e se rv ic io s im p lic a q u e la s
o rg a n iza c io n e s so n m s v u ln e ra b le s a am e n a za s d e se g u rid ad . L a in te rc o n e x i n d e la s
re d e s p b lic a s y p riv a d a s y la co m p a rtic i n d e lo s re c u rso s d e la in fo rm a c i n , au m e n ta la
d ific u lta d d e lo g ra r e l c o n tro l d e a c c e so . L a ten d e n c ia a lo s sistem a s d e c o m p u ta c i n
d istrib u id o s h a d e b ilita d o la e fe c tiv id a d d e l c o n tro l c e n tra l e sp e c ia liza d o .
M u c h o s siste m a s d e in fo rm a c i n n o se h a n d ise a d o p a ra se r seg u ro s. L a seg u rid a d q u e
se p u e d e lo g ra r a tra v s d e d isp o sitiv o s t c n ic o s e s lim itad a , y d e b e ra se r a p o y a d a p o r
p ro c e d im ie n to s y u n a g e sti n a p ro p ia d a . I d e n tific a r q u c o n tro le s y e n q u lu g a r d eb e ra n
e sta r, re q u ie re u n a p la n ific a c i n c u id a d o sa y u n a a te n c i n d e ta lla d a . L a g e sti n d e
se g u rid a d d e la in fo rm a c i n n e c e sita , c o m o m n im o , la p a rtic ip a c i n d e to d o s lo s
e m p le a d o s d e la o rg a n iza c i n . P u e d e ta m b i n re q u e rir la p a rtic ip a c i n d e lo s p ro v e e d o re s,
c lie n te s o a c c io n ista s. T am b i n p u ed e n se r n e c e sa ria s la s o p in io n e s d e e sp e c ia lista s d e
o rg a n iza c io n e s e x te rn a s.
L o s c o n tro le s d e se g u rid ad d e la in fo rm a c i n so n co n sid e ra b le m e n te m s b a ra to s y m s
e fe c tiv o s si so n in c o rp o ra d o s en la e ta p a d e d ise o y e sp e c ific a c i n d e lo s re q u isito s.
Cmo establecer los requisitos de seguridad?
E s e se n c ia l q u e u n a o rg a n iza c i n id e n tifiq u e su s re q u isito s d e se g u rid a d . E x iste n tre s
fu e n te s p rin c ip a le s.
L a p rim e ra fu e n te se o b tie n e a l e v a lu a r lo s rie sg o s p a ra la o rg a n iza c i n . A tra v s d e e sta
e v a lu a c i n , se id e n tific a n la s a m e n a za s a lo s b ie n e s, la v u ln e ra b ilid a d , se e v a l a la
p ro b a b ilid a d d e o c u rre n c ia y se e stim a e l im p a c to p o te n c ia l.
N C h 2 7 7 7
3
L a se g u n d a fu en te e s la le g a l, e sta tu ta ria , re g u la to ria y lo s re q u isito s c o n tra c tu a le s q u e
tie n e q u e sa tisfa c e r ta n to la o rg a n iza c i n , c o m o su s so c io s c o m e rc ia le s, lo s p ro v e ed o re s y
p e rso n a l e x te rn o d e se rv ic io s.
L a te rc e ra fu e n te e s u n c o n ju n to p a rtic u la r d e p rin c ip io s, o b je tiv o s y re q u isito s p a ra e l
p ro c e sa m ie n to d e la in fo rm a c i n q u e u n a o rg an iza c i n h a d e sa rro lla d o p a ra e l a p o y o d e
su s o p e ra c io n e s.
Evaluacin de los riesgos de la seguridad
L o s re q u isito s d e se g u rid a d se id e n tific a n m e d ia n te u n a e v a lu a c i n m e t d ic a d e lo s
rie sg o s d e e lla . E l g a sto e n lo s c o n tro le s e s n e c e sa rio c o m p a ra rlo c o n e l p ro b a b le p e rju ic io
q u e re su lte d e fa lla s e n la se g u rid ad . L a s t c n ic a s d e e v a lu a c i n d e lo s rie sg o s se p u e d e n
a p lic a r a to d a la o rg a n iza c i n , o so la m e n te a p a rte s d e e lla , c o m o tam b i n a lo s siste m a s
d e in fo rm a c i n in d iv id u a le s, c o m p o n e n te s e sp e c fic o s d e u n siste m a o se rv ic io s, c u an d o
se a p r c tic o , re a lista y til.
L a e v a lu a c i n d e l rie sg o e s la c o n sid e ra c i n siste m tic a d e :
a ) E l p ro b a b le p e rju ic io a l n e g o c io q u e re su lte d e u n a fa lla e n la se g u rid a d , to m a n d o e n
c u e n ta la s c o n se c u e n c ia s p o te n c ia le s d e u n a p rd id a d e c o n fid e n c ia lid a d , in te g rid a d
o d isp o n ib ilid a d d e la in fo rm a c i n y o tro s b ie n e s.
b ) L a p ro b a b ilid a d re a lista d e q u e ta l fa lla o c u rra , e n v ista d e la s a m e n a za s y
v u ln e ra b ilid a d e s e fe c tiv a s, y lo s c o n tro le s a c tu a lm e n te im p le m e n ta d o s.
L o s re su lta d o s d e e sta e v a lu a c i n se r n u n a g u a y d e te rm in a r n la a c c i n d e u n a
g e sti n a p ro p ia d a , a s c o m o la s p rio rid a d e s d e la g e sti n d e lo s rie sg o s d e se g u rid a d d e
la in fo rm a c i n , y la se le c c i n d e la im p le m e n ta c i n d e c o n tro le s p a ra p ro te g e rla d e e sto s
rie sg o s. P u e d e se r n e c e sa rio re a liza r v a ria s v e c e s e l p ro c e so d e e v a lu a c i n d e lo s rie sg o s
y se le c c io n a r lo s c o n tro le s p a ra c u b rir d ife re n te s p a rte s d e la o rg a n iza c i n o siste m a s d e
in fo rm a c i n in d iv id u a le s.
E s im p o rta n te re a liza r re v isio n e s p e ri d ic a s d e lo s rie sg o s d e la se g u rid a d e im p le m e n ta r
c o n tro le s p a ra :
a ) to m a r e n c u e n ta lo s c a m b io s d e la s p rio rid a d e s y re q u isito s d e l n e g o c io ;
b ) c o n sid e ra r n u e v a s a m e n a za s y v u ln e ra b ilid a d e s;
c ) c o n firm a r q u e lo s c o n tro le s p e rm a n e c e n e fe c tiv o s y a p ro p ia d o s.
L a s re v isio n e s se d e b e ra n re a liza r e n d ife re n te s n iv e le s d e p ro fu n d id a d , d e p e n d ie n d o d e
lo s re su lta d o s d e la s e v a lu a c io n e s p re v ia s y d e lo s c a m b io s d e n iv e le s d e rie sg o q u e la
d ire c c i n e st p re p a ra d a p a ra a c e p ta r. L a s e v a lu a c io n e s d e l rie sg o , a m e n u d o se re a liza n
p rim e ro a a lto n iv e l, c o m o u n a fo rm a d e p rio riza r lo s re c u rso s e n re a s d e a lto rie sg o , y
lu e g o e n u n n iv e l m s d e ta lla d o , p a ra a b o rd a r rie sg o s e sp e c fic o s.
N C h 2 7 7 7
4
Seleccin de controles
U n a v e z q u e lo s re q u isito s d e se g u rid ad se h a y a n id e n tific a d o , se d e b e ra n se le c c io n a r e
im p le m e n ta r lo s c o n tro le s p a ra a se g u ra r q u e lo s rie sg o s se re d u zc a n a u n n iv e l a c e p ta b le .
L o s c o n tro le s se p u e d en se le c c io n a r d e e ste d o c u m e n to o d e o tro c o n ju n to d e c o n tro le s,
c u a n d o se a a p ro p ia d o , o d e co n tro le s n u e v o s q u e se p u e d a n d ise a r p a ra c u m p lir la s
n e c e sid a d e s e sp e c fic a s. H a y d ife re n te s fo rm a s d e g e stio n a r lo s rie sg o s y e ste d o c u m e n to
p ro v e e e je m p lo s d e en fo q u e s h a b itu a le s. S in e m b a rg o , e s n e c e sa rio re c o n o c e r q u e
a lg u n o s d e lo s co n tro le s n o so n a p lic a b le s a to d o s lo s sistem a s o a m b ie n te s d e
in fo rm a c i n , y p u ed e n n o se r p r c tic o s p a ra to d a s la s o rg a n iza c io n e s. C o m o u n e je m p lo ,
e n 8 . 1 4 se d e sc rib e c m o la s o b lig a c io n e s p u ed e n se r se p a ra d a s p a ra p re v e n ir fra u d e s y
e rro re s. P a ra p e q u e a s o rg a n iza c io n e s p u ed e se r im p o sib le se p a ra r to d a s la s o b lig a c io n e s
y p u ed e n se r n e c e sa ria s o tra s fo rm a s d e a lc a n za r e l m ism o o b je tiv o d e c o n tro l. C o m o o tro
e je m p lo e n 9 . 7 y 1 2 . 1 , se d e sc rib e c m o e l u so d e l siste m a p u e d e se r m o n ito re a d o y a s
re u n ir la s e v id e n c ia s n e c e sa ria s. L o s c o n tro le s d e sc rito s, p o r e je m p lo , e l re g istro d e
e v e n to s, p u ed e n e sta r e n c o n flic to c o n la le g isla c i n a p lic a b le , ta l co m o la p ro te c c i n a la
p riv a c id a d d e lo s c lie n te s o la d e lo s lu g a re s d e tra b a jo .
L o s c o n tro le s se d e b e ra n se le c c io n a r e n b a se a lo s c o sto s d e im p le m e n ta c i n e n re la c i n
a l rie sg o q u e se v a a re d u c ir y la s p rd id a s p o te n c ia le s si o cu rre u n a v io la c i n d e la
se g u rid a d . T a m b i n se d e b e ra n to m a r e n c u e n ta lo s fa c to re s n o m o n e ta rio s ta le s co m o la
p rd id a d e re p u ta c i n .
A lg u n o s d e lo s c o n tro le s e n e ste d o c u m e n to se p u ed e n co n sid e ra r c o m o p rin c ip io s g u a s
p a ra la g e sti n d e se g u rid a d d e la in fo rm a c i n y a p lic a b le s a la m a y o ra d e la s
o rg a n iza c io n e s. E llo s e st n e x p lic a d o s e n m s d e ta lle a c o n tin u a c i n c o n e l ttu lo Punto de
partida de la seguridad de la informacin.
Punto de partida de la seguridad de la informacin
S e p u e d e c o n sid e ra r c o m o p rin c ip io g u a c ie rto n m e ro d e co n tro le s q u e p ro v e e n u n b u e n
p u n to d e p a rtid a p a ra la im p le m e n ta c i n d e la se g u rid a d d e la in fo rm a c i n . E llo s e st n
b a sa d o s e n lo s re q u isito s le g isla tiv o s e se n c ia le s o q u e se co n sid e ra n c o m n m en te c o m o la
m e jo r p r c tic a d e se g u rid a d d e la in fo rm a c i n .
L o s c o n tro le s c o n sid e ra d o s c o m o e se n c ia le s e n u n a o rg an iza c i n , d e sd e e l p u n to d e v ista
le g isla tiv o , in c lu y e n :
a ) p ro te c c i n d e lo s d a to s y p riv a c id a d d e la in fo rm a c i n p e rso n a l (v e r 1 2 . 1 . 4 );
b ) sa lv a g u a rd ia d e lo s re g istro s d e la o rg a n iza c i n (v e r 1 2 . 1 . 3 );
c ) d e re c h o s d e p ro p ie d a d in te le c tu a l (v e r 1 2 . 1 . 2 ).
L o s c o n tro le s c o n sid e ra d o s c o m n m e n te c o m o la m e jo r p r c tic a d e se g u rid a d d e la
in fo rm a c i n , in c lu y en :
a ) d o c u m en ta c i n d e la p o ltic a d e seg u rid a d d e la in fo rm a c i n (v e r 3 . 1 );
b ) a sig n a c i n d e re sp o n sa b ilid ad e s e n la se g u rid a d d e la in fo rm a c i n (v e r 4 . 1 . 3 );
N C h 2 7 7 7
5
c ) e d u c a c i n y e n tre n a m ie n to e n la se g u rid a d d e la in fo rm a c i n (v e r 6 . 2 . 1 );
d ) in fo rm e s d e in c id e n te s e n la se g u rid ad (v e r 6 . 3 . 1 );
e ) g e sti n d e c o n tin u id a d d e l n eg o c io (v e r 1 1 . 1 ).
E sto s c o n tro le s se a p lic a n en la m a y o ra d e la s o rg a n iza c io n e s y en la m a y o ra d e lo s
a m b ie n te s. S e d e b e ra te n e r p re se n te q u e au n q u e to d o s lo s c o n tro le s e n e ste d o c u m en to
so n im p o rta n te s, la re le v a n c ia d e a lg n c o n tro l se d e b e ra d e te rm in a r e n v ista d e l rie sg o
e sp e c fic o q u e u n a o rg a n iza c i n e st e n fre n ta n d o . D e a q u q u e , a u n q u e e l tra ta m ie n to
a n te rio r se c o n sid e ra u n b u en p u n to d e p a rtid a , e sto n o re e m p la za la se le c c i n d e
c o n tro le s e n b a se a u n a e v a lu a c i n d e l rie sg o .
Factores crticos para el xito
L a e x p e rie n c ia h a m o stra d o q u e lo s sig u ie n te s fa c to re s a m en u d o so n c rtic o s e n la
im p le m e n ta c i n e x ito sa d e la se g u rid a d d e la in fo rm a c i n d e n tro d e u n a o rg a n iza c i n :
a ) p o ltic a , o b je tiv o s y a c tiv id a d e s d e se g u rid a d q u e re fle je n lo s o b je tiv o s d e l n e g o c io ;
b ) u n a a p ro x im a c i n p a ra la im p le m en ta c i n d e la seg u rid a d q u e se a c o n siste n te c o n la
c u ltu ra o rg a n iza c io n a l;
c ) a p o y o v isib le y c o m p ro m iso d e la d ire c c i n ;
d ) b u e n en te n d im ie n to d e lo s re q u isito s d e se g u rid a d , e v a lu a c i n y g e sti n d e l rie sg o ;
e ) d ifu si n e fe c tiv a d e la se g u rid a d p o r to d o s lo s d ire c tiv o s y e m p le a d o s;
f) d istrib u c i n d e la s n o rm a s y d e la g u a d e la p o ltic a d e se g u rid a d d e la in fo rm a c i n a
to d o s lo s e m p le a d o s y p e rso n a l e x te rn o ;
g ) p ro v isi n d e en tre n a m ie n to y e d u c a c i n ad e c u a d a ;
h ) u tiliza c i n d e u n siste m a d e m e d ic i n e q u ilib ra d o y c o m p le to p a ra e v a lu a r e l
c o m p o rta m ie n to d e la g e sti n d e seg u rid a d d e la in fo rm a c i n y la re a lim e n ta c i n d e
su g e re n c ia s p a ra su m e jo ra m ie n to .
Desarrollo de guas propias
E ste c d ig o d e p r c tic a se p u e d e c o n sid e ra r c o m o u n p u n to d e p a rtid a p a ra d e sa rro lla r
u n a g u a e n u n a o rg a n iza c i n e sp e c fic a . N o to d a la g u a y lo s c o n tro le s d e e ste c d ig o
p u e d e n se r a p lic a b le s. P o r lo tan to , p u e d e n se r n e c e sa rio s c o n tro le s a d ic io n a le s n o
in c lu id o s e n e ste d o cu m e n to . C u an d o e sto su c e d a, p u e d e se r til c o n se rv a r re fe re n c ia s
c ru za d a s q u e fa c ilite n la v e rific a c i n d e l c u m p lim ie n to p o r p a rte d e lo s a u d ito re s y so c io s
d e l n e g o c io .
N C h 2 7 7 7
6
1 Alcance y campo de aplicacin
E sta n o rm a e sta b le c e la s re c o m en d a c io n e s p a ra la g e sti n d e se g u rid a d d e in fo rm a c i n
p o r q u ie n e s so n re sp o n sa b le s d e in ic ia r, im p le m e n ta r y m a n te n e r la seg u rid a d e n la
o rg a n iza c i n .
E sta n o rm a e n tre g a u n a b a se c o m n p a ra d e sa rro lla r la s n o rm a s d e se g u rid a d d e la
o rg a n iza c i n y u n a p r c tic a e fe c tiv a d e g e sti n d e se g u rid a d y e sta b le c e r c o n fia n za en la s
re la c io n e s e n tre la s o rg a n iza c io n e s.
L a s re c o m e n d a c io n e s d e e sta n o rm a se d e b e n se le c c io n a r y u sa r d e a c u e rd o c o n la s le y e s
y re g la m e n to s a p lic a b le s.
2 Trminos y definiciones
P a ra lo s p ro p sito s d e e sta n o rm a , se a p lic a n lo s t rm in o s y d e fin ic io n e s sig u ie n te s:
2.1 confidencialidad: a seg u ra m ie n to d e q u e la in fo rm a c i n se a a c c e sib le s lo p o r q u ie n e s
e st n a u to riza d o s p a ra te n e r a c c e so
2.2 disponibilidad: a seg u ra m ie n to d e q u e lo s u su a rio s te n g a n a c c e so a la in fo rm a c i n y
b ie n e s a so c ia d o s c u an d o lo n e c e site n
2.3 evaluacin del riesgo: c u a n tific a c i n d e la s a m e n a za s d e im p a c ta r y v u ln e ra r la
in fo rm a c i n y la s in sta la c io n e s d e p ro c e sa m ie n to d e la in fo rm a c i n y la p ro b a b ilid ad d e
o c u rre n c ia
2.4 gestin del riesgo: p ro c e so d e id e n tific a c i n , c o n tro l y m in im iza c i n o e lim in a c i n d e
lo s rie sg o s d e la se g u rid ad q u e p u e d e n a fe c ta r lo s siste m a s d e in fo rm a c i n , a u n c o sto
a c e p ta b le
2.5 integridad: sa lv a g u a rd ia d e la e x a c titu d y to ta lid a d d e la in fo rm a c i n y d e lo s m to d o s
d e p ro c e sa m ie n to
2.6 seguridad de la informacin: p re se rv a c i n d e la c o n fid e n c ia lid a d , in te g rid a d y
d isp o n ib ilid a d d e la in fo rm a c i n
N C h 2 7 7 7
7
3 Poltica de seguridad
3.1 Poltica de seguridad de la informacin
O b je tiv o : F ija r la o rie n ta c i n y e l a p o y o d e la d ire c c i n a la seg u rid a d d e la in fo rm a c i n .
L a d ire c c i n d e b e ra fija r u n a p o ltic a d e o rie n ta c i n c la ra y d e m o stra r e l a p o y o y e l
c o m p ro m iso co n la se g u rid ad d e la in fo rm a c i n m ed ia n te la p u b lic a c i n y m a n te n im ie n to
d e u n a p o ltic a d e se g u rid a d d e la in fo rm a c i n en to d a la o rg a n iza c i n .
3.1.1 Documentacin de la poltica de seguridad de la informacin
L a d ire c c i n d e b e ra a p ro b a r u n d o c u m e n to d e la p o ltic a d e se g u rid a d , p u b lic a rlo y
c o m u n ic a rlo , c u a n d o se a a p ro p ia d o , a to d o s lo s e m p le a d o s. E sto e sta b le c e ra u n
c o m p ro m iso d e la d ire c c i n y fija ra e l tra ta m ie n to d e la o rg an iza c i n p a ra g e stio n a r la
se g u rid a d d e la in fo rm a c i n . C o m o m n im o , se d e b e ra in c lu ir la g u a sig u ie n te :
a ) u n a d e fin ic i n d e se g u rid a d d e la in fo rm a c i n , su s o b je tiv o s g lo b a le s y a lc a n c e y la
im p o rta n c ia d e la se g u rid ad c o m o u n m e c a n ism o q u e p e rm ita c o m p a rtir la in fo rm a c i n
(v e r in tro d u c c i n );
b ) u n a d e c la ra c i n d e in te n c i n d e la d ire c c i n , c o m o ap o y o a la s m e ta s y p rin c ip io s d e
la se g u rid a d d e la in fo rm a c i n ;
c ) u n a b re v e e x p lic a c i n d e la s p o ltic a s d e se g u rid a d , p rin c ip io s, n o rm a s y re q u isito s d e
c u m p lim ie n to n e c e sa rio s d e p a rtic u la r im p o rta n c ia e n la o rg a n iza c i n , p o r e je m p lo :
c . 1 ) c u m p lim ie n to c o n lo s re q u isito s le g isla tiv o s y c o n tra c tu a le s;
c . 2 ) re q u isito s d e e d u c a c i n e n la se g u rid a d ;
c . 3 ) p re v e n c i n y d e te c c i n d e v iru s y o tro s so ftw a re m a lic io so s;
c . 4 ) g e sti n d e la c o n tin u id a d d e l n eg o c io ;
c . 5 ) c o n se c u e n c ia s d e la s v io la c io n e s a la p o ltic a d e seg u rid a d ;
d ) u n a d e fin ic i n d e la s re sp o n sab ilid a d e s g e n e ra le s y e sp e c fic a s d e g e sti n d e
se g u rid a d d e la in fo rm a c i n , q u e in c lu y a u n in fo rm e d e in c id e n te s e n la se g u rid a d ;
e ) re fe re n c ia s a la d o c u m e n ta c i n q u e p u e d e ap o y a r la p o ltic a , p o r e je m p lo , p o ltic a s d e
se g u rid a d m s d e ta lla d a s y p ro c e d im ie n to s p a ra siste m a s d e in fo rm a c i n e sp e c fic o s o
re g la s d e se g u rid a d q u e d e b ie ra n c u m p lir lo s u su a rio s.
E sta p o ltic a se d e b e ra c o m u n ic a r a lo s u su a rio s d e to d a la o rg a n iza c i n en u n a fo rm a q u e
se a p e rtin e n te , a c c e sib le y e n te n d ib le p o r e l le c to r o b je tiv o .
N C h 2 7 7 7
8
3.1.2 Revisin y evaluacin
L a p o ltic a d e b e ra te n e r u n d u e o e l c u a l e s re sp o n sa b le d e su m a n te n im ie n to y re v isi n
d e a c u e rd o a l p ro c e so d e re v isi n d e fin id o . E ste p ro c e so d eb e ra a se g u ra r q u e se re a liza
u n a re v isi n e n re sp u e sta a cu a lq u ie r c a m b io q u e a fe c te la s b a se s d e la e v a lu a c i n o rig in a l
d e l rie sg o , p o r e je m p lo , in c id en te s sig n ific a tiv o s e n la se g u rid a d , n u e v a s v u ln e ra b ilid a d e s o
c a m b io s en la in fra e stru c tu ra t c n ic a u o rg an iza c io n a l. S e d eb e ra a d e m s te n e r u n
c ro n o g ra m a d e re v isio n e s p e ri d ic a s so b re lo sig u ie n te :
a ) la e fe c tiv id a d d e la p o ltic a , d em o stra d a p o r la n a tu ra le za , n m e ro e im p a c to d e lo s
in c id e n te s re g istra d o s e n la se g u rid ad ;
b ) c o sto e im p a c to d e lo s c o n tro le s e n la e fic ie n c ia d e l n eg o c io ;
c ) e fe c to s d e lo s c a m b io s d e te c n o lo g a .
4 Seguridad organizacional
4.1 Infraestructura de la seguridad de la informacin
O b je tiv o : G e stio n a r la se g u rid a d d e la in fo rm a c i n d e n tro d e la o rg a n iza c i n .
S e d e b e ra e sta b le c e r u n m a rc o d e g e sti n p a ra in ic ia r y c o n tro la r la im p le m e n ta c i n d e
la se g u rid a d d e la in fo rm a c i n d e n tro d e la o rg a n iza c i n .
S e d e b e ra c o n stitu ir u n co m it a d e c u ad o c o n ld e re s d e la d ire c c i n p a ra a p ro b a r la
p o ltic a d e seg u rid a d d e la in fo rm a c i n , a sig n a r ro le s d e se g u rid a d y c o o rd in a r la
im p le m e n ta c i n d e la se g u rid a d e n to d a la o rg a n iza c i n . S i e s n e c e sa rio , se d e b e ra n
o b te n e r c o n se jo s d e e sp e c ia lista s e n se g u rid a d d e la in fo rm a c i n q u e e st n d isp o n ib le s
d e n tro d e la o rg an iza c i n .
S e d e b e ra n d e sa rro lla r c o n ta c to s c o n e sp e c ia lista s e x te rn o s e n seg u rid a d p a ra e sta r a l
ta n to d e la s te n d e n c ia s in d u stria le s, n o rm a s d e m o n ito re o y m to d o s d e e v a lu a c i n y
p ro v e e r p u n to s d e en la c e a p ro p ia d o s c u an d o se tra te n lo s in c id e n te s d e la se g u rid a d . S e
d e b e ra e stim u la r u n a a p ro x im a c i n m u lti d isc ip lin a ria a la se g u rid ad d e la in fo rm a c i n , p o r
e je m p lo , in v o lu c ra r la c o o p e ra c i n y c o la b o ra c i n d e lo s d ire c tiv o s, u su a rio s,
a d m in istra d o re s, d ise a d o re s d e a p lic a c i n , a u d ito re s, p e rso n a l d e se g u rid a d y
e sp e c ia lista s c o n e x p e rie n c ia e n re a s ta le s c o m o g e sti n d e se g u ro s y rie sg o s.
4.1.1 Comit de gestin de seguridad de la informacin
L a se g u rid a d d e la in fo rm a c i n e s u n a re sp o n sa b ilid ad d e l n e g o c io , c o m p a rtid a p o r to d o s
lo s m ie m b ro s d e l e q u ip o d e la d ire c c i n . P o r lo ta n to se d e b e ra c o n sid e ra r u n c o m it d e la
d ire c c i n p a ra a se g u ra r q u e h a y a u n a o rie n ta c i n c la ra y u n a p o y o d e la d ire c c i n , v isib le
p a ra la s in ic ia tiv a s d e se g u rid a d .
N C h 2 7 7 7
9
E ste c o m it d e b e ra p ro m o v e r la seg u rid a d d e n tro d e la o rg a n iza c i n a tra v s d e
c o m p ro m iso s a p ro p ia d o s y re c u rso s a d e c u a d o s. E l c o m it p u e d e se r p a rte d e u n g ru p o
e x iste n te d e la d ire c c i n . T p ic a m e n te , ta l c o m it lle v a a c a b o lo sig u ie n te :
a ) re v isi n y ap ro b a c i n d e la p o ltic a d e se g u rid ad d e la in fo rm a c i n y d e la s
re sp o n sa b ilid ad e s g en e ra le s;
b ) m o n ito re o d e lo s c a m b io s sig n ific a tiv o s e n la e x p o sic i n d e lo s b ie n e s d e in fo rm a c i n
a a m e n a za s m a y o re s;
c ) re v isi n y m o n ito re o d e lo s in c id e n te s d e seg u rid a d d e la in fo rm a c i n ;
d ) a p ro b a c i n d e in ic ia tiv a s im p o rta n te s p a ra m e jo ra r la se g u rid a d d e la in fo rm a c i n .
U n d ire c tiv o d e b e ra se r re sp o n sa b le d e to d a s la s a c tiv id a d e s re la c io n a d a s c o n la
se g u rid a d .
4.1.2 Coordinacin de la seguridad de la informacin
E n u n a o rg a n iza c i n g ra n d e p u ed e se r n e c e sa rio u n co m it d e re p re se n ta n te s d e la
d ire c c i n c o n fu n c io n e s tra n sv e rsa le s, d e p a rte s im p o rta n te s d e la o rg an iza c i n , p a ra
c o o rd in a r la im p le m e n ta c i n d e lo s c o n tro le s d e la se g u rid a d d e la in fo rm a c i n .
T p ic a m e n te , ta l c o m it :
a ) a c u e rd a ro le s y re sp o n sa b ilid ad e s e sp e c fic o s p a ra la se g u rid a d d e la in fo rm a c i n e n
to d a la o rg a n iza c i n ;
b ) a c u e rd a m e to d o lo g a s y p ro c e so s e sp e c fic o s p a ra la se g u rid a d d e la in fo rm a c i n , p o r
e je m p lo , e v a lu a c i n d e l rie sg o , siste m a d e c la sific a c i n d e la se g u rid a d ;
c ) a c u e rd a y a p o y a la s in ic ia tiv a s d e se g u rid ad d e la in fo rm a c i n en to d a la o rg a n iza c i n ,
p o r e je m p lo , u n p ro g ra m a d e sen sib iliza c i n so b re seg u rid a d ;
d ) g a ra n tiza q u e la seg u rid a d se a p a rte d e l p ro c e so d e p lan ific a c i n d e la in fo rm a c i n ;
e ) e v a l a la a d e c u a c i n d e lo s c o n tro le s d e se g u rid ad d e u n a in fo rm a c i n e sp e c fic a , y
c o o rd in a la im p le m e n ta c i n p a ra lo s n u e v o s siste m a s o se rv ic io s;
f) re v isa lo s in c id e n te s d e seg u rid a d d e la in fo rm a c i n ;
g ) p ro m u e v e la v isib ilid a d d e l a p o y o d e l n e g o c io a la se g u rid a d d e la in fo rm a c i n e n to d a
la o rg a n iza c i n .
4.1.3 Asignacin de responsabilidades en la seguridad de la informacin
D e b e ra n e sta r c la ra m e n te d e fin id a s la s re sp o n sa b ilid a d e s p a ra la p ro te c c i n d e b ie n e s
in d iv id u a le s y p a ra lle v a r a c a b o p ro c e so s d e se g u rid ad e sp e c fic o s.
N C h 2 7 7 7
1 0
L a p o ltic a d e seg u rid a d d e la in fo rm a c i n (v e r c l u su la 3 ) d eb e ra e n tre g a r u n a g u a
g e n e ra l e n la a sig n a c i n d e re sp o n sa b ilid ad e s e n la o rg a n iza c i n . E sto se d eb e ra
c o m p le m e n ta r, c u a n d o se a n e c e sa rio , c o n u n a g u a m s d e ta lla d a d e sitio s, sistem a s o
se rv ic io s e sp e c fic o s. D e b e ra n e sta r c la ra m e n te d e fin id a s la s re sp o n sa b ilid a d e s lo c a le s
p a ra lo s b ien e s fsic o s in d iv id u a le s y d e in fo rm a c i n , a s co m o lo s p ro c e so s d e se g u rid ad ,
ta le s c o m o la p la n ific a c i n d e la c o n tin u id a d d e l n eg o c io .
E n m u c h a s o rg a n iza c io n e s se d e sig n a r u n en c a rg a d o d e se g u rid a d d e la in fo rm a c i n ,
q u ie n to m a r to d a la re sp o n sa b ilid ad p a ra e l d e sa rro llo e im p le m e n ta c i n d e la se g u rid a d y
p a ra a p o y a r e n la id e n tific a c i n d e lo s c o n tro le s.
S in e m b a rg o , la re sp o n sa b ilid a d p o r lo s re c u rso s y la im p le m e n ta c i n d e lo s c o n tro le s a
m e n u d o p e rm a n e c e e n lo s d ire c tiv o s in d iv id u a le s. U n a p r c tic a h a b itu a l e s d e sig n a r u n
d u e o p a ra c a d a b ie n d e in fo rm a c i n q u ie n se h a c e re sp o n sa b le d e su se g u rid a d e n e l
d a a d a .
L o s d u e o s d e lo s b ie n e s d e in fo rm a c i n p u e d e n d e le g a r su s re sp o n sa b ilid a d e s d e
se g u rid a d a lo s d ire c tiv o s in d iv id u a le s o p ro v e e d o re s d e se rv ic io . S in e m b a rg o , e l d u e o
p e rm a n e c e c o m o ltim o re sp o n sa b le d e la se g u rid a d d e l b ie n y d e b e ra se r c a p a z d e
d e te rm in a r q u e la re sp o n sa b ilid a d d e le g a d a se h a e n c a rg a d o c o rre c ta m e n te .
E s e se n c ia l q u e la s re a s d e la s c u a le s c a d a d ire c tiv o e s re sp o n sa b le e st n c la ra m e n te
e sta b le c id a s; e n p a rtic u la r d e b e ra o c u rrir lo sig u ie n te :
a ) S e d e b e ra n id e n tific a r y d e fin ir c la ra m e n te lo s d iv e rso s b ie n e s y lo s p ro c e so s d e
se g u rid a d a so c ia d o s c o n c a d a siste m a in d iv id u a l.
b ) E l d ire c tiv o re sp o n sa b le d e c a d a b ie n o p ro c e so d e se g u rid a d d e b e ra e sta r d e
a c u e rd o y d e b e ra d o c u m e n ta r lo s d e ta lle s d e e sta re sp o n sa b ilid a d .
c ) L o s n iv e le s d e a u to riza c i n se d e b e ra n d e fin ir c la ra m e n te y d o c u m e n ta r.
4.1.4 Procesos de autorizacin para las instalaciones de procesamiento de informacin
S e d e b e ra e sta b le c e r u n a g e sti n d e l p ro c e so d e au to riza c i n p a ra la s in sta la c io n e s d e
p ro c e sa m ie n to d e in fo rm a c i n n u e v a s.
S e d e b e ra n c o n sid e ra r lo s c o n tro le s sig u ie n te s:
a ) L a s in sta la c io n e s n u e v a s d e b e ra n te n e r u n a a p ro p ia d a a p ro b a c i n d e la d ire c c i n
u su a ria , a u to riza c i n d e su p ro p sito y u so . S e d eb e ra o b te n e r a d em s la a p ro b a c i n
d e l d ire c tiv o re sp o n sa b le d e l m a n ten im ie n to d e l am b ie n te d e se g u rid a d d e l siste m a d e
in fo rm a c i n lo c a l, p a ra a se g u ra r q u e se c u m p la n to d o s lo s re q u isito s y p o ltic a s
im p o rta n te s d e seg u rid a d .
b ) C u a n d o se a n e c e sa rio , se d e b e ra re v isa r e l h a rd w a re y so ftw a re p a ra a se g u ra r q u e
se a n c o m p a tib le s c o n o tro s c o m p o n e n te s d e l sistem a .
N O T A - P a ra c ie rta s c o n e x io n e s p u e d e se r re q u e rid a u n a a p ro b a c i n tip o .
N C h 2 7 7 7
1 1
c ) E l u so d e in sta la c io n e s d e p ro c e sa m ie n to d e la in fo rm a c i n p e rso n a l p a ra e l
p ro c e sa m ie n to d e la in fo rm a c i n d e l n e g o c io y c u a lq u ie r c o n tro l n e c e sa rio d eb e ra se r
a u to riza d o .
d ) E l u so d e in sta la c io n e s d e p ro c e sa m ie n to d e la in fo rm a c i n p e rso n a l e n lo s lu g a re s d e
tra b a jo p u ed e c a u sa r n u e v a s v u ln e ra b ilid a d e s y p o r lo tan to d e b e ra n se r e v a lu a d a s y
a u to riza d a s.
E sto s c o n tro le s so n e sp e c ia lm e n te im p o rta n te s e n u n a m b ien te d e re d .
4.1.5 Consejo de un especialista en seguridad de la informacin
P ro b a b le m e n te e n m u c h a s o rg a n iza c io n e s se a n e c e sa rio e l c o n se jo d e u n e sp e c ia lista e n
se g u rid a d . I d e a lm e n te , ste lo d e b e ra d a r u n a se so r in te rn o e x p e rim e n ta d o e n se g u rid a d .
N o to d a s la s o rg a n iza c io n e s p u ed e n e m p le a r a u n a se so r e sp e c ia lista , e n ta le s c a so s, se
re c o m ie n d a q u e u n a p e rso n a e sp e c fic a c o n e x p e rie n c ia y co n o c im ien to s c o o rd in e
in te rn a m e n te , p a ra a se g u ra r la c o n siste n c ia , y p ro v e e r a y u d a e n la to m a d e d e c isio n e s
re la c io n a d a s c o n la se g u rid a d . E llo s d e b e ra n ta m b i n te n e r a c c e so a p ro p ia d o a la s
o p in io n e s d e lo s e sp e c ia lista s a se so re s e x te rn o s, ad e m s d e su e x p e rie n c ia .
L o s a se so re s d e se g u rid a d d e la in fo rm a c i n o la s p e rso n a s e q u iv a le n te s d e c o n ta c to
d e b e ra n te n e r la m isi n d e p ro v e e r c o n se jo s e n to d o s lo s a sp e c to s d e la se g u rid a d d e la
in fo rm a c i n , u sa n d o su p ro p ia o p in i n o la e x te rn a . L a c a lid a d d e su e v a lu a c i n d e la s
a m e n a za s a la se g u rid a d y c o n se jo so b re lo s c o n tro le s d e te rm in a r la e fe c tiv id a d d e la
se g u rid a d d e la in fo rm a c i n d e la o rg a n iza c i n . P a ra u n a m x im a e fe c tiv id a d e im p a c to , a
e llo s se le s d e b e ra p e rm itir e l a c c e so d ire c to a la g e sti n d e to d a la o rg a n iza c i n .
E l a se so r d e se g u rid a d d e la in fo rm a c i n o la p e rso n a d e c o n ta c to d e b e ra n se r
c o n su lta d o s en la e ta p a m s te m p ra n a p o sib le a c o n tin u a c i n d e u n a so sp e ch a d e
in c id e n te o v io la c i n d e la se g u rid a d , p a ra p ro v e e r u n a g u a e x p e rta o re c u rso s d e
in v e stig a c i n . A u n q u e la m a y o ra d e la s in v e stig a c io n e s in te rn a s d e se g u rid a d se
re a liza r n n o rm a lm e n te b a jo e l co n tro l d e la d ire c c i n , se p u ed e lla m a r a l c o n su lto r d e
se g u rid a d d e in fo rm a c i n p a ra o p in a r, g u ia r o c o n d u c ir la in v e stig a c i n .
4.1.6 Cooperacin entre organizaciones
S e d e b e ra n m a n te n e r lo s c o n ta c to s a p ro p ia d o s co n la s a u to rid ad e s e n c a rg a d a s d e la
a p lic a c i n d e la s le y e s, c u e rp o s re g u la to rio s, p ro v e e d o re s d e se rv ic io s d e in fo rm a c i n y
o p e ra d o re s d e te le c o m u n ic a c io n e s, p a ra a se g u ra r q u e e n e l e v e n to d e u n in c id e n te d e
se g u rid a d se to m e n r p id am e n te la s a c c io n e s a p ro p ia d a s, y se o b ten g a u n co n se jo .
S im ila rm e n te , se d e b e ra n co n sid e ra r lo s m ie m b ro s d e lo s g ru p o s d e se g u rid a d y d e lo s
c o m it s d e la in d u stria .
L o s in te rc a m b io s d e in fo rm a c i n d e se g u rid a d se d e b e ra n re strin g ir p a ra a se g u ra r q u e la
in fo rm a c i n c o n fid en c ia l d e la o rg a n iza c i n n o se a e n tre g a d a a p e rso n a s n o au to riza d a s.
N C h 2 7 7 7
1 2
4.1.7 Revisin independiente de la seguridad de la informacin
L o s d o c u m e n to s d e la p o ltic a (v e r 3 . 1 ) d e se g u rid ad d e la in fo rm a c i n , fija n la p o ltic a y
la s re sp o n sab ilid a d e s d e la se g u rid a d d e in fo rm a c i n . S u im p le m e n ta c i n se d e b e ra
re v isa r in d e p e n d ie n te m e n te p a ra d a r la g a ra n ta d e q u e la s p r c tic a s d e la o rg a n iza c i n
re fle ja n a p ro p ia d a m e n te la p o ltic a , y q u e sta e s fa c tib le y e fe c tiv a (v e r 1 2 . 2 ).
T a l re v isi n la p u e d e re a liza r u n a u d ito r in te rn o , u n d ire c tiv o in d ep e n d ie n te o u n a
o rg a n iza c i n d e te rc e ra p a rte , e sp e c ia liza d a e n ta le s re v isio n e s, c u an d o e sto s c a n d id a to s
te n g a n la h a b ilid a d y e x p e rie n c ia a p ro p ia d a .
4.2 Seguridad del acceso de una tercera parte
O b je tiv o : M a n te n e r la se g u rid a d d e la s in sta la c io n e s d e p ro c e sa m ie n to d e in fo rm a c i n
o rg a n iza c io n a l y d e lo s b ie n e s d e in fo rm a c i n a c c e sa d o s p o r te rc e ra s p a rte s.
S e d e b e ra c o n tro la r e l a c c e so d e te rc e ra s p a rte s a la s in sta la c io n e s d e p ro c e sa m ie n to d e
in fo rm a c i n d e la o rg a n iza c i n .
C u a n d o e x ista u n a n e c e sid a d d e l n e g o c io p a ra e l a c c e so d e u n a te rc e ra p a rte , se d eb e ra
re a liza r u n a e v a lu a c i n d e l rie sg o p a ra d e te rm in a r la s im p lic a n c ia s e n la se g u rid a d y lo s
re q u isito s d e c o n tro l. Lo s c o n tro le s se d e b e ra n a c o rd a r y d e fin ir en u n c o n tra to c o n la
te rc e ra p a rte .
E l a c c e so d e la te rc e ra p a rte ta m b i n p u e d e in v o lu c ra r a o tro s p a rtic ip a n te s. L o s c o n tra to s
q u e o to rg a n a c c e so s d e te rc e ra s p a rte s d e b e ra n in c lu ir e l p e rm iso p a ra d e sig n a r a o tro s
p a rtic ip a n te s e le g ib le s y la s c o n d ic io n e s p a ra su a c c e so .
E sta n o rm a se p o d ra u sa r c o m o b a se p a ra ta le s c o n tra to s y c u a n d o se c o n sid e re la
e x te rn a liza c i n d e l p ro c e sa m ie n to d e la in fo rm a c i n .
4.2.1 Identificacin de los riesgos del acceso de una tercera parte
4.2.1.1 Tipos de acceso
E l tip o d e a c c e so d a d o a u n a te rc e ra p a rte e s d e e sp e c ia l im p o rta n c ia . P o r e je m p lo , lo s
rie sg o s d e a c c e so a tra v s d e u n a c o n e x i n d e re d so n d ife re n te s d e lo s rie sg o s q u e
re su lta n d e u n a c c e so fsic o . L o s tip o s d e a c c e so q u e se d e b e ra n c o n sid e ra r so n :
a ) a c c e so fsic o , p o r e je m p lo , a la s o fic in a s, sa la s d e c o m p u ta d o re s, g a b in e te s d e
a rc h iv o s;
b ) a c c e so l g ic o , p o r e je m p lo a u n a b a se d e d a to s, a lo s siste m a s d e in fo rm a c i n d e u n a
o rg a n iza c i n .
N C h 2 7 7 7
1 3
4.2.1.2 Razones para el acceso
A la s te rc e ra s p a rte s se le s p u e d e co n c e d e r a c c e so p o r v a ria s ra zo n e s. P o r e je m p lo , e x iste
u n a te rc e ra p a rte q u e p ro v e e se rv ic io s p a ra u n a o rg a n iza c i n y n o e st u b ic ad a e n e l sitio ,
a e llo s se le s p u e d e d a r a c c e so l g ic o y fsic o , ta le s c o m o :
a ) p e rso n a l d e a p o y o d e so ftw a re y h a rd w a re , q u ie n n e c e sita a c c e so a n iv e l d e sistem a
o a b a jo n iv e l d e fu n c io n a lid ad d e la a p lic a c i n ;
b ) a lo s so c io s d e l n e g o c io o jo in t v en tu re s, q u ie n e s p u e d e n in te rc a m b ia r in fo rm a c i n ,
a c c e d e r a lo s siste m a s d e in fo rm a c i n o co m p a rtir b a se s d e d a to s.
L a in fo rm a c i n se p u e d e p o n e r en rie sg o d e b id o a l a c c e so d e te rc e ra s p a rte s, p o r u n a
in a d e c u a d a g e sti n d e seg u rid a d . C u a n d o h a y u n a n e c e sid a d d e l n e g o c io p a ra c o n e c ta r u n
sitio d e u n a te rc e ra p a rte , se d e b e ra re a liza r u n a e v a lu a c i n d e l rie sg o p a ra id e n tific a r
c u a lq u ie r re q u isito d e c o n tro l e sp e c fic o . S e d eb e ra to m a r e n c u e n ta e l tip o d e a c c e so
re q u e rid o , e l v a lo r d e la in fo rm a c i n , lo s c o n tro le s e m p le a d o s p o r la te rc e ra p a rte y la s
im p lic a n c ia s d e e ste a c c e so a la se g u rid a d d e la in fo rm a c i n d e la o rg a n iza c i n .
4.2.1.3 Personal externo en el sitio
L a s te rc e ra s p a rte s q u e e st n u b ic a d a s e n e l sitio p o r u n p e ro d o d e tie m p o d e fin id o en
su s c o n tra to s, ta m b in p u e d e n d a r o rig en a u n a d eb ilid a d d e la seg u rid a d . L o s e je m p lo s d e
te rc e ra s p a rte s e n e l sitio in c lu y e n :
a ) p e rso n a l d e a p o y o y m a n ten im ie n to d e h a rd w a re y so ftw a re ;
b ) se rv ic io s d e a se o , d e a lim e n ta c i n , g u a rd ia s d e se g u rid ad y o tro s se rv ic io s d e a p o y o
e x te rn a liza d o s;
c ) e m p le o d e e stu d ia n te s y o tro s e m p le o s o c a sio n a le s d e c o rto tie m p o ;
d ) c o n su lto re s.
E s e se n c ia l e n te n d e r q u e lo s c o n tro le s so n n e c e sa rio s p a ra a d m in istra r e l a c c e so d e la
te rc e ra p a rte a la s in sta la c io n e s d e p ro c e sa m ie n to d e in fo rm a c i n . G en e ra lm e n te , to d o s
lo s re q u isito s d e se g u rid a d o c o n tro le s in te rn o s q u e re su ltan d e l a c c e so d e la te rc e ra p a rte
se d e b e ra n re fle ja r e n e l c o n tra to d e e sta te rc e ra p a rte (v e r 4 . 2 . 2 ). P o r e je m p lo , si h a y
u n a n e c e sid ad e sp e c ia l d e c o n fid e n c ia lid a d d e la in fo rm a c i n , se p u e d e u sa r u n a c u e rd o
d e n o d iv u lg a c i n (v e r 6 . 1 . 3 ).
E l a c c e so p o r te rc e ra s p a rte s a la in fo rm a c i n y a la s in sta la c io n e s d e p ro c e sa m ie n to d e
in fo rm a c i n , n o se d e b e ra a u to riza r h a sta q u e se h a y an im p le m e n ta d o lo s c o n tro le s
a p ro p ia d o s y se h a y a firm ad o u n c o n tra to d e fin ie n d o lo s t rm in o s d e la c o n e x i n o
a c c e so .
N C h 2 7 7 7
1 4
4.2.2 Requisitos de seguridad en los contratos con terceras partes
L o s c o n v e n io s q u e in v o lu c ra n e l a c c e so d e u n a te rc e ra p a rte a la s in sta la c io n e s d e
p ro c e sa m ie n to d e la in fo rm a c i n o rg a n iza c io n a l, d eb e ra n e sta r b a sa d o s e n u n c o n tra to
fo rm a l q u e c o n ten g a o h ag a re fe re n c ia a to d o s lo s re q u isito s d e se g u rid a d p a ra a se g u ra r e l
c u m p lim ie n to d e la s p o ltic a s y n o rm a s d e se g u rid a d d e la o rg a n iza c i n . E l co n tra to
d e b e ra a se g u ra r q u e n o h a y a m a lo s en te n d id o s e n tre la o rg an iza c i n y la te rc e ra p a rte .
L a s o rg a n iza c io n e s d e b e ra n sa tisfa c e r p o r s m ism a s c m o se r n in d e m n iza d a s p o r su s
p ro v e e d o re s. S e d e b e ra n c o n sid e ra r lo s t rm in o s sig u ie n te s p a ra in c lu irlo s e n e l c o n tra to :
a ) p o ltic a g e n e ra l d e la se g u rid a d d e la in fo rm a c i n ;
b ) p ro te c c i n d e lo s b ie n e s, in c lu y en d o :
b . 1 ) p ro c e d im ie n to s p a ra p ro te g e r lo s b ie n e s d e la o rg a n iza c i n , in c lu y en d o la
in fo rm a c i n y e l so ftw a re ;
b . 2 ) p ro c e d im ie n to s p a ra d e te rm in a r si h a o c u rrid o a lg n c o m p ro m iso en lo s b ie n e s,
p o r e je m p lo , p rd id a o m o d ific a c i n d e lo s d a to s;
b . 3 ) c o n tro le s p a ra a se g u ra r la d e v o lu c i n o d e stru c c i n d e la in fo rm a c i n y b ie n e s a l
fin a l d e l c o n tra to , o d e c o m n a c u e rd o , e n u n a fe ch a d u ra n te la v ig en c ia d e l
m ism o ;
b . 4 ) in te g rid a d y d isp o n ib ilid a d ;
b . 5 ) re stric c io n e s e n e l c o p ia d o y d iv u lg a c i n d e la in fo rm a c i n ;
c ) u n a d e sc rip c i n d e c a d a se rv ic io q u e v a a e sta r d isp o n ib le ;
d ) e l n iv e l p re su p u e sta d o d e l se rv ic io y lo s n iv e le s in a c e p ta b le s;
e ) e stip u la c i n d e tra n sfe re n c ia d e p e rso n a l cu a n d o se a ap ro p ia d o ;
f) la s re sp e c tiv a s o b lig a c io n e s d e las p a rte s en e l a c u e rd o ;
g ) re sp o n sa b ilid ad e s c o n re sp e c to a la s m a te ria s le g a le s, p o r e je m p lo , le g isla c i n d e
p ro te c c i n d e lo s d a to s, e sp e c ia lm e n te to m a n d o e n c u e n ta lo s d ife re n te s siste m a s
le g a le s n a c io n a le s si e l c o n tra to in v o lu c ra la c o o p e ra c i n c o n o rg an iza c io n e s d e o tro s
p a se s (v e r 1 2 . 1 );
h ) d e re c h o s d e p ro p ie d a d in te le c tu a l (D P I s) y a sig n a c i n d e lo s d e re c h o s d e a u to r
(v e r 1 2 . 1 . 2 ) y p ro te c c i n d e cu a lq u ie r tra b a jo co la b o ra tiv o (v e r ta m b in 6 . 1 . 3 );
N C h 2 7 7 7
1 5
i) a c u e rd o s d e c o n tro l d e a c c e so , q u e c u b ra n :
i. 1 ) lo s m to d o s d e a c c e so p e rm itid o s y e l c o n tro l y u so d e id e n tific a d o re s n ic o s
ta le s c o m o u se r I D s y c o n tra se a s;
i. 2 ) u n p ro c e so d e a u to riza c i n p a ra e l a c c e so y p riv ileg io s d e u su a rio ;
i. 3 ) u n re q u isito d e m an te n e r u n a lista d e la s p e rso n a s a u to riza d a s a u sa r lo s se rv ic io s
q u e se h a g a n d isp o n ib le s y cu le s so n su s d e re c h o s y p riv ile g io s c o n re sp e c to a
ta l u so ;
j) la d e fin ic i n d e u n c rite rio v e rific a b le d e c o m p o rta m ie n to , su m o n ito re o e in fo rm e ;
k ) e l d e re c h o p a ra m o n ito re a r y re v o c a r la a c tiv id a d d e l u su a rio ;
l) e l d e re c h o p a ra a u d ita r la s re sp o n sa b ilid a d e s c o n tra c tu a le s o re a liza r e sta s a u d ito ra s
m e d ia n te u n a te rc e ra p a rte ;
m ) e l e sta b le c im ie n to d e u n p ro c e so d e e sc a la m ie n to p a ra la re so lu c i n d e p ro b le m a s;
ta m b i n se d e b e ra n c o n sid e ra r, c u an d o se a a p ro p ia d o d isp o sic io n e s d e c o n tin g e n c ia ;
n ) re sp o n sa b ilid ad e s c o n c e rn ie n te s a la in sta la c i n y m a n te n im ie n to d e h a rd w a re y
so ftw a re ;
o ) u n a c la ra e stru c tu ra d e in fo rm e s y fo rm a to s a c o rd a d o s p o r la s p a rte s;
p ) u n p ro c e so d e g e sti n d e c a m b io c la ro y e sp e c fic o ;
q ) c u a lq u ie r c o n tro l n e c e sa rio d e p ro te c c i n fsic a y lo s m e c a n ism o s p a ra a se g u ra r q u e
e sto s c o n tro le s se cu m p lan ;
r) e n tre n a m ie n to en lo s m to d o s, p ro c e d im ie n to s y se g u rid a d a l u su a rio y a d m in istra d o r;
s) c o n tro le s p a ra a se g u ra r la p ro te c c i n c o n tra so ftw a re m a lic io so s (v e r 8 . 3 );
t) d isp o sic io n e s p a ra in fo rm a r, n o tific a r e in v e stig a r lo s in c id e n te s y la s v io la c io n e s a la
se g u rid a d ;
u ) in v o lu c ra m ie n to d e la te rc e ra p a rte c o n e l p e rso n a l e x te rn o .
4.3 Externalizacin
O b je tiv o : M a n te n e r la se g u rid a d d e la in fo rm a c i n c u an d o la re sp o n sa b ilid a d d e l
p ro c e sa m ie n to d e la in fo rm a c i n se h a y a e x te rn a liza d o a o tra o rg a n iza c i n .
L a s d isp o sic io n e s d e e x te rn a liza c i n d e b e ra n c o n sig n a r e n e l c o n tra to e n tre la s p a rte s lo s
rie sg o s, lo s c o n tro le s d e se g u rid a d y lo s p ro c e d im ie n to s p a ra lo s siste m a s d e in fo rm a c i n ,
a m b ie n te s d e re d e s y /o co m p u ta d o re s p e rso n a le s.
N C h 2 7 7 7
1 6
4.3.1 Requisitos de seguridad en los contratos de externalizacin
L o s re q u isito s d e se g u rid a d d e u n a o rg an iza c i n q u e e x te rn a liza la g e sti n y c o n tro l d e
to d o s o a lg u n o s d e su s siste m a s d e in fo rm a c i n , a m b ie n te s d e re d e s y /o c o m p u ta d o re s
p e rso n a le s se d e b e ra n c o n sig n a r e n u n co n tra to a c o rd a d o e n tre la s p a rte s.
P o r e je m p lo , e l c o n tra to d e b e ra c o n sig n a r:
a ) c m o se v a n a c u m p lir lo s re q u isito s le g a le s, p o r e je m p lo , la le g isla c i n d e p ro te c c i n
d e d a to s;
b ) q u d isp o sic io n e s ten d r n lu g a r p a ra a se g u ra r q u e to d a s la s p a rte s in v o lu c ra d a s en la
e x te rn a liza c i n , in c lu id o s lo s su b c o n tra tista s, e st n c o n sc ie n te s d e su s
re sp o n sa b ilid ad e s e n la se g u rid ad ;
c ) c m o se v a n a m a n ten e r y p ro b a r la in teg rid a d y la c o n fid e n c ia lid a d d e lo s b ie n e s d e l
n e g o c io d e la o rg a n iza c i n ;
d ) q u c o n tro le s fsic o s y l g ic o s se u sa r n c o n lo s u su a rio s a u to riza d o s, p a ra re strin g ir y
lim ita r e l a c c e so a la in fo rm a c i n se n sib le d e l n e g o c io d e la o rg a n iza c i n ;
e ) c m o se v a a m a n te n e r la d isp o n ib ilid a d d e lo s se rv ic io s e n e l e v en to d e u n d e sa stre ;
f) q u n iv e le s d e seg u rid a d fsic a se su m in istra r n p a ra lo s e q u ip o s e x te rn a liza d o s;
g ) e l d e re c h o d e a u d ita r.
L o s t rm in o s in d ic a d o s e n la lista en 4 . 2 . 2 tam b i n se d eb e ra n c o n sid e ra r c o m o p a rte d e
e ste c o n tra to . E l co n tra to d e b e ra p e rm itir q u e lo s re q u isito s d e se g u rid ad y lo s
p ro c e d im ie n to s p u e d a n se r d e sa rro lla d o s e n u n p la n d e g e sti n d e seg u rid a d a se r
a c o rd a d o e n tre la s d o s p a rte s.
A u n q u e lo s c o n tra to s d e e x te rn a liza c i n p u e d e n p la n te a r a lg u n a s p re g u n ta s c o m p le ja s d e
se g u rid a d , lo s c o n tro le s in c lu id o s en e ste c d ig o d e p r c tic a p o d ra n se rv ir c o m o u n p u n to
d e p a rtid a p a ra a c o rd a r la e stru c tu ra y c o n te n id o d e l p la n d e g e sti n d e se g u rid a d .
N C h 2 7 7 7
1 7
5 Clasificacin y control de bienes
5.1 Responsabilidad de los bienes
O b je tiv o : M a n te n e r u n a p ro te c c i n ap ro p ia d a d e lo s b ien e s d e la o rg a n iza c i n .
T o d o s lo s b ien e s d e in fo rm a c i n im p o rta n te s se d eb e ra n c o n tab iliza r y d e b e ra n te n e r
d e sig n a d o u n d u e o .
L a re sp o n sa b ilid ad d e lo s b ie n e s a y u d a a a se g u ra r q u e se m a n te n g a la p ro te c c i n
a p ro p ia d a . S e d e b e ra n id en tific a r lo s d u e o s d e to d o s lo s b ie n e s im p o rta n te s y se d e b e ra
a sig n a r la re sp o n sa b ilid a d d e l m a n te n im ie n to d e lo s c o n tro le s a p ro p iad o s. S e p u e d e
d e le g a r la re sp o n sab ilid a d d e la im p le m e n ta c i n d e lo s c o n tro le s. L a re sp o n sa b ilid a d
d e b e ra p e rm a n e c e r c o n e l d u e o d e sig n ad o d e l b ie n .
5.1.1 Inventario de los bienes
E l in v e n ta rio d e lo s b ien e s a y u d a a a se g u ra r q u e se re a lic e u n a p ro te c c i n e fe c tiv a d e lo s
b ie n e s y tam b i n p u ed e se r n e c e sa rio p a ra o tro s p ro p sito s d e l n e g o c io , ta le s co m o sa lu d
y se g u rid ad , ra zo n e s fin an c ie ra s o d e se g u ro s (g e sti n d e l b ie n ). E l p ro c e so d e re c o p ila r u n
in v e n ta rio d e b ie n e s e s u n a sp e c to im p o rta n te d e g e sti n d e l rie sg o . U n a o rg a n iza c i n
n e c e sita se r c a p a z d e id en tific a r su s b ie n e s y e l v a lo r re la tiv o e im p o rta n c ia d e e llo s.
B a sa d a e n e sta in fo rm a c i n u n a o rg a n iza c i n p u ed e a s p ro v e e r n iv e le s d e p ro te c c i n e n
p ro p o rc i n c o n e l v a lo r e im p o rta n c ia d e lo s b ien e s. S e d e b e ra im p le m e n ta r y m a n ten e r
u n in v e n ta rio d e lo s b ie n e s im p o rta n te s a so c ia d o s c o n c a d a siste m a d e in fo rm a c i n . C a d a
b ie n se d e b e ra id e n tific a r c la ra m e n te , d o c u m e n ta r y a c o rd a r su p ro p ie d a d y su
c la sific a c i n d e se g u rid a d (v e r 5 . 2 ), ju n to co n su a c tu a l u b ic a c i n (im p o rta n te cu a n d o se
in te n ta re c u p e ra r d e u n a p rd id a o d a o ). E je m p lo s d e b ie n e s a so c ia d o s c o n lo s siste m a s
d e in fo rm aci n so n :
a ) b ie n e s d e in fo rm a c i n : b a se s d e d a to s y a rc h iv o s d e d a to s, d o c u m e n ta c i n d e l
siste m a , m an u a le s d e u su a rio , m a te ria l d e e n tre n a m ie n to , p ro c e d im ie n to s d e a p o y o y
o p e ra c i n , p la n e s d e c o n tin u id a d , p la n e s d e re c u p e ra c i n , in fo rm a c i n a rc h iv a d a ;
b ) b ie n e s d e so ftw a re : so ftw a re d e a p lic a c i n , so ftw a re d e siste m a , h e rra m ie n ta s d e
d e sa rro llo y u tilita rio s;
c ) b ie n e s fsic o s: e q u ip o s d e c o m p u ta c i n (p ro c e sa d o re s, m o n ito re s, c o m p u ta d o re s
p o rt tile s, m o d e m s), e q u ip o s d e c o m u n ic a c i n (ru te a d o re s, P A B X s, m q u in a s d e fa x ,
m q u in a s c o n te stad o ra s), m ed io s m a g n tic o s (c in ta s y d isc o s), o tro s e q u ip o s t c n ic o s
(fu e n te s d e a lim e n ta c i n , u n id a d e s d e a ire a c o n d ic io n a d o ), m o b ilia rio ;
d ) se rv ic io s: se rv ic io s d e c o m p u ta c i n y co m u n ic a c io n e s, se rv ic io s p b lic o s e n g e n e ra l,
p o r e je m p lo , c a le fa c c i n , ilu m in a c i n , e n e rg a e l c tric a , a ire a c o n d ic io n a d o .
N C h 2 7 7 7
1 8
5.2 Clasificacin de la informacin
O b je tiv o : A se g u ra r q u e lo s b ie n e s d e in fo rm a c i n re c ib a n u n n iv e l ap ro p ia d o d e
p ro te c c i n .
La in fo rm aci n se d eb era clasificar p ara in d icar la n ecesid ad , p rio rid ad y g rad o d e p ro tecci n .
L a in fo rm a c i n tie n e u n g ra d o d e se n sib ilid a d y c ritic id a d v a ria b le . A lg u n o s te m e s p u e d e n
re q u e rir u n n iv e l ad ic io n a l d e p ro te c c i n o u n a m a n ip u la c i n e sp e c ia l. S e d eb e ra u sa r u n
siste m a d e c la sific a c i n p a ra d e fin ir u n c o n ju n to ap ro p ia d o d e n iv e le s d e p ro te c c i n , y
c o m u n ic a r la n e c e sid a d d e m e d id a s e sp e c ia le s d e m a n ip u la c i n .
5.2.1 Guas para la clasificacin
L a c la sific a c i n y lo s co n tro le s d e p ro te c c i n a so c ia d o s a la in fo rm a c i n , d e b e ra n to m a r
e n c u e n ta la n e c e sid a d d e l n eg o c io d e c o m p a rtir o re strin g ir la in fo rm a c i n , y lo s im p a c to s
d e l n e g o c io a so c ia d o s c o n ta le s n e c e sid a d e s, p o r e je m p lo , a c c e so n o a u to riza d o o d a o a
la in fo rm a c i n . E n g e n e ra l, la c la sific a c i n d ad a a la in fo rm a c i n e s u n a fo rm a re su m id a d e
d e te rm in a r c m o se d e b e m an ip u la r y p ro te g e r e sta in fo rm a c i n .
L a in fo rm a c i n y la s sa lid a s d e lo s siste m a s q u e m an ip u la n lo s d a to s c la sific a d o s se
d e b e ra n e tiq u e ta r e n t rm in o s d e su v a lo r y sen sib ilid a d p a ra la o rg an iza c i n . P u e d e se r
ta m b i n a p ro p ia d o e tiq u e ta r la in fo rm a c i n e n t rm in o s d e c u n c rtic a e s p a ra la
o rg a n iza c i n , p o r e je m p lo , e n t rm in o s d e su in te g rid a d y d isp o n ib ilid a d .
L a in fo rm a c i n a m e n u d o d e ja d e se r se n sib le o c rtic a d e sp u s d e c ie rto p e ro d o d e
tie m p o , p o r e je m p lo , c u a n d o la in fo rm a c i n se h a h e c h o p b lic a . E sto s a sp e c to s se
d e b e ra n to m a r en c u en ta , y a q u e u n a so b re -c la sific a c i n p u ed e lle v a r a u n g a sto a d ic io n a l
in n e c e sa rio d e l n eg o c io . L a s g u a s d e c la sific a c i n d e b e ra n an tic ip a r y p e rm itir e l h e c h o
q u e la c la sific a c i n d e c u a lq u ie r te m d a d o d e la in fo rm a c i n n o e s n e c e sa ria m e n te fija
d u ra n te to d o e l tie m p o , y p u e d e c a m b ia r d e a c u e rd o c o n a lg u n a p o ltic a p re d e te rm in a d a
(v e r 9 . 1 ).
S e d e b e ra d a r c ie rta c o n sid e ra c i n a l n m e ro d e c a te g o ra s d e c la sific a c i n y a lo s
b e n e fic io s q u e se g a n a n c o n su u so . E sq u e m a s d e m a sia d o c o m p le jo s p u e d e n lle g a r a se r
e n g o rro so s y n o e c o n m ic o s p a ra su u so o se r p o c o p r c tic o s. S e d e b e ra te n e r c u id ad o
e n in te rp re ta r la s e tiq u e ta s d e c la sific a c i n e n lo s d o cu m e n to s d e o tra s o rg a n iza c io n e s
q u e p u e d e n te n e r d ife re n te s d e fin ic io n e s p a ra la m ism a e tiq u e ta o a lg u n a s d e n o m in ad a s
sim ila rm e n te .
L a re sp o n sa b ilid ad p a ra d e fin ir la c la sific a c i n d e u n te m d e in fo rm a c i n , p o r e je m p lo ,
p a ra u n d o c u m e n to , re g istro d e d a to , a rc h iv o d e d a to s o d isk e tte , y p a ra la re v isi n
p e ri d ic a d e e sa c la sific a c i n , d e b e ra p e rm a n e c e r c o n e l c re a d o r o d u e o n o m in ad o d e la
in fo rm a c i n .
N C h 2 7 7 7
1 9
5.2.2 Etiquetado y manipulacin de la informacin
E s im p o rta n te q u e se d e fin a u n c o n ju n to a p ro p ia d o d e p ro c e d im ie n to s p a ra e l e tiq u e ta d o y
la m a n ip u la c i n d e la in fo rm a c i n , d e a c u e rd o c o n e l e sq u e m a d e c la sific a c i n a d o p ta d o
p o r la o rg a n iza c i n . E sto s p ro c e d im ie n to s n e c e sita n c u b rir lo s b ie n e s d e in fo rm a c i n e n
fo rm a to s fsico s y e le c tr n ic o s. P a ra c a d a c la sific a c i n , se d eb e ra d e fin ir lo s
p ro c e d im ie n to s d e m a n ip u la c i n p a ra c u b rir lo s sig u ie n te s tip o s d e a c tiv id a d d e
p ro c e sa m ie n to d e la in fo rm a c i n :
a ) c o p ia d o ;
b ) a lm a c e n a m ie n to ;
c ) tra n sm isi n p o r c o rre o tra d ic io n a l, fa x y c o rre o e le c tr n ic o ;
d ) tra n sm isi n d e v o z, in c lu y e n d o te l fo n o m v il, c o rre o d e v o z y m q u in a s
c o n te sta d o ra s;
e ) d e stru c c i n .
L a sa lid a d e lo s siste m a s q u e c o n tien e n in fo rm a c i n q u e e st c la sific a d a c o m o sen sib le o
c rtic a d e b e ra te n e r u n a e tiq u e ta ap ro p ia d a d e c la sific a c i n (en la sa lid a ). L a e tiq u e ta
d e b e ra re fle ja r la c la sific a c i n d e a c u e rd o a la s re g la s e stab le c id a s e n 5 . 2 . 1 . L o s te m e s a
c o n sid e ra r in c lu y e n lo s in fo rm e s im p re so s, p a n ta lla s d e c o m p u ta d o r, m e d io s m a g n tic o s
(c in ta s, d isc o s, C D s, c a sse tte s), m e n sa je s e le c tr n ic o s y tra n sfe re n c ia s d e a rc h iv o s.
L a s e tiq u e ta s fsic a s so n g e n e ra lm e n te la s fo rm a s m s a p ro p ia d a s d e e tiq u e ta r. S in
e m b a rg o , a lg u n o s b ie n e s d e in fo rm a c i n , ta le s c o m o d o cu m e n to s en fo rm a e le c tr n ic a ,
n o se p u ed e n e tiq u e ta r fsic a m e n te y se d eb e n u sa r d isp o sitiv o s d e e tiq u e ta d o e le c tr n ic o .
6 Seguridad del personal
6.1 Seguridad en la definicin del trabajo y recursos
O b je tiv o : R e d u c ir lo s rie sg o s d e e rro r h u m an o , ro b o s, fra u d e s o m a l u so d e la s
in sta la c io n e s.
L a s re sp o n sab ilid a d e s d e se g u rid a d se d e b e ra n a sig n a r e n la e ta p a d e c o n tra ta c i n d e l
p e rso n a l, in c lu irla s e n lo s c o n tra to s, y m o n ito re a rla s d u ra n te e l e m p le o d e la p e rso n a .
L o s p o te n c ia le s p o stu la n te s se d eb e ra n se le c c io n a r a d e c u a d a m en te (v e r 6 . 1 . 2 ),
e sp e c ia lm e n te p a ra tra b a jo s sen sib le s. T o d o s lo s e m p le a d o s y lo s u su a rio s d e te rc e ra s
p a rte s d e lo s e q u ip o s d e p ro c e sa m ie n to d e la in fo rm a c i n , d e b e ra n firm a r u n a c u e rd o d e
c o n fid e n c ia lid a d (n o d iv u lg a c i n ).
N C h 2 7 7 7
2 0
6.1.1 Incorporacin de la seguridad en las responsabilidades del trabajo
L o s ro le s d e se g u rid a d y re sp o n sa b ilid a d , c o m o se e sta b le c e n en la p o ltic a d e seg u rid a d
d e la in fo rm a c i n d e la o rg an iza c i n (v e r 3 . 1 ), se d e b e ra n d o c u m en ta r c u a n d o se a
a p ro p ia d o . E llo s d e b e ra n in c lu ir c u a lq u ie r re sp o n sa b ilid a d g e n e ra l p a ra im p le m e n ta r o
m a n te n e r la p o ltic a d e se g u rid a d co m o ta m b in c u a lq u ie r re sp o n sa b ilid a d e sp e c fic a p a ra
la p ro te c c i n d e lo s b ie n e s p a rtic u la re s, o p o r la e je c u c i n d e a c tiv id a d e s o p ro c e so s d e
se g u rid a d p a rtic u la re s.
6.1.2 Seleccin y poltica de personal
S e d e b e ra n re a liza r v e rific a c io n e s a l p e rso n a l p e rm a n e n te a l m o m e n to d e la co n tra ta c i n .
E sto d e b e ra in c lu ir lo s c o n tro le s sig u ie n te s:
a ) d isp o n ib ilid a d d e re fe re n c ia s sa tisfa c to ria s, p o r e je m p lo , u n a co m e rc ia l y u n a p e rso n a l;
b ) u n a v e rific a c i n (d e la to ta lid a d y e x a c titu d ) d e l cu rrc u lo v ita e d e l p o stu la n te ;
c ) c o n firm a c i n d e la s c a lific a c io n e s p ro fe sio n a le s y a c a d m ic a s e x ig id a s;
d ) v e rific a c i n d e id e n tid ad (p a sa p o rte , c d u la d e id e n tid a d o d o c u m e n to sim ila r).
C u a n d o u n tra b a jo , y a se a e n u n a d e sig n a c i n in ic ia l o en u n a p ro m o c i n , in v o lu c ra a u n a
p e rso n a q u e tie n e a c c e so a lo s e q u ip o s d e p ro c e sa m ie n to d e la in fo rm a c i n , y e n
p a rtic u la r si h a y u n a m a n ip u la c i n d e in fo rm a c i n sen sib le , p o r e je m p lo , in fo rm a c i n
fin a n c ie ra o a lta m e n te c o n fid e n c ia l, la o rg a n iza c i n d e b e ra re a liza r u n a re v isi n d e lo s
a n te c e d e n te s fin a n c ie ro s. P a ra e l p e rso n a l q u e e s a u to rid a d im p o rta n te, e sta re v isi n se
d e b e ra re p e tir p e ri d ic a m e n te .
S e d e b e ra re a liza r u n p ro c e so d e se le c c i n sim ila r p a ra e l p e rso n a l te m p o ra l y e x te rn o .
C u a n d o e ste p e rso n a l e s e m p le a d o a tra v s d e u n a ag e n c ia , e l c o n tra to c o n la ag e n c ia
d e b e ra e sp e c ific a r c la ra m e n te la s re sp o n sa b ilid a d e s d e e lla e n lo s p ro c e d im ien to s d e
se le c c i n y n o tific a c i n , q u e n e c e sita n seg u ir si la se le c c i n n o h a sid o c o m p le ta o si lo s
re su lta d o s so n d u d o so s.
L a d ire c c i n d e b e ra e v a lu a r la su p e rv isi n n e c e sa ria p a ra e l p e rso n a l n u e v o y sin
e x p e rie n c ia c o n a u to riza c i n p a ra a c c e d e r a siste m a s se n sib le s. E l tra b a jo d e to d o e l
p e rso n a l d eb e ra e sta r su je to a re v isio n e s p e ri d ic a s y ap ro b a c i n d e lo s p ro c e d im ie n to s
p o r u n m ie m b ro m s an tig u o .
L o s d ire c tiv o s d e b e ra n e sta r c o n sc ie n te s q u e c irc u n stan c ia s p e rso n a le s d e su p e rso n a l
p u e d e n a fe c ta r su tra b a jo . P ro b le m a s fin a n c ie ro s, p e rso n a le s, c a m b io s e n su
c o m p o rta m ie n to o e stilo d e v id a , au se n c ia s re c u rre n te s y e v id e n c ia s d e e str s o d e p re si n
p o d ra n lle v a r a u n fra u d e , ro b o , e rro r u o tra s im p lic a n c ia s e n la se g u rid a d . E sta
in fo rm a c i n se d eb e ra tra ta r d e a c u e rd o c o n a lg u n a le g isla c i n a p lic a b le , en la ju risd ic c i n
p e rtin e n te .
N C h 2 7 7 7
2 1
6.1.3 Acuerdos de confidencialidad
L o s a c u e rd o s d e co n fid e n c ia lid a d o d e n o d iv u lg a c i n , se u sa n p a ra n o tific a r q u e la
in fo rm a c i n e s se c re ta o co n fid en c ia l. L o s em p le a d o s d eb e ra n n o rm a lm e n te firm a r u n
a c u e rd o c o m o p a rte d e lo s t rm in o s y c o n d ic io n e s in ic ia le s d e e m p le o .
E l p e rso n a l te m p o ra l y lo s u su a rio s d e te rc e ra s p a rte s n o c u b ie rto s p o r u n c o n tra to
e x iste n te (q u e c o n te n g a u n a c u e rd o d e c o n fid e n c ia lid a d ), d e b e ra n firm a r u n a c u e rd o d e
c o n fid e n c ia lid a d an te s d e q u e te n g an a c c e so a lo s eq u ip o s d e p ro c e sa m ie n to d e la
in fo rm a c i n .
L o s a c u e rd o s d e co n fid e n c ia lid a d se d e b e ra n re v isa r c u a n d o h a y a c a m b io s d e la s
c o n d ic io n e s d e l em p le o o c o n tra to , p a rtic u la rm e n te c u a n d o lo s em p le a d o s d eb e n d e ja r la
o rg a n iza c i n p o r a lg u n a ra z n o p o r t rm in o d e c o n tra to .
6.1.4 Trminos y condiciones de contratacin
L o s t rm in o s y c o n d ic io n e s d e c o n tra ta c i n d eb e ra n e sta b le c e r la re sp o n sab ilid a d en la
se g u rid a d d e la in fo rm a c i n . C u a n d o se a a p ro p ia d o , e sta s re sp o n sab ilid a d e s c o n tin u a ra n
p o r u n tie m p o d e fin id o d e sp u s d e fin a liza r la c o n tra ta c i n . S e d e b e ra in c lu ir la a c c i n
q u e se to m a r si e l e m p le a d o d e sc u id a lo s re q u isito s d e se g u rid a d .
T a m b i n se d eb e ra n a c la ra r e in c lu ir e n lo s t rm in o s y c o n d ic io n e s d e c o n tra ta c i n , la s
re sp o n sa b ilid ad e s y d e re c h o s leg a le s d e l e m p le a d o , p o r e je m p lo , le y e s re la c io n a d a s c o n
lo s d e re c h o s d e p ro p ie d ad o la le g isla c i n d e p ro te c c i n d e d a to s. T a m b i n se d e b e ra
in c lu ir la re sp o n sab ilid a d p o r la c la sific a c i n y g e sti n d e lo s d a to s d e l e m p le a d o r. S e
d e b e ra e sta b le c e r, c u a n d o se a a p ro p ia d o , q u e lo s t rm in o s y c o n d ic io n e s d e co n tra ta c i n
se e x tie n d a n fu e ra d e la s in sta la c io n e s d e la o rg a n iza c i n y fu e ra d e la s h o ra s n o rm a le s d e
tra b a jo , p o r e je m p lo , e n c a so d e tra b a jo s e n la c a sa (v e r ta m b in 7 . 2 . 5 y 9 . 8 . 1 ).
6.2 Entrenamiento del usuario
O b je tiv o : A se g u ra r q u e lo s u su a rio s e st n co n sc ie n te s d e la s am e n a za s d e la se g u rid a d d e
la in fo rm a c i n y lo q u e a fe c ta y e st n e q u ip a d o s p a ra a p o y a r la p o ltic a d e se g u rid a d d e la
o rg a n iza c i n d u ra n te su tra b a jo n o rm a l.
L o s u su a rio s se d e b e ra n e n tre n a r en lo s p ro c e d im ien to s d e se g u rid a d y e n e l u so co rre c to
d e lo s eq u ip o s d e p ro c e sa m ie n to d e la in fo rm a c i n p a ra m in im iza r lo s p o sib le s rie sg o s e n
la se g u rid a d .
N C h 2 7 7 7
2 2
6.2.1 Educacin y entrenamiento en la seguridad de la informacin
T o d o s lo s e m p le a d o s d e la o rg a n iza c i n y lo s u su a rio s d e te rc e ra s p a rte s, d eb e ra n re c ib ir
c u a n d o se a p e rtin e n te, u n en tre n a m ie n to a d e c u a d o y a c tu a liza c io n e s re g u la re s d e lo s
p ro c e d im ie n to s y p o ltic a s d e la o rg an iza c i n . E sto in c lu y e lo s re q u isito s d e seg u rid a d , la s
re sp o n sa b ilid ad e s le g a le s y c o n tro le s d e l n e g o c io , a s co m o e l e n tre n a m ie n to e n e l u so
c o rre c to d e lo s e q u ip o s d e p ro c e sa m ie n to d e la in fo rm a c i n , p o r e je m p lo , e l p ro c e d im ien to
d e in g re so , u so d e p a q u e te s d e so ftw a re , d e sp u s q u e se h a y a o to rg a d o e l a c c e so a la
in fo rm a c i n o a lo s se rv ic io s.
6.3 Respuesta a los incidentes de seguridad y malfuncionamiento
O b je tiv o : M in im iza r e l d a o d e lo s in c id en te s d e se g u rid a d y m a lfu n c io n a m ie n to s,
m o n ito re a r y a p re n d e r d e ta le s in c id e n te s.
L o s in c id e n te s q u e a fe c ta n la seg u rid a d se d eb e ra n in fo rm a r tan r p id o c o m o se a p o sib le ,
a tra v s d e u n c a n a l d e g e sti n ap ro p ia d o .
T o d o s lo s e m p le a d o s y p e rso n a l e x te rn o d e b e ra n e sta r co n sc ie n te s d e lo s p ro c e d im ie n to s
d e in fo rm e d e lo s d ife re n te s tip o s d e in c id e n te s (v io la c i n d e la se g u rid ad , am e n a za ,
d e b ilid a d o m a lfu n c io n a m ie n to s) q u e p o d ra n te n e r u n im p a c to en la se g u rid a d d e lo s
b ie n e s d e la o rg a n iza c i n . S e le s d e b e ra e x ig ir q u e in fo rm e n a la p e rso n a d e sig n a d a d e
c o n ta c to c u a lq u ie r in c id e n te q u e se o b se rv e o se a so sp e c h o so ta n r p id o c o m o se a
p o sib le . L a o rg an iza c i n d eb e ra e sta b le c e r u n p ro c e so d isc ip lin a rio fo rm a l p a ra la s
re la c io n e s c o n lo s e m p le a d o s q u ie n e s c o m e tan v io la c io n e s a la seg u rid a d . P a ra se r c a p a z
d e g u ia r lo s in c id en te s e n fo rm a ap ro p ia d a d e sp u s d e la o cu rre n c ia , p u e d e se r n e c e sa rio
re u n ir e v id e n c ia s ta n p ro n to co m o se a p o sib le (v e r 1 2 . 1 . 7 ).
6.3.1 Informes de incidentes de seguridad
L o s in c id e n te s d e se g u rid ad se d e b e ra n in fo rm a r a tra v s d e c a n a le s d e g e sti n
a p ro p ia d o s ta n r p id o c o m o se a p o sib le.
S e d e b e ra e sta b le c e r u n p ro c e d im ie n to fo rm a l d e in fo rm e s, ju n to c o n u n p ro c e d im ie n to
d e re sp u e sta a l in c id e n te y d isp o n e r la a c c i n a to m a r c u an d o se re c ib a u n in fo rm e . T o d o s
lo s e m p le a d o s y p e rso n a l e x te rn o d e b e ra n e sta r c o n sc ie n te s d e l p ro c e d im ie n to d e
in fo rm e s d e in c id e n te s d e se g u rid ad , y se le s d e b e ra e x ig ir q u e in fo rm e n ta le s in c id e n te s
ta n rp id o co m o sea p o sib le . S e d eb eran im p lem en tar p ro ceso s d e realim en taci n
co n v en ien tes p ara aseg u rar q u e esto s in fo rm es d e in cid en tes sean co n trastad o s co n lo s
resu ltad o s d esp u s q u e el in cid en te se h ay a tratad o y cerrad o . E sto s in cid en tes se p u ed en
u sar en en tren am ien to s d e sen sib ilizaci n d el u su ario (v er 6 . 2 ) co m o ejem p lo s d e lo q u e
p o d ra su ced er, c m o resp o n d er a tales in cid en tes, y c m o ev itar la o cu rren cia en el fu tu ro
(v er 1 2 . 1 . 7 ).
N C h 2 7 7 7
2 3
6.3.2 Informes de deficiencias de la seguridad
S e le s d e b e ra e x ig ir a lo s u su a rio s d e lo s se rv ic io s d e in fo rm a c i n q u e re g istre n e
in fo rm e n cu a lq u ie r d e fic ie n c ia o b se rv a d a o so sp e c h o sa d e la se g u rid ad , o a m en a za s a lo s
se rv ic io s o sistem a s. E llo s d e b e ra n in fo rm a r e sta s m a te ria s a su d ire c c i n o d ire c ta m e n te
a su p ro v e e d o r d e se rv ic io ta n r p id o c o m o se a p o sib le . A lo s u su a rio s se le s d e b e ra
in fo rm a r q u e e n n in g u n a c irc u n sta n c ia e llo s d e b e ra n , in te n ta r p ro b a r u n a d e fic ie n c ia
so sp e c h o sa . P o r su p ro p ia p ro te c c i n , u n a p ru e b a d e la d e fic ie n c ia se p o d ra in te rp re ta r
c o m o u n p o te n c ia l m a l u so d e l siste m a.
6.3.3 Informe de malfuncionamientos del software
S e d e b e ra n e sta b le c e r lo s p ro c e d im ie n to s p a ra in fo rm a r lo s m a lfu n c io n a m ie n to s d e l
so ftw a re . S e d eb e ra n c o n sid e ra r la s a c c io n e s sig u ie n te s:
a ) S e d e b e ra n re g istra r lo s sn to m a s d e l p ro b le m a y c u a lq u ie r m e n sa je q u e a p a re zc a e n
la p a n ta lla .
b ) S e d e b e ra a isla r e l c o m p u tad o r, si e s p o sib le , y d e te n e r su u so . S e d e b e ra in fo rm a r a l
c o n ta c to a p ro p ia d o d e in m e d ia to . S i e l eq u ip o se v a a e x a m in a r, se d eb e ra
d e sc o n e c ta r d e cu a lq u ie r re d d e la o rg an iza c i n a n te s d e v o lv e r a e n e rg iza rlo . Lo s
d isk e tte s n o se d e b e ra n tra n sfe rir a o tro c o m p u ta d o r.
c ) S e d e b e ra in fo rm a r in m ed ia ta m e n te e l te m a a l e n c a rg a d o d e se g u rid a d d e la
in fo rm a c i n .
L o s u su a rio s n o d e b e ra n in ten ta r re tira r e l so ftw a re so sp e c h o so , a m e n o s q u e e st n
a u to riza d o s p a ra re a liza rlo . E l p e rso n a l a p ro p iad a m e n te e n tre n ad o y e x p e rim e n tad o d e b e ra
re a liza r la re c u p e ra c i n d e l so ftw a re .
6.3.4 Aprendizaje de los incidentes
D e b e ra e x istir e n e l lu g a r d e tra b a jo lo s m e c a n ism o s q u e p e rm ita n cu a n tific a r y
m o n ito re a r lo s tip o s, v o l m e n e s y c o sto s d e lo s in c id e n te s y m a lfu n c io n a m ie n to s. E sta
in fo rm a c i n se d eb e ra u sa r p a ra id e n tific a r m a lfu n c io n a m ien to s o in c id e n te s re c u rre n te s o
d e a lto im p a c to . E sto p u ed e in d icar la n ecesid ad d e refo rzar lo s co n tro les o ag reg ar
co n tro les ad icio n ales p ara lim itar la frecu en cia, d a o y co sto d e o cu rren cias fu tu ras, o p ara
ser to m ad o s en cu en ta en lo s p ro ceso s d e rev isi n d e la p o ltica d e seg u rid ad (v er 3 . 1 . 2 ).
6.3.5 Procesos disciplinarios
D e b e ra e x istir u n p ro c e so d isc ip lin a rio fo rm a l p a ra lo s e m p le a d o s q u e h a y an v io lad o la s
p o ltic a s y p ro c e d im ie n to s d e se g u rid a d (v e r 6 . 1 . 4 y p a ra la c o n se rv a c i n d e la e v id e n c ia
v e r 1 2 . 1 . 7 ). T a l p ro c e so p u e d e a c tu a r co m o u n d isu a siv o p a ra lo s e m p le a d o s q u ie n e s d e
o tra fo rm a p o d ra n e sta r in c lin a d o s a d e sc u id a r lo s p ro c e d im ie n to s d e se g u rid a d .
A d ic io n a lm e n te, e sto d e b e ra a se g u ra r u n tra to a d e c u a d o a lo s e m p le a d o s q u ie n e s so n
so sp e c h o so s d e co m e te r v io la c io n e s se ria s o p e rsiste n te s a la se g u rid a d .
N C h 2 7 7 7
2 4
7 Seguridad fsica y del ambiente
7.1 Areas seguras
O b je tiv o : P re v e n ir e l a c c e so n o a u to riza d o , d a o e in te rfe re n c ia a la s in sta la c io n e s d e l
n e g o c io y a la in fo rm a c i n .
L o s e q u ip o s d e p ro c e sa m ie n to d e in fo rm a c i n c rtic a o sen sib le d e l n e g o c io , se d eb e ra n
m a n te n e r e n re a s seg u ra s, p ro te g id o s p o r u n p e rm e tro d e se g u rid a d d e fin id o , co n
b a rre ra s a p ro p ia d a s d e se g u rid a d y co n tro le s d e e n tra d a . E sto s d e b e ra n e sta r fsic a m e n te
p ro te g id o s d e l a c c e so n o a u to riza d o , d a o e in te rfe re n c ia .
L a p ro te c c i n p ro v ista d eb e ra se r e n p ro p o rc i n c o n lo s rie sg o s id e n tific a d o s. U n a p o ltic a
d e e sc rito rio y p a n ta lla lim p ia se re c o m ie n d a p a ra re d u c ir e l rie sg o d e a c c e so n o
a u to riza d o o d a o a p a p e le s, d isp o sitiv o s y eq u ip o s d e p ro c e sa m ie n to d e in fo rm a c i n .
7.1.1 Permetro de seguridad fsico
L a p ro te c c i n fsic a se p u ed e lo g ra r p o r la c re a c i n d e v a ria s b a rre ra s fsic a s a lre d e d o r d e
la s in sta la c io n e s d e l n e g o c io y d e lo s e q u ip o s d e p ro c e sa m ie n to d e in fo rm a c i n . C a d a
b a rre ra e sta b le c e u n p e rm e tro d e se g u rid a d a u m e n ta n d o la p ro te c c i n to ta l p ro v ista . L a s
o rg a n iza c io n e s d e b e ra n u sa r lo s p e rm e tro s d e se g u rid ad p a ra p ro te g e r re a s q u e
c o n te n g an lo s e q u ip o s d e p ro c e sa m ie n to (v e r 7 . 1 . 3 ). U n p e rm e tro d e se g u rid a d e s a lg o
q u e e sta b le c e u n a b a rre ra , p o r e je m p lo , u n a p a re d , u n a p u e rta d e en tra d a c o n tro la d a p o r
ta rje ta o u n a re c e p c i n a te n d id a . L a u b ic a c i n y la re siste n c ia d e c a d a b a rre ra d e p e n d e n
d e lo s re su lta d o s d e la e v a lu a c i n d e l rie sg o .
S e d e b e ra n c o n sid e ra r e im p le m e n ta r c u an d o se a n ap ro p ia d a s, la s g u a s y c o n tro le s
sig u ie n te s:
a ) D e b e ra e sta r c la ra m e n te d e fin id o e l p e rm e tro d e se g u rid a d .
b ) E l p e rm e tro d e u n e d ific io o sitio q u e c o n tie n e e q u ip o s d e p ro c e sa m ie n to d e
in fo rm a c i n d e b e ra e sta r fsic a m e n te n teg ro (e s d e c ir, n o d e b e ra h ab e r b re c h a s e n e l
p e rm e tro o re a s d o n d e f c ilm e n te p o d ra o c u rrir u n a in tro m isi n ). L a s p a re d e s
e x te rn a s d e l sitio d e b e ra n se r d e c o n stru c c i n s lid a y to d a s la s p u e rta s e x te rn a s
d e b e ra n e sta r p ro te g id a s e n fo rm a ad e c u a d a d e l a c c e so n o a u to riza d o , p o r e je m p lo ,
c o n m e c a n ism o s d e co n tro l, b a rra s, a la rm a s, c e rro jo s, e tc .
c ) D e b e ra e x istir e n e l sitio , u n re a d e re c e p c i n a te n d id a u o tro s m e d io s p a ra c o n tro la r
e l a c c e so fsic o a l sitio o ed ific io . E l a c c e so a lo s ed ific io s y sitio s se d e b e ra re strin g ir
d e ta l fo rm a q u e so la m e n te in g re se e l p e rso n a l a u to riza d o .
N C h 2 7 7 7
2 5
d ) S i e s n e c e sa rio , la s b a rre ra s fsic a s se d e b e ra n e x te n d e r d e sd e lo s p iso s re a le s a lo s
c ie lo s re a le s p a ra e v ita r la e n tra d a d e p e rso n a s n o au to riza d a s y la c o n ta m in a c i n d e l
a m b ie n te ta l c o m o la c a u sa d a p o r e l fu e g o o in u n d a c i n .
e ) T o d a s la s p u e rta s c o n tra fu e g o e n e l p e rm e tro d e se g u rid ad d eb e ra n te n e r a la rm a y
c e rra r d e u n g o lp e .
7.1.2 Controles fsicos de entrada
L a s re a s se g u ra s se d e b e ra n p ro teg e r c o n c o n tro le s d e en tra d a a p ro p ia d o s p a ra a se g u ra r
q u e so la m e n te p e rso n a l a u to riza d o ten g a p e rm itid o e l a c c e so . S e d e b e ra n c o n sid e ra r lo s
c o n tro le s sig u ie n te s:
a ) P a ra a se g u ra r la s re a s, la s v isita s se d e b e ra n su p e rv isa r o a u to riza r, re g istra r su
fe c h a y h o ra d e e n tra d a y sa lid a . E l a c c e so d e la s v isita s se d e b e ra p e rm itir so lam e n te
p a ra p ro p sito s a u to riza d o s y e sp e c fic o s y se d eb e ra o to rg a r c o n in stru c c io n e s d e lo s
re q u isito s d e se g u rid a d y p ro c e d im ie n to s d e em e rg e n c ia d e l re a .
b ) L o s a c c e so s a la in fo rm a c i n se n sib le , y a lo s e q u ip o s d e p ro c e sa m ie n to d e
in fo rm a c i n , se d e b e ra n c o n tro la r y re strin g ir d e ta l fo rm a q u e so la m en te in g re se n
p e rso n a s au to riza d a s. S e d e b e ra n u sa r lo s co n tro le s d e a u ten tic a c i n , p o r e je m p lo ,
u n a ta rje ta m a g n tic a m s e l P I N , p a ra a u to riza r y v a lid a r to d o s lo s a c c e so s. S e
d e b e ra m a n te n e r e n fo rm a se g u ra u n re g istro d e to d o s lo s a c c e so s.
c ) S e d e b e ra e x ig ir a to d o e l p e rso n a l lle v a r la id e n tific a c i n e n fo rm a v isib le y se d e b e ra
e stim u la r p a ra q u e e x ija n a lo s e x tra o s n o a c o m p a a d o s y a c u a lq u ie ra q u e n o lle v e
la id e n tific a c i n v isib le a q u e lo h a g a .
d ) S e d e b e ra n re v isa r y m o d ific a r re g u la rm e n te lo s d e re c h o s d e a c c e so a la s re a s
se g u ra s.
7.1.3 Oficinas, salas e instalaciones seguras
U n re a se g u ra p u e d e se r u n a o fic in a c e rra d a c o n lla v e o v a ria s sa la s en e l in te rio r d e l
p e rm e tro d e seg u rid a d fsic a , q u e p u e d e n se r c e rra d a s c o n lla v e s y p u e d e co n te n e r
g a b in e te s c o n lla v e o c a ja s fu e rte . L a se le c c i n y d ise o d e u n re a se g u ra d eb e ra to m a r
e n c u e n ta la p o sib ilid a d d e d a o p o r fu e g o , in u n d a c i n , e x p lo si n , d e so rd e n c iv il y o tra s
fo rm a s d e d e sa stre s n a tu ra le s o h e c h o s p o r e l h o m b re . T a m b i n se d e b e ra to m a r e n
c u e n ta la s n o rm a s y re g la s p e rtin e n te s a la sa lu d y se g u rid a d . T a m b i n se d e b e ra te n e r e n
c o n sid e ra c i n cu a lq u ie r a m e n a za d e se g u rid a d p re se n te e n la c e rc a n a d e la s
in sta la c io n e s, p o r e je m p lo , fu g a s d e ag u a d e o tra s re a s.
N C h 2 7 7 7
2 6
S e d e b e ra n c o n sid e ra r lo s c o n tro le s sig u ie n te s:
a ) L a s in sta la c io n e s c la v e s se d e b e ra n u b ic a r d e m o d o d e e v ita r e l a c c e so d e l p b lic o .
b ) L o s e d ific io s d e b e ra n se r d isc re to s y d a r u n a m n im a in d ic a c i n d e su p ro p sito , sin
sig n o s o b v io s q u e id e n tifiq u e n la p re se n c ia d e a c tiv id ad e s d e p ro c e sa m ie n to d e
in fo rm a c i n , e n e l e x te rio r e in te rio r d e l m ism o .
c ) L a s fu n c io n e s y eq u ip o s d e a p o y o , p o r e je m p lo , fo to c o p ia d o ra s, m q u in a s d e fa x , se
d e b e ra n situ a r a p ro p ia d a m e n te d e n tro d e l re a se g u ra p a ra e v ita r la p e tic i n d e
a c c e so a e llo s, lo q u e p o d ra c o m p ro m e te r la in fo rm a c i n .
d ) L a s p u e rta s y v e n ta n a s se d eb e ra n c e rra r c o n lla v e c u a n d o e st n sin p e rso n a s y p a ra
la s v e n ta n a s se d e b e ra c o n sid e ra r u n a p ro te c c i n e x te rn a , p a rtic u la rm e n te c u a n d o
e st n e n e l p rim e r p iso .
e ) S e d e b e ra n c o lo c a r siste m a s a p ro p ia d o s d e d e te c c i n d e in tru so s, in sta la rlo s c o n
n o rm a s p ro fe sio n a le s y p ro b a rlo s re g u la rm e n te , p a ra c u b rir to d a s la s p u e rta s e x te rn a s
y v e n ta n a s a c c e sib le s. L a s re a s d e so c u p ad a s d eb e ra n te n e r a la rm a s to d o e l tie m p o .
T a m b i n se d eb e ra p ro v e e r e sta c o b e rtu ra e n o tra s re a s, p o r e je m p lo , sa la s d e
c o m p u tad o re s y c o m u n ic a c io n e s.
f) L a s in sta la c io n e s d e p ro c e sa m ie n to d e la in fo rm a c i n g e stio n a d a s p o r la o rg a n iza c i n
se d e b e ra n se p a ra r fsic a m e n te d e a q u e lla s g e stio n a d a s p o r te rc e ra s p a rte s.
g ) L a s g u a s d e te l fo n o s in te rn o s y d ire c to rio s q u e id e n tific a n u b ic a c io n e s d e eq u ip o s d e
p ro c e sa m ie n to d e in fo rm a c i n se n sib le , n o d e b e ra n se r f c ilm e n te a c c e sib le s p o r e l
p b lic o .
h ) L o s m a te ria le s p e lig ro so s o c o m b u stib le s se d e b e ra n a lm a c e n a r a u n a d ista n c ia
a le ja d a d e l re a se g u ra . L o s su m in istro s, ta le s co m o lo s tile s d e e sc rito rio n o se
d e b e ra n a lm a c e n a r d e n tro d e u n re a se g u ra h a sta q u e se a n e c e sa rio .
i) L o s e q u ip o s y d isp o sitiv o s d e re sp a ld o se d e b e ra n situ a r a u n a d istan c ia se g u ra p a ra
e v ita r lo s d a o s d e u n d e sa stre d e l sitio p rin c ip a l.
7.1.4 Trabajo en reas seguras
S e p u e d e n n e c e sita r c o n tro le s y g u a s a d ic io n a le s p a ra re fo rza r la se g u rid a d d e u n re a
se g u ra . E sto in c lu y e co n tro le s p a ra e l p e rso n a l y d e te rc e ra s p a rte s q u e tra b a ja n e n e l re a
se g u ra , a s co m o a la s a c tiv id a d e s d e te rc e ra s p a rte s q u e se re a liza n a ll. S e d e b e ra n
c o n sid e ra r lo s co n tro le s sig u ie n te s:
a ) E l p e rso n a l d e b e ra sa b e r d e la e x iste n c ia d e u n re a se g u ra , o ten e r c o n o c im ie n to s
b sic o s d e la s a c tiv id a d e s d e n tro d e l re a , so la m e n te si e s n e c e sa rio .
b ) S e d e b e ra n e v ita r lo s tra b a jo s n o su p e rv isa d o s d en tro d e u n re a se g u ra , p o r ra zo n e s
d e se g u rid ad y p a ra p re v e n ir la s o p o rtu n id ad e s d e a c tiv id a d e s m a lic io sa s.
N C h 2 7 7 7
2 7
c ) L a s re a s se g u ra s v a c a n te s se d e b e ra n c e rra r fsic a m e n te c o n lla v e y se d e b e ra n
re v isa r p e ri d ic a m e n te .
d ) S e d e b e ra o to rg a r a c c e so re strin g id o a l p e rso n a l d e lo s se rv ic io s d e a p o y o d e te rc e ra s
p a rte s, a la s re a s se g u ra s o a la s in sta la c io n e s d e p ro c e sa m ie n to d e in fo rm a c i n
se n sib le y so la m e n te c u a n d o se a n e c e sa rio . E ste a c c e so se d e b e ra a u to riza r y
m o n ito re a r. P u e d e n se r n e c e sa ria s b a rre ra s a d ic io n a le s y p e rm e tro s d e c o n tro l d e
a c c e so fsic o , e n tre re a s c o n d ife re n te s re q u isito s d e se g u rid ad in te rn a s e n e l
p e rm e tro d e seg u rid a d .
e ) N o se d e b e ra n p e rm itir lo s e q u ip o s d e v id e o , a u d io , fo to g ra fa u o tro s eq u ip o s d e
g ra b a c i n , a m e n o s q u e se a a u to riza d o .
7.1.5 Areas de carga y entrega aisladas
S e d e b e ra n c o n tro la r la s re a s d e c a rg a y e n tre g a y , si e s p o sib le , a isla d a s d e lo s e q u ip o s
d e p ro c e sa m ie n to d e in fo rm a c i n , p a ra e v ita r e l a c c e so n o a u to riza d o . L o s re q u isito s d e
se g u rid a d d e ta le s re a s se d e b e ra n d e te rm in a r p o r la e v a lu a c i n d e l rie sg o . S e d e b e ra n
c o n sid e ra r lo s co n tro le s sig u ie n te s:
a ) E l a c c e so a l re a d e su m in istro s d e sd e e l e x te rio r d e l e d ific io se d e b e ra re strin g ir a l
p e rso n a l id en tific a d o y a u to riza d o .
b ) E l re a d e su m in istro s se d e b e ra d e sig n a r d e m o d o q u e la s m e rc a d e ra s se p u ed a n
d e sc a rg a r sin d a r a c c e so a l p e rso n a l a o tra s p a rte s d e l e d ific io .
c ) L a s p u e rta s e x te rn a s d e l re a d e su m in istro s se d e b e ra n a se g u ra r c u a n d o la s p u e rta s
in te rn a s se a b ra n .
d ) E l m a te ria l e n tra n te se d e b e ra in sp e c c io n a r d e p o te n c ia le s p e lig ro s [v e r 7 . 2 . 1 d )]
a n te s d e q u e se tra sla d e d e sd e e l re a d e su m in istro s a l p u n to d e u so .
e ) E l m a te ria l e n tra n te se d e b e ra re g istra r, si e s a p ro p ia d o (v e r 5 . 1 ), e n la e n tra d a a l
sitio .
7.2 Seguridad de los equipos
O b je tiv o : P re v e n ir p rd id a s, d a o s o co m p ro m iso d e lo s b ie n e s e in te rru p c i n d e la s
a c tiv id a d e s d e l n eg o c io .
S e d e b e ra n p ro te g e r fsic a m e n te lo s e q u ip o s d e la s am e n a za s d e se g u rid ad y rie sg o s d e l
a m b ie n te e x te rn o . E s n e c e sa ria la p ro te c c i n d e lo s eq u ip o s (q u e in c lu y e e l q u e se u sa
fu e ra d e l sitio ) p a ra re d u c ir e l rie sg o d e a c c e so n o a u to riza d o a d a to s y p a ra p re v e n ir la
p rd id a o d a o . E sto ta m b i n d e b e ra c o n sid e ra r la u b ic a c i n d e lo s e q u ip o s y la
e lim in a c i n d e te m e s e n d e su so . S e p u e d e n n e c e sita r c o n tro le s e sp e c ia le s p a ra
p ro te g e rlo s d e rie sg o s o a c c e so s n o a u to riza d o s, y sa lv a g u a rd a r la s in sta la c io n e s d e
a p o y o , ta le s c o m o e l su m in istro e l c tric o y la in fra e stru c tu ra d e c a b le s.
N C h 2 7 7 7
2 8
7.2.1 Ubicacin y proteccin de los equipos
L o s e q u ip o s se d e b e ra n u b ic a r e n u n lu g a r p a rtic u la r o p ro te g e rlo s p a ra re d u c ir lo s rie sg o s
d e a m e n a za s y p e lig ro s a m b ie n ta le s, y o p o rtu n id a d e s d e a c c e so n o au to riza d o . S e
d e b e ra n c o n sid e ra r lo s c o n tro le s sig u ie n te s:
a ) L o s e q u ip o s se d e b e ra n u b ic a r d e ta l fo rm a d e m in im iza r e l a c c e so in n e c e sa rio a la s
re a s d e tra b a jo .
b ) L a s in sta la c io n e s d e a lm a c e n a je y p ro c e sa m ie n to d e in fo rm a c i n , d o n d e se m a n ip u la n
d a to s sen sib le s se d e b e ra n in sta la r d e m o d o d e re d u c ir e l rie sg o d e d e sc u id o s d u ra n te
su u so .
c ) L o s te m e s q u e re q u ie re n p ro te c c i n e sp e c ia l se d eb e ra n a isla r d e m o d o d e re d u c ir e l
n iv e l g e n e ra l d e p ro te c c i n n e c e sa ria .
d ) S e d e b e ra n a d o p ta r c o n tro le s q u e m in im ic e n e l rie sg o d e am e n a za s p o te n c ia le s, la s
q u e in c lu y e n :
d . 1 ) h u rto ;
d . 2 ) fu e g o ;
d . 3 ) e x p lo siv o s;
d . 4 ) h u m o ;
d . 5 ) a g u a (o fa lla d e l su m in istro );
d . 6 ) p o lv o ;
d . 7 ) v ib ra c i n ;
d . 8 ) e fe c to s q u m ic o s;
d . 9 ) in te rfe re n c ia e n e l su m in istro e l c tric o ;
d . 1 0 ) ra d ia c i n e le c tro m a g n tic a .
e ) L a o rg a n iza c i n d e b e ra c o n sid e ra r e n su p o ltic a lo q u e re sp e c ta a c o m e r, b eb e r y
fu m a r e n la p ro x im id a d d e la s in sta la c io n e s d e p ro c e sa m ie n to d e in fo rm a c i n .
f) S e d e b e ra n m o n ito re a r la s c o n d ic io n e s a m b ie n ta le s p a ra d e te rm in a r la s c o n d ic io n e s
q u e p o d ra n a fe c ta r a d v e rsa m e n te la o p e ra c i n d e la s in sta la c io n e s d e p ro c e sa m ie n to
d e in fo rm a c i n .
N C h 2 7 7 7
2 9
g ) S e d e b e ra c o n sid e ra r e l u so d e m to d o s d e p ro te c c i n e sp e c ia le s, ta le s c o m o
m e m b ra n a s p a ra te c la d o s, p a ra e q u ip o s e n am b ie n te s in d u stria le s.
h ) S e d e b e ra c o n sid e ra r e l im p a c to d e la o c u rre n c ia d e u n d e sa stre e n la s c e rc a n a s d e
la s in sta la c io n e s, p o r e je m p lo , fu e g o en la s c e rc a n a s d e l ed ific io , fu g a d e a g u a d e sd e
e l c ie lo d e l e d ific io o e n lo s p iso s b a jo e l n iv e l d e la tie rra o u n a e x p lo si n e n la c a lle .
7.2.2 Suministro de energa elctrica
L o s e q u ip o s se d e b e ra n p ro teg e r d e fa lla s d e su m in istro d e e n e rg a y o tra s an o m a la s
e l c tric a s. S e d e b e ra p ro v e e r u n su m in istro d e e n e rg a e l c tric a a d e c u a d o , q u e e st
c o n fo rm e co n la s e sp e c ific a c io n e s d e l fa b ric a n te .
L a s o p c io n e s p a ra lo g ra r la c o n tin u id a d d e l su m in istro d e e n e rg a e l c tric a in c lu y e n :
a ) a lim e n ta c i n m ltip le p a ra p re v e n ir la fa lla d e u n so lo p u n to en e l su m in istro d e
e n e rg a e l c tric a ;
b ) su m in istro in in te rru m p id o d e e n e rg a e l c tric a (U P S );
c ) g e n e ra d o r d e re sp a ld o .
S e re c o m ie n d a u n a U P S p a ra a p o y a r e l c ie rre o rd e n a d o d e l siste m a o p a ra q u e co n tin e e n
o p e ra c i n , en e q u ip o s q u e a p o y a n la s o p e ra c io n e s c rtic a s d e l n e g o c io . L o s p la n e s d e
c o n tin g en c ia d e b e ra n c u b rir la a c c i n a to m a r c u an d o fa lle la U P S . L o s e q u ip o s U P S se
d e b e ra v e rific a r re g u la rm e n te p a ra a se g u ra r su a d e cu a d a c a p a c id a d y p ro b a rlo s d e
a c u e rd o c o n la s re c o m e n d a c io n e s d e l fa b ric a n te .
S e d e b e ra c o n sid e ra r u n g en e ra d o r d e re sp a ld o si e l p ro c e sa m ien to d e b e co n tin u a r a n e n
c a so d e u n a fa lla p ro lo n g a d a d e l su m in istro d e e n e rg a e l c tric a . S i h a y g e n e ra d o re s
in sta la d o s, se d e b e ra n p ro b a r re g u la rm e n te d e a c u e rd o c o n la s in stru c c io n e s d e l
fa b ric a n te . S e d e b e ra d isp o n e r d e u n a d e c u ad o su m in istro d e c o m b u stib le , p a ra a se g u ra r
q u e e l g e n e ra d o r p u e d e tra b a ja r p o r u n p e ro d o p ro lo n g a d o .
A d e m s, se d eb e ra c o lo c a r u n in te rru p to r d e e n e rg a e l c tric a d e e m e rg e n c ia c e rc a d e la
sa lid a d e e m e rg e n c ia d e la sa la e q u ip o s, p a ra fa c ilita r u n r p id o c o rte d e la e n e rg a
e l c tric a e n c a so d e u n a e m e rg e n c ia . S e d e b e ra p ro v e e r ilu m in a c i n d e e m e rg en c ia e n
c a so d e fa lla d e l su m in istro d e e n e rg a e l c tric a p rin c ip a l. S e d eb e ra a p lic a r p ro te c c i n
c o n tra ra y o s e n to d o s lo s e d ific io s y lo s filtro s d e p ro te c c i n c o n tra ra y o s d eb e ra n se r
a p to s p a ra to d a s la s ln e a s e x te rn a s d e c o m u n ic a c io n e s.
N C h 2 7 7 7
3 0
7.2.3 Seguridad del cableado
L o s c a b le s d e e n e rg a e l c tric a y te le c o m u n ic a c io n e s q u e lle v a n d a to s o se rv ic io s d e
a p o y o a la in fo rm a c i n , se d e b e ra n p ro teg e r d e in te rc e p c io n e s o d a o s. S e d e b e ra n
c o n sid e ra r lo s co n tro le s sig u ie n te s:
a ) L a s ln e a s d e e n e rg a e l c tric a y te le c o m u n ic a c io n e s e n la s in sta la c io n e s d e
p ro c e sa m ie n to d e in fo rm a c i n d e b e ra n se r su b te rr n e a s, cu a n d o se a p o sib le , o
su je ta s a u n a p ro te c c i n a lte rn a tiv a a d e c u a d a.
b ) E l c a b le a d o d e re d e s se d e b e ra p ro te g e r d e la in te rc e p c i n o d a o s d e p e rso n a s n o
a u to riza d a s, p o r e je m p lo , u sa n d o c an a le ta s p o rta c a b le s, o e v ita n d o ru ta s q u e p a se n
p o r re a s p b lic a s.
c ) L o s c a b le s d e e n e rg a e l c tric a se d e b e ra n se p a ra r d e lo s c a b le s d e c o m u n ic a c i n
p a ra e v ita r in te rfe re n c ia s.
d ) E n lo s sistem a s se n sib le s y c rtic o s a d e m s d e lo s c o n tro le s e n c o n sid e ra c i n , in c lu ir:
d . 1 ) L a in sta la c i n d e c a n a le ta s p o rta c a b le s b lin d a d a s y sa la s o c a ja s co n lla v e e n
lo s p u n to s d e in sp e c c i n y te rm in a c i n ;
d . 2 ) E l u so d e ru ta s o d isp o sitiv o s d e tra n sm isi n a lte rn a tiv o s;
d . 3 ) E l u so d e c a b le s d e fib ra p tic a ;
d . 4 ) R e tira r lo s d isp o sitiv o s n o au to riza d o s q u e e st n ju n to a lo s c a b le s.
7.2.4 Mantenimiento de los equipos
L o s e q u ip o s se d e b e ra n m a n ten e r c o rre c ta m e n te p a ra a se g u ra r su in te g rid ad y
d isp o n ib ilid a d c o n tin u a . S e d e b e ra n c o n sid e ra r lo s co n tro le s sig u ie n te s:
a ) L o s e q u ip o s d e b e ra n te n e r su m a n te n im ie n to d e a c u e rd o c o n la s e sp e c ific a c io n e s e
in te rv a lo s d e se rv ic io s re c o m e n d ad o s p o r e l p ro v e e d o r.
b ) S o la m e n te e l p e rso n a l d e m a n te n im ien to au to riza d o d e b e ra re a liza r la s re p a ra c io n e s y
se rv ic io s d e lo s e q u ip o s.
c ) S e d e b e ra n g u a rd a r lo s re g istro s d e to d a s la s fa lla s so sp e c h o sa s o re a le s y d e lo s
m a n te n im ie n to s c o rre c tiv o s y p re v e n tiv o s.
d ) S e d e b e ra n to m a r en c u e n ta lo s co n tro le s a p ro p ia d o s cu a n d o se en v a n e q u ip o s d e
la s in sta la c io n e s p a ra m a n te n im ie n to , (v e r ta m b i n 7 . 2 . 6 re sp e c to a la an u la c i n ,
b o rra d o , y so b re -e sc ritu ra d e d a to s). S e d e b e ra n c u m p lir to d o s lo s re q u isito s
im p u e sto s p o r la s p o ltic a s d e se g u rid ad .
N C h 2 7 7 7
3 1
7.2.5 Seguridad de los equipos fuera de la organizacin
I n d e p e n d ie n te d e la p ro p ie d ad , la d ire c c i n d eb e ra a u to riza r si e s p e rtin e n te e l u so fu e ra
d e la o rg a n iza c i n d e c u a lq u ie r e q u ip o p a ra e l p ro c e sam ie n to d e in fo rm a c i n . L a seg u rid a d
d e b e ra se r e q u iv a le n te a la q u e tien e n lo s e q u ip o s c u a n d o e st e n e l sitio d e u so n o rm a l,
p a ra e l m ism o p ro p sito , to m an d o e n cu e n ta lo s rie sg o s d e tra b a ja r e x te rn a m e n te a la s
in sta la c io n e s d e la o rg a n iza c i n . L o s e q u ip o s d e p ro c e sa m ie n to d e in fo rm a c i n in c lu y e n
to d a s la s fo rm a s d e c o m p u ta d o re s p e rso n a le s, o rg a n iza d o re s, te l fo n o s m v ile s, p a p e l u
o tra fo rm a q u e se u sa p a ra tra b a ja r e n e l h o g a r o q u e se tra n sp o rta d e sd e e l sitio n o rm a l
d e tra b a jo a o tro lu g a r. S e d e b e ra n c o n sid e ra r la s g u a s sig u ie n te s:
a ) L o s e q u ip o s y lo s d isp o sitiv o s q u e se o c u p a n fu e ra d e la s in sta la c io n e s d e la
o rg a n iza c i n n o se d e b e ra n d e ja r d e sa te n d id o s e n lu g a re s p b lic o s. L o s c o m p u tad o re s
p o rt tile s se d eb e ra n lle v a r e n u n b o lso d e m a n o y d isim u la d o s d u ra n te u n v ia je ,
c u a n d o se a p o sib le .
b ) L a s in stru c c io n e s d e p ro te c c i n d e l fa b ric a n te d e lo s eq u ip o s se d e b e ra n o b se rv a r
to d o e l tie m p o , p o r e je m p lo , la p ro te c c i n a la e x p o sic i n d e c a m p o s
e le c tro m a g n tic o s in ten so s.
c ) L o s c o n tro le s d e l tra b a jo re a liza d o e n e l h o g a r se d eb e ra n d e te rm in a r m e d ia n te la
e v a lu a c i n d e l rie sg o y a p lic a r lo s c o n tro le s a d e c u ad o s c u a n d o se a a p ro p ia d o , p o r
e je m p lo , g a b in e te s d e a rc h iv o c o n lla v e s, p o ltic a d e e sc rito rio lim p io y c o n tro le s d e
a c c e so a lo s co m p u ta d o re s.
d ) S e d e b e ra te n e r la c o b e rtu ra d e se g u ro s a d e c u a d o s p a ra p ro teg e r lo s eq u ip o s fu e ra
d e l sitio n o rm a l.
L o s rie sg o s d e la se g u rid a d , p o r e je m p lo , d e d a o , ro b o y e sc u c h a p ro h ib id a , p u e d e n
v a ria r c o n sid e ra b le m e n te e n tre u b ic a c io n e s y se d eb e ra to m a r e n c u e n ta en la
d e te rm in a c i n d e lo s c o n tro le s m s ap ro p ia d o s. E n 9 . 8 . 1 se p u ed e e n c o n tra r m s
in fo rm a c i n c o n re sp e c to a o tro s a sp e c to s d e p ro te c c i n d e e q u ip o s m v ile s.
7.2.6 Seguridad en la eliminacin de temes en desuso o reuso de equipos
L a in fo rm a c i n se p u e d e c o m p ro m e te r d e b id o a u n d e sc u id o en la e lim in a c i n d e te m e s
e n d e su so o a u n re u so d e e q u ip o s (v e r ta m b i n 8 . 6 . 4 ). L o s d isp o sitiv o s d e
a lm a c e n a m ie n to q u e c o n tie n e n in fo rm a c i n se n sib le se d e b e ra n d e stru ir fsic a m e n te o
so b re sc rib ir e n fo rm a se g u ra u sa n d o u n a fu n c i n d e b o rra d o e stan d a riza d o .
T o d o s lo s te m e s d e lo s e q u ip o s q u e c o n tie n e n d isp o sitiv o s d e a lm a c e n a m ien to , p o r
e je m p lo , d isc o s d u ro s fijo s, se d e b e ra n re v isa r p a ra a se g u ra r q u e cu a lq u ie r d a to se n sib le y
lic e n c ia d e so ftw a re se h a y a sa c a d o o so b re sc rito a n te s d e la e lim in a c i n . Lo s d isp o sitiv o s
d e a lm a c e n a m ie n to q u e c o n tien e n d a to s se n sib le s p u ed e n n e c e sita r u n a e v a lu a c i n d e l
rie sg o , p a ra d e te rm in a r si lo s te m e s se d e b e ra n d e stru ir, re p a ra r o d e sc a rta r.
N C h 2 7 7 7
3 2
7.3 Controles generales
O b je tiv o : P re v e n ir q u e se c o m p ro m e ta o se ro b e la in fo rm a c i n y e q u ip o s d e
p ro c e sa m ie n to d e in fo rm a c i n .
L a in fo rm a c i n y lo s e q u ip o s d e p ro c e sa m ie n to d e in fo rm a c i n se d e b e ra n p ro te g e r d e la
d iv u lg a c i n , m o d ific a c i n o d e l ro b o p o r p e rso n a s n o a u to riza d a s, y lo s c o n tro le s se
d e b e ra n re a liza r e n e l sitio p a ra m in im iza r la p rd id a o d a o .
E n 8 . 6 . 3 se c o n sid e ra n lo s p ro c e d im ie n to s d e m a n ip u la c i n y a lm a c e n a m ie n to .
7.3.1 Poltica de escritorio limpio y pantalla limpia
L a s o rg a n iza c io n e s d e b e ra n c o n sid e ra r la a d o p c i n d e la p o ltic a d e e sc rito rio lim p io , p a ra
lo s p a p e le s y d isp o sitiv o s re m o v ib le s d e a lm a c e n a m ie n to y u n a p o ltic a d e p a n ta lla lim p ia ,
p a ra lo s e q u ip o s d e p ro c e sa m ie n to d e in fo rm a c i n c o n e l fin d e re d u c ir lo s rie sg o s d e
a c c e so n o au to riza d o , p rd id a y d a o d e la in fo rm a c i n d u ra n te y fu e ra d e la s h o ra s
n o rm a le s d e tra b a jo . L a p o ltic a d eb e ra to m a r e n cu e n ta la s c la sific a c io n e s d e la seg u rid a d
d e la in fo rm a c i n (v e r 5 . 2 ), lo s rie sg o s c o rre sp o n d ie n te s y lo s a sp e c to s c u ltu ra le s d e la
o rg a n iza c i n .
L a in fo rm a c i n q u e se d e ja so b re lo s e sc rito rio s tam b i n e s p ro b a b le q u e se d a e o
d e stru y a p o r u n d e sa stre ta l c o m o fu eg o , in u n d a c i n o e x p lo si n .
S e d e b e ra n c o n sid e ra r lo s c o n tro le s sig u ie n te s:
a ) C u a n d o se a a p ro p iad o , e l p a p e l y lo s d isp o sitiv o s d e l c o m p u ta d o r, cu a n d o n o se u sen ,
se d e b e ra n a lm a c e n a r e n g a b in e te s a d e c u a d o s c o n lla v e y /o o e n o tra s fo rm a s d e
m u e b le s co n se g u rid a d e sp e c ia lm e n te fu e ra d e la s h o ra s d e tra b a jo .
b ) L a in fo rm a c i n c rtic a o se n sib le d e l n e g o c io , se d e b e ra c o lo c a r a le ja d a d e l sitio c o n
lla v e , (id e a lm e n te en u n a c a ja d e seg u rid a d o g a b in e te re siste n te a l fu eg o ) c u a n d o n o
se n e c e site , e sp e c ia lm e n te cu a n d o la o fic in a e st d e so c u p a d a .
c ) L o s c o m p u tad o re s p e rso n a le s, lo s te rm in a le s d e c o m p u ta d o re s y la s im p re so ra s n o se
d e b e ra n d e ja r c o n la se si n a b ie rta , cu a n d o e st n d e sa te n d id o s y cu a n d o n o se u sen
se d e b e ra n p ro te g e r c o n lla v e s c o n c la v e , c o n tra se a y o tro s c o n tro le s.
d ) L o s p u n to s d e c o rre o sa lie n te s y e n tra n te s, m q u in a s d e fa x y te le x n o a te n d id o s se
d e b e ra n p ro te g e r.
e ) L a s fo to c o p ia d o ra s se d e b e ra n ten e r c o n lla v e (o p ro teg id a s d e a lg u n a m an e ra d e lo s
u su a rio s n o a u to riza d o s) fu e ra d e la s h o ra s n o rm a le s d e tra b a jo .
f) L a in fo rm a c i n c la sific a d a o se n sib le , cu a n d o se im p rim a se d e b e ra re tira r
in m e d ia ta m e n te d e la s im p re so ra s.
N C h 2 7 7 7
3 3
7.3.2 Remocin de bienes
L o s e q u ip o s, la in fo rm a c i n o so ftw a re n o se d e b e ra n o c u p a r fu e ra d e l sitio sin
a u to riza c i n . C u a n d o se a n e c e sa rio y a p ro p iad o , lo s e q u ip o s d e b e ra n q u e d a r c o n la s
se sio n e s c e rra d a s y cu a n d o v u e lv a a su lu g a r se d eb e ra n re in ic ia r la s se sio n e s. S e d e b e ra
re a liza r la re v isi n d e lo s p u e sto s d e tra b a jo p a ra d e te c ta r la re m o c i n n o a u to riza d a d e
a lg n in m u eb le . S e le s d e b e ra h a c e r c o n c ie n c ia a la s p e rso n a s q u e se re a liza r n
re v isio n e s a lo s p u e sto s d e tra b a jo .
8 Gestin de las operaciones y de las comunicaciones
8.1 Responsabilidades y procedimientos de las operaciones
O b je tiv o : A se g u ra r la c o rre c ta y se g u ra o p e ra c i n d e lo s e q u ip o s d e p ro c e sa m ie n to d e
in fo rm a c i n .
S e d e b e ra n e sta b le c e r la s re sp o n sa b ilid a d e s y lo s p ro c e d im ie n to s p a ra la g e sti n y
o p e ra c i n d e to d o s lo s e q u ip o s d e p ro c e sam ie n to d e in fo rm a c i n . E sto in c lu y e e l
d e sa rro llo d e in stru c c io n e s d e o p e ra c i n a p ro p ia d a s y p ro c e d im ie n to s d e re sp u e sta a
in c id e n te s.
S e d e b e ra im p le m e n ta r la se p a ra c i n d e o b lig a c io n e s (v e r 8 . 1 . 4 ), c u a n d o se a ap ro p ia d o ,
p a ra re d u c ir e l rie sg o d e n e g lig e n c ia o m a l u so d e lib e ra d o d e l siste m a .
8.1.1 Procedimientos de operacin documentados
L o s p ro c e d im ie n to s d e o p e ra c i n id e n tific a d o s p o r la p o ltic a d e se g u rid a d , se d e b e ra n
d o c u m en ta r y m a n te n e r. Lo s p ro c e d im ie n to s d e o p e ra c i n se d e b e ra n tra ta r c o m o
d o c u m en to s fo rm a le s y lo s c a m b io s d eb e ra n se r a u to riza d o s p o r la d ire c c i n .
L o s p ro c e d im ie n to s d e b e ra n e sp e c ific a r la s in stru c c io n e s p a ra u n a e je c u c i n d e ta lla d a d e
c a d a tra b a jo , in c lu y e n d o :
a ) p ro c e sa m ie n to y m an ip u la c i n d e ta lla d a d e la in fo rm a c i n ;
b ) re q u e rim ie n to s d e p ro g ra m a c i n d e h o ra rio s q u e in c lu y an la s in te rd e p e n d en c ia s c o n
o tro s sistem a s, e l co m ie n zo m s te m p ra n o y e l t rm in o m s ta rd o d e l tra b a jo ;
c ) in stru c c io n e s p a ra m a n ip u la r e rro re s u o tra s c o n d ic io n e s e x c e p c io n a le s, q u e p u ed e n
a p a re c e r d u ra n te la e je c u c i n d e l tra b a jo , in c lu y e n d o re stric c io n e s en e l u so d e lo s
e q u ip o s d e l siste m a (v e r 9 . 5 . 5 );
d ) c o n ta c to s d e a p o y o e n e l e v e n to d e d ific u lta d e s t c n ic a s u o p e ra c io n a le s in e sp e ra d a s;
N C h 2 7 7 7
3 4
e ) in stru c c io n e s d e m an ip u la c i n d e sa lid a s e sp e c ia le s, ta le s co m o e l u so d e tile s d e
lib re ra e sp e c ia le s o la g e sti n d e u n a sa lid a c o n fid e n c ia l, in c lu y e n d o p ro c e d im ie n to s
d e e lim in a c i n se g u ra d e lo s tra b a jo s m a lo s, e n d e su so , d e sa lid a;
f) p ro c e d im ie n to s d e re in ic io d e l sistem a y d e re c u p e ra c i n a se r u tiliza d o s e n e l e v e n to
d e q u e e l siste m a fa lle .
L o s p ro c e d im ie n to s d o c u m e n tad o s se d e b e ra n p re p a ra r ta m b i n p a ra la s a c tiv id a d e s d e
a d m in istra c i n in te rn a d e l siste m a , a so c ia d o s c o n la s in sta la c io n e s d e c o m u n ic a c i n y d e
p ro c e sa m ie n to d e in fo rm a c i n , ta l c o m o e l re in ic io d e u n c o m p u ta d o r o lo s p ro c e d im ie n to s
d e c ie rre , re sp a ld o , m a n te n im ie n to d e lo s e q u ip o s, sa la d e c o m p u ta d o re s y g e sti n d e
m a n ip u la c i n d e l co rre o y sistem a d e se g u rid a d .
8.1.2 Control de cambio de operacin
S e d e b e ra n c o n tro la r lo s c a m b io s d e in sta la c io n e s y sistem a s d e p ro c e sa m ie n to d e
in fo rm a c i n . E l c o n tro l in a d e c u a d o d e c a m b io s d e siste m a s e in sta la c io n e s d e
p ro c e sa m ie n to d e in fo rm a c i n e s u n a c a u sa c o m n d e fa lla s d e se g u rid a d . L a s
re sp o n sa b ilid ad e s y p ro c e d im ie n to s fo rm a le s d e g e sti n d e b e ra n e sta r e n e l sitio p a ra
a se g u ra r e l c o n tro l sa tisfa c to rio d e to d o s lo s c a m b io s a lo s e q u ip o s, so ftw a re o
p ro c e d im ie n to s. Lo s p ro g ra m a s d e o p e ra c i n d eb e ra n e sta r su je to s a u n co n tro l e stric to
d e c a m b io . C u a n d o lo s p ro g ra m a s se c a m b ia n se d e b e ra g u a rd a r u n re g istro d e a u d ito ra
q u e c o n te n g a to d a la in fo rm a c i n p e rtin e n te . Lo s c a m b io s d e a m b ie n te o p e ra c io n a l
p u e d e n im p a c ta r la s a p lic a c io n e s. D o n d e q u ie ra q u e se a p r c tic o , se d e b e ra n in te g ra r lo s
p ro c e d im ie n to s d e c o n tro l d e c a m b io s (v e r ta m b i n 1 0 . 5 . 1 ). E n p a rtic u la r se d eb e ra n
c o n sid e ra r lo s co n tro le s sig u ie n te s:
a ) id e n tific a c i n y re g istro d e c am b io s sig n ific a tiv o s;
b ) e v a lu a c i n d e l im p a c to p o te n c ia l d e ta le s c a m b io s;
c ) p ro c e d im ie n to fo rm a l d e a p ro b a c i n d e lo s c a m b io s p ro p u e sto s;
d ) c o m u n ic a c i n d e lo s d e ta lle s d e lo s c a m b io s a to d a s la s p e rso n a s q u e se a p e rtin e n te ;
e ) p ro c e d im ie n to s q u e id e n tifiq u e n la s re sp o n sa b ilid ad e s p a ra re c u p e ra r la c o n d ic i n
in ic ia l y a b o rta r lo s c a m b io s n o e x ito so s.
N C h 2 7 7 7
3 5
8.1.3 Procedimientos de gestin de incidentes
S e d e b e ra n e sta b le c e r lo s p ro c e d im ie n to s y la s re sp o n sa b ilid a d e s d e g e sti n d e
in c id e n te s, p a ra a se g u ra r u n a r p id a , e fe c tiv a y m e t d ic a re sp u e sta a la se g u rid a d d e
in c id e n te s (v e r ta m b i n 6 . 3 . 1 ). S e d e b e ra n c o n sid e ra r lo s c o n tro le s sig u ien te s:
a ) E sta b le c e r lo s p ro c e d im ie n to s p a ra c u b rir to d o s lo s tip o s d e in c id e n te s p o te n c ia le s d e
se g u rid a d , in c lu y en d o :
a . 1 ) fa lla s d e l siste m a d e in fo rm a c i n y p rd id a d e se rv ic io ;
a . 2 ) d e n e g a c i n d e l se rv ic io ;
a . 3 ) e rro re s q u e re su lta n d e d a to s in e x a c to s e in c o m p le to s d e l n eg o c io ;
a . 4 ) v io la c i n d e la c o n fid e n c ia lid a d .
b ) A d e m s d e lo s p la n e s n o rm a le s d e c o n tin g e n c ia (d ise a d o s p a ra re c u p e ra r lo s
siste m a s o se rv ic io s ta n rp id o c o m o se a p o sib le ), lo s p ro c e d im ie n to s d e b e ra n c u b rir
(v e r ta m b i n 6 . 3 . 4 ):
b . 1 ) e l a n lisis e id e n tific a c i n d e la c a u sa d e l in c id en te ;
b . 2 ) si e s n e c e sa rio , p la n ific a c i n e im p le m e n ta c i n d e so lu c io n e s p a ra e v ita r q u e
v u e lv a a o c u rrir;
b . 3 ) re u n ir la s p ru e b a s d e au d ito ra y e v id e n c ia s sim ila re s;
b . 4 ) c o m u n ic a c i n c o n lo s a fe c ta d o s o in v o lu c ra d o s c o n la re c u p e ra c i n d e l
in c id e n te ;
b . 5 ) in fo rm a r la a c c i n a la a u to rid ad a p ro p ia d a .
c ) S e d e b e ra n re u n ir y d e ja r g u a rd a d a s la s p ru e b a s d e a u d ito ra y e v id e n c ia s sim ila re s
(v e r 1 2 . 1 . 7 ), a p ro p ia d a s p a ra :
c . 1 ) e l a n lisis in te rn o d e l p ro b le m a ;
c . 2 ) e l u so co m o e v id e n c ia e n re la c i n a u n a p o te n c ia l v io la c i n d e l c o n tra to ,
v io la c i n d e lo s re q u isito s re g u la to rio s o e n e l e v e n to d e u n p ro c e sa m ie n to
ju d ic ia l, p o r e je m p lo , p o r m a l u so d e lo s c o m p u ta d o re s o p o r la a p lic a c i n d e la
le g isla c i n d e p ro te c c i n d e d a to s;
c . 3 ) la n e g o c ia c i n d e c o m p e n sa c i n d e p a rte d e lo s p ro v e e d o re s d e so ftw a re y
se rv ic io s.
N C h 2 7 7 7
3 6
d ) S e d e b e ra n c o n tro la r fo rm a lm e n te y c u id a d o sa m e n te la s a c c io n e s p a ra re c u p e ra r e l
siste m a d e la s fa lla s y v io la c io n e s a la seg u rid a d . L o s p ro c e d im ie n to s d e b e ra n
a se g u ra r q u e :
d . 1 ) s lo e l p e rso n a l au to riza d o y c la ra m e n te id e n tific a d o te n g a a c c e so a lo s d a to s y
siste m a s e x iste n te s (v e r ta m b i n 4 . 2 . 2 p a ra e l a c c e so d e te rc e ra s p a rte s);
d . 2 ) to d a s la s a c c io n e s d e e m e rg e n c ia q u e se to m e n se d o c u m e n te n e n d e ta lle ;
d . 3 ) u n a a c c i n d e e m e rg en c ia se a in fo rm ad a a la d ire c c i n y re v isa d a d e u n a
m a n e ra m e t d ic a ;
d . 4 ) la in te g rid a d d e lo s siste m a s y c o n tro le s d e l n e g o c io se a co n firm a d a co n u n
re ta rd o m n im o .
8.1.4 Separacin de responsabilidades
L a se p a ra c i n d e la s re sp o n sa b ilid a d e s e s u n m to d o p a ra re d u c ir e l rie sg o d e u n m a l u so
d e lib e ra d o o a c c id e n ta l d e l siste m a . S e d e b e ra c o n sid e ra r la se p a ra c i n d e la g e sti n o
e je c u c i n d e c ie rta s re sp o n sa b ilid a d e s o re a s d e re sp o n sa b ilid ad , co n e l fin d e re d u c ir la s
o p o rtu n id a d e s d e m o d ific a c io n e s n o a u to riza d a s o m a l u so d e in fo rm a c i n o se rv ic io s.
L a s o rg a n iza c io n e s p e q u e a s p u e d e n e n c o n tra r e ste m to d o d ifc il d e lo g ra r, p e ro e l
p rin c ip io se d e b e ra a p lic a r ta n to c o m o se a p o sib le y p r c tic o . C u a n d o se a d ifc il re a liza r
u n a se p a ra c i n , se d e b e ra n c o n sid e ra r o tro s c o n tro le s ta le s c o m o e l m o n ito re o d e
a c tiv id a d e s, p ru eb a s d e a u d ito ria s y su p e rv isi n d e la g e sti n . E s im p o rta n te q u e la s
a u d ito ria s d e se g u rid ad p e rm an e zc a n in d ep e n d ie n te s.
S e d e b e ra c u id a r q u e n in g u n a p e rso n a p o r s so la p u e d a p e rp e tra r fra u d e s e n re a s d e
re sp o n sa b ilid ad in d iv id u a l sin q u e se a d e te c ta d a . S e d e b e ra se p a ra r e l in ic io d e u n e v e n to ,
d e su a u to riza c i n . S e d e b e ra n co n sid e ra r lo s c o n tro le s sig u ie n te s:
a ) E s im p o rta n te sep a ra r la s a c tiv id a d e s q u e re q u ie re n co n fa b u la c i n p a ra re a liza r u n
fra u d e , p o r e je m p lo , la e m isi n d e u n a o rd e n d e c o m p ra y la v e rific a c i n d e q u e la s
m e rc a d e ra s se h a y a n re c ib id o .
b ) S i h a y u n p e lig ro d e co n fa b u la c i n , e n to n c e s lo s c o n tro le s n e c e sita n se r id e a d o s d e
m o d o q u e se a n e c e sa rio q u e d o s o m s p e rso n a s e st n in v o lu c ra d a s, c o n lo c u a l se
b a ja la p o sib ilid a d d e c o n sp ira c i n .
N C h 2 7 7 7
3 7
8.1.5 Separacin de las instalaciones de desarrollo y operaciones
E s im p o rta n te la se p a ra c i n e n tre la s in sta la c io n e s d e d e sa rro llo , p ru eb a y o p e ra c i n p a ra
lo g ra r la se p a ra c i n d e ro le s in v o lu c ra d o s. S e d e b e ra n d e fin ir y d o c u m e n ta r la s re g la s
p a ra la tra n sfe re n c ia d e so ftw a re d e l e sta d o d e d e sa rro llo a l d e o p e ra c i n .
L a s a c tiv id a d e s d e d e sa rro llo y d e p ru e b a p u e d e n c a u sa r se rio s p ro b le m a s, p o r e je m p lo , la
m o d ific a c i n in d e se a d a d e a rc h iv o s o d e l a m b ie n te d e l siste m a o fa lla d e l siste m a . S e
d e b e ra c o n sid e ra r e l n iv e l d e se p a ra c i n q u e se a n e c e sa rio e n tre lo s a m b ie n te s d e
o p e ra c i n , d e p ru e b a y d e d e sa rro llo , p a ra p re v e n ir p ro b le m a s d e o p e ra c i n . U n a
se p a ra c i n sim ila r ta m b i n se d e b e ra im p le m e n ta r en tre la s fu n c io n e s d e d esa rro llo y
p ru e b a . E n e ste c a so , h a y u n a n e c e sid a d d e m a n te n e r u n a m b ie n te e stab le y c o n o c id o e n
e l c u a l re a liza r p ru e b a s sig n ific a tiv a s y p re v e n ir e l a c c e so in ad e c u a d o a d e sa rro lla d o re s.
C u a n d o e l p e rso n a l d e d e sa rro llo y d e p ru eb a tie n e a c c e so a l siste m a e n o p e ra c i n y a su
in fo rm a c i n , e llo s p u ed e n in tro d u c ir c d ig o s n o p ro b a d o s y n o a u to riza d o s o a lte ra r lo s
d a to s d e o p e ra c i n . E n a lg u n o s siste m a s, e sta c a p a c id a d p o d ra se r m a l u sa d a p a ra
c o m e te r fra u d e s o in tro d u c ir c d ig o s m a lic io so s o n o p ro b a d o s. L o s c d ig o s m a lic io so s o
n o p ro b a d o s p u e d en p ro d u c ir se rio s p ro b le m a s d e o p e ra c i n . L o s d e sa rro lla d o re s y
p ro b a d o re s ta m b i n p la n te a n u n a a m e n a za a la c o n fid en c ia lid a d d e la in fo rm a c i n d e
o p e ra c i n .
L a s a c tiv id a d e s d e d e sa rro llo y d e p ru e b a p u e d e n c a u sa r c a m b io s n o in te n c io n a le s a l
so ftw a re y a la in fo rm a c i n si e llo s c o m p a rte n e l m ism o a m b ie n te c o m p u ta c io n a l. P o r lo
ta n to e s d e se a b le la sep a ra c i n d e la s in sta la c io n e s d e d e sa rro llo , p ru e b a y o p e ra c i n ,
p a ra re d u c ir e l rie sg o d e u n c a m b io a c c id e n ta l o a c c e so n o au to riza d o a l so ftw a re d e
o p e ra c i n y a lo s d a to s d e l n e g o c io . S e d e b e ra n c o n sid e ra r lo s c o n tro le s sig u ie n te s:
a ) E l so ftw a re d e d e sa rro llo y e l o p e ra c io n a l se d e b e ra n e je c u ta r, c u an d o se a p o sib le , e n
d ife re n te s p ro c e sa d o re s d e c o m p u ta d o r o e n d ife re n te s d o m in io s o d ire c to rio s.
b ) L a s a c tiv id a d e s d e d e sa rro llo y p ru e b a se d e b e ra n se p a ra r ta n to co m o se a p o sib le .
c ) L o s c o m p ila d o re s, e d ito re s y o tro s e q u ip o s d e l siste m a d eb e ra n se r in a c c e sib le s
d e sd e lo s siste m a s o p e ra c io n a le s c u a n d o n o se a n e c e sa rio .
d ) D ife re n te s p ro c e d im ie n to s d e re g istro se d e b e ra n u sa r p a ra la s o p e ra c io n e s y p ru e b a s
d e l siste m a , p a ra re d u c ir e l rie sg o d e e rro r. S e d e b e ra in c e n tiv a r a lo s u su a rio s a u sa r
d ife re n te s c o n tra se a s p a ra e sto s siste m a s, y lo s m e n s d eb e ra n m o stra r m e n sa je s
d e id e n tific a c i n ap ro p ia d o s.
e ) E l p e rso n a l d e d e sa rro llo d eb e ra te n e r a c c e so a la s c o n tra se a s d e o p e ra c i n s lo
p a ra e l a p o y o d e lo s siste m a s e n o p e ra c i n , c u a n d o lo s c o n tro le s e st n o p e ra tiv o s
p a ra la re v isi n d e la s c o n tra se a s. L o s c o n tro le s d e b e ra n a se g u ra r q u e ta le s
c o n tra se a s se c a m b ie n d e sp u s d e su u so .
N C h 2 7 7 7
3 8
8.1.6 Gestin externa de las instalaciones
E l u so d e p e rso n a l e x te rn o p a ra g e stio n a r la s in sta la c io n e s d e p ro c e sa m ie n to d e
in fo rm a c i n p u ed e in tro d u c ir u n a p o te n c ia l e x p o sic i n d e la seg u rid a d , ta l c o m o la
p o sib ilid ad d e c o m p ro m e te r, d a a r, o p e rd e r lo s d a to s en e l sitio d e l p e rso n a l e x te rn o .
E sto s rie sg o s se d eb e ra n id e n tific a r p o r a d e la n ta d o , y se d e b e ra n a c o rd a r lo s c o n tro le s
a p ro p ia d o s c o n e l p e rso n a l e x te rn o e in c o rp o ra rlo s e n e l c o n tra to (v e r ta m b i n 4 . 2 . 2 y 4 . 3
p a ra la g u a d e lo s c o n tra to s d e te rc e ra s p a rte s q u e in v o lu c re n e l a c c e so a la s
in sta la c io n e s d e la o rg a n iza c i n y co n tra to s d e e x te rn a liza c i n ).
S e d e b e ra c o n sig n a r q u e se in c lu y an la s m a te ria s sig u ie n te s:
a ) id e n tific a r la s a p lic a c io n e s se n sib le s o c rtic a s, la s q u e se a n m e jo r m an te n e r
in te rn a m e n te ;
b ) o b te n e r la a p ro b a c i n d e lo s d u e o s d e la a p lic a c i n d e l n e g o c io ;
c ) im p lic a n c ia s d e lo s p la n e s d e co n tin u id a d d e l n e g o c io ;
d ) n o rm a s d e se g u rid a d e sp e c fic a s y lo s p ro c e so s p a ra m e d ir su c u m p lim ie n to ;
e ) a sig n a c i n d e re sp o n sa b ilid ad e s y p ro c e d im ie n to s p a ra m o n ito re a r e fe c tiv a m e n te
to d a s la s a c tiv id a d e s p e rtin en te s d e se g u rid ad ;
f) re sp o n sa b ilid ad e s y p ro c e d im ie n to s p a ra in fo rm a r y g e stio n a r lo s in c id e n te s d e
se g u rid a d (v e r 8 . 1 . 3 ).
8.2 Aceptacin y planificacin del sistema
O b je tiv o : M in im iza r e l rie sg o d e fa lla s d e lo s siste m a s.
E s n e c e sa rio la p re p a ra c i n y p la n ific a c i n p o r a d e la n tad o p a ra a se g u ra r la d isp o n ib ilid a d
d e re c u rso s y c a p a c id a d ad e c u a d a .
S e d e b e ra n h a c e r p ro y e c c io n e s d e lo s re q u isito s fu tu ro s d e c a p a c id a d , p a ra re d u c ir e l
rie sg o d e so b re c a rg a .
S e d e b e ra n e sta b le c e r lo s re q u isito s d e o p e ra c i n d e lo s n u e v o s sistem a s, d o cu m e n ta r y
p ro b a r a n te s d e su a c e p ta c i n y u so .
8.2.1 Planificacin de la capacidad
L a s d e m a n d a s d e c a p a c id a d d e p ro c e so se d e b e ra n m o n ito re a r y h a c e r p ro y e c c io n e s d e
lo s re q u e rim ie n to s fu tu ro s p a ra a se g u ra r q u e e st d isp o n ib le u n a ad e c u a d a c a p a c id a d d e
p ro c e so y a lm a c e n a m ie n to . E sta s p ro y e c c io n e s d e b e ra n to m a r e n cu e n ta lo s n u e v o s
n e g o c io s y lo s re q u isito s d e l siste m a, la te n d e n c ia a c tu a l y p ro y e c ta d a e n e l
p ro c e sa m ie n to d e la in fo rm a c i n d e la o rg a n iza c i n .
N C h 2 7 7 7
3 9
L o s c o m p u tad o re s p rin c ip a le s re q u ie re n a te n c i n p a rtic u la r, d e b id o a l a lto co sto y tie m p o
p a ra o b te n e r u n au m e n to d e c a p a c id a d . L o s d ire c tiv o s e n c a rg a d o s d e lo s c o m p u tad o re s
p rin c ip a le s d e se rv ic io s d e b e ra n m o n ito re a r la u tiliza c i n d e lo s re c u rso s c la v e s d e l
siste m a , in c lu y e n d o p ro c e sa d o re s, a lm a c e n a m ie n to p rin c ip a l, a lm a c e n a m ie n to e n a rc h iv o ,
im p re so ra s y o tro s d isp o sitiv o s d e sa lid a , y siste m a s d e c o m u n ic a c io n e s. E llo s d e b e ra n
id e n tific a r la s te n d e n c ia s en e l u so d e e sto s, p a rtic u la rm e n te e n re la c i n a la s a p lic a c io n e s
d e l n e g o c io o h e rra m ie n ta s d e l siste m a d e g e sti n d e la in fo rm a c i n .
L o s d ire c tiv o s d e b e ra n u sa r e sta in fo rm a c i n p a ra id e n tific a r y e v ita r p o te n c ia le s c u e llo s
d e b o te lla q u e p u e d an p re se n ta r u n a am e n a za a la se g u rid a d d e l siste m a o a lo s se rv ic io s
d e l u su a rio y p la n ific a r u n a a c c i n d e so lu c i n a p ro p ia d a .
8.2.2 Aceptacin del sistema
S e d e b e ra n e sta b le c e r lo s c rite rio s d e a c e p ta c i n d e lo s n u e v o s siste m a s d e in fo rm a c i n ,
a c tu a liza c io n e s, n u e v a s v e rsio n e s y d e la s p ru e b a s a p ro p ia d a s a re a liza r a l siste m a a n te s
d e la a c e p ta c i n . L o s d ire c tiv o s d e b e ra n a se g u ra r q u e lo s re q u isito s y c rite rio s d e
a c e p ta c i n d e lo s n u e v o s siste m a s se a n d e fin id o s c la ra m e n te , a c o rd a d o s, d o c u m e n ta d o s
y p ro b ad o s. S e d eb e ra n c o n sid e ra r lo s c o n tro le s sig u ie n te s:
a ) re q u isito s d e d e sem p e o y c ap a c id a d d e l c o m p u ta d o r;
b ) p ro c e d im ie n to s d e re in ic io , d e re c u p e ra c i n p o r e rro r y p la n e s d e c o n tin g e n c ia ;
c ) p re p a ra c i n y p ru e b a d e lo s p ro c e d im ie n to s d e o p e ra c i n ru tin a rio s se g n la s n o rm a s
d e fin id a s;
d ) a c o rd a r u n co n ju n to d e c o n tro le s d e se g u rid a d e n e l sitio ;
e ) p ro c e d im ie n to s m an u a le s e fe c tiv o s;
f) c o n fig u ra c io n e s d e co n tin u id a d d e l n e g o c io , c o m o lo re q u e rid o e n 1 1 . 1 ;
g ) e v id e n c ia d e q u e la in sta la c i n d e lo s n u e v o s sistem a s n o a fe c ta r n a d v e rsa m e n te lo s
siste m a s e x iste n te s, p a rtic u la rm e n te e n lo s tie m p o s d e m x im o p ro c e sa m ie n to , ta le s
c o m o fin e s d e m e s;
h ) e v id e n c ia d e q u e se h a to m a d o e n c o n sid e ra c i n e l e fe c to d e l n u e v o siste m a e n to d a
la se g u rid a d d e la o rg a n iza c i n ;
i) e n tre n a m ie n to en la o p e ra c i n o u so d e lo s n u e v o s siste m a s.
P a ra d e sa rro llo s n u e v o s y m s e x te n so s, se d e b e ra c o n su lta r a lo s u su a rio s y la s
fu n c io n e s d e o p e ra c i n en to d a s la s e ta p a s d e d e sa rro llo d e l p ro c e so , p a ra a se g u ra r la
e fic ie n c ia o p e ra c io n a l d e l d ise o d e l siste m a p ro p u e sto . S e d eb e ra n re a liza r la s p ru e b a s
a p ro p ia d a s p a ra c o n firm a r q u e to d o s lo s c rite rio s d e a c e p ta c i n se sa tisfa g an to ta lm e n te .
N C h 2 7 7 7
4 0
8.3 Proteccin contra el software malicioso
O b je tiv o : P ro te g e r la in teg rid a d d e l so ftw a re y d e la in fo rm a c i n .
S e re q u ie re to m a r p re c a u c io n e s p a ra p re v e n ir y d e te c ta r la in tro d u c c i n d e so ftw a re
m a lic io so .
L a s in sta la c io n e s d e p ro c e sa m ie n to d e in fo rm a c i n y e l so ftw a re so n v u ln e ra b le s a la
in tro d u c c i n d e so ftw a re m a lic io so , ta l c o m o v iru s c o m p u ta c io n a l, w o rm s, tro y an o s (v e r
ta m b i n 1 0 . 5 . 4 ) y b o m b a s l g ic a s. L o s u su a rio s d eb e ra n te n e r c o n c ie n c ia d e lo s p e lig ro s
d e l so ftw a re m a lic io so o n o au to riza d o , y lo s d ire c tiv o s d e b e ra n , c u a n d o se a a p ro p ia d o ,
a g re g a r c o n tro le s e sp e c ia le s p a ra d e te c ta r o p re v e n ir su in tro d u c c i n . E n p a rtic u la r e s
e se n c ia l q u e se to m e n p re c a u c io n e s p a ra d e te c ta r y p re v e n ir lo s v iru s c o m p u ta c io n a le s e n
lo s c o m p u tad o re s p e rso n a le s.
8.3.1 Controles contra el software malicioso
S e d e b e ra n im p le m e n ta r c o n tro le s y p ro c e d im ie n to s a p ro p ia d o s p a ra la se n sib iliza c i n d e
p re v e n c i n y d e te c c i n c o n tra e l so ftw a re m a lic io so . L a p ro te c c i n c o n tra e l so ftw a re
m a lic io so se d e b e ra b a sa r e n la se n sib iliza c i n so b re se g u rid ad , siste m a s a d e cu a d o s d e
a c c e so y c o n tro le s d e g e sti n d e c a m b io s. S e d e b e ra n c o n sid e ra r lo s c o n tro le s
sig u ie n te s:
a ) u n a p o ltic a fo rm a l q u e e x ija e l c u m p lim ie n to c o n la s lic e n c ia s d e so ftw a re y p ro h ib ir e l
u so d e so ftw a re n o a u to riza d o (v e r 1 2 . 1 . 2 . 2 );
b ) u n a p o ltic a fo rm a l p a ra p ro te g e rse d e lo s rie sg o s a so c ia d o s c o n la o b te n c i n v a re d e s
e x te rn a s d e a rc h iv o s y so ftw a re , o p o r o tro s m e d io s, in d ic a n d o q u m ed id a s d e
p ro te c c i n se d e b e ra n to m a r (v e r tam b i n 1 0 . 5 , e sp e c ia lm e n te 1 0 . 5 . 4 y 1 0 . 5 . 5 );
c ) in sta la c i n y a c tu a liza c i n p e rm a n e n te d e so ftw a re a n tiv iru s d e d e te c c i n y
re p a ra c i n , p a ra e x a m in a r c o m p u ta d o re s y d isp o sitiv o s, y a se a c o m o u n c o n tro l
p re v e n tiv o o c o m o ru tin a b sic a ;
d ) re v isio n e s re g u la re s d e co m p o rta m ie n to d e l so ftw a re y d a to s q u e c o n tie n e n lo s
siste m a s d e ap o y o a lo s p ro c e so s c rtic o s d e l n e g o c io . S e d e b e ra in v e stig a r
fo rm a lm e n te la p re se n c ia d e c u a lq u ie r a rc h iv o n o ap ro b a d o o c o rre c c io n e s n o
a u to riza d a s;
e ) v e rific a c i n d e v iru s a n te s d e u sa r c u a lq u ie r a rc h iv o e n u n d isp o sitiv o e le c tr n ic o d e
o rig e n in c ie rto o n o au to riza d o , o a rc h iv o s re c ib id o s d e re d e s n o c o n fia b le s;
f) v e rific a c i n d e so ftw a re m a lic io so s a n te s u sa r c u a lq u ie r a rc h iv o a d ju n to d e c o rre o
e le c tr n ic o y d e sc a rg a s d e a rc h iv o s. E sta v e rific a c i n se p u e d e re a liza r e n d ife re n te s
lu g a re s, p o r e je m p lo , en e l se rv id o r d e c o rre o e le c tr n ic o , c o m p u ta d o re s d e e sc rito rio
o c u a n d o se e n tre a la re d d e la o rg a n iza c i n ;
N C h 2 7 7 7
4 1
g ) re sp o n sa b ilid ad e s y p ro c e d im ie n to s d e g e sti n p a ra tra ta r la p ro te c c i n c o n tra v iru s e n
lo s siste m a s, e n tre n a m ien to d e su u so , in fo rm e y re c u p e ra c i n d e a taq u e s d e v iru s
(v e r 6 . 3 y 8 . 1 . 3 );
h ) p la n e s a p ro p ia d o s d e co n tin u id a d d e l n e g o c io p a ra la re c u p e ra c i n p o r a ta q u e s d e
v iru s, in c lu y e n d o to d o s lo s re sp a ld o s d e d a to s y so ftw a re n e c e sa rio s y d isp o sic io n e s
d e re c u p e ra c i n (v e r c l u su la 1 1 );
i) p ro c e d im ie n to s p a ra v e rific a r to d a la in fo rm a c i n re la c io n a d a c o n e l so ftw a re
m a lic io so y a se g u ra r q u e lo s b o le tin e s d e ad v e rte n c ia s se a n e x a c to s e in fo rm a tiv o s.
L o s d ire c tiv o s d e b e ra n a se g u ra r c u le s so n la s fu e n te s c a lific a d a s, p o r e je m p lo ,
re v ista s d e p re stig io , sitio s d e in te rn e t c o n fia b le s o p ro v e e d o re s d e so ftw a re a n tiv iru s,
p a ra d ife re n c ia r e n tre b ro m a s y v iru s re a le s. E l p e rso n a l d e b e ra te n e r c o n c ie n c ia d e l
p ro b le m a d e la s b ro m a s y q u h a c e r a l re c ib o d e e lla s.
E sto s c o n tro le s so n e sp e c ia lm e n te im p o rta n te s p a ra re d e s d e se rv id o re s d e ap o y o a g ra n
n m e ro d e e sta c io n e s d e tra b a jo .
8.4 Administracin interna
O b je tiv o : M a n te n e r la in te g rid a d y d isp o n ib ilid a d d e l p ro c e sa m ie n to d e in fo rm a c i n y d e
lo s se rv ic io s d e c o m u n ic a c i n .
S e d e b e ra n e sta b le c e r lo s p ro c e d im ie n to s d e ru tin a p a ra re a liza r la e stra te g ia d e re sp a ld o
a c o rd a d a (v e r 1 1 . 1 ), to m an d o c o p ia s d e re sp a ld o d e lo s d a to s y e n sa y a n d o su
re c u p e ra c i n o p o rtu n a m en te , re g istra n d o lo s e v e n to s y fa lla s y c u a n d o se a ap ro p ia d o ,
m o n ito re a n d o e l a m b ie n te d e lo s e q u ip o s.
8.4.1 Respaldo de la informacin
S e d e b e ra n to m a r re g u la rm e n te c o p ia s d e re sp a ld o d e la in fo rm a c i n y so ftw a re e se n c ia l
d e l n e g o c io . S e d e b e ra n p ro v e e r la s in sta la c io n e s ad e c u a d a s d e re sp a ld o p a ra a se g u ra r
q u e to d a la in fo rm a c i n y e l so ftw a re e se n c ia l d e l n e g o c io se p u ed a re c u p e ra r d e sp u s d e
u n d e sa stre o u n a fa lla d e a lg n d isp o sitiv o . L a s c o n fig u ra c io n e s d e re sp a ld o p a ra lo s
siste m a s in d iv id u a le s se d e b e ra n p ro b a r re g u la rm e n te p a ra a se g u ra r q u e e lla s c u m p le n
c o n lo s re q u isito s d e lo s p la n e s d e c o n tin u id a d d e l n eg o c io (v e r c l u su la 1 1 ). S e d e b e ra n
c o n sid e ra r lo s co n tro le s sig u ie n te s:
a ) A lm a c e n a r e n u n a u b ic a c i n re m o ta, u n n iv e l m n im o d e in fo rm a c i n d e re sp a ld o ,
ju n to c o n re g istro s e x a c to s y co m p le to s d e la s c o p ia s d e re sp a ld o y lo s
p ro c e d im ie n to s d o c u m e n ta d o s d e re sta b le c im ie n to , e sta u b ic a c i n d eb e ra e sta r a u n a
d ista n c ia ta l q u e e sc a p e d e c u a lq u ie r d a o p ro d u c to d e u n d e sa stre e n e l sitio
p rin c ip a l. A l m e n o s tre s g en e ra c io n e s o c ic lo s d e in fo rm a c i n d e re sp a ld o se d e b e ra n
g u a rd a r e n ap lic a c io n e s im p o rta n te s d e l n e g o c io .
N C h 2 7 7 7
4 2
b ) A la in fo rm a c i n d e re sp a ld o se le d e b e ra d a r u n a p ro p ia d o n iv e l d e p ro te c c i n fsic a y
d e l m e d io (v e r c l u su la 7 ), co n siste n te c o n la s n o rm a s ap lic a d a s e n e l sitio p rin c ip a l.
L o s c o n tro le s a p lic a d o s a lo s d isp o sitiv o s e n e l sitio p rin c ip a l se d e b e ra n e x te n d e r
p a ra c u b rir e l sitio d e re sp a ld o .
c) Lo s d isp o sitiv o s d e resp ald o se d eb eran p ro b ar reg u larm en te, cu an d o sea p rctico , p ara
aseg u rar q u e ello s p u ed en ser d e u so co n fiab le en u n a em erg en cia cu an d o sea n ecesario .
d ) L o s p ro c e d im ie n to s d e re sta b le c im ie n to se d e b e ra n re v isa r y p ro b a r re g u la rm e n te p a ra
a se g u ra r q u e e llo s so n e fe c tiv o s y q u e se p u e d e n co m p le ta r d en tro d e l tie m p o
a sig n a d o a lo s p ro c e d im ie n to s d e re c u p e ra c i n d e la o p e ra c i n .
S e d eb era d eterm in ar el p ero d o d e reten ci n d e la in fo rm aci n esen cial d el n eg o cio , y
tam b in cu alq u ier req u isito p ara arch iv ar co p ias q u e estn p erm an en tem en te g u ard ad as
(v er 1 2 . 1 . 3 ).
8.4.2 Registros del operador
E l p e rso n a l d e o p e ra c io n e s d e b e ra m a n ten e r u n re g istro d e su s a c tiv id a d e s. L o s re g istro s
d e b e ra n in c lu ir, cu a n d o se a ap ro p ia d o :
a ) h o ra d e in ic io y t rm in o d e l siste m a;
b ) e rro re s d e l siste m a y a c c io n e s c o rre c tiv a s to m ad a s;
c ) c o n firm a c i n d e la m an ip u la c i n c o rre c ta d e lo s a rc h iv o s d e d a to s y sa lid a s d e l
c o m p u tad o r;
d ) e l n o m b re d e la p e rso n a q u e h a c e e l re g istro d e e n tra d a .
L o s re g istro s d e l o p e ra d o r d eb e ra n e sta r su je to s a re v isio n e s in d e p e n d ie n te s y re g u la re s
d e lo s p ro c e d im ie n to s d e o p e ra c i n .
8.4.3 Registro de falla
S e d e b e ra n in fo rm a r la s fa lla s y la a c c i n c o rre c tiv a to m a d a . S e d e b e ra n re g istra r la s
fa lla s in fo rm a d a s p o r lo s u su a rio s e n re la c i n a p ro b le m a s c o n lo s siste m a s d e
p ro c e sa m ie n to d e in fo rm a c i n o co m u n ic a c io n e s. D e b e ra n e x istir re g la s c la ra s p a ra la
m a n ip u la c i n d e in fo rm e s d e fa lla s, in c lu y e n d o :
a ) re v isi n d e re g istro s d e fa lla p a ra a se g u ra r q u e sta s se h a y a n re su e lto
sa tisfa c to ria m e n te ;
b ) re v isi n d e m e d id a s c o rre c tiv a s p a ra a se g u ra r q u e lo s c o n tro le s n o se h a y a n
c o m p ro m e tid o y q u e la a c c i n to m ad a e st to ta lm e n te a u to riza d a .
N C h 2 7 7 7
4 3
8.5 Gestin de red
O b je tiv o : A se g u ra r la sa lv a g u a rd ia d e la in fo rm a c i n en la s re d e s y p ro te c c i n d e la
in fra e stru c tu ra d e a p o y o .
R e q u ie re a te n c i n la g e sti n d e seg u rid a d d e la s re d e s q u e p u e d e n e x te n d e r lo s lm ite s d e
la o rg a n iza c i n .
T a m b i n se p u e d e n n e c e sita r c o n tro le s ad ic io n a le s p a ra p ro te g e r lo s d a to s sen sib le s q u e
p a sa n p o r re d e s p b lic a s.
8.5.1 Controles de redes
P a ra lo g ra r y m a n te n e r la seg u rid a d e n re d e s d e c o m p u ta d o re s e s n e c e sa rio u n a v a rie d a d
d e c o n tro le s. L o s a d m in istra d o re s d e re d e s d e b e ra n im p le m e n ta r c o n tro le s p a ra
re sg u a rd a r la se g u rid a d d e lo s d a to s e n la s re d e s, y la p ro te c c i n d e lo s a c c e so s n o
a u to riza d o s a lo s se rv ic io s c o n e c ta d o s. S e d e b e ra n c o n sid e ra r e n p a rtic u la r lo s c o n tro le s
sig u ie n te s:
a ) L a re sp o n sa b ilid ad o p e ra c io n a l d e la s re d e s se d e b e ra se p a ra r d e la s o p e ra c io n e s d e l
c o m p u tad o r c u an d o se a a p ro p ia d o (v e r 8 . 1 . 4 ).
b ) S e d e b e ra n e sta b le c e r la s re sp o n sa b ilid a d e s y p ro c ed im ie n to s p a ra la g e sti n d e
e q u ip o s re m o to s, in c lu y e n d o lo s eq u ip o s en re a s d e u su a rio s.
c ) S i e s n e c e sa rio , se d e b e ra n e sta b le c e r c o n tro le s e sp e c ia le s p a ra sa lv a g u a rd a r la
c o n fid e n c ia lid a d e in te g rid a d d e lo s d a to s q u e p a sa n p o r la s re d e s p b lic a s, y p a ra
p ro te g e r lo s siste m a s co n e c ta d o s (v e r 9 . 4 y 1 0 . 3 ). P a ra m a n te n e r la d isp o n ib ilid ad d e
lo s se rv ic io s d e la re d y d e lo s c o m p u ta d o re s co n e c ta d o s p u e d e n se r n e c e sa rio s
c o n tro le s e sp e c ia le s.
d ) L a s a c tiv id a d e s d e g e sti n d eb e ra n e sta r c o o rd in ad a s p a ra o p tim iza r e l se rv ic io d e l
n e g o c io y a se g u ra r q u e lo s c o n tro le s se an c o n siste n te m en te a p lic a d o s a to d a la
in fra e stru c tu ra d e p ro c e sa m ie n to d e la in fo rm a c i n .
8.6 Seguridad y manipulacin de dispositivos
O b je tiv o : P re v e n ir d a o s a lo s b ie n e s e in te rru p c io n e s a la s a c tiv id a d e s d e l n eg o c io .
L o s d isp o sitiv o s se d e b e ra n c o n tro la r y p ro te g e r fsic a m e n te .
S e d e b e ra n e sta b le c e r lo s p ro c e d im ie n to s a p ro p ia d o s d e o p e ra c i n p a ra p ro te g e r d e
d a o s, ro b o s y a c c e so n o a u to riza d o a lo s d o c u m e n to s, d isp o sitiv o s c o m p u ta c io n a le s
(c in ta s, d isc o s, c a sse tte s), d a to s d e e n tra d a y sa lid a y a la d o c u m en ta c i n d e l siste m a.
N C h 2 7 7 7
4 4
8.6.1 Gestin de dispositivos removibles de computadores
D e b e ra n e x istir p ro c e d im ie n to s p a ra la g e sti n d e d isp o sitiv o s c o m p u ta c io n a le s,
re m o v ib le s, ta le s co m o c in ta s, d isc o s, c a sse tte s e in fo rm e s im p re so s. S e d e b e ra n
c o n sid e ra r lo s co n tro le s sig u ie n te s:
a ) S e d e b e ra n b o rra r lo s c o n te n id o s p re v io s d e c u a lq u ie r d isp o sitiv o re u tiliza b le q u e se
re tire d e la o rg a n iza c i n , si y a n o se n e c e sita .
b ) S e d e b e ra n e c e sita r a u to riza c i n p a ra to d o s lo s d isp o sitiv o s q u e se re tire n d e la
o rg a n iza c i n y c o n se rv a r u n re g istro d e ta le s re tiro s p a ra m a n ten e r u n a a u d ito ra d e
se g u im ie n to (v e r 8 . 7 . 2 ).
c ) S e d e b e ra n a lm a c e n a r to d o s lo s d isp o sitiv o s en u n lu g a r y am b ie n te se g u ro , d e
a c u e rd o c o n la s e sp e c ific a c io n e s d e l fa b ric a n te .
T o d o s lo s p ro c e d im ie n to s y n iv e le s d e a u to riza c i n d e b e ra n e sta r c la ra m e n te
d o c u m en ta d o s.
8.6.2 Eliminacin de dispositivos en desuso
L o s d isp o sitiv o s se d e b e ra n e lim in a r sin rie sg o s n i a c c id e n te s c u an d o n o se n e c e site n
m s. L a in fo rm a c i n se n sib le se p o d ra fu g a r a p e rso n a s e x te rn a s a tra v s d e la
e lim in a c i n d e scu id a d a d e d isp o sitiv o s e n d e su so . P a ra m in im iza r e ste rie sg o se d e b e ra n
e sta b le c e r lo s p ro c e d im ie n to s fo rm a le s p a ra la e lim in a c i n seg u ra d e lo s d isp o sitiv o s e n
d e su so . S e d e b e ra n c o n sid e ra r lo s c o n tro le s sig u ie n te s:
a ) L o s d isp o sitiv o s q u e c o n tie n e n in fo rm a c i n sen sib le se d e b e ra n a lm a c e n a r y d e se c h a r
sin rie sg o s n i a c c id e n te s, p o r e je m p lo , p o r in c in e ra c i n o tritu ra c i n , o v a c ia d o d e lo s
d a to s m e d ia n te o tra a p lic a c i n d en tro d e la o rg a n iza c i n .
b ) L a sig u ie n te lista id e n tific a lo s te m e s e n d e su so q u e p o d ra n n e c e sita r u n a e lim in a c i n
se g u ra :
b . 1 ) d o c u m en to s d e p a p e l;
b . 2 ) g ra b a c io n e s d e v o z u o tra ;
b . 3 ) p a p e l c a lc o ;
b . 4 ) in fo rm e s d e sa lid a ;
b . 5 ) c in ta s d e im p re so ra d e u n so lo u so ;
b . 6 ) c in ta s m a g n tic a s;
b . 7 ) d isc o s re m o v ib le s o c a sse tte s;
N C h 2 7 7 7
4 5
b . 8 ) d isp o sitiv o s d e a lm a c e n a m ie n to p tic o (to d a s la s fo rm a s, in c lu y e n d o lo s m e d io s
d e d istrib u c i n d e to d o s lo s fa b ric a n te s d e so ftw a re );
b . 9 ) lista d o s d e p ro g ra m a s;
b . 1 0 ) d a to s d e p ru eb a ;
b . 1 1 ) d o c u m en ta c i n d e l siste m a.
c ) P u e d e se r m s f c il ju n ta r y d isp o n e r d e to d o s lo s te m e s d e lo s d isp o sitiv o s y
d e sh a c e rse sin rie sg o s, m s q u e in te n ta r se p a ra r lo s te m e s se n sib le s.
d ) M u c h a s o rg a n iza c io n e s o fre c e n lo s se rv ic io s d e ju n ta r y e lim in a r lo s p a p e le s,
d isp o sitiv o s y e q u ip o s e n d e su so . S e d e b e ra te n e r c u id ad o en se le c c io n a r e l p e rso n a l
e x te rn o a d e c u a d o c o n e x p e rie n c ia y co n tro le s a p ro p ia d o s.
e ) L a e lim in a c i n d e te m e s se n sib le s e n d e su so se d eb e ra re g istra r, c u a n d o se a p o sib le,
c o n e l fin d e m a n te n e r u n a au d ito ra d e se g u im ie n to .
C u a n d o se a c u m u la n d isp o sitiv o s e n d e su so , se d e b e ra te n e r e n c o n sid e ra c i n e l e fe c to
a g re g a d o , lo s q u e p o d ra n c a u sa r u n a g ra n c a n tid a d d e in fo rm a c i n n o c la sific a d a y q u e
p u e d e lle g a r a se r m s sen sib le q u e u n a c a n tid a d p e q u e a d e in fo rm a c i n c la sific a d a .
8.6.3 Procedimientos de manipulacin de la informacin
S e d e b e ra n e sta b le c e r lo s p ro c e d im ie n to s p a ra la m a n ip u la c i n y a lm a c e n a m ie n to d e la
in fo rm a c i n c o n e l fin d e p ro te g e r ta l in fo rm a c i n d e u n a d iv u lg a c i n n o a u to riza d a o m a l
u so . L o s p ro c e d im ien to s p a ra la m a n ip u la c i n d e la in fo rm a c i n se d e b e ra n d ise a r d e
a c u e rd o c o n su c la sific a c i n (v e r 5 . 2 ), e n d o c u m e n to s, siste m a s c o m p u ta c io n a le s, re d e s,
c o m p u tad o re s m v ile s, c o m u n ic a c io n e s m v ile s, c o rre o , c o rre o d e v o z, c o m u n ic a c io n e s
d e v o z en g en e ra l, m u ltim e d io s, in sta la c io n e s y se rv ic io s p o sta le s, u so d e m q u in a s d e
fa x y c u a lq u ie r o tro te m se n sib le , p o r e je m p lo , c h e q u e s e n b la n c o s, fa c tu ra s. S e d e b e ra n
c o n sid e ra r lo s co n tro le s sig u ie n te s (v e r ta m b i n 5 . 2 y 8 . 7 . 2 ):
a ) m a n ip u la c i n y e tiq u e ta d o d e to d o s lo s d isp o sitiv o s [v e r ta m b i n 8 . 7 . 2 a)];
b ) re stric c io n e s d e a c c e so p a ra id en tific a r a l p e rso n a l n o au to riza d o ;
c ) m a n te n im ie n to d e u n re g istro fo rm a l d e lo s re c e p to re s d e d a to s a u to riza d o s;
d ) a se g u ra m ie n to d e q u e lo s d a to s d e e n tra d a e st n c o m p le to s, q u e e l p ro c e sa m ie n to se
c o m p le te a p ro p ia d a m e n te y q u e se ap liq u e la v a lid a c i n d e la sa lid a ;
e ) p ro te c c i n d e lo s d a to s e n la co la d e e sp e ra d e im p re si n d e sa lid a , d e a c u e rd o co n su
se n sib ilid a d ;
N C h 2 7 7 7
4 6
f) a lm a c e n a m ie n to d e lo s d isp o sitiv o s e n u n a m b ie n te q u e e st d e a c u e rd o co n la s
e sp e c ific a c io n e s d e l fa b ric a n te ;
g ) m a n te n e r la d istrib u c i n d e d a to s a l m n im o ;
h ) m a rc a r e n fo rm a c la ra to d a s la s c o p ia s d e d a to s p a ra la a te n c i n d e lo s re c e p to re s
a u to riza d o s;
i) re v isi n d e la s lista s d e d istrib u c i n y lista s d e re c e p to re s a u to riza d o s a in te rv a lo s
re g u la re s.
8.6.4 Seguridad de la documentacin de sistema
L a d o c u m en ta c i n d e sistem a p u e d e c o n te n e r u n a v a rie d a d d e in fo rm a c i n se n sib le , p o r
e je m p lo , d e sc rip c io n e s d e p ro c e so s d e a p lic a c io n e s, p ro c ed im ie n to s, e stru c tu ra s d e d a to s,
p ro c e so s d e a u to riza c i n (v e r ta m b i n 9 . 1 ). L o s sig u ie n te s c o n tro le s se d e b e ra n
c o n sid e ra r p a ra p ro te g e r d e l a c c e so n o au to riza d o a la d o c u m en ta c i n d e l siste m a .
a ) L a d o c u m en ta c i n d e l siste m a se d eb e ra a lm a c e n a r d e m a n e ra se g u ra .
b ) L a lista d e a c c e so a la d o c u m e n ta c i n d e l siste m a d eb e ra se r lo m s p e q u e a p o sib le
y a u to riza d a p o r e l d u e o d e la a p lic a c i n .
c ) L a d o c u m en ta c i n d e l siste m a q u e se m an tie n e e n o se su m in istra v a u n a re d p b lic a ,
se d e b e ra p ro te g e r ap ro p ia d a m en te .
8.7 Intercambios de informacin y software
O b je tiv o : P re v e n ir p rd id a s, m o d ific a c i n o m a l u so d e la in fo rm a c i n in te rc a m b ia d a e n tre
o rg a n iza c io n e s.
L o s in te rc a m b io s d e in fo rm a c i n y so ftw a re e n tre o rg a n iza c io n e s se d e b e ra c o n tro la r y
h a c e r c u m p lir c o n u n a le g isla c i n p e rtin e n te (v e r c l u su la 1 2 ).
L o s in te rc a m b io s se d e b e ra n in c lu ir en lo s a c u e rd o s b a se . S e d e b e ra n e stab le c e r lo s
p ro c e d im ie n to s y n o rm a s p a ra p ro teg e r lo s d isp o sitiv o s y la in fo rm a c i n e n tr n sito . S e
d e b e ra n c o n sid e ra r lo s re q u isito s d e lo s c o n tro le s y la s im p lic a n c ia s e n e l n e g o c io y e n la
se g u rid a d , a so c ia d a s c o n e l in te rc a m b io d e d a to s e le c tr n ic o s, co m e rc io e le c tr n ic o y
c o rre o e le c tr n ic o .
N C h 2 7 7 7
4 7
8.7.1 Acuerdos de intercambio de informacin y software
S e d e b e ra n e sta b le c e r lo s a c u e rd o s p a ra e l in te rc a m b io (y a se a m an u a l o e le c tr n ic o ) d e
in fo rm a c i n y so ftw a re e n tre o rg a n iza c io n e s, a lg u n o s d e lo s c u a le s p u e d en se r fo rm a le s,
in c lu y e n d o c u a n d o c o rre sp o n d a , lo s a c u e rd o s d e so ftw a re d e re sg u a rd o . E l c o n ten id o d e
se g u rid a d d e ta l a c u e rd o d eb e ra re fle ja r la se n sib ilid a d d e la in fo rm a c i n d e l n e g o c io
in v o lu c ra d a . Lo s a c u e rd o s e n la s c o n d ic io n e s d e se g u rid ad d eb e ra n c o n sid e ra r:
a ) re sp o n sa b ilid ad e s d e la g e sti n p a ra c o n tro la r y n o tific a r la tra n sm isi n , d e sp a c h o y
re c e p c i n ;
b ) p ro c e d im ie n to s p a ra n o tific a r e l e n v o , tra n sm isi n , d e sp a c h o y re c e p c i n ;
c ) n o rm a s t c n ic a s m n im a s p a ra e m p a q u e ta r y tra n sm itir;
d ) n o rm a s d e id e n tific a c i n d e l c o u rie r;
e ) re sp o n sa b ilid ad e s y o b lig a c io n e s e n e l e v e n to d e p rd id a d e d a to s;
f) u so d e u n siste m a d e e tiq u e ta d o p a ra la in fo rm a c i n se n sib le o c rtic a , a se g u ra n d o
q u e e l sig n ific a d o d e la s e tiq u e ta s se a in m e d ia ta m en te e n te n d id o y q u e la in fo rm a c i n
se a a p ro p ia d a m en te p ro teg id a ;
g ) la p ro p ie d a d d e l so ftw a re y la in fo rm a c i n y re sp o n sa b ilid a d e s d e p ro te c c i n d e lo s
d a to s, c u m p lim ie n to c o n lo s d e re c h o s d e p ro p ie d ad d e l so ftw a re y c o n sid e ra c io n e s
sim ila re s (v e r 1 2 . 1 . 2 y 1 2 . 1 . 4 );
h ) n o rm a s t c n ic a s p a ra g ra b a r y le e r e l so ftw a re y la in fo rm a c i n ;
i) c u a lq u ie r c o n tro l e sp e c ia l q u e p u ed a se r n e c e sa rio p a ra p ro te g e r lo s te m e s se n sib le s,
ta le s c o m o c la v e s c rip to g r fic a s (v e r 1 0 . 3 . 5 ).
8.7.2 Seguridad de los dispositivos en trnsito
L a in fo rm a c i n p u ed e se r v u ln e ra b le a l a c c e so n o a u to riza d o , m a l u so o c o rru p c i n
d u ra n te e l tra n sp o rte fsic o , p o r e je m p lo c u a n d o se e n v a n d isp o sitiv o s v a se rv ic io p o sta l
o c o u rie r. S e d e b e ra n a p lic a r lo s sig u ie n te s c o n tro le s p a ra sa lv a g u a rd a r lo s d isp o sitiv o s
c o m p u ta c io n a le s q u e se e stn tra n sp o rta n d o e n tre sitio s.
a ) S e d e b e ra n u sa r c o u rie r o tra n sp o rte s c o n fia b le s. S e d e b e ra a c o rd a r c o n la d ire c c i n
u n a lista d e c o u rie rs a u to riza d o s y u n p ro c e d im ie n to p a ra v e rific a r la id e n tific a c i n d e
lo s c o u rie r im p le m e n ta d o s.
b ) E l e m p aq u e ta m ie n to d e b e ra se r su fic ie n te p a ra p ro te g e r lo s c o n ten id o s d e cu a lq u ie r
p ro b a b le a p a ric i n d e d a o fsic o d u ra n te e l tr n sito y d e a c u e rd o co n la s
e sp e c ific a c io n e s d e l fa b ric a n te .
N C h 2 7 7 7
4 8
c ) S e d e b e ra n a d o p ta r c o n tro le s e sp e c ia le s, d o n d e se a n e c e sa rio , p a ra p ro teg e r la
in fo rm a c i n se n sib le a la d iv u lg a c i n o m o d ific a c i n n o a u to riza d a . P o r e je m p lo in c lu ir:
c . 1 ) u so d e c o n te n e d o re s c o n lla v e ;
c . 2 ) e n tre g a p o r m a n o ;
c . 3 ) e m p a q u e co n d e te c c i n d e m an ip u la c i n n o a u to riza d a (q u e re v e la c u a lq u ie r
in te n to d e o b te n e r a c c e so );
c . 4 ) e n c a so s e x c e p c io n a le s, d iv id ir e l e n v o e n m s d e u n a e n tre g a y d e sp a c h o
m e d ia n te d ife re n te s ru ta s;
c . 5 ) u sa r la firm a e le c tr n ic a y la e n c rip ta c i n d e c o n fid en c ia lid a d , v e r 1 0 . 3 .
8.7.3 Seguridad en el comercio electrnico
E l c o m e rc io e le c tr n ic o p u ed e in v o lu c ra r e l u so d e in te rc a m b io d e d a to s d ig ita le s (E D I ),
c o rre o e le c tr n ic o y tra n sa c c io n e s e n ln e a a tra v s d e la s re d e s p b lic a s, ta l c o m o
in te rn e t. E l c o m e rc io e le c tr n ic o e s v u ln e ra b le a v a ria s a m e n a za s d e la re d q u e p u e d en
lle v a r a u n a a c tiv id a d fra u d u le n ta, d isp u ta co n tra c tu a l y d iv u lg a c i n o m o d ific a c i n d e la
in fo rm a c i n . S e d e b e ra n ap lic a r c o n tro le s p a ra p ro te g e r e l c o m e rc io e le c tr n ic o d e ta le s
a m e n a za s. S e d e b e ra n in c lu ir lo s sig u ien te s c o n tro le s p a ra c o n sid e ra r la se g u rid a d e n e l
c o m e rc io e le c tr n ic o .
a ) A u te n tic a c i n . Q u n iv e l d e c o n fia n za d e b e ra n e c e sita r e l c lie n te y e l co m e rc ia n te ,
u n o d e l o tro a l e x ig ir la id en tid a d ?
b ) A u to riza c i n . Q u i n e st a u to riza d o p a ra c o lo c a r p re c io s, e m itir o firm a r d o c u m e n to s
d e c o m e rc ia liza c i n ? C m o c o n o c e e sto e l so c io d e la c o m e rc ia liza c i n ?
c ) P ro c e so s d e p ro p u e sta s y c o n tra to s. C u le s so n lo s re q u isito s d e c o n fid e n c ia lid a d ,
in te g rid a d y p ru e b a d e d e sp a c h o y re c e p c i n d e lo s d o cu m e n to s c la v e s y d e n o
d e sc o n o c im ie n to d e lo s c o n tra to s?
d ) I n fo rm a c i n d e p re c io . Q u n iv e l d e c o n fia n za se p u e d e p o n e r e n la in te g rid a d d e la
lista d e p re c io s p u b lic a d a y la c o n fid e n c ia lid a d d e lo s c o n v e n io s d e d e sc u e n to s
se n sib le s?
e ) T ra n sa c c io n e s d e so lic itu d . C m o e s la co n fid e n c ia lid ad e in teg rid a d d e la so lic itu d ,
p a g o y d e ta lle s d e la d ire c c i n d e e n tre g a y la c o n firm a c i n d e la re c e p c i n ?
f) V e rific a c i n . Q u g ra d o d e v e rific a c i n e s a p ro p ia d o p a ra re v isa r la in fo rm a c i n d e
p a g o su m in istra d a p o r e l c lie n te ?
g ) P a g o . C u l e s e l m e d io d e p a g o m s ap ro p ia d o , p a ra p ro te g e rse d e lo s fra u d e s?
N C h 2 7 7 7
4 9
h ) M a n e jo d e so lic itu d e s. C u l e s la p ro te c c i n n e c e sa ria p a ra m a n te n e r la
c o n fid e n c ia lid a d e in te g rid a d d e la in fo rm a c i n d e la so lic itu d y e v ita r la p rd id a o
d u p lic a c i n d e la tra n sa c c i n ?
i) R e sp o n sa b ilid ad . Q u i n asu m e e l rie sg o d e c u a lq u ie r a c to fra u d u le n to ?
S e p u e d e n c o n sid e ra r v a rio s d e lo s a sp e c to s a n te rio re s m e d ia n te la ap lic a c i n d e la s
t c n ic a s c rip to g r fic a s in d ic a d a s en 1 0 . 3 , to m a n d o e n c u en ta e l c u m p lim ie n to d e lo s
re q u isito s le g a le s (v e r 1 2 . 1 , e sp e c ia lm e n te 1 2 . 1 . 6 , le g isla c i n re la c io n a d a co n la
c rip to g ra fa ).
L o s c o n v e n io s d e co m e rc io e le c tr n ic o en tre so c io s c o m e rc ia le s se d eb e ra n a p o y a r
m e d ia n te u n a c u e rd o d o c u m en ta d o q u e so m e ta a a m b a s p a rte s a lo s t rm in o s d e
c o m e rc ia liza c i n a c o rd a d o s, in c lu y e n d o lo s d e ta lle s d e au to riza c i n [v e r b ) a n te rio r].
P u e d e n se r n e c e sa rio s o tro s a c u e rd o s c o n lo s p ro v e e d o re s d e se rv ic io s y re d e s d e v a lo r
a g re g a d o .
L o s siste m a s p b lic o s d e c o m e rc ia liza c i n d e b e ra n d iv u lg a r e n tre lo s c lie n te s lo s t rm in o s
d e l n e g o c io .
S e d e b e ra te n e r e n c o n sid e ra c i n la re siste n c ia d e l c o m p u ta d o r u sa d o p a ra e l c o m e rc io
e le c tr n ic o p a ra d e fe n d e rse d e lo s a ta q u e s y la s im p lic a n c ia s e n la se g u rid a d d e c u a lq u ie r
re d d e in te rc o n e x i n n e c e sa ria p a ra su im p le m e n ta c i n (v e r 9 . 4 . 7 ).
8.7.4 Seguridad del correo electrnico
8.7.4.1 Riesgos de la seguridad
E l c o rre o e le c tr n ic o se u sa p a ra la s c o m u n ic a c io n e s d e l n e g o c io , re e m p la za n d o la s
fo rm a s tra d ic io n a le s d e c o m u n ic a c i n , ta le s co m o e l te le x y la c a rta . E l c o rre o e le c tr n ic o
d ifie re d e la s fo rm a s tra d ic io n a le s d e c o m u n ic a c i n d e lo s n eg o c io s, p o r e je m p lo , su
v e lo c id a d , e stru c tu ra d e l m e n sa je , g ra d o d e in fo rm a lid a d y v u ln e ra b ilid a d a a c c io n e s n o
a u to riza d a s. S e d eb e ra te n e r e n c o n sid e ra c i n la n e c e sid a d d e c o n tro le s p a ra re d u c ir lo s
rie sg o s d e la se g u rid ad c re a d o s p o r e l c o rre o e le c tr n ic o . L o s rie sg o s d e la seg u rid a d
in c lu y e n :
a ) v u ln e ra b ilid a d d e lo s m e n sa je s, m o d ific a c io n e s o a c c e so s n o a u to riza d o s o a ta q u e s d e
d e n e g a c i n d e l se rv ic io ;
b ) v u ln e ra b ilid a d a e rro re s, p o r e je m p lo , d ire c c io n e s in c o rre c ta s o d ire c c io n e s m a la s,
c o n fia b ilid a d y d isp o n ib ilid a d d e l se rv ic io e n g e n e ra l;
c ) im p a c to d e u n c a m b io e n lo s d isp o sitiv o s d e c o m u n ic a c i n en lo s p ro c e so s d e lo s
n e g o c io s, p o r e je m p lo , e l e fe c to d e au m e n ta r la v e lo c id a d d e d e sp a c h o o e l e fe c to d e
e n v ia r m e n sa je s fo rm a le s d e p e rso n a a p e rso n a a n te s q u e d e c o m p a a a co m p a a ;
N C h 2 7 7 7
5 0
d ) c o n sid e ra c io n e s le g a le s, ta le s c o m o la n e c e sid a d p o ten c ia l d e c o m p ro b a r e l o rig e n ,
d e sp a c h o , e n tre g a y a c e p ta c i n ;
e ) im p lic a n c ia s d e te n e r la lista d e p e rso n a l p u b lic a d a s p a ra e l a c c e so e x te rn o ;
f) c o n tro l a u su a rio s c o n a c c e so re m o to a la s c u e n ta s d e c o rre o e le c tr n ic o .
8.7.4.2 Poltica para el correo electrnico
L a s o rg a n iza c io n e s d e b e ra n fo rm u la r u n a p o ltic a c la ra p a ra e l u so d e l c o rre o e le c tr n ic o ,
in c lu y e n d o :
a ) a ta q u e s a l c o rre o e le c tr n ic o , p o r e je m p lo , v iru s, in te rc e p c i n ;
b ) p ro te c c i n d e lo s a rc h iv o s ad ju n to s a lo s co rre o s e le c tr n ic o s;
c ) g u a s d e c u n d o u sa r o n o e l c o rre o e le c tr n ic o ;
d ) re sp o n sa b ilid ad d e lo e m p le a d o s p a ra n o c o m p ro m e te r a la c o m p a a , p o r e je m p lo en
e l e n v o d e c o rre o s e le c tr n ic o s d ifa m a to rio s, u so p a ra h o stig a m ien to s, c o m p ra s n o
a u to riza d a s;
e ) u so d e t c n ic a s d e c rip to g ra fa p a ra p ro te g e r la c o n fid e n c ia lid a d e in te g rid a d d e lo s
m e n sa je s e le c tr n ic o s (v e r 1 0 . 3 );
f) c o n se rv a c i n d e m e n sa je s q u e , si so n a lm a c e n a d o s, se p o d ra n u tiliza r e n c a so d e
litig io s;
g ) c o n tro le s a d ic io n a le s p a ra la v e rific a c i n d e m e n sa je s q u e n o se p u e d e n a u te n tic a r.
8.7.5 Seguridad de los sistemas de la oficina electrnica
S e d e b e ra n p re p a ra r e im p le m e n ta r la s p o ltic a s y g u a s p a ra c o n tro la r e l n e g o c io y lo s
rie sg o s d e se g u rid ad a so c ia d o s co n lo s sistem a s e le c tr n ic o s d e o fic in a . E sta s p ro v e e n
o p o rtu n id a d e s p a ra u n a d isem in a c i n y c o m p a rtic i n m s r p id a d e la in fo rm a c i n d e l
n e g o c io u sa n d o u n a c o m b in a c i n d e : d o c u m e n to s, c o m p u tad o re s, co m p u ta d o re s m v ile s,
c o m u n ic a c io n e s m v ile s, c o rre o , c o rre o d e v o z, c o m u n ic a c io n e s d e v o z e n g en e ra l,
m u ltim e d io s, in sta la c io n e s y se rv ic io s p o sta le s y e q u ip o s d e fa x .
T e n ie n d o e n c o n sid e ra c i n la se g u rid a d y la s im p lic a n c ia s e n lo s n e g o c io s d e la
in te rc o n e x i n d e ta le s in sta la c io n e s, se d eb e ra in c lu ir:
a ) v u ln e ra b ilid a d e s d e la in fo rm a c i n en lo s siste m a s d e o fic in a , p o r e je m p lo , g ra b a c i n
d e lla m a d a s o lla m a d a s e n c o n fe re n c ia , c o n fid e n c ia lid a d d e la s lla m a d a s,
a lm a c e n a m ie n to d e fa c sm ile s, ap e rtu ra d e c o rre o , d istrib u c i n d e c o rre o ;
b ) p o ltic a y c o n tro le s a p ro p ia d o s p a ra la a d m in istra c i n d e c o m p a rtic i n d e la
in fo rm a c i n , p o r e je m p lo , e l u so d e u n b o le tn e le c tr n ic o c o rp o ra tiv o (v e r 9 . 1 );
N C h 2 7 7 7
5 1
c ) e x c lu si n d e la c a te g o ra d e in fo rm a c i n sen sib le d e l n e g o c io , si e l sistem a n o p ro v e e
u n a p ro p ia d o n iv e l d e p ro te c c i n (v e r 5 . 2 );
d ) re stric c i n d e a c c e so a la in fo rm a c i n d ia ria a p e rso n a s se le c c io n a d a s, p o r e je m p lo , e l
p e rso n a l q u e tra b a ja e n p ro y e c to s se n sib le s;
e ) la c o n v e n ie n c ia o n o , d e l siste m a p a ra a p o y a r la s a p lic a c io n e s e n lo s n e g o c io s, ta le s
c o m o co m u n ic a c io n e s d e rd en e s o a u to riza c io n e s;
f) c a te g o ra s d e l p e rso n a l, e x te rn o o so c io s d e l n e g o c io q u e tie n e n p e rm itid o u sa r e l
siste m a y la s u b ic a c io n e s d e sd e la s c u a le s se p u ed e a c c e d e r (v e r 4 . 2 );
g ) re stric c i n a la s in sta la c io n e s se le c c io n a d a s a la s c a te g o ra s e sp e c fic a s d e u su a rio s;
h ) id e n tific a c i n d e l e stad o d e lo s u su a rio s, p o r e je m p lo , a tra v s d e u n d ire c to rio d e
e m p le a d o s d e la o rg a n iza c i n o p e rso n a l e x te rn o , p a ra u so d e o tro s u su a rio s;
i) co n serv aci n y resp ald o d e la in fo rm aci n m an ten id a en el sistem a (v er 1 2 . 1 . 3 y 8 . 4 . 1 );
j) re q u e rim ie n to s y c o n fig u ra c io n e s d e re c u p e ra c i n (v e r 1 1 . 1 ).
8.7.6 Sistemas disponibles pblicamente
S e d e b e ra te n e r c u id a d o e n p ro te g e r la in te g rid a d d e la in fo rm a c i n p u b lic a d a
e le c tr n ic a m e n te p a ra e v ita r la m o d ific a c i n n o a u to riza d a q u e p o d ra d a a r la re p u ta c i n
d e la o rg a n iza c i n q u e e st p u b lic a n d o la in fo rm a c i n . L a in fo rm a c i n e n u n siste m a
d isp o n ib le p b lic a m e n te , p o r e je m p lo , la in fo rm a c i n e n u n se rv id o r WE B a c c e sib le a
tra v s d e in te rn e t, p u ed e se r n e c e sa rio q u e d e b a c u m p lir c o n la s le y e s, re g la s y
re g la m e n to s d e la ju risd ic c i n e n la c u a l e l siste m a e st u b ic a d o o d o n d e se re a liza la
c o m e rc ia liza c i n . D e b e ra e x istir u n p ro c e so d e a u to riza c i n fo rm a l an te s q u e la
in fo rm a c i n e st d isp o n ib le p b lic a m e n te .
E l so ftw a re , d a to s y o tra in fo rm a c i n q u e n e c e sita u n a lto n iv e l d e in te g rid a d , se d e b e ra
p ro te g e r m e d ia n te m e c a n ism o s ad e c u a d o s, p a ra d e ja rla a c c e sib le e n u n siste m a d isp o n ib le
p b lic a m e n te , p o r e je m p lo , p o r m ed io d e la firm a e le c tr n ic a (v e r 1 0 . 3 . 3 ). L o s siste m a s
q u e p u b lic a n en fo rm a e le c tr n ic a , e sp e c ia lm e n te aq u e llo s q u e p e rm ite n re a lim e n ta c i n y
u n in g re so d ire c to d e in fo rm a c i n , se d e b e ra n c o n tro la r c u id a d o sam e n te d e m o d o q u e :
a ) la in fo rm a c i n se o b te n g a e n cu m p lim ien to co n la le g isla c i n d e p ro te c c i n d e d a to s
(v e r 1 2 . 1 . 4 );
b ) la in fo rm a c i n d e e n tra d a y la p ro c e sa d a p o r e l siste m a d e p u b lic a c i n se p ro c e se
to ta lm e n te y e x a c ta m e n te e n fo rm a o p o rtu n a ;
c ) la in fo rm a c i n se n sib le se p ro teg e r d u ra n te e l p ro c e so d e re c o le c c i n y c u a n d o se
a lm a c e n e ;
d ) e l a c c e so a l siste m a d e p u b lic a c i n n o p e rm ita e l a c c e so in v o lu n ta rio a la s re d e s q u e
e st n c o n e c ta d a s.
N C h 2 7 7 7
5 2
8.7.7 Otras formas de intercambio de informacin
L o s p ro c e d im ie n to s y c o n tro le s d e b e ra n e sta r e n e l sitio p a ra p ro te g e r e l in te rc a m b io d e
in fo rm a c i n m e d ia n te e l u so d e la s in sta la c io n e s d e co m u n ic a c io n e s d e v o z, fa x y v id eo .
L a in fo rm a c i n se p o d ra c o m p ro m e te r d e b id o a la fa lta d e c o n o c im ie n to d e la p o ltic a o d e
lo s p ro c e d im ie n to s p a ra e l u so d e ta le s in sta la c io n e s, p o r e je m p lo , la e sc u c h a c a su a l d e u n
te l fo n o m v il e n u n lu g a r p b lic o , la s m q u in a s c o n te stad o ra s q u e so n e sc u c h a d a s
c a su a lm e n te , a c c e so n o au to riza d o p o r d isc a d o a siste m a s d e c o rre o d e v o z o e l en v o
a c c id e n ta l d e fa c sm ile s a p e rso n a s eq u iv o c ad a s u san d o e q u ip o s d e fa x .
L a s o p e ra c io n e s d e l n e g o c io se p o d ra n in te rru m p ir y la in fo rm a c i n se p o d ra
c o m p ro m e te r si fa lla n , se so b re c a rg a n o in te rru m p e n la s in sta la c io n e s d e c o m u n ic a c io n e s
(v e r 7 . 2 y c l u su la 1 1 ). L a in fo rm a c i n ta m b i n se p o d ra c o m p ro m e te r si sta s so n
a c c e sib le s p o r u su a rio s n o au to riza d o s (v e r c l u su la 9 ).
S e d e b e ra te n e r u n a d e c la ra c i n d e u n a p o ltic a c la ra d e lo s p ro c e d im ie n to s q u e e l
p e rso n a l d eb e ra se g u ir e n e l u so d e la s c o m u n ic a c io n e s d e v o z, fa c sm ile s y v id e o . E sto
in c lu ira :
a ) re c o rd a r a l p e rso n a l q u e e llo s d e b e ra n to m a r la s p re c a u c io n e s a p ro p ia d a s, p o r e je m p lo
n o re v e la r in fo rm a c i n se n sib le , e v ita n d o la e sc u c h a c a su a l o la in te rc e p ta c i n c u an d o
se e st h a c ie n d o u n a lla m a d a te le f n ic a , p o r:
a . 1 ) la s p e rso n a s d e su v e c in d ad in m e d ia ta , p a rtic u la rm e n te c u a n d o se u san
te l fo n o s m v ile s;
a . 2 ) la in te rc e p ta c i n d e ln e a s te le f n ic a s y o tra s fo rm a s d e e sc u c h a n o a u to riza d a s
a tra v s d e a c c e so fsic o a lo s a u ric u la re s d e lo s te l fo n o s o ln e a s te le f n ic a s,
e l u so d e re c e p to re s d e e x p lo ra c i n c u a n d o se u san te l fo n o s m v ile s a n lo g o s;
a . 3 ) p e rso n a s en e l te rm in a l re c e p to r;
b ) re c o rd a r a l p e rso n a l q u e e llo s n o d e b e ra n ten e r c o n v e rsa c io n e s c o n fid e n c ia le s e n
lu g a re s p b lic o s u o fic in a s a b ie rta s y lu g a re s d e re u n i n c o n p a re d e s d e lg ad a s;
c ) n o d e ja r m e n sa je s e n m q u in a s co n te sta d o ra s y a q u e sta s p u e d e n se r e sc u c h a d a s
p o r p e rso n a s n o au to riza d a s, a lm a c e n a r e n siste m as c o m u n ita rio s o a lm a c e n a r
in c o rre c ta m e n te d e b id o a u n d isc a d o m a l re a liza d o ;
d ) re c o rd a r a l p e rso n a l lo s p ro b le m a s re la c io n a d o s c o n e l u so d e lo s e q u ip o s d e fa x , a
sa b e r:
d . 1 ) a c c e so n o au to riza d o a l a lm a c n d e m e n sa je s p re d e te rm in a d o s p a ra
re c u p e ra rlo s;
N C h 2 7 7 7
5 3
d . 2 ) p ro g ra m a c i n d e lib e ra d a o a c c id e n ta l d e lo s e q u ip o s p a ra e n v ia r m e n sa je s a
n m e ro s e sp e c fic o s;
d . 3 ) e n v o d e d o cu m e n to s y m en sa je s a u n n m e ro e q u iv o c a d o p o r m a l d isc a d o o
u so d e u n n m e ro a lm a c e n a d o e q u iv o c a d o .
9 Control de acceso
9.1 Requisitos del negocio para el control de acceso
O b je tiv o : C o n tro la r e l a c c e so a la in fo rm a c i n .
S e d e b e ra c o n tro la r e l a c c e so a la in fo rm a c i n y a lo s p ro c e so s d e l n e g o c io , e n b a se a lo s
re q u isito s d e l n e g o c io y d e se g u rid a d .
E sto d e b e ra to m a r e n c u en ta la s p o ltic a s p a ra la a u to riza c i n y d ise m in a c i n d e la
in fo rm a c i n .
9.1.1 Poltica de control de acceso
9.1.1.1 Poltica y requisitos del negocio
S e d e b e ra n d e fin ir y d o cu m e n ta r lo s re q u isito s d e l n e g o c io p a ra e l c o n tro l d e a c c e so . S e
d e b e ra n e sta b le c e r c la ra m e n te la s re g la s y d e re c h o s d e l c o n tro l d e a c c e so d e c a d a
u su a rio o g ru p o d e u su a rio s e n la d e c la ra c i n d e la p o ltic a d e a c c e so .
L o s u su a rio s y lo s p ro v e e d o re s d e se rv ic io s d e b e ra n h a c e r u n a d e c la ra c i n c la ra d e q u e
c u m p le n c o n lo s re q u isito s d e l n e g o c io e n lo s c o n tro le s d e a c c e so .
L a p o ltic a d e b e ra to m a r e n c u en ta lo sig u ie n te :
a ) lo s re q u isito s seg u rid a d d e la s ap lic a c io n e s in d iv id u a le s d e l n e g o c io ;
b ) id e n tific a c i n d e to d a la in fo rm a c i n re la c io n a d a co n la s a p lic a c io n e s d e l n e g o c io ;
c ) p o ltic a s p a ra la d isem in a c i n y a u to riza c i n d e la in fo rm a c i n , p o r e je m p lo , la
n e c e sid a d d e c o n o c e r lo s p rin c ip io s y lo s n iv e le s d e se g u rid a d y la c la sific a c i n d e la
in fo rm a c i n ;
d ) c o n siste n c ia e n tre e l co n tro l d e a c c e so y la s p o ltic a s d e c la sific a c i n d e la
in fo rm a c i n d e d ife re n te s siste m a s y re d e s;
e ) le g isla c i n p e rtin e n te y c u a lq u ie r o b lig a c i n c o n tra c tu a l re la c io n a d a c o n la p ro te c c i n
d e a c c e so a d a to s o se rv ic io s (v e r c l u su la 1 2 );
N C h 2 7 7 7
5 4
f) p e rfile s d e a c c e so d e u su a rio n o rm a liza d o p a ra u n a c a te g o ra d e tra b a jo c o m n ;
g ) g e sti n d e lo s d e re c h o s d e a c c e so e n u n a m b ie n te d istrib u id o y e n re d q u e re c o n o c e
to d o s lo s tip o s d e c o n e x io n e s d isp o n ib le s.
9.1.1.2 Reglas del control de acceso
E n la e sp e c ific a c i n d e la s re g la s d e co n tro l d e a c c e so , se d eb e ra te n e r c u id a d o e n
c o n sid e ra r lo sig u ie n te :
a ) d ife re n c ia c i n e n tre re g la s q u e sie m p re se d e b en e x ig ir y re g la s q u e so n o p c io n a le s o
c o n d ic io n a le s;
b ) e sta b le c im ie n to d e re g la s b a sa d a s e n la p re m isa se debe prohibir a menos que
expresamente se permita m s q u e en la re g la d b il todo est generalmente permitido
a menos que expresamente se prohiba;
c ) lo s c a m b io s e n la s e tiq u e ta s d e la in fo rm a c i n (v e r 5 . 2 ) q u e se in ic ia n
a u to m tic a m e n te p o r lo s e q u ip o s d e p ro c e sa m ie n to d e la in fo rm a c i n y a q u e llo s q u e
se in ic ia n a d isc re c i n d e u n u su a rio ;
d ) lo s c a m b io s e n e l p e rm iso d e u su a rio s q u e se in ic ia n a u to m tic a m e n te p o r e l sistem a
d e in fo rm a c i n y a q u e llo s q u e se in ic ia n p o r u n a d m in istra d o r;
e ) re g la s q u e n e c e sita n a p ro b a c i n d e l a d m in istra d o r u o tra ap ro b a c i n a n te s d e la
p u b lic a c i n y a q u e lla s q u e n o .
9.2 Gestin de acceso de usuario
O b je tiv o : P re v e n ir e l a c c e so n o a u to riza d o a lo s sistem a s d e in fo rm a c i n .
L o s p ro c e d im ie n to s fo rm a le s d e b e ra n e sta r e n e l sitio p a ra c o n tro la r la a sig n a c i n d e
d e re c h o s d e a c c e so a lo s se rv ic io s y siste m a s d e in fo rm a c i n .
L o s p ro c e d im ie n to s d e b e ra n cu b rir to d a s la s e ta p a s e n e l c ic lo d e v id a d e lo s a c c e so s d e
u su a rio , d e sd e e l re g istro in ic ia l d e n u e v o s u su a rio s h a sta e l re g istro fin a l d e u su a rio s
q u ie n e s y a n o n e c e sita n a c c e d e r a lo s se rv ic io s y siste m a s d e in fo rm a c i n . S e d e b e ra d a r
e sp e c ia l a te n c i n c u a n d o se a a p ro p ia d o , a la n e c e sid a d d e c o n tro la r la a sig n a c i n d e
d e re c h o s d e a c c e so p riv ile g ia d o s, q u e p e rm ite n a lo s u su a rio s a n u la r lo s c o n tro le s d e l
siste m a .
N C h 2 7 7 7
5 5
9.2.1 Registro de usuario
D e b e ra e x istir u n p ro c e d im ie n to d e re g istro fo rm a l d e u su a rio y d e b o rra d o d e re g istro
p a ra o to rg a r e l a c c e so a to d o s lo s se rv ic io s y sistem a s d e in fo rm a c i n m u ltiu su a rio .
E l a c c e so a se rv ic io s d e in fo rm a c i n m u ltiu su a rio se d e b e ra c o n tro la r a tra v s d e u n
p ro c e so d e re g istro fo rm a l d e u su a rio , e l q u e d e b e ra in c lu ir:
a ) u sa r u n n ic o u se r I D s d e m o d o q u e lo s u su a rio s se p u e d a n c o n e c ta r y h a c e r
re sp o n sa b le s d e su s a c c io n e s. E l u so d e I D s d e g ru p o se d e b e ra s lo p e rm itir d o n d e
e llo se a a p ro p ia d o p a ra re a liza r a lg n tra b a jo ;
b ) v e rific a r q u e e l u su a rio ten g a au to riza c i n d e l p ro p io siste m a p a ra e l u so d e l siste m a
d e in fo rm a c i n o se rv ic io . T a m b in p u e d e se r ap ro p ia d a u n a ap ro b a c i n se p a ra d a d e
la d ire c c i n d e lo s d e re c h o s d e a c c e so ;
c) v erificar q u e el n iv el d e acceso q u e se o to rg a sea ap ro p iad o a lo s p ro p sito s d el n eg o cio
(v er 9 . 1 ) y q u e sea co n sisten te co n la p o ltica d e seg u rid ad o rg an izacio n al, p o r ejem p lo ,
n o co m p ro m eter la sep araci n d e las o b lig acio n es (v er 8 . 1 . 4 );
d ) e n tre g a r a lo s u su a rio s u n a d e c la ra c i n e sc rita d e su s d e re c h o s d e a c c e so ;
e ) re q u e rir a lo s u su a rio s firm a r la s d e c la ra c io n e s q u e in d ic a n q u e e llo s e n tie n d e n la s
c o n d ic io n e s d e a c c e so ;
f) a se g u ra r q u e lo s p ro v e e d o re s d e se rv ic io n o p ro v e a n se rv ic io h a sta q u e lo s
p ro c e d im ie n to s d e a u to riza c i n e stn c o m p le to s;
g ) m a n te n e r u n re g istro fo rm a l d e to d a s la s p e rso n a s re g istra d a s p a ra e l u so d e l se rv ic io ;
h ) re tira r in m e d ia ta m e n te lo s d e re c h o s d e a c c e so d e u su a rio s a q u ie n e s c a m b ia ro n d e
tra b a jo o d e ja ro n la o rg a n iza c i n ;
i) v e rific a c i n y re m o c i n p e ri d ic a d e u se r I D s y c u e n ta s re d u n d a n te s;
j) a se g u ra r q u e la s u se r I D s re d u n d a n te s n o se em ita n a o tro s u su a rio s.
S e d e b e ra c o n sid e ra r la in c lu si n d e c l u su la s e n e l co n tra to d e l p e rso n a l y en lo s
c o n tra to s d e se rv ic io s q u e e sp e c ifiq u e n sa n c io n e s si e l p e rso n a l o a g en te s d e se rv ic io
in te n ta u n a c c e so n o a u to riza d o (v e r 6 . 1 . 4 y 6 . 3 . 5 ).
N C h 2 7 7 7
5 6
9.2.2 Gestin de privilegio
S e d e b e ra re strin g ir y c o n tro la r la a sig n a c i n y e l u so d e p riv ile g io s (c u a lq u ie r
c a ra c te rstic a o fa c ilid a d d e u n siste m a d e in fo rm a c i n m u ltiu su a rio q u e p e rm ita a l u su a rio
p a sa r p o r so b re e l siste m a o p o r so b re lo s co n tro le s d e la a p lic a c i n ). A m en u d o se
e n c u e n tra q u e e l u so in a p ro p ia d o d e p riv ile g io s d e l sistem a e s e l fa c to r q u e m s
c o n trib u y e en la s fa lla s p o r v io la c i n d e lo s siste m a s.
L o s siste m a s m u ltiu su a rio q u e re q u ie re n p ro te c c i n c o n tra e l a c c e so n o a u to riza d o
d e b e ra n te n e r la a sig n a c i n d e p riv ile g io s c o n tro la d a m ed ia n te u n p ro c e so d e a u to riza c i n
fo rm a l. S e d eb e ra n c o n sid e ra r lo s p a so s sig u ie n te s:
a ) L o s p riv ile g io s a so c ia d o s c o n c a d a p ro d u c to d e l siste m a, p o r e je m p lo , sistem a
o p e ra tiv o , siste m a d e g e sti n d e la b a se d e d a to s y d e c a d a a p lic a c i n , se d e b e ra n
id e n tific a r la s c a te g o ra s d e l p e rso n a l a la s q u e e llo s se r n a sig n a d o s.
b ) A sig n a r lo s p riv ile g io s a in d iv id u o s e n b a se a u n a n e c e sid a d d e u so y en b a se a u n
e v e n to p o r e v e n to , e s d e c ir, la n e c e sid a d m n im a d e su s ro le s fu n c io n a le s y s lo
c u a n d o se n e c e site .
c ) M a n te n e r u n p ro c e so d e au to riza c i n y u n re g istro d e p riv ile g io s a sig n a d o s. Lo s
p riv ile g io s n o se d e b e ra n o to rg a r h a sta q u e e l p ro c e so d e a u to riza c i n e st c o m p le to .
d ) P ro m o v e r e l d e sa rro llo y u so d e ru tin a s d e l siste m a p a ra e v ita r la n e c e sid a d d e o to rg a r
p riv ile g io s a lo s u su a rio s.
e ) A sig n a r lo s p riv ile g io s a u n a id e n tid a d d e u su a rio d ife re n te d e a q u e lla q u e se u tiliza
p a ra e l u so n o rm a l d e l n e g o c io .
9.2.3 Gestin de contrasea de usuario
L a s c o n tra se a s so n u n a fo rm a co m n d e v a lid a r la id e n tid a d d e l u su a rio p a ra a c c e d e r a
u n sistem a d e in fo rm a c i n o se rv ic io . L a a sig n a c i n d e co n tra se a se d e b e ra c o n tro la r
m e d ia n te u n p ro c e so fo rm a l d e g e sti n , u n a c e rc a m ie n to a e sto d eb e ra :
a ) re q u e rir q u e lo s u su a rio s firm e n u n a d e c la ra c i n d e m a n te n im ie n to c o n fid e n c ia l d e la s
c o n tra se a s p e rso n a le s, y d e la s c o n tra se a s d e g ru p o so la m e n te d e n tro d e lo s
m ie m b ro s d e l g ru p o (e sto se p o d ra in c lu ir e n lo s t rm in o s y c o n d ic io n e s d e em p le o ,
v e r 6 . 1 . 4 );
b ) a se g u ra r, c u a n d o se a n e c e sa rio q u e lo s u su a rio s m an te n g an su s p ro p ia s co n tra se a s,
q u e e llo s e st n p ro v isto s in ic ia lm e n te co n u n a co n tra se a te m p o ra l se g u ra y q u e e llo s
se a n o b lig a d o s a c a m b ia rla in m e d ia ta m e n te . L a s c o n tra se a s te m p o ra le s q u e se
p ro v e e n c u an d o e l u su a rio o lv id la su y a, se d e b e ra n p ro p o rc io n a r sig u ie n d o u n a
id e n tific a c i n p o sitiv a d e l u su a rio ;
N C h 2 7 7 7
5 7
c ) re q u e rir c o n tra se a s te m p o ra le s p a ra e n tre g a rla s a lo s u su a rio s d e u n a m a n e ra seg u ra .
S e d e b e ra e v ita r e l u so d e te rc e ra s p a rte s o m e n sa je s d e c o rre o e le c tr n ic o n o
p ro te g id o (te x to e n c la ro ). L o s u su a rio s d e b e ra n d a r u n a c u so re c ib o , d e co n o c im ie n to
d e la c o n tra se a.
L a s c o n tra se a s n u n c a se d eb e ra n a lm a c e n a r e n u n c o m p u ta d o r e n fo rm a d e sp ro te g id a.
T a m b i n e stn d isp o n ib le s o tra s te c n o lo g a s p a ra la id e n tific a c i n d e u su a rio y
a u te n tic a c i n , ta l co m o la s b io m tric a s, p o r e je m p lo , v e rific a c i n d e h u e lla d ig ita l,
v e rific a c i n d e firm a y u so d e to k e n s, p o r e je m p lo , ta rje ta s in te lig e n te s, q u e se d e b e ra n
c o n sid e ra r si so n ap ro p ia d a s.
9.2.4 Revisin de los derechos de acceso de usuario
P a ra m a n te n e r u n c o n tro l e fe c tiv o d e l a c c e so a lo s d a to s y se rv ic io s d e in fo rm a c i n , la
d ire c c i n d e b e ra te n e r u n p ro c e so fo rm a l p a ra re v isa r a in te rv a lo s re g u la re s lo s d e re c h o s
d e a c c e so d e u su a rio , d e m o d o q u e :
a ) lo s d e re c h o s d e a c c e so d e u su a rio se re v ise n a in te rv a lo s re g u la re s (se re c o m ie n d a u n
p e ro d o d e se is m e se s) y d e sp u s d e cu a lq u ie r c a m b io (v e r 9 . 2 . 1 );
b ) la s a u to riza c io n e s p a ra d e re c h o s d e a c c e so p riv ile g ia d o (v e r 9 . 2 . 2 ) se d e b e ra n re v isa r
a in te rv a lo s m s fre c u e n te s; se re c o m ie n d a u n p e ro d o d e tre s m e se s;
c ) la s a sig n a c io n e s d e p riv ile g io se re v ise n a in te rv a lo s re g u la re s p a ra a se g u ra r q u e n o se
h a y a n o b te n id o p riv ile g io s n o au to riza d o s.
9.3 Responsabilidades del usuario
O b je tiv o : P re v e n ir e l a c c e so d e u su a rio n o a u to riza d o .
L a c o o p e ra c i n d e lo s u su a rio s a u to riza d o s e s e se n c ia l p a ra u n a e fe c tiv a se g u rid a d .
L o s u su a rio s d e b e ra n te n e r c o n c ie n c ia d e su s re sp o n sab ilid a d e s p a ra m a n te n e r e fe c tiv o s
lo s c o n tro le s d e a c c e so , p a rtic u la rm e n te c o n re la c i n a l u so d e la c o n tra se a y la
se g u rid a d d e lo s e q u ip o s e n u so .
9.3.1 Uso de la contrasea
L o s u su a rio s d e b e ra n te n e r u n a b u e n a p r c tic a d e se g u rid ad e n la se le c c i n y u so d e la s
c o n tra se a s.
E l p ro v e e r d e c o n tra se a e s u n a fo rm a d e v a lid a r la id e n tid a d d e l u su a rio y a s e stab le c e r
lo s d e re c h o s d e a c c e so a la s in sta la c io n e s d e p ro c e sa m ie n to d e la in fo rm a c i n o se rv ic io s.
T o d o s lo s u su a rio s d e b e ra n e sta r n o tific a d o s d e :
a ) m a n te n e r e n fo rm a c o n fid e n c ia l la s co n tra se a s;
b ) e v ita r m a n te n e r u n re g istro d e c o n tra se a s e n p a p e l, a m en o s q u e ste se p u e d a
g u a rd a r e n fo rm a se g u ra ;
N C h 2 7 7 7
5 8
c ) c a m b ia r la s c o n tra se a s cu a n d o q u ie ra q u e e x ista u n a in d ic a c i n d e u n p o sib le
c o m p ro m iso d e la c o n tra se a o d e l sistem a ;
d ) seleccio n ar la ca lid ad d e la co n trase a co n u n a lo n g itu d m n im a d e seis caracteres lo s
q u e:
d . 1 ) se a n f c il d e re c o rd a r;
d . 2 ) n o e stn b a sad o s e n c u a lq u ie r c o sa o e n a lg u n a p e rso n a q u e se p o d ra su p o n e r
f c ilm e n te u o b te n e r u sa n d o la in fo rm a c i n re la c io n a d a c o n la p e rso n a , p o r
e je m p lo , n o m b re s, n m e ro s te le f n ic o s y fe c h a s d e n a c im ie n to s, e tc . ;
d . 3 ) e st n lib re d e c a ra c te re s id n tic o s co n se c u tiv o s o g ru p o s to d o s n u m ric o s o
to d o s a lfa b tic o s.
e ) c a m b ia r la s c o n tra se a s a in te rv a lo s re g u la re s o b asa d o e n e l n m e ro d e a c c e so s (la s
c o n tra se a s p a ra c u en ta s p riv ile g ia d a s se d eb e ra n c a m b ia r m s fre c u e n te m e n te q u e
la s c o n tra se a s n o rm a le s) y e v ita r e l re u so o re c ic la je d e c o n tra se a s v ie ja s;
f) c a m b ia r la c o n tra se a te m p o ra l a l a b rir la p rim e ra se si n ;
g ) n o in c lu ir la c o n tra se a en c u a lq u ie r p ro c e so d e ab rir se si n a u to m a tiza d o , p o r
e je m p lo , a lm a c e n ad a e n u n a m a c ro o e n u n a fu n c i n c la v e ;
h ) n o c o m p a rtir la s c o n tra se a s d e u su a rio s in d iv id u a le s.
S i lo s u su a rio s n e c e sita n a c c e d e r a m ltip le s se rv ic io s o p la ta fo rm a s y e s n e c e sa rio q u e
m a n te n g an m ltip le s c o n tra se a s, e llo s d eb e ra n se r n o tific a d o s q u e p u e d en u sa r u n a
n ic a c o n tra se a d e c a lid a d [v e r d ) a n te rio r] e n to d o s lo s se rv ic io s q u e p ro v e e n u n n iv e l
ra zo n a b le d e p ro te c c i n p a ra la c o n tra se a a lm a c e n a d a.
9.3.2 Equipos desatendidos
L o s u su a rio s se d e b e ra n a se g u ra r q u e lo s eq u ip o s d e sa te n d id o s te n g a n u n a p ro te c c i n
a p ro p ia d a . Lo s eq u ip o s in sta la d o s e n re a s d e u su a rio s, p o r e je m p lo , e sta c io n e s d e tra b a jo
o se rv id o re s d e a rc h iv o , p u e d e n n e c e sita r u n a p ro te c c i n e sp e c fic a a lo s a c c e so s n o
a u to riza d o s cu a n d o se d e ja n d e sa te n d id o s p o r u n p e ro d o la rg o d e tie m p o . T o d o s lo s
u su a rio s y p e rso n a l e x te rn o d e b e ra n ten e r c o n o c im ie n to d e lo s re q u isito s d e se g u rid a d y
lo s p ro c e d im ie n to s p a ra p ro teg e r lo s eq u ip o s d e sa te n d id o s, c o m o tam b i n su s
re sp o n sa b ilid ad e s p a ra im p le m e n ta r ta l p ro te c c i n . L o s u su a rio s d e b e ra n se r n o tific a d o s
p a ra :
a ) c e rra r la s se sio n e s a c tiv a s e n e l c o m p u ta d o r cu a n d o fin a liza la la b o r, a m e n o s q u e
sta s se p u e d a n a se g u ra r m e d ia n te u n a p ro p ia d o m e c a n ism o d e tra b a , p o r e je m p lo ,
c o n p ro te c to r d e p a n ta lla c o n u n a c o n tra se a p ro teg id a ;
N C h 2 7 7 7
5 9
b ) c e rra r la s se sio n e s d e lo s c o m p u tad o re s p rin c ip a le s c u a n d o la se si n fin a liza (e s d e c ir,
n o p re c isa m e n te a p a g a r e l te rm in a l o P C );
c ) a se g u ra r lo s te rm in a le s o P C d e l u so n o a u to riza d o , m e d ia n te u n a c la v e d e tra b a o u n
c o n tro l e q u iv a le n te , p o r e je m p lo , u n a c o n tra se a d e a c c e so cu a n d o n o se u se .
9.4 Control de acceso a la red
O b je tiv o : P ro te c c i n d e lo s se rv ic io s d e re d .
S e d e b e ra c o n tro la r e l a c c e so a lo s se rv ic io s d e re d e x te rn o e in te rn o s.
E sto e s n e c e sa rio p a ra a se g u ra r q u e lo s u su a rio s q u ie n e s tie n e n a c c e so a re d e s y se rv ic io s
d e re d n o c o m p ro m e ta n la seg u rid a d d e e sto s se rv ic io s m e d ia n te e l a se g u ra m ie n to d e :
a ) in te rfa c e s a p ro p ia d a s e n tre la re d d e la o rg a n iza c i n y re d e s d e o tra s o rg a n iza c io n e s o
re d e s p b lic a s;
b ) m e c a n ism o s d e au te n tic a c i n a p ro p ia d o s p a ra u su a rio s y e q u ip o s;
c ) c o n tro l d e l a c c e so d e u su a rio a lo s se rv ic io s d e in fo rm a c i n .
9.4.1 Poltica de uso de los servicios de red
L a s c o n e x io n e s in seg u ra s a lo s se rv ic io s d e re d p u e d en a fe c ta r a to d a la o rg an iza c i n . L o s
u su a rio s d e b e ra n te n e r a c c e so d ire c to a lo s se rv ic io s q u e e llo s h an sid o e sp e c fic a m e n te
a u to riza d o s p a ra u sa r. E ste c o n tro l e s p a rtic u la rm e n te im p o rta n te p a ra a p lic a c io n e s
c rtic a s o se n sib le s d e l n eg o c io , c o n e c ta d a s a la re d o p a ra u su a rio s e n u b ic a c io n e s d e
a lto rie sg o , p o r e je m p lo , e n re a s p b lic a s o e x te rn a s q u e e st n fu e ra d e l c o n tro l y d e la
g e sti n d e seg u rid a d d e la o rg a n iza c i n .
S e d e b e ra fo rm u la r u n a p o ltic a re la tiv a a l u so d e re d e s y se rv ic io s d e re d . E sto d e b e ra
c u b rir:
a ) la s re d e s y se rv ic io s d e re d a la s q u e e l a c c e so e st p e rm itid o ;
b ) p ro c e d im ie n to s d e a u to riza c i n p a ra d e te rm in a r q u ie n tie n e p e rm itid o a c c e d e r a q u
re d e s y se rv ic io s d e re d ;
c ) c o n tro le s d e g e sti n y p ro c e d im ie n to s p a ra p ro te g e r e l a c c e so a la s co n e x io n e s d e la
re d y se rv ic io s d e re d .
E sta p o ltica d eb era ser co n sisten te co n la p o ltica d e co n tro l d e acceso d el n eg o cio
(v er 9 . 1 ).
N C h 2 7 7 7
6 0
9.4.2 Ruta forzada
P u e d e se r n e c e sa rio c o n tro la r la ru ta d e sd e e l te rm in a l d e u su a rio a l se rv ic io
c o m p u ta c io n a l. L a s re d e s se d ise a n p a ra p e rm itir c o m p a rtir e l m x im o d e lo s re c u rso s y
fle x ib ilid a d d e ru ta s. E stas caractersticas tam b in p u ed en p ro v eer o p o rtu n id ad es p ara u n
acceso n o au to rizad o a las ap licacio n es d el n eg o cio o u so n o au to rizad o d e las in stalacio n es
d e in fo rm aci n . In co rp o rar co n tro les q u e restrin jan la ru ta en tre u n term in al d e u su ario y lo s
serv icio s co m p u tacio n ales d e m o d o q u e el u su ario p ara acced er sea au to rizad o , p o r ejem p lo ,
se p u ed en red u cir tales riesg o s crean d o u n a ru ta fo rzad a.
E l o b je tiv o d e u n a ru ta fo rza d a e s p re v e n ir q u e a lg u n o s u su a rio s se le c c io n e n ru ta s
e x te rn a s a la ru ta e n tre e l te rm in a l d e u su a rio y lo s se rv ic io s q u e e l u su a rio e st
a u to riza d o a a c c e d e r.
E sto g e n e ra lm e n te n e c e sita la im p le m e n ta c i n d e u n a v a rie d a d d e c o n tro le s e n d ife re n te s
p u n to s d e la ru ta . E l p rin c ip io e s lim ita r la s o p c io n e s d e ru ta s e n c a d a p u n to d e la re d ,
m e d ia n te la e le c c i n p re d e fin id a .
E je m p lo s d e e sto so n lo s q u e sig u en :
a ) a sig n a n d o ln e a s d e d ic a d a s o n m e ro s te le f n ic o s;
b ) p u e rta s d e co n e x i n a u to m tic a a la s ap lic a c io n e s e sp e c fic a s d e l siste m a o g a te w a y s
d e se g u rid ad ;
c ) m e n lim ita d o u o p c io n e s d e su b m e n p a ra u su a rio s in d iv id u a le s;
d ) im p id ie n d o la tra n sfe re n c ia a re d e s n o lim ita d a s;
e ) im p o n ien d o e l u so d e u n a a p lic a c i n e sp e c fic a d e l siste m a y /o g a te w a y s d e se g u rid a d
p a ra lo s u su a rio s d e re d e s e x te rn a s;
f) c o n tro la n d o a c tiv a m e n te la fu e n te p e rm itid a p a ra e n v ia r c o m u n ic a c io n e s, v a
g a te w a y s d e se g u rid ad , p o r e je m p lo , c o n fire w a lls;
g ) re strin g ie n d o e l a c c e so a la re d , c o n fig u ra n d o u n d o m in io l g ic o se p a ra d o , p o r e je m p lo
re d e s p riv a d a s v irtu a le s, p a ra g ru p o s d e u su a rio s d e n tro d e la o rg a n iza c i n
(v e r ta m b i n 9 . 4 . 6 ).
L o s re q u isito s p a ra u n a ru ta fo rza d a , se d eb e ra n b a sa r e n la p o ltic a d e c o n tro l d e a c c e so
d e l n e g o c io (v e r 9 . 1 ).
N C h 2 7 7 7
6 1
9.4.3 Autenticacin del usuario para conexiones externas
L a s c o n e x io n e s e x te rn a s p ro v e e n u n a c c e so p o te n c ia l n o a u to riza d o a la in fo rm a c i n d e l
n e g o c io , p o r e je m p lo , e l a c c e so p o r m to d o s d e d isc a d o . P o r lo ta n to , e l a c c e so d e
u su a rio s re m o to s d e b e ra e sta r su je to a a u ten tic a c i n . H a y d ife re n te s tip o s d e m to d o s d e
a u te n tic a c i n , a lg u n o s d e e sto s p ro v e e n m a y o r n iv e l d e p ro te c c i n q u e o tro s, p o r
e je m p lo , m to d o s b a sa d o s e n e l u so d e t c n ic a s c rip to g r fic a s q u e p ro v e e n au te n tic a c i n
fu e rte . D e la e v a lu a c i n d e l rie sg o , e s im p o rta n te d e te rm in a r e l n iv e l d e p ro te c c i n
re q u e rid o . E sto se n e c e sita p a ra la se le c c i n a p ro p ia d a d e u n m to d o d e au te n tic a c i n .
L a a u te n tic a c i n d e u su a rio s re m o to s se p u e d e lo g ra r u sa n d o , p o r e je m p lo , u n a t c n ic a e n
b a se a la c rip to g ra fa , to k e n s, o u n p ro to c o lo d e sa fo /re sp u e sta. T am b i n se p u e d e n u sa r
la s ln e a s p riv a d a s d e d ic a d a s o u n a in sta la c i n q u e v e rifiq u e la d ire c c i n d e l u su a rio d e re d
p a ra p ro v e e r se g u rid ad d e l o rig e n d e la c o n e x i n .
Lo s co n tro les y p ro ced im ien to s d el d iscad o d e reto rn o , p o r ejem p lo el u so d e m o d em s d e
d iscad o d e reto rn o , p u ed en p ro v eer p ro tecci n co n tra las co n ex io n es n o au to rizad as y n o
d esead as a las in stalacio n es d e p ro cesam ien to d e in fo rm aci n d e u n a o rg an izaci n . E ste tip o
d e co n tro l au ten tica a lo s u su ario s q u e tratan d e estab lecer u n a co n ex i n a u n a red d e u n a
o rg an izaci n d esd e u b icacio n es rem o tas. C u an d o se u sa este co n tro l, u n a o rg an izaci n n o
d eb era u sar lo s serv icio s d e red q u e in clu y en d esv o d e llam ad as o si ello s se u san , se
d eb era d esh ab ilitar el u so d e tal caracterstica p ara ev itar d eficien cias aso ciad as co n el
d esv o d e llam ad as. T am b in es im p o rtan te q u e el p ro ceso d e llam ad a d e reto rn o in clu y a el
aseg u ram ien to q u e realm en te o cu rre la d esco n ex i n en el lad o d e la o rg an izaci n . D e o tra
m an era, el u su ario rem o to p o d ra m an ten er la ln ea ab ierta tratan d o q u e o cu rra la v erificaci n
d e llam ad a d e reto rn o . Lo s co n tro les y p ro ced im ien to s d e llam ad a d e reto rn o se d eb eran
p ro b ar a fo n d o p ara ev itar esta p o sib ilid ad .
9.4.4 Autenticacin de nodo
U n a in sta la c i n p a ra u n a c o n e x i n au to m tic a a u n c o m p u ta d o r re m o to p o d ra p ro v e e r u n
m o d o d e o b te n e r a c c e so n o a u to riza d o a la a p lic a c i n d e l n e g o c io . P o r lo tan to se
d e b e ra n a u te n tic a r la s c o n e x io n e s a siste m a s c o m p u ta c io n a le s re m o to s. E sto e s
e sp e c ia lm e n te im p o rta n te si la c o n e x i n u sa u n a re d q u e e s e x te rn a a l c o n tro l d e la
g e sti n d e seg u rid a d d e la o rg a n iza c i n . E n 9 . 4 . 3 se in d ic a n a lg u n o s e je m p lo s d e
a u te n tic a c i n y c m o se p u e d e lo g ra r.
L a a u te n tic a c i n d e n o d o p u e d e se rv ir c o m o u n m o d o a lte rn a tiv o d e au te n tic a c i n d e
g ru p o s d e u su a rio s re m o to s cu a n d o e llo s se c o n e c ta n a u n a in sta la c i n c o m p u ta c io n a l
c o m p a rtid a y se g u ra (v e r 9 . 4 . 3 ).
N C h 2 7 7 7
6 2
9.4.5 Proteccin de puerta diagnstico remoto
E l a c c e so a la s p u e rta s d e d ia g n stic o se c o n tro la n e n fo rm a se g u ra . D iv e rso s
c o m p u tad o re s y siste m a s d e c o m u n ic a c i n se in sta la n c o n eq u ip o s d e d ia g n stic o d e
d isc a d o re m o to p a ra e l u so d e lo s in g en ie ro s d e m a n te n im ie n to . E sta s p u e rta s d e
d ia g n stic o p ro v e e n u n a fo rm a d e a c c e so n o a u to riza d o , si e st n d e sp ro te g id a s. P o r lo
ta n to e lla s se d e b e ra n p ro te g e r c o n u n m e c a n ism o d e seg u rid a d a p ro p ia d o , p o r e je m p lo ,
u n a c c e so co n c la v e y u n p ro c e d im ie n to p a ra a se g u ra r q u e e lla s so n a c c e sib le s s lo p o r
a c u e rd o e n tre e l d ire c tiv o d e l se rv ic io c o m p u ta c io n a l y e l p e rso n a l d e a p o y o d e l
h a rd w a re /so ftw a re q u e re q u ie re a c c e so .
9.4.6 Separacin en las redes
L a s re d e s e st n a u m e n ta n d o su e x te n si n m s a ll d e lo s lm ite s tra d ic io n a le s d e la
o rg a n iza c i n , c o m o lo s so c io s d e l n e g o c io q u e e stn c o n fig u ra d o s p a ra re q u e rir
in te rc o n e x i n o co m p a rtir la s in sta la c io n e s d e re d y d e p ro c e sa m ie n to d e la in fo rm a c i n .
T a le s e x te n sio n e s p u e d e n a u m e n ta r e l rie sg o d e a c c e so n o au to riza d o a lo s siste m a s d e
in fo rm a c i n e x iste n te s q u e u sa n la re d , a lg u n o s d e lo s c u a le s p o d ra n e c e sita r p ro te c c i n
d e o tro s u su a rio s d e re d d e b id o a su se n sib ilid a d o c ritic id a d . E n ta le s c irc u n stan c ia s, se
d e b e ra c o n sid e ra r la in tro d u c c i n d e co n tro le s d e n tro d e la re d , p a ra se p a ra r g ru p o s d e
se rv ic io s d e in fo rm a c i n , u su a rio s y siste m a s d e in fo rm a c i n .
U n m to d o p a ra c o n tro la r la se g u rid a d d e la s re d e s g ra n d e s e s d iv id irla s e n d o m in io s d e
re d e s l g ic a s se p a ra d a s, p o r e je m p lo , u n d o m in io d e la re d in te rn a d e la o rg an iza c i n y u n
d o m in io d e la re d e x te rn a , c a d a u n o p ro te g id o m e d ia n te u n p e rm e tro d e se g u rid a d
d e fin id o . T a l p e rm e tro se p u e d e im p le m en ta r p o r la in sta la c i n d e u n g a te w a y d e
se g u rid a d en tre la s d o s re d e s q u e se in te rc o n e c ta n , p a ra e l c o n tro l d e a c c e so y d e l flu jo
d e in fo rm a c i n e n tre lo s d o s d o m in io s (v e r 9 . 4 . 7 y 9 . 4 . 8 ) y b lo q u e a r e l a c c e so n o
a u to riza d o , d e a c u e rd o c o n la p o ltic a d e c o n tro l d e a c c e so d e la o rg an iza c i n (v e r 9 . 1 ).
U n e je m p lo d e e ste tip o d e g a te w a y e s e l q u e c o m n m en te se co n o c e co m o fire w a ll.
E l c rite rio p a ra la se p a ra c i n d e re d e s e n d o m in io s se d e b e ra b a sa r e n la p o ltic a d e
c o n tro l d e a c c e so y lo s re q u isito s d e a c c e so (v e r 9 . 1 ), y to m a r e n c u en ta ta m b in e l c o sto
re la tiv o y e l c o m p o rta m ie n to d e l im p a c to d e in co rp o ra r u n a ru ta a p ro p ia d a d e u n a re d o d e
la te c n o lo g a d e u n g a te w a y (v e r 9 . 4 . 7 y 9 . 4 . 8 ).
9.4.7 Control de conexin de red
L o s re q u isito s d e la p o ltic a d e c o n tro l d e a c c e so p a ra la s re d e s c o m p a rtid a s,
e sp e c ia lm e n te a q u e lla s q u e e x tie n d e n lo s lm ite s d e la o rg a n iza c i n , p u e d e n re q u e rir la
in c o rp o ra c i n d e c o n tro le s p a ra re strin g ir la c a p a c id a d d e c o n e x i n d e lo s u su a rio s. T a le s
c o n tro le s se p u ed e n im p le m e n ta r e n lo s g a te w a y s d e la re d q u e filtra n e l tr fic o p o r m e d io
d e re g la s o ta b la s p re d e fin id a s. L a s re stric c io n e s ap lic a d a s se d eb e ra n b a sa r e n la p o ltic a
d e a c c e so y en lo s re q u isito s d e la s a p lic a c io n e s d e l n eg o c io (v e r 9 . 1 ), y se d e b e ra n
m a n te n e r y a c tu a liza r c o m o c o rre sp o n d e.
N C h 2 7 7 7
6 3
E je m p lo s d e ap lic a c io n e s a la s q u e se d e b e ra n a p lic a r re stric c io n e s so n :
a ) c o rre o e le c tr n ic o ;
b ) tra n sfe re n c ia d e a rc h iv o s e n u n se n tid o ;
c ) tra n sfe re n c ia d e a rc h iv o s e n a m b o s se n tid o s;
d ) a c c e so in te ra c tiv o ;
e ) e n la c e d e a c c e so a la re d en u n a h o ra d e l d a o fe c h a .
9.4.8 Control de enrutamiento de red
L a s re d e s c o m p a rtid a s, e sp e c ia lm e n te a q u e lla s q u e e x tie n d e n lo s lm ite s d e la
o rg a n iza c i n , p u ed e n n e c e sita r la in c o rp o ra c i n d e co n tro le s d e e n ru tam ie n to p a ra
a se g u ra r q u e la s c o n e x io n e s a l co m p u ta d o r y e l flu jo d e in fo rm a c i n n o v io la n la p o ltic a
d e c o n tro l d e a c c e so d e la s ap lic a c io n e s d e l n e g o c io (v e r 9 . 1 ). E ste c o n tro l a m e n u d o e s
e se n c ia l p a ra la s re d e s c o m p a rtid a s c o n u su a rio s d e te rc e ra s p a rte s (n o o rg a n iza c io n e s).
L o s c o n tro le s d e en ru ta m ie n to se d e b e ra n b a sa r en u n o rig e n seg u ro y e n m e c a n ism o s d e
v e rific a c i n d e la s d ire c c io n e s d e d e stin o . L a tra d u c c i n d e d ire c c io n e s d e re d ta m b i n e s
u n m e c a n ism o m u y til p a ra a isla r la s re d e s y p re v e n ir ru ta s q u e se p ro p a g u e n d e la re d
d e u n a o rg a n iza c i n a la re d d e o tra . E llo se p u e d e im p le m e n ta r p o r so ftw a re o h a rd w a re .
P e rso n a l d e im p le m e n ta c i n d e b e ra te n e r c o n o c im ie n to d e la fo rta le za d e cu a lq u ie r
m e c a n ism o d e sp le g ad o .
9.4.9 Seguridad de los servicios de red
E st d isp o n ib le u n a a m p lia v a rie d a d d e se rv ic io s d e re d e s p riv a d a s o p b lic a s, a lg u n a s d e
la s c u a le s o fre c e n se rv ic io s d e v a lo r a g re g ad o . L o s se rv ic io s d e re d e s p u e d e n te n e r
c a ra c te rstic a s d e se g u rid a d c o m p le ja s o n ic a s. L a s o rg a n iza c io n e s q u e u sa n se rv ic io s d e
re d e s se d e b e ra n a seg u ra r q u e se p ro v e a u n a c la ra d e sc rip c i n d e la s c a ra c te rstic a s d e la
se g u rid a d d e to d o s lo s se rv ic io s.
N C h 2 7 7 7
6 4
9.5 Control de acceso a la operacin del sistema
O b je tiv o : E v ita r e l a c c e so n o a u to riza d o a c o m p u ta d o re s.
L a s in sta la c io n e s d e se g u rid a d a l n iv e l d e o p e ra c i n d e l siste m a d e b e ra n re strin g ir e l
a c c e so a lo s re c u rso s c o m p u ta c io n a le s. E sta s in sta la c io n e s d e b e ra n se r c a p a c e s d e lo
sig u ie n te :
a ) id e n tific a r y v e rific a r la id e n tid a d y si e s n e c e sa rio e l te rm in a l o la u b ic a c i n d e c a d a
u su a rio a u to riza d o ;
b ) re g istra r lo s a c c e so s e x ito so s y fa llid o s a l siste m a ;
c ) p ro v e e r fo rm a s ap ro p ia d a s d e a u ten tic a c i n ; si se u sa u n siste m a d e g e sti n d e
c o n tra se a , se d e b e ra a se g u ra r la c a lid a d d e la c o n tra se a [v e r 9 . 3 . 1 d )];
d ) c u a n d o se a a p ro p ia d o , re strin g ir e l tie m p o d e c o n e x i n d e lo s u su a rio s.
O tro s m to d o s d e c o n tro l d e a c c e so , ta le s co m o d e sa fo /re sp u e sta, e st n d isp o n ib le s si se
ju stific a n e n b a se a l rie sg o d e l n e g o c io .
9.5.1 Identificacin automtica del terminal
S e d e b e ra c o n sid e ra r la id e n tific a c i n a u to m tic a d e l te rm in a l p a ra a u te n tic a r la s
c o n e x io n e s d e u b ic a c io n e s esp e c fic a s y d e e q u ip o s p o rt tile s. L a id e n tific a c i n
a u to m tic a d e l te rm in a l e s u n a t c n ic a q u e se p u ed e u sa r c u an d o e s im p o rta n te q u e la
se si n se p u ed a in ic ia r so la m en te d e sd e u n a u b ic a c i n o u n te rm in a l d e c o m p u ta d o r
p a rtic u la r. S e p u e d e u sa r u n id en tific a d o r in c lu id o o a d ju n to a l te rm in a l p a ra in d ic a r q u e
e ste te rm in a l p a rtic u la r tie n e p e rm itid o in ic ia r o re c ib ir tra n sa c c io n e s e sp e c fic a s. P u ed e
se r n e c e sa rio a p lic a r p ro te c c i n fsic a a l te rm in a l, p a ra m an te n e r la se g u rid a d d e l
id e n tific a d o r d e l te rm in a l. U n a v a rie d a d d e o tra s t c n ic a s ta m b i n se p u e d e n u sa r p a ra
a u te n tic a r lo s u su a rio s (v e r 9 . 4 . 3 ).
9.5.2 Procedimientos para abrir una sesin en el terminal
E l a c c e so a lo s se rv ic io s d e in fo rm a c i n se d eb e ra a lc a n za r v a u n p ro c e so p a ra a b rir
se si n seg u ro . E l p ro c e d im ien to p a ra a b rir u n a se si n e n e l siste m a c o m p u ta c io n a l se
d e b e ra d ise a r p a ra m in im iza r la o p o rtu n id a d d e a c c e so n o au to riza d o . P o r lo ta n to e l
p ro c e d im ie n to p a r a b rir u n a se si n d e b e ra d iv u lg a r e l m n im o d e in fo rm a c i n re la tiv a a l
siste m a , c o n e l fin d e e v ita r p ro v e e r la a siste n c ia in n e c e sa ria a u n u su a rio n o a u to riza d o .
U n b u e n p ro c e d im ie n to p a ra a b rir u n a se si n d e b e ra :
a ) n o m o stra r lo s id e n tific a d o re s d e l siste m a o a p lic a c i n h a sta q u e e l p ro c e so d e a b rir
u n a se si n se h a y a co m p le ta d o e x ito sam e n te ;
b ) m o stra r u n a v iso d e a d v e rte n c ia g e n e ra l, q u e in d iq u e q u e e l c o m p u ta d o r s lo se
d e b e ra a c c e d e r p o r u su a rio s a u to riza d o s;
N C h 2 7 7 7
6 5
c ) n o p ro v e e r m e n sa je s d e a y u d a d u ra n te e l p ro c e d im ie n to d e re g istro q u e a y u d a ra n a
u n u su a rio n o a u to riza d o ;
d ) v a lid a r la in fo rm a c i n p a ra a b rir u n a se si n s lo a l fin a l d e to d o s lo s d a to s d e e n tra d a .
S i a p a re c e u n a c o n d ic i n d e e rro r, e l sistem a n o d eb e ra in d ic a r q u e p a rte d e lo s d a to s
so n co rre c to s o in c o rre c to s;
e ) lim ita r e l n m e ro d e in te n to s n o e x ito so s p e rm itid o s, p a ra ab rir u n a se si n (se
re c o m ie n d a tre s) y c o n sid e ra r:
e . 1 ) re g istra r lo s in te n to s n o e x ito so s;
e . 2 ) fo rza r u n tie m p o d e re ta rd o an te s q u e lo s n u e v o s in te n to s d e a b rir u n a se si n se
p e rm ita n o se re c h a c e c u a lq u ie r n u e v o in te n to sin a u to riza c i n e sp e c fic a ;
e . 3 ) d e sc o n e c ta r lo s en la c e s d e d a to s;
f) lim ita r e l m x im o y m n im o tie m p o p e rm itid o p a ra e l p ro c e d im ie n to d e a b rir u n a
se si n . S i se e x c e d e , e l siste m a d e b e ra te rm in a r e l p ro c e d im ie n to d e a b rir u n a se si n ;
g ) m o stra r la in fo rm a c i n sig u ie n te a l te rm in a r la ltim a se si n e x ito sa :
g . 1 ) fe c h a y h o ra d e la se si n e x ito sa a n te rio r;
g . 2 ) d e ta lle s d e c u a lq u ie r in te n to d e se si n n o e x ito sa , d e sd e la ltim a se si n
e x ito sa .
9.5.3 Identificacin de usuario y autenticacin
T o d o s lo s u su a rio s (in c lu y en d o e l p e rso n a l d e ap o y o t c n ic o , ta le s c o m o o p e ra d o re s,
a d m in istra d o re s d e re d , p ro g ra m a d o re s d e l siste m a y a d m in istra d o re s d e b a se d e d a to s)
d e b e ra n te n e r u n id en tific a d o r n ic o (u se r I D ) p a ra su u so e x c lu siv o y p e rso n a l, d e m o d o
q u e la s a c tiv id a d e s se p u e d an se g u ir p o ste rio rm e n te d e b id o a la re sp o n sa b ilid ad in d iv id u a l.
L a s u se r I D s n o d eb e ra n d a r n in g u n a in d ic a c i n d e lo s n iv e le s d e p riv ile g io s d e u su a rio s
(v e r 9 . 2 . 2 ), p o r e je m p lo , d ire c tiv o , su p e rv iso r.
E n c irc u n stan c ia s e x c e p c io n a le s, d o n d e e x ista u n c la ro b en e fic io d e l n e g o c io , se p u ed e
u sa r u n a u se r I D e n u n tra b a jo e sp e c fic o o co m p a rtid a co n u n g ru p o d e u su a rio s. P a ra
ta le s c a so s se d e b e ra d o cu m e n ta r la a p ro b a c i n d e la d ire c c i n . S e p u e d en n e c e sita r
c o n tro le s a d ic io n a le s p a ra m a n te n e r la re sp o n sa b ilid a d .
H a y v a rio s p ro c e d im ie n to s d e au te n tic a c i n , q u e se p u e d e n u sa r p a ra c o m p ro b a r la
id e n tid a d e x ig id a d e u n u su a rio . L a s c o n tra se a s (v e r ta m b i n 9 . 3 . 1 y m s a b a jo ) so n u n a
m a n e ra m u y c o m n d e p ro v e e r id e n tific a c i n y a u te n tic a c i n (I & A ) e n b a se a u n se c re to
q u e s lo e l u su a rio c o n o c e . L o m ism o tam b i n se lo g ra c o n t c n ic a s c rip to g r fic a s y
p ro to c o lo s d e a u te n tic a c i n .
N C h 2 7 7 7
6 6
L o s o b je to s ta le s co m o , to k e n s d e m em o ria o ta rje ta s in te lig e n te s q u e p o se e n lo s u su a rio s
ta m b i n se p u ed e n u sa r p a ra I & A . T e c n o lo g a s d e au te n tic a c i n b io m tric a q u e u san
c a ra c te rstic a s n ic a s o a trib u to s d e u n in d iv id u o ta m b i n se p u e d en u sa r p a ra a u te n tic a r
la id e n tid a d d e la p e rso n a . U n a co m b in a c i n d e te c n o lo g a s y m e c a n ism o s d e e n la c e
se g u ro lle v a n a u n a a u te n tic a c i n m s fu e rte .
9.5.4 Sistema de gestin de contrasea
L a s c o n tra se a s so n u n a d e la s p rin c ip a le s fo rm a s d e v a lid a r la a u to riza c i n d e u n u su a rio
p a ra a c c e d e r a u n se rv ic io co m p u ta c io n a l. L o s siste m a s d e g e sti n d e c o n tra se a d eb e ra n
p ro v e e r u n a in sta la c i n e fe c tiv a e in te ra c tiv a , q u e a seg u re la c a lid a d d e la s co n tra se a s
(v e r 9 . 3 . 1 p a ra u n a g u a d e u so d e co n tra se a s).
A lg u n a s a p lic a c io n e s re q u ie re n c o n tra se a s d e u su a rio q u e so n a sig n a d a s p o r u n a
a u to rid a d in d e p e n d ie n te . E n la m a y o ra d e lo s c a so s la s c o n tra se a s se se le c c io n a n y
m a n tie n e n p o r lo s u su a rio s.
U n b u e n sistem a d e g e sti n d e c o n tra se a s d e b e ra :
a ) im p o n e r e l u so d e c o n tra se a s in d iv id u a le s p a ra m an te n e r la re sp o n sa b ilid ad p e rso n a l;
b ) cu an d o sea ap ro p iad o , p erm itir a lo s u su ario s seleccio n ar y cam b iar su p ro p ia co n trase a
e in clu ir u n p ro ced im ien to d e co n firm aci n p ara p erm itir erro res d e en trad a;
c ) im p o n e r u n a e le c c i n d e co n tra se a d e c a lid a d c o m o se d e sc rib e en 9 . 3 . 1 ;
d ) c u a n d o lo s u su a rio s m a n tie n e n su s p ro p ia s c o n tra se a s, im p o n e r c a m b io s d e
c o n tra se a c o m o se d e sc rib e e n 9 . 3 . 1 ;
e ) c u a n d o lo s u su a rio s se le c c io n a n la s c o n tra se a s, o b lig a rlo s a c a m b ia r la c o n tra se a
te m p o ra l a l a b rir la p rim e ra se si n (v e r 9 . 2 . 3 );
f) m a n te n e r u n re g istro d e c o n tra se a s a n te rio re s d e u su a rio s, p o r e je m p lo , d e lo s 1 2
m e se s a n te rio re s y e v ita r su u so ;
g ) n o m o stra r la c o n tra se a e n la p a n ta lla c u a n d o se e st in g re sa n d o ;
h ) a lm a c e n a r lo s a rc h iv o s d e c o n tra se a se p a ra d a m e n te d e lo s d a to s d e la a p lic a c i n d e l
siste m a ;
i) a lm a c e n a r la s c o n tra se a s e n fo rm a en c rip ta d a u san d o u n a lg o ritm o d e e n c rip ta c i n
d e u n se n tid o ;
j) c a m b ia r la c o n tra se a p re e sta b le c id a p o r e l p ro v e e d o r, in m e d ia ta m e n te d e sp u s d e la
in sta la c i n d e l so ftw a re .
N C h 2 7 7 7
6 7
9.5.5 Uso de los utilitarios del sistema
L a m a y o ra d e la s in sta la c io n e s co m p u ta c io n a le s tie n en u n o o m s p ro g ra m a s u tilita rio s
q u e p u e d e n se r c a p a c e s d e a n u la r lo s c o n tro le s d e la a p lic a c i n y d e l sistem a . E s e se n c ia l
q u e se re strin ja y se c o n tro le su u so rig u ro sa m e n te. S e d eb e ra n c o n sid e ra r lo s c o n tro le s
sig u ie n te s:
a ) u so d e p ro c e d im ie n to s d e a u te n tic a c i n p a ra lo s u tilita rio s d e l siste m a ;
b ) se p a ra c i n d e lo s u tilita rio s d e l siste m a, d e lo s so ftw a re d e a p lic a c i n ;
c ) lim ita c i n d e l u so d e lo s u tilita rio s d e l siste m a a l m n im o n m e ro p r c tic o d e u su a rio s
d e c o n fia n za a u to riza d o s;
d ) a u to riza c i n p a ra e l u so ad h o c d e u tilita rio s d e l siste m a ;
e ) lim ita c i n d e la d isp o n ib ilid ad d e lo s u tilita rio s d e l siste m a , p o r e je m p lo , p o r la
d u ra c i n d e u n c a m b io a u to riza d o ;
f) re g istro d e to d o s lo s u so s d e lo s u tilita rio s d e l siste m a ;
g ) d e fin ic i n y d o c u m en ta c i n d e lo s n iv e le s d e a u to riza c i n p a ra lo s u tilita rio s d e l
siste m a ;
h ) re m o c i n d e to d o e l so ftw a re d e a p o y o in n e c e sa rio a l so ftw a re y u tilita rio s d e l
siste m a .
9.5.6 Alarma de coaccin para salvaguardar los usuarios
L a p ro v isi n d e u n a a la rm a d e c o a c c i n se d eb e ra c o n sid e ra r p a ra u su a rio s q u ie n e s
p u e d e n se r o b je to d e c o a c c i n . L a d e c isi n d e su m in istra r ta l a la rm a se d eb e ra b a sa r e n
la e v a lu a c i n d e lo s rie sg o s. D e b e ra n e x istir lo s p ro c e d im ie n to s y re sp o n sa b ilid ad e s p a ra
re sp o n d e r a la a la rm a d e c o a c c i n .
9.5.7 Time out del terminal
L o s te rm in a le s in a c tiv o s e n u b ic a c io n e s d e a lto rie sg o , p o r e je m p lo , en re a s e x te rn a s o
p b lic a s, fu e ra d e la g e sti n d e se g u rid ad d e la o rg an iza c i n , o sistem a s d e se rv id o r d e
a lto rie sg o , se d e b e ra n a p a g a r d e sp u s d e u n p e ro d o d e fin id o d e in a c tiv id a d p a ra e v ita r e l
a c c e so d e p e rso n a s n o au to riza d a s. E sta fa c ilid a d d e tim e o u t d e b e ra lim p ia r la p a n ta lla
d e l te rm in a l y c e rra r la a p lic a c i n y la s se sio n e s d e re d d e sp u s d e u n p e ro d o d e fin id o d e
in a c tiv id a d . E l re ta rd o d e tim e o u t d e b e ra re fle ja r lo s rie sg o s d e seg u rid a d d e l re a y lo s
u su a rio s d e l te rm in a l.
S e p u e d e p ro v e e r u n a fo rm a lim itad a d e la fa c ilid a d d e tim e o u t p a ra a lg u n o s
c o m p u tad o re s p e rso n a le s, e sto e s lim p ia r la p a n ta lla y p re v e n ir e l a c c e so n o a u to riza d o
p e ro n o c e rra r la a p lic a c i n o la se si n d e re d .
N C h 2 7 7 7
6 8
9.5.8 Limitacin del tiempo de conexin
L a s re stric c io n e s e n lo s tie m p o s d e c o n e x i n se d eb e ra n p ro v e e r a d ic io n a lm e n te a la
se g u rid a d d e la s ap lic a c io n e s d e a lto rie sg o . L im ita n d o e l p e ro d o d e c o n e x i n d e l te rm in a l
se p e rm ite a lo s se rv ic io s c o m p u ta c io n a le s re d u c ir la v en ta n a d e o p o rtu n id a d d e a c c e so
n o a u to riza d o . T a l c o n tro l d e b e ra c o n sid e ra r la s a p lic a c io n e s c o m p u ta c io n a le s se n sib le s,
e sp e c ia lm e n te a q u e lla s c o n te rm in a le s in sta la d o s e n u b ic a c io n e s d e a lto rie sg o , p o r
e je m p lo , en re a s p b lic a s o e x te rn a s q u e e st n fu e ra d e la g e sti n d e se g u rid a d d e la
o rg a n iza c i n . E je m p lo s d e ta le s re stric c io n e s in c lu y e n :
a ) u sa r in te rv a lo s d e tie m p o p re d e te rm in ad o s, p o r e je m p lo , tra n sm isi n d e a rc h iv o s
b a tc h , o se sio n e s in te ra c tiv a s re g u la re s d e c o rta d u ra c i n ;
b ) re strin g ir lo s tie m p o s d e c o n e x i n a h o ra s d e o fic in a si n o e x iste n e c e sid a d d e
so b re tie m p o o d e o p e ra c i n en h o ra s e x te n d id a s.
9.6 Control de acceso a la aplicacin
O b je tiv o : P re v e n ir e l a c c e so n o a u to riza d o a la in fo rm a c i n q u e se m a n tie n e en lo s
siste m a s d e in fo rm a c i n . S e d e b e ra n u sa r in sta la c io n e s d e se g u rid a d p a ra re strin g ir e l
a c c e so d e n tro d e la s ap lic a c io n e s d e l siste m a .
E l a c c e so l g ic o a l so ftw a re y a la in fo rm a c i n se d e b e ra re strin g ir a u su a rio s au to riza d o s.
L a s a p lic a c io n e s d e b e ra n :
a ) c o n tro la r e l a c c e so d e lo s u su a rio s a la in fo rm a c i n y a la s fu n c io n e s d e la a p lic a c i n
d e l siste m a , c o n fo rm e c o n u n a p o ltic a d e fin id a d e c o n tro l d e a c c e so d e l n e g o c io ;
b ) p ro v e e r p ro te c c i n co n tra e l a c c e so n o a u to riza d o a c u a lq u ie r u tilita rio y so ftw a re d e l
siste m a o p e ra tiv o q u e se a c a p a z d e p a sa r p o r so b re e l siste m a o lo s c o n tro le s d e la
a p lic a c i n ;
c ) n o c o m p ro m e te r la se g u rid ad d e o tro s siste m a s c o n lo s q u e se c o m p a rte lo s re c u rso s
d e in fo rm a c i n ;
d ) se r c a p a z d e p ro v e e r a c c e so a la in fo rm a c i n so la m e n te a l d u e o , a o tro s in d iv id u o s
d e sig n a d o s y a u to riza d o s o a g ru p o s d e fin id o s d e u su a rio s.
9.6.1 Restriccin de acceso a la informacin
L o s u su a rio s d e la s a p lic a c io n e s d e l siste m a, in c lu id o s e l p e rso n a l d e ap o y o , d eb e ra n
te n e r a c c e so a la in fo rm a c i n y a la s fu n c io n e s d e la a p lic a c i n d e l siste m a d e a c u e rd o a
la p o ltic a d e c o n tro l d e a c c e so , e n b a se a lo s re q u isito s d e la a p lic a c i n in d iv id u a l d e l
n e g o c io y c o n siste n te c o n la p o ltic a d e a c c e so a la in fo rm a c i n d e la o rg a n iza c i n
(v e r 9 . 1 ). S e d e b e ra c o n sid e ra r la a p lic a c i n d e lo s c o n tro le s sig u ie n te s c o n e l fin d e
a p o y a r lo s re q u isito s d e re stric c i n d e a c c e so :
a ) p ro v e e r m e n s p a ra c o n tro la r e l a c c e so a la s fu n c io n e s d e la a p lic a c i n ;
N C h 2 7 7 7
6 9
b ) re strin g ir a lo s u su a rio s e l c o n o c im ie n to d e la in fo rm a c i n o d e la s fu n c io n e s d e
a p lic a c i n d e l siste m a a la s c u a le s e llo s n o e st n a u to riza d o s a a c c e d e r, c o n u n a
e d ic i n a p ro p ia d a d e la d o c u m e n ta c i n d e u su a rio ;
c ) c o n tro la r lo s d e re c h o s d e a c c e so d e u su a rio s, p o r e je m p lo , le e r, e sc rib ir, b o rra r o
e je c u ta r;
d ) a se g u ra r q u e la s sa lid a s d e in fo rm a c i n sen sib le q u e m a n ip u la n la s a p lic a c io n e s d e l
siste m a c o n ten g a n s lo la in fo rm a c i n q u e e s p e rtin e n te a l u so d e la sa lid a y q u e se
e n v a n s lo a lo s te rm in a le s y u b ic a c io n e s a u to riza d a s, in c lu y e n d o la re v isi n p e ri d ic a
d e ta le s sa lid a s p a ra a se g u ra r q u e se re tire la in fo rm a c i n re d u n d a n te.
9.6.2 Aislamiento del sistema sensible
L o s siste m a s se n sib le s p u e d e n n e c e sita r u n a m b ie n te c o m p u ta c io n a l d e d ic a d o (a isla d o ).
A lg u n a s a p lic a c io n e s d e l siste m a so n su fic ie n te m en te se n sib le s a p rd id a s p o te n c ia le s d e
m o d o q u e e lla s re q u ie re n m a n ip u la c i n e sp e c ia l. L a se n sib ilid a d p u e d e in d ic a r q u e la
a p lic a c i n d e l siste m a se d eb e ra e je c u ta r e n u n c o m p u tad o r d ed ic a d o , d e b e ra so la m e n te
c o m p a rtir re c u rso s c o n la s ap lic a c io n e s c o n fia b le s, o n o ten e r lim ita c io n e s. A p lic a r la s
c o n sid e ra c io n e s sig u ie n te s:
a ) L a se n sib ilid a d d e u n a a p lic a c i n d e l sistem a se d eb e ra id e n tific a r e x p lc ita m e n te y
d o c u m en ta r p o r e l d u e o d e la a p lic a c i n (v e r 4 . 1 . 3 ).
b ) C u a n d o u n a a p lic a c i n se n sib le se e je c u ta en u n a m b ie n te c o m p a rtid o , se d e b e ra n
id e n tific a r la s a p lic a c io n e s d e lo s sistem a s c o n lo s c u a le s co m p a rtir re c u rso s y
d e b e ra e sta r d e a c u e rd o c o n e l d u e o d e la ap lic a c i n se n sib le .
9.7 Monitoreo de uso y acceso al sistema
O b je tiv o : D e te c ta r a c tiv id a d e s n o a u to riza d a s.
L o s siste m a s se d eb e ra n m o n ito re a r p a ra d e te c ta r d e sv ia c i n d e la p o ltic a d e c o n tro l d e
a c c e so y re g istra r lo s e v e n to s q u e se p u e d e n m o n ito re a r p a ra p ro v e e r e v id e n c ia s e n e l
c a so d e in c id e n te s d e se g u rid a d .
E l siste m a d e m o n ito re o p e rm ite , re v isa r la e fe c tiv id a d d e lo s c o n tro le s a d o p tad o s y
v e rific a r la c o n fo rm id a d co n e l m o d e lo d e la p o ltic a d e a c c e so (v e r 9 . 1 ).
N C h 2 7 7 7
7 0
9.7.1 Registro de evento
S e d e b e ra n a u d ita r lo s re g istro s d e e x c e p c io n e s y o tro s e v e n to s d e se g u rid ad p e rtin e n te s
y g u a rd a rlo s p o r u n p e ro d o a c o rd ad o , p a ra a y u d a r e n fu tu ra s in v e stig a c io n e s y m o n ito re o
d e l c o n tro l d e a c c e so .
L a a u d ito ra d e lo s re g istro s ta m b i n d eb e ra in c lu ir:
a ) u se r I D s;
b ) fe c h a s y h o ra s d e a b rir y c e rra r se sio n e s;
c ) id e n tific a c i n d e l te rm in a l o u b ic a c i n si e s p o sib le ;
d ) re g istro s d e in te n to s d e a c c e so a l siste m a e x ito so s y re c h a za d o s;
e ) re g istro s d e in te n to s d e a c c e so a lo s d a to s y a o tro s re c u rso s, e x ito so s y re c h a za d o s.
P u e d e se r n e c e sa rio q u e c ie rta s a u d ito ra s se a rc h iv e n co m o p a rte d e la p o ltic a d e
c o n se rv a c i n d e re g istro s o d e b id o a lo s re q u isito s d e re u n ir e v id e n c ia s (v e r ta m b i n
c l u su la 1 2 ).
9.7.2 Monitoreo del uso del sistema
9.7.2.1 Procedimientos y reas de riesgos
S e d e b e ra n e sta b le c e r p ro c e d im ie n to s d e m o n ito re o d e l u so d e la s in sta la c io n e s d e
p ro c e sa m ie n to d e la in fo rm a c i n . T a le s p ro c e d im ie n to s so n n e c e sa rio s p a ra a se g u ra r q u e
lo s u su a rio s re a lic e n so la m en te a c tiv id a d e s q u e se h a y a n a u to riza d o e x p lc ita m e n te . E l
n iv e l d e m o n ito re o n e c e sa rio p a ra la s in sta la c io n e s in d iv id u a le s se d e b e ra d e te rm in a r p o r
u n a e v a lu a c i n d e l rie sg o . L a s re a s q u e se d e b e ra n in c lu ir:
a ) a c c e so a u to riza d o , q u e in c lu y e d e ta lle s c o m o :
a . 1 ) e l u se r I D ;
a . 2 ) la fe c h a y h o ra d e lo s e v e n to s c la v e s;
a . 3 ) e l tip o d e e v e n to s;
a . 4 ) lo s a rc h iv o s a c c e d id o s;
a . 5 ) lo s p ro g ra m a s/ u tilita rio s q u e se u sa n .
N C h 2 7 7 7
7 1
b ) to d a s la s o p e ra c io n e s p riv ile g ia d a s, ta le s c o m o :
b . 1 ) u so d e c u en ta d e su p e rv iso r;
b . 2 ) p a rtid a y d e te n c i n d e l siste m a;
b . 3 ) c o n e x i n / d e sco n e x i n d e d isp o sitiv o s E /S .
c ) in te n to s d e a c c e so n o a u to riza d o s, ta le s c o m o :
c . 1 ) in te n to s fa llid o s;
c . 2 ) v io la c io n e s a la s p o ltic a s d e a c c e so y a v iso s d e g a tew a y s y fire w a lls;
c . 3 ) a le rta s d e lo s sistem a s p ro p ie ta rio s d e d e te c c i n d e in tru si n .
d ) siste m a s d e a le rta s o d e fa lla s, ta l c o m o :
d . 1 ) a le rta o m e n sa je s d e c o n so la ;
d . 2 ) re g istro s d e e x c e p c io n e s d e l siste m a ;
d . 3 ) a la rm a s d e g e sti n d e re d .
9.7.2.2 Factores de riesgo
E l re su lta d o d e la s a c tiv id a d e s d e m o n ito re o se d eb e ra re v isa r re g u la rm e n te . L a fre c u e n c ia
d e la s re v isio n e s d e b e ra d ep e n d e r d e lo s rie sg o s in v o lu c ra d o s. L o s fa c to re s d e rie sg o q u e
se d e b e ra n c o n sid e ra r in c lu y e n :
a ) la c ritic id a d d e lo s p ro c e so s d e la a p lic a c i n ;
b ) e l v a lo r, se n sib ilid a d o c ritic id a d d e la in fo rm a c i n in v o lu c ra d a ;
c ) la e x p e rie n c ia p a sa d a d e la in filtra c i n y m a l u so d e l siste m a ;
d ) la e x te n si n d e la in te rc o n e x i n d e l sistem a (p a rtic u la rm e n te e n re d e s p b lic a s).
9.7.2.3 Registro y revisin de eventos
U n a re v isi n d e lo s e v e n to s in v o lu c ra la c o m p re n si n d e la s a m e n a za s en fre n ta d a s p o r e l
siste m a y la m a n e ra e n q u e sta s p u e d e n ap a re c e r. E jem p lo s d e ev en to s q u e p u ed en
n ecesitar in v estig aci n m s am p lia es el caso d e lo s in cid en tes d e seg u rid ad in d icad o s
en 9 . 7 . 1 .
N C h 2 7 7 7
7 2
L o s re g istro s d e l siste m a a m e n u d o c o n tie n e n u n g ra n v o lu m e n d e in fo rm a c i n , m u c h o d e
ste e s a je n o a l m o n ito re o d e se g u rid a d . P a ra a y u d a r a id en tific a r lo s e v e n to s
sig n ific a tiv o s c o n p ro p sito s d e m o n ito re o d e se g u rid a d , se d eb e ra c o n sid e ra r c o p ia r lo s
m e n sa je s tip o s a p ro p ia d o s a u to m tic a m e n te a u n se g u n d o re g istro , y /o e l u so d e lo s
u tilita rio s a d e c u a d o s d e l siste m a o la s h e rra m ie n ta s d e a u d ito ra p a ra a n a liza r a rc h iv o s.
C u a n d o se a sig n a la re sp o n sa b ilid a d d e re v isa r e l re g istro , se d e b e ra c o n sid e ra r u n a
se p a ra c i n d e lo s ro le s en tre la (s) p e rso n a (s) q u e e fe c t a (n ) la re v isi n y a q u e lla c u y a s
a c tiv id a d e s e st n sie n d o m o n ito re a d a s.
P a rtic u la r a te n c i n se d e b e ra d a r a la se g u rid a d d e la s in sta la c io n e s d e re g istro s d eb id o a
q u e si se a lte ra p u e d e p ro v e e r u n a fa lsa sen sa c i n d e se g u rid a d . L o s c o n tro le s d e b e ra n
a y u d a r a p ro teg e r d e lo s c a m b io s n o a u to riza d o s y d e lo s p ro b le m a s o p e ra c io n a le s,
in c lu y e n d o :
a ) e l re g istro q u e e st sie n d o d e sa c tiv a d o ;
b ) la s a lte ra c io n e s d e lo s tip o s d e m e n sa je s q u e so n re g istra d o s;
c ) e l a rc h iv o d e re g istro q u e e st sie n d o e d ita d o o b o rra d o ;
d ) e l d isp o sitiv o d e a rc h iv o d e re g istro q u e e st lle n o y , si e st d e fe c tu o so p a ra re g istra r
e v e n to s o p a ra la so b re e sc ritu ra .
9.7.3 Sincronizacin del reloj
E s im p o rta n te e l a ju ste c o rre c to d e l re lo j d e l c o m p u tad o r p a ra re sg u a rd a r la se g u rid a d d e
re g istro s d e au d ito ra , lo s q u e p u e d an se r n e c e sa rio s p a ra la s in v e stig a c io n e s o c o m o
e v id e n c ia e n c a so s le g a le s o d isc ip lin a rio s. L o s re g istro s d e au d ito ra in e x a c to s p u e d e n
o b stru ir ta le s in v e stig a c io n e s y d a a r la c re d ib ilid a d d e ta l e v id en c ia .
C u a n d o u n c o m p u ta d o r o d isp o sitiv o d e c o m u n ic a c i n tie n e la c a p a c id a d d e o p e ra r u n
re lo j e n tie m p o re a l, d eb e ra a ju sta rse a u n e st n d a r a co rd a d o , p o r e je m p lo , la h o ra
c o o rd in a d a u n iv e rsa l (U C T ) u h o ra e st n d a r lo c a l. C o m o se sa b e q u e a lg u n o s re lo je s
tie n e n d e sfa se co n e l tie m p o , d e b e ra e x istir u n p ro c e d im ie n to q u e v e rifiq u e y co rrija
c u a lq u ie r v a ria c i n sig n ific a tiv a .
N C h 2 7 7 7
7 3
9.8 Computadores mviles y teletrabajo
O b je tiv o : R e sg u a rd a r la seg u rid a d d e la in fo rm a c i n c u a n d o se u se n c o m p u ta d o re s
m v ile s y e q u ip o s d e te le tra b a jo .
L a p ro te c c i n n e c e sa ria d e b e ra e sta r e n p ro p o rc i n c o n lo s rie sg o s q u e c au sa e sta
m a n e ra e sp e c fic a d e tra b a jo . C u a n d o se u sa n c o m p u ta d o re s m v ile s se d e b e ra n
c o n sid e ra r lo s rie sg o s d e tra b a ja r e n u n am b ie n te n o p ro te g id o y a p lic a r la p ro te c c i n
a p ro p ia d a . E n e l c a so d e te le tra b a jo la o rg a n iza c i n d e b e ra a p lic a r p ro te c c i n a l sitio d e
te le tra b a jo y a se g u ra r q u e p a ra e sta fo rm a d e tra b a jo la c o n fig u ra c i n a d e c u a d a e st
in sta la d a .
9.8.1 Computadores mviles
C u a n d o se u sen e q u ip o s d e c o m p u ta d o re s m v ile s, p o r e je m p lo , n o teb o o k s, p a lm to p s,
la p to p s y te l fo n o s m v ile s, se d e b e ra te n e r e sp e c ia l c u id a d o p a ra a se g u ra r q u e la
in fo rm a c i n d e l n eg o c io n o se c o m p ro m e ta . S e d eb e ra a d o p ta r u n a p o ltic a fo rm a l q u e
to m e e n c u e n ta lo s rie sg o s d e tra b a ja r c o n eq u ip o s d e c o m p u tad o re s m v ile s, e n
p a rtic u la r e n a m b ie n te s n o p ro teg id o s. P o r e je m p lo , ta l p o ltic a d e b e ra in c lu ir lo s
re q u isito s d e p ro te c c i n fsic a , co n tro le s d e a c c e so , t c n ic a s d e c rip to g ra fa , re sp a ld o s y
p ro te c c i n a n tiv iru s. E sta p o ltic a ta m b i n d e b e ra in c lu ir re g la s y c o n se jo s en la c o n e x i n
d e e q u ip o s m v ile s a re d e s y u n a g u a p a ra e l u so d e e sto s e q u ip o s e n lo s lu g a re s
p b lic o s.
S e d e b e ra te n e r c u id a d o c u a n d o se u se n e q u ip o s d e c o m p u ta d o re s m v ile s e n lu g a re s
p b lic o s, sa la s d e re u n i n y o tra s re a s n o p ro te g id a s e x te rn a s a la s in sta la c io n e s d e la
o rg a n iza c i n . S e d e b e ra te n e r p ro te c c i n e n e l sitio p a ra e v ita r e l a c c e so n o a u to riza d o o
la d iv u lg a c i n d e la in fo rm a c i n a lm a c e n a d a y p ro c e sad a p o r e sto s e q u ip o s, p o r e je m p lo ,
e l u so d e t c n ic a s d e c rip to g ra fa (v e r 1 0 . 3 ).
E s im p o rta n te cu a n d o ta le s e q u ip o s se u se n e n lu g a re s p b lic o s te n e r c u id ad o p a ra e v ita r
e l rie sg o d e q u e lo o b se rv e n y lo s u sen p e rso n a s n o a u to riza d a s. L o s p ro c e d im ie n to s
c o n tra e l so ftw a re m a lic io so d e b e ra n e sta r d isp o n ib le s y m a n ten e rlo s a c tu a liza d o s
(v e r 8 . 3 ). D e b e ra n e sta r d isp o n ib le s e q u ip o s p a ra p e rm itir u n r p id o y f c il re sp a ld o d e la
in fo rm a c i n . E sto s re sp a ld o s d e b e ra n d a r u n a p ro te c c i n a d e c u a d a, p o r e je m p lo , co n tra
ro b o s y p rd id a d e in fo rm a c i n .
U n a p ro te c c i n a p ro p ia d a se d e b e ra d a r a lo s e q u ip o s m v ile s c o n e c ta d o s a la s re d e s. E l
a c c e so re m o to a la in fo rm a c i n d e l n e g o c io v a u n a re d p b lic a u san d o u n e q u ip o
c o m p u tad o r m v il d e b e ra su c e d e r so la m e n te d e sp u s d e la id e n tific a c i n y a u te n tic a c i n
e x ito sa y te n e r lo s m e c a n ism o s d e co n tro l d e a c c e so ap ro p ia d o in sta la d o s (v e r 9 . 4 ).
N C h 2 7 7 7
7 4
L o s e q u ip o s d e co m p u ta d o re s m v ile s ta m b i n d e b e ra n e sta r fsic a m en te p ro teg id o s
c o n tra lo s ro b o s, e sp e c ia lm e n te c u a n d o se d e ja n , p o r e je m p lo , en a u to s y o tro s m e d io s d e
tra n sp o rte , h a b ita c io n e s d e h o te le s, c e n tro s d e c o n fe re n c ia s y lu g a re s d e re u n io n e s. L o s
e q u ip o s q u e c o n tie n e n in fo rm a c i n im p o rta n te d e l n e g o c io , se n sib le y /o c rtic a n o se
d e b e ra d e ja r d e sa te n d id o y , c u an d o se a p o sib le , d e b e ra e sta r fsic a m e n te co n lla v e o se
d e b e ra n u sa r tra b a s e sp e c ia le s p a ra a se g u ra rlo . E n 7 . 2 . 5 se p u ed e e n c o n tra r m s
in fo rm a c i n re sp e c to a la p ro te c c i n fsic a d e lo s e q u ip o s m v ile s.
S e d e b e ra d isp o n e r d e en tre n a m ie n to p a ra e l p e rso n a l q u e u sa c o m p u tad o re s m v ile s,
p a ra e le v a r su c o n o c im ie n to d e lo s rie sg o s a d ic io n a le s q u e a p a re c e n a l tra b a ja r d e e sta
fo rm a y d e lo s c o n tro le s q u e se d e b e ra n im p le m e n ta r.
9.8.2 Teletrabajo
E l te le tra b a jo u sa la te c n o lo g a d e la s c o m u n ic a c io n e s p a ra p e rm itir q u e e l p e rso n a l tra b a je
re m o ta m e n te d e sd e u n lu g a r fijo fu e ra d e la u b ic a c i n d e su o rg a n iza c i n . L a p ro te c c i n
a d e c u a d a d e l sitio d e te le tra b a jo d e b e ra e sta r in sta la d a en c o n tra d e , p o r e je m p lo , e l ro b o
d e lo s eq u ip o s y d e la in fo rm a c i n , d iv u lg a c i n n o a u to riza d a d e la in fo rm a c i n , a c c e so
re m o to n o au to riza d o a lo s siste m a s in te rn o s d e la o rg a n iza c i n o m a l u so d e lo s e q u ip o s.
E s im p o rta n te q u e e l te le tra b a jo se a a u to riza d o y co n tro la d o p o r la d ire c c i n , y q u e , p a ra
e sta fo rm a d e tra b a jo la s co n fig u ra c io n e s a d e c u a d as e st n in sta la d a s.
L a s o rg a n iza c io n e s d e b e ra n c o n sid e ra r e l d e sa rro llo d e u n a p o ltic a , p ro c e d im ie n to s y
n o rm a s p a ra e l c o n tro l d e la s a c tiv id ad e s d e te le tra b a jo . L a s o rg a n iza c io n e s d e b e ra n
a u to riza r s lo la s a c tiv id a d e s d e te le tra b a jo si e lla s sa tisfa c e n la s d isp o sic io n e s d e
se g u rid a d ap ro p ia d a s, e x iste n lo s c o n tro le s y c u m p le n c o n la p o ltic a d e se g u rid a d d e la
o rg a n iza c i n . S e d e b e ra c o n sid e ra r lo sig u ie n te :
a ) la e x iste n c ia d e la se g u rid a d fsic a d e l sitio d e te le tra b a jo , to m an d o e n cu e n ta la
se g u rid a d fsic a d e l e d ific io y su a m b ien te ;
b ) e l a m b ie n te d e te le tra b a jo p ro p u e sto ;
c ) lo s re q u isito s d e se g u rid a d d e la s c o m u n ic a c io n e s, to m a n d o e n c u en ta la n e c e sid ad d e
a c c e so re m o to a lo s siste m a s in te rn o s d e la o rg a n iza c i n , la se n sib ilid a d d e la
in fo rm a c i n q u e se r a c c e sib le , e l p a so p o r e l e n la c e d e c o m u n ic a c i n y la se n sib ilid a d
d e l siste m a in te rn o ;
d ) la a m e n a za d e a c c e so n o a u to riza d o a la in fo rm a c i n o re c u rso s, d e o tra s p e rso n a s
q u e u sa n la s a c o m o d a c io n e s d e l sitio , p o r e je m p lo , la fa m ilia y lo s a m ig o s.
N C h 2 7 7 7
7 5
S e d e b e ra c o n sid e ra r in c lu ir lo s c o n tro le s y d isp o sic io n e s p a ra :
a ) e l su m in istro d e lo s eq u ip o s ad e c u a d o s y a c c e so rio s d e a lm a c e n a m ien to p a ra la s
a c tiv id a d e s d e te le tra b a jo ;
b ) u n a d e fin ic i n d e l tra b a jo p e rm itid o , la s h o ra s d e tra b a jo , la c la sific a c i n d e la
in fo rm a c i n q u e se p u e d e g u a rd a r y lo s siste m a s in te rn o s y se rv ic io s q u e e l
te le tra b a ja d o r e st a u to riza d o a a c c e d e r;
c ) e l su m in istro d e lo s eq u ip o s d e c o m u n ic a c io n e s a p ro p ia d o s, in c lu y en d o lo s m to d o s
p a ra e l a c c e so re m o to se g u ro ;
d ) la se g u rid a d fsic a ;
e ) re g la s y g u a s e n la fa m ilia y e l a c c e so d e v isita s a lo s eq u ip o s e in fo rm a c i n ;
f) e l su m in istro d e a p o y o a l so ftw a re y h a rd w a re y m a n te n im ie n to ;
g ) lo s p ro c e d im ie n to s d e re sp a ld o y c o n tin u id a d d e l n e g o c io ;
h ) a u d ito ra y m o n ito re o d e la se g u rid a d ;
i) re v o c a c i n d e la au to rid a d , d e re c h o s d e a c c e so y e l re to rn o d e lo s e q u ip o s c u a n d o
fin a liza n la s a c tiv id a d e s d e te le tra b a jo .
10 Desarrollo y mantenimiento de sistemas
10.1 Requisitos de seguridad de los sistemas
O b je tiv o : R e sg u a rd a r q u e la seg u rid a d e st in c o rp o ra d a e n lo s siste m a s d e in fo rm a c i n .
E sto in c lu y e la in fra e stru c tu ra , la s a p lic a c io n e s d e l n eg o c io y la s a p lic a c io n e s
d e sa rro lla d a s p o r e l u su a rio . E l d ise o e im p le m e n ta c i n d e l p ro c e so d e l n e g o c io q u e
a p o y a a la ap lic a c i n o se rv ic io p u e d e se r c ru c ia l p a ra la se g u rid a d . L o s re q u isito s d e
se g u rid a d se d e b e ra n id e n tific a r y a c o rd a r a n te s d e d e sa rro lla r lo s siste m a s d e
in fo rm a c i n .
T o d o s lo s re q u isito s d e se g u rid a d , in c lu y e n d o la n e c e sid a d d e la s c o n fig u ra c io n e s d e
re c u p e ra c i n , se d e b e ra n id e n tific a r e n la fa se d e re q u isito s d e l p ro y e c to , ju stific n d o lo s,
a c o rd n d o lo s y d o cu m e n tn d o lo s, c o m o p a rte d e l p la n g lo b a l d e l n e g o c io , p a ra u n siste m a
d e in fo rm a c i n .
N C h 2 7 7 7
7 6
10.1.1 Anlisis y especificaciones de los requisitos de seguridad
L a s d e c la ra c io n e s d e lo s re q u isito s p a ra lo s n u e v o s sistem a s, o p a ra re fo rza r lo s siste m a s
e x iste n te s d e b e ra n e sp e c ific a r lo s re q u isito s d e lo s co n tro le s. T a le s e sp e c ific a c io n e s
d e b e ra n c o n sid e ra r lo s c o n tro le s a u to m a tiza d o s p a ra in co rp o ra rlo s a l siste m a y la
n e c e sid a d d e a p o y o d e c o n tro le s m a n u a le s. S e d e b e ra n a p lic a r c o n sid e ra c io n e s sim ila re s
c u a n d o se e v a l a n p a q u e te s d e so ftw a re p a ra la s a p lic a c io n e s d e l n eg o c io . S i se
c o n sid e ra a p ro p ia d o , la d ire c c i n p u ed e h a c e r u so d e p ro d u c to s e v a lu a d o s y c e rtific a d o s
in d e p e n d ie n te m e n te .
L o s re q u isito s d e se g u rid a d y c o n tro l d e b e ra n re fle ja r e l v a lo r d e lo s b ie n e s d e in fo rm a c i n
d e l n e g o c io in v o lu c ra d o s y e l p o ten c ia l d a o a l n e g o c io , q u e p o d ra re su lta r d e u n a fa lla o
a u se n c ia d e seg u rid a d . E l m a rc o p a ra a n a liza r lo s re q u isito s d e se g u rid ad e id e n tific a r lo s
c o n tro le s p a ra c u m p lir c o n e llo s e s la e v a lu a c i n y la g e sti n d e l rie sg o .
L o s c o n tro le s in tro d u c id o s e n la e ta p a d e d ise o so n sig n ific a tiv a m e n te m s b a ra to s d e
im p le m e n ta r y m a n te n e r q u e a q u e llo s in c lu id o s d u ra n te o d e sp u s d e la im p le m e n ta c i n .
10.2 Seguridad de las aplicaciones de los sistemas
O b je tiv o : P re v e n ir la p rd id a , m o d ific a c i n o m a l u so d e lo s d a to s d e u su a rio en la s
a p lic a c io n e s d e lo s siste m a s.
L o s c o n tro le s a p ro p ia d o s y lo s se g u im ie n to s d e a u d ito ra s o lo s re g istro s d e a c tiv id a d se
d e b e ra n d ise a r e n la a p lic a c i n d e lo s siste m a s, in c lu y e n d o la s ap lic a c io n e s e sc rita s p o r
e l u su a rio . E sto s d e b e ra n in c lu ir la v a lid a c i n d e lo s d a to s d e en tra d a , p ro c e sa m ie n to
in te rn o y d a to s d e sa lid a .
S e p u e d e n n e c e sita r c o n tro le s ad ic io n a le s p a ra lo s sistem a s q u e p ro c e sa n b ien e s c rtic o s
d e la o rg a n iza c i n o d e v a lo r se n sib le o tien e n u n im p a c to e n e lla . T a le s c o n tro le s se
d e b e ra n d e te rm in a r e n b a se a lo s re q u isito s d e seg u rid a d y e v a lu a c i n d e l rie sg o .
10.2.1 Validacin de los datos de entrada
Lo s d ato s d e en trad a a las ap licacio n es d e lo s sistem as se d eb eran v alid ar p ara aseg u rar q u e
so n co rrecto s y ap ro p iad o s. S e d eb era ap licar a la en trad a u n a verificaci n d e las
tran saccio n es d el n eg o cio , d ato s p erm an en tes (n o m b res y d ireccio n es, lm ites d e crd ito ,
n m ero s d e referen cia d el clien te) y tab las d e p arm etro s (p recio s d e v en tas, tasas d e
co n v ersi n d e m o n ed as, tasas d e im p u esto s). S e d eb eran co n sid erar lo s co n tro les sig u ien tes:
a ) e n tra d a d u a l u o tra v e rific a c i n d e la e n tra d a p a ra d e te c ta r lo s e rro re s sig u ie n te s:
a . 1 ) v a lo re s fu e ra d e ra n g o ;
a . 2 ) c a ra c te re s in v lid o s e n lo s c a m p o s d e d a to s;
N C h 2 7 7 7
7 7
a . 3 ) d a to s in c o m p le to s o e q u iv o c a d o s;
a . 4 ) v o lu m e n d e d a to s q u e e x c e d e n lo s lm ite s in fe rio r y su p e rio r;
a . 5 ) c o n tro l d e lo s d a to s in c o n siste n te s o n o a u to riza d o s.
b ) re v isi n p e ri d ic a d e l c o n ten id o d e lo s c a m p o s c la v e s o a rc h iv o s d e d a to s p a ra
c o n firm a r su v a lid e z e in te g rid ad ;
c ) in sp e c c io n a r lo s d o c u m e n to s d e e n tra d a e n p a p e l p a ra v e rific a r c u a lq u ie r c a m b io n o
a u to riza d o e n lo s d a to s d e e n tra d a (to d o s lo s c a m b io s a lo s d o c u m e n to s d e e n tra d a se
d e b e ra n a u to riza r);
d ) p ro c e d im ie n to s p a ra re sp o n d e r a lo s e rro re s d e v a lid a c i n ;
e ) p ro c e d im ie n to s p a ra p ro b a r la c re d ib ilid a d d e lo s d a to s d e e n tra d a ;
f) d e fin ir la s re sp o n sa b ilid a d e s d e to d o e l p e rso n a l in v o lu c ra d o e n e l p ro c e so d e e n tra d a
d e d a to s.
10.2.2 Control del procesamiento interno
10.2.2.1 Areas de riesgo
L o s d a to s q u e se h a n in g re sa d o c o rre c ta m e n te se p u e d en c o rro m p e r p o r e rro re s d e
p ro c e sa m ie n to o p o r a c to s d e lib e ra d o s. S e d e b e ra in c o rp o ra r e n lo s siste m a s la p ru e b a d e
v a lid a c i n p a ra d e te c ta r ta l c o rru p c i n . E l d ise o d e las ap licacio n es d eb e ra aseg u rar q u e
las restriccio n es se im p lem en tan p ara m in im izar el riesg o d e fallas d e p ro cesam ien to q u e
llev en a la p rd id a d e in teg rid ad . C o n sid erar en las re as esp ec fic as la in co rp o raci n d e:
a ) e l u so y u b ic a c i n e n lo s p ro g ra m a s d e la s fu n c io n e s d e a d ic i n y b o rra d o p a ra
im p le m e n ta r c a m b io s a lo s d a to s;
b ) lo s p ro c e d im ie n to s p a ra e v ita r q u e se e je c u te n p ro g ra m a s e n o rd e n e q u iv o c ad o o q u e
se e je c u te n d e sp u s d e u n a fa lla e n e l p ro c e sa m ie n to p re v io (v e r ta m b i n 8 . 1 . 1 );
c ) e l u so d e p ro g ra m a s co rre c to s p a ra re c u p e ra r fa lla s y a se g u ra r e l c o rre c to
p ro c e sa m ie n to d e lo s d a to s.
10.2.2.2 Verificaciones y controles
L o s c o n tro le s n e c e sa rio s d e p e n d e r n d e la n a tu ra le za d e la a p lic a c i n y d e l im p a c to a l
n e g o c io d e c u a lq u ie r c o rru p c i n d e lo s d a to s. L o s e je m p lo s d e v e rific a c i n q u e se p u e d e n
in c o rp o ra r in c lu y e n lo sig u ie n te:
a ) c o n tro le s d e se si n o d e p ro c e so s b a tc h , p a ra c o n c ilia r lo s b a la n c e s d e a rc h iv o s d e
d a to s d e sp u s d e la s tra n sa c c io n e s d e a c tu a liza c i n ;
N C h 2 7 7 7
7 8
b ) c o n tro le s d e b a la n c e p a ra v e rific a r la a p e rtu ra d e b a la n c e s c e rra d o s p re v ia m e n te, a
sa b e r:
b . 1 ) c o n tro le s e n tre e je c u c io n e s;
b . 2 ) to ta le s d e a c tu a liza c i n d e a rc h iv o s;
b . 3 ) c o n tro le s p ro g ra m a a p ro g ra m a ;
c ) v a lid a c i n d e lo s d a to s g e n e ra d o s p o r e l siste m a (v e r 1 0 . 2 . 1 );
d ) v e rific a c io n e s d e la in te g rid a d d e lo s d a to s o d e l so ftw a re d e sc a rg a d o o c a rg a d o en tre
e l c o m p u ta d o r re m o to y e l c e n tra l (v e r 1 0 . 3 . 3 );
e ) a n lisis to ta l d e re g istro s y a rc h iv o s;
f) v e rific a c io n e s p a ra a se g u ra r q u e lo s p ro g ra m a s d e la s ap lic a c io n e s se e je c u ta n a la
h o ra c o rre c ta ;
g ) v e rific a c io n e s p a ra a se g u ra r q u e lo s p ro g ra m a s se e je c u ta n e n o rd en c o rre c ta y
te rm in a n e n c a so d e u n a fa lla , y q u e a d e m s se d e tie n e e l p ro c e sa m ie n to h a sta q u e
se re su e lv e e l p ro b le m a .
10.2.3 Autenticacin de mensaje
L a a u te n tic a c i n d e m e n sa je e s u n a t c n ic a q u e se u sa p a ra d e te c ta r lo s c a m b io s n o
a u to riza d o s o u n a c o rru p c i n d e lo s c o n te n id o s d e u n m en sa je e le c tr n ic o tra n sm itid o . S e
p u e d e im p le m e n ta r p o r h a rd w a re o so ftw a re , c o n e l a p o y o d e u n d isp o sitiv o fsic o d e
a u te n tic a c i n d e m e n sa je o d e u n a lg o ritm o d e so ftw a re .
S e d e b e ra c o n sid e ra r la a u te n tic a c i n d e m e n sa je s p a ra a p lic a c io n e s d o n d e h a y u n
re q u isito d e se g u rid a d p a ra p ro te g e r la in teg rid a d d e l c o n ten id o d e l m e n sa je c o n a lta
im p o rta n c ia , p o r e je m p lo , tra n sfe re n c ia e le c tr n ic a d e fo n d o s, e sp e c ific a c io n e s, c o n tra to s,
p ro p u e sta s, e tc . u o tro s in te rc a m b io s sim ila re s d e d a to s e le c tr n ic o s. S e d e b e ra re a liza r
u n a e v a lu a c i n d e lo s rie sg o s d e la se g u rid a d p a ra d e te rm in a r si se re q u ie re a u te n tic a c i n
d e l m e n sa je e id e n tific a r e l m to d o m s a p ro p ia d o d e im p le m e n ta c i n .
L a a u te n tic a c i n d e m e n sa je n o e st d ise ad a p a ra p ro te g e r lo s c o n ten id o s d e u n m e n sa je
d e b id o a la d iv u lg a c i n n o a u to riza d a . L a s t c n ic a s c rip to g r fic a s (v e r 1 0 . 3 . 2 y 1 0 . 3 . 3 ) se
p u e d e n u sa r c o m o u n a fo rm a ap ro p ia d a d e im p le m e n ta c i n d e au te n tic a c i n d e m en sa je .
N C h 2 7 7 7
7 9
10.2.4 Validacin de los datos de salida
L o s d a to s d e sa lid a d e u n a a p lic a c i n d e l siste m a se d e b e ra n v a lid a r p a ra a se g u ra r q u e e l
p ro c e sa m ie n to d e la in fo rm a c i n a lm a c e n a d a e s co rre c to y a p ro p ia d o a la s c irc u n stan c ia s.
T p ic a m e n te lo s siste m a s se c o n stru y e n c o n la p re m isa q u e tie n e n q u e g a ra n tiza r u n a
a p ro p ia d a v a lid a c i n , v e rific a c i n y p ru e b a, d e q u e la sa lid a sie m p re se r c o rre c ta . E sto n o
sie m p re e s e l c a so . L a v a lid a c i n d e la sa lid a p u e d e in c lu ir:
a ) V e rific a c io n e s d e ad m isib ilid a d p a ra p ro b a r si lo s d a to s d e sa lid a so n ra zo n a b le s.
b ) C o n tro l d e co n c ilia c i n d e c u e n ta s p a ra a se g u ra r e l p ro c e sa m ie n to d e to d o s lo s d a to s.
c ) P ro v e e r su fic ie n te in fo rm a c i n p a ra e l le c to r o p a ra e l sistem a d e p ro c e sa m ie n to
su b se c u e n te , p a ra d e te rm in a r la e x a c titu d , to ta lid ad , p re c isi n y c la sific a c i n d e la
in fo rm a c i n .
d ) P ro c e d im ie n to s p a ra re sp o n d e r la s p ru eb a s d e v a lid a c i n d e la sa lid a.
e ) D e fin ir la s re sp o n sab ilid a d e s d e to d o e l p e rso n a l in v o lu c ra d o e n e l p ro c e so d e lo s
d a to s d e sa lid a .
10.3 Controles criptogrficos
O b je tiv o : P ro te g e r la c o n fid e n c ia lid a d , a u te n tic id ad o la in te g rid ad d e la in fo rm a c i n .
S e d e b e ra n u sa r t c n ic a s y siste m a s c rip to g r fic o s p a ra la p ro te c c i n d e la in fo rm a c i n
q u e se co n sid e ra e n rie sg o y p a ra la c u a l o tro s c o n tro le s n o p ro v e e n u n a p ro te c c i n
a d e c u a d a .
10.3.1 Poltica en el uso de controles criptogrficos
P a ra to m a r u n a d e c isi n si u n a so lu c i n c rip to g r fic a e s a p ro p ia d a , se d e b e ra v e r c o m o
p a rte d e l a m p lio p ro c e so d e e v a lu a c i n d e rie sg o s y d e se le c c i n d e c o n tro le s. S e d e b e ra
re a liza r u n a e v a lu a c i n d e rie sg o p a ra d e te rm in a r e l n iv e l d e p ro te c c i n q u e se le d e b e ra
d a r a la in fo rm a c i n . L u e g o , e sta e v a lu a c i n se p u ed e u sa r p a ra d e te rm in a r q u c o n tro l
c rip to g r fic o e s a p ro p ia d o , q u tip o d e c o n tro l se d e b e ra a p lic a r y p a ra q u p ro p sito y
p ro c e so s d e l n e g o c io .
L a o rg a n iza c i n d e b e ra d e sa rro lla r u n a p o ltic a d e l u so d e c o n tro le s c rip to g r fic o s p a ra la
p ro te c c i n d e su in fo rm a c i n . T a l p o ltic a e s n e c e sa ria p a ra m a x im iza r b e n e fic io s y
m in im iza r lo s rie sg o s d e l u so d e t c n ic a s c rip to g r fic a s, y e v ita r e l u so in c o rre c to e
in a d e c u a d o . C u a n d o se d e sa rro lle la p o ltic a se d e b e ra c o n sid e ra r lo sig u ie n te :
a ) e n fo c a r la g e sti n e n e l u so d e lo s c o n tro le s c rip to g r fic o s e n la o rg a n iza c i n ,
in c lu y e n d o lo s p rin c ip io s g e n e ra le s b a jo lo s q u e se d e b e ra p ro teg e r la in fo rm a c i n d e l
n e g o c io ;
N C h 2 7 7 7
8 0
b ) p la n te a r la g e sti n d e c la v e s, in c lu ir m to d o s p a ra tra ta r la re c u p e ra c i n d e la
in fo rm a c i n e n c rip ta d a e n e l c a so d e c la v e s p e rd id as, d a a d a s o c o m p ro m e tid a s;
c ) lo s ro le s y re sp o n sa b ilid a d e s, p o r e je m p lo , q u i n e s re sp o n sa b le d e :
d ) la im p le m e n ta c i n d e la p o ltic a ;
e ) la g e sti n d e la s c la v e s;
f) c m o se d e te rm in a e l n iv e l a p ro p ia d o d e p ro te c c i n c rip to g r fic a ;
g ) la s n o rm a s q u e se a d o p ta n p a ra la im p le m e n ta c i n e fe c tiv a e n to d a la o rg a n iza c i n
(q u so lu c i n se u sa y p a ra q u p ro c e so d e l n e g o c io ).
10.3.2 Encriptacin
L a e n c rip ta c i n e s u n a t c n ic a c rip to g r fic a q u e se p u e d e u sa r p a ra p ro te g e r la
c o n fid e n c ia lid a d d e la in fo rm a c i n . S e d eb e ra c o n sid e ra r p a ra la p ro te c c i n d e
in fo rm a c i n c rtic a y se n sib le .
E n b a se a la e v a lu a c i n d e l rie sg o se d e b e ra id e n tific a r e l n iv e l d e p ro te c c i n n e c e sa rio
to m a n d o en c u e n ta e l tip o y c a lid a d d e l a lg o ritm o d e e n c rip ta c i n q u e se u sa y la lo n g itu d
d e la s c la v e s c rip to g r fic a s q u e se u sa n .
C u a n d o se im p le m e n ta la p o ltic a c rip to g r fic a d e la o rg a n iza c i n , se d e b e ra te n e r e n
c o n sid e ra c i n lo s re g la m e n to s y re stric c io n e s n a c io n a le s q u e se p u e d en a p lic a r a l u so d e
t c n ic a s c rip to g r fic a s e n d ife re n te s p a rte s d e l m u n d o y la s e m isio n e s d e flu jo d e
in fo rm a c i n e n c rip ta d a m s a ll d e la fro n te ra . A d em s, se d eb e ra te n e r e n c o n sid e ra c i n
lo s c o n tro le s q u e a p lic a n a la e x p o rta c i n e im p o rta c i n d e te c n o lo g a c rip to g r fic a
(v e r ta m b i n 1 2 . 1 . 6 ).
L o s e sp e c ia lista s o p in a n q u e se d eb e ra p ro c u ra r id e n tific a r e l n iv e l a p ro p ia d o d e
p ro te c c i n , p a ra se le c c io n a r lo s p ro d u c to s a d e c u a d o s, q u e p ro v e e r n la p ro te c c i n
n e c e sa ria y la im p le m e n ta c i n d e u n siste m a se g u ro d e g e sti n d e c la v e (v e r ta m b in
1 0 . 3 . 5 ). A d e m s, p u e d e se r n e c e sa ria la o p in i n le g a l re la c io n a d a c o n la s le y e s y
re g la m e n to s q u e se p u e d e n ap lic a r a la o rg a n iza c i n q u e d e se a u sa r la e n c rip ta c i n .
N C h 2 7 7 7
8 1
10.3.3 Firmas electrnicas
L a s firm a s e le c tr n ic a s p ro v e e n u n a fo rm a d e p ro te g e r la a u te n tic id ad y la in te g rid a d d e
lo s d o c u m en to s e le c tr n ic o s. P o r e je m p lo , e lla s se p u ed e n u sa r e n e l co m e rc io e le c tr n ic o
c u a n d o h a y n e c e sid a d d e v e rific a r q u i n firm u n d o cu m e n to e le c tr n ic o y v e rific a r si se
h a c a m b ia d o e l c o n te n id o d e l d o cu m e n to e le c tr n ic o .
L a s firm a s e le c tr n ic a s se p u e d e n a p lic a r a c u a lq u ie r fo rm a d e d o c u m e n to q u e se p ro c e se
e le c tr n ic a m e n te , p o r e je m p lo , e lla s se p u e d en u sa r p a ra firm a r u n p a g o e le c tr n ic o ,
tra n sfe re n c ia d e fo n d o s, c o n tra to s y a c u e rd o s. L a s firm a s e le c tr n ic a s se p u e d e n
im p le m e n ta r u san d o la t c n ic a c rip to g r fic a e n b a se a u n p a r d e c la v e s re la c io n a d a s
n ic a m e n te , d o n d e u n a c la v e se u sa p a ra c re a r u n a firm a (la c la v e p riv a d a ) y la o tra p a ra
v e rific a r la firm a (la c la v e p b lic a ).
S e d e b e ra te n e r c u id a d o e n p ro te g e r la co n fid e n c ia lid a d d e la c la v e p riv a d a . E sta c la v e se
d e b e ra m a n te n e r e n se c re to y a q u e a lg u ie n q u e ten g a a c c e so a e sta c la v e p u e d e firm a r
d o c u m en to s, p o r e je m p lo p ag o s, c o n tra to s, c o n lo cu a l fa lsific a r la firm a d e l d u e o d e e sa
c la v e . A d e m s, e s im p o rta n te p ro te g e r la in te g rid a d d e la c la v e p b lic a . E sta p ro te c c i n se
su m in istra m e d ia n te e l u so d e u n c e rtific a d o d e c la v e p b lic a (v e r 1 0 . 3 . 5 ).
E s n e c e sa rio te n e r en c o n sid e ra c i n e l tip o y c a lid a d d e l a lg o ritm o d e firm a q u e se u sa y la
lo n g itu d d e la s c la v e s q u e se u sa n . L a s c la v e s c rip to g r fic a s q u e se u sa n p a ra la s firm a s
e le c tr n ic a s d e b e ra n se r d ife re n te s d e a q u e lla s q u e se u san p a ra e n c rip ta c i n
(v e r 1 0 . 3 . 2 ).
C u a n d o se u san firm a s e le c tr n ic a s se d e b e ra te n e r e n c o n sid e ra c i n to d a la le g isla c i n
p e rtin e n te q u e d e sc rib e la s co n d ic io n e s b a jo la c u a l la firm a e le c tr n ic a e s le g a lm e n te
v lid a . P o r e je m p lo , en e l c a so d e c o m e rc io e le c tr n ic o e s im p o rta n te c o n o c e r e l e sta d o
le g a l d e la s firm a s e le c tr n ic a s. P u e d e se r n e c e sa rio te n e r c o n tra to s v lid o s u o tro s
a c u e rd o s p a ra a p o y a r e l u so d e la s firm a s e le c tr n ic a s c u a n d o e l m a rc o le g a l se a
in a d e c u a d o . L a o p in i n le g a l d e b e ra te n e r e n co n sid e ra c i n la s le y e s y re g la m e n to s q u e
se p u e d en a p lic a r a la o rg an iza c i n q u e d e se a u sa r la s firm a s e le c tr n ic a s.
10.3.4 Servicios de no repudio
L o s se rv ic io s d e n o re p u d io se d e b e ra n u sa r c u a n d o se a n e c e sa rio re so lv e r la s d isp u ta s
c o n re sp e c to a la o cu rre n c ia o n o d e u n e v e n to o u n a a c c i n , p o r e je m p lo , u n a d isp u ta
q u e in v o lu c ra e l u so d e u n a firm a e le c tr n ic a e n u n c o n tra to e le c tr n ic o o p ag o . E llo s
p u e d e n a y u d a r a e sta b le c e r la e v id e n c ia p a ra su b sta n c ia r si h a o cu rrid o u n e v e n to
p a rtic u la r o u n a a c c i n , p o r e je m p lo , e l re c h a zo d e l e n v o d e u n a in stru c c i n c o n firm a
e le c tr n ic a u sa n d o e l c o rre o e le c tr n ic o . E sto s se rv ic io s se b a sa n en e l u so d e t c n ic a s d e
e n c rip ta c i n y d e firm a e le c tr n ic a (v e r tam b i n 1 0 . 3 . 2 y 1 0 . 3 . 3 ).
N C h 2 7 7 7
8 2
10.3.5 Gestin de claves
10.3.5.1 Proteccin de claves criptogrficas
La g esti n d e clav es crip to g rficas es esen cial p ara el u so efectivo d e las tcn icas
crip to g rficas. C u alq u ier co m p ro m iso o p rd id a d e las claves crip to g rficas p u ed e llev ar al
co m p ro m iso d e la co n fid en cialid ad , au ten ticid ad y/o in teg rid ad d e la in fo rm aci n . E l sistem a
d e g esti n d eb era estar en el sitio ap ro p iad o p ara ap o y ar a la o rg an izaci n en el u so d e lo s
d o s tip o s d e tcn icas crip to g rficas sig u ien tes:
a) Las tcn icas d e clav e secreta, d o n d e d o s o m s p artes co m p arten la m ism a clav e y esta
clave se u sa p ara en crip tar y d esen crip tar la in fo rm aci n . E sta clav e tien e q u e m an ten erse
en secreto y a q u e alg u ien q u e ten g a acceso es cap az d e d esen crip tar to d a la in fo rm aci n
q u e es en crip tad a co n esa clav e, o in tro d u cir in fo rm aci n n o au to rizad a.
b ) L a s t c n ic a s d e c la v e p b lic a , d o n d e c a d a u su a rio tie n e u n p a r d e c la v e s, u n a c la v e
p b lic a (q u e p u ed e se r re v e la d a a c u a lq u ie ra ) y u n a c la v e p riv a d a (q u e tie n e q u e
m a n te n e rse e n se c re to ). L a s t c n ic a s d e c la v e p b lic a se p u ed e n u sa r p a ra
e n c rip ta c i n (v e r 1 0 . 3 . 2 ) y p a ra g en e ra r la s firm a s e le c tr n ic a s (v e r 1 0 . 3 . 3 ).
T o d a s la s c la v e s se d e b e ra n p ro teg e r d e la m o d ific a c i n y d e stru c c i n , la s c la v e s
se c re ta s y p riv a d a s n e c e sita n p ro te c c i n d e la d iv u lg a c i n n o au to riza d a . L a s t c n ic a s
c rip to g r fic a s ta m b i n se p u e d e n u sa r p a ra e ste p ro p sito . S e d eb e ra u sa r p ro te c c i n
fsic a p a ra p ro te g e r lo s e q u ip o s q u e se u sa n p a ra g e n e ra r, a lm a c e n a r y a rc h iv a r la s c la v e s.
10.3.5.2 Normas, procedimientos y mtodos
U n siste m a d e g e sti n d e c la v e s se d e b e ra b a sa r e n u n c o n ju n to a c o rd ad o d e n o rm a s,
p ro c e d im ie n to s y m to d o s se g u ro s p a ra :
a ) g e n e ra r c la v e s c o n d ife re n te s siste m a s c rip to g r fic o s y d ife re n te s ap lic a c io n e s;
b ) g e n e ra r y o b ten e r lo s c e rtific a d o s d e c la v e p b lic a ;
c ) d istrib u ir c la v e s d e stin a d a s a lo s u su a rio s, in c lu y en d o c m o se d e b e ra n a c tiv a r la s
c la v e s c u a n d o se re c ib a n ;
d ) a lm a c e n a r c la v e s, in c lu y e n d o c m o lo s u su a rio s a u to riza d o s o b tie n e n a c c e so a la s
c la v e s;
e ) c a m b ia r o a c tu a liza r c la v e s, in c lu y en d o re g la s d e cu n d o y c m o sta s se d eb e ra n
c a m b ia r;
f) tra ta m ie n to d e la s c la v e s c o m p ro m e tid a s;
g ) re v o c a r c la v e s, in c lu y e n d o c o m o la s c la v e s se d e b e ra n a isla r o d e sa c tiv a r,
p o r e je m p lo , c u a n d o la s c la v e s se h a y a n c o m p ro m e tid o o cu a n d o u n u su a rio d e ja u n a
o rg a n iza c i n (e n e ste c a so la s c la v e s se d e b e ra n tam b i n a rc h iv a r);
N C h 2 7 7 7
8 3
h ) re c u p e ra r c la v e s q u e se p e rd ie ro n o se c o rro m p ie ro n c o m o p a rte d e la g e sti n d e
c o n tin u id a d d e l n e g o c io , p o r e je m p lo , p a ra la re c u p e ra c i n d e in fo rm a c i n e n c rip ta d a ;
i) a rc h iv a r c la v e s, p o r e je m p lo ; p a ra in fo rm a c i n a rc h iv a d a o d e re sp a ld o ;
j) d e stru ir c la v e s;
k ) re g istra r y a u d ita r la s a c tiv id a d e s re la c io n a d a s c o n la g e sti n d e c la v e s.
C o n e l fin d e re d u c ir la p ro b ab ilid a d d e c o m p ro m iso , la s c la v e s d eb e ra n te n e r d e fin id o lo s
d a to s d e a c tiv a c i n y d e sa c tiv a c i n , d e m o d o q u e e lla s se p u e d a n u sa r s lo p o r u n
p e ro d o lim ita d o d e tie m p o . E ste p e ro d o d e tie m p o d eb e ra se r in d e p en d ie n te d e la s
c irc u n sta n c ia s e n la s q u e se u sa e l c o n tro l c rip to g r fic o y se p e rc ib e e l rie sg o .
P u e d e se r n e c e sa rio c o n sid e ra r lo s p ro c e d im ie n to s p a ra e l m a n e jo d e la s e x ig e n c ia s
le g a le s p a ra a c c e d e r a la s c la v e s c rip to g r fic a s, p o r e je m p lo , p u e d e se r n e c e sa rio q u e la
in fo rm a c i n e n c rip ta d a e st d isp o n ib le en u n a fo rm a n o e n c rip ta d a p a ra e v id e n c ia e n u n a
c o rte .
A d e m s d e l h e c h o d e g e stio n a r e n fo rm a se g u ra la s c la v e s se c re ta y p riv a d a , ta m b i n se
d e b e ra c o n sid e ra r la p ro te c c i n d e la s c la v e s p b lic a s. E x iste la a m en a za d e q u e a lg u ie n
fa lsifiq u e u n a firm a e le c tr n ic a m e d ia n te e l re e m p la zo d e u n a c la v e p b lic a d e u su a rio p o r
la p ro p ia . E ste p ro b le m a es a te n d id o c o n e l u so d e u n c e rtific a d o d e c la v e p b lic a . E sto s
c e rtific a d o s se d e b e ra n g en e ra r d e m an e ra q u e n ic a m e n te re la c io n e n la in fo rm a c i n co n
e l d u e o d e l p a r d e c la v e p b lic a /p riv a d a d e la c la v e p b lic a . P o r lo ta n to e s im p o rta n te
q u e e l p ro c e so d e g e sti n q u e g e n e ra e sto s c e rtific a d o s p u e d a se r d e c o n fia n za . E ste
p ro c e so n o rm a lm e n te lo re a liza u n a au to rid a d d e c e rtific a c i n q u e p o d ra se r u n a
o rg a n iza c i n re c o n o c id a c o n c o n tro le s y p ro c e d im ien to s a p ro p iad o s e n e l sitio p a ra
p ro v e e r e l g ra d o d e c o n fia n za n e c e sa rio .
L o s c o n te n id o s d e lo s a cu e rd o s a n iv e l d e se rv ic io s o c o n tra to s c o n p ro v e e d o re s e x te rn o s
d e se rv ic io s d e c rip to g ra fa , p o r e je m p lo , c o n u n a au to rid ad d e c e rtific a c i n , d e b e ra n
c u b rir la s m a te ria s d e re sp o n sab ilid a d y c o n fia b ilid ad d e se rv ic io s y tie m p o s d e re sp u e sta
p a ra e l su m in istro d e e llo s (v e r 4 . 2 . 2 ).
10.4 Seguridad de los archivos de sistema
O b je tiv o : A se g u ra r q u e lo s p ro y e c to s d e T e c n o lo g a d e la I n fo rm a c i n (T I ) y la s
a c tiv id a d e s d e a p o y o se c o n d u zc a n d e m a n e ra se g u ra . S e d eb e ra c o n tro la r e l a c c e so a
lo s a rc h iv o s d e l siste m a.
E l m a n ten im ie n to d e la in te g rid a d d e l sistem a d e b e ra se r re sp o n sa b ilid ad d e la fu n c i n d e
u su a rio o d e l g ru p o d e d e sa rro llo a q u ien e s p e rte n e c e e l so ftw a re o la a p lic a c i n d e l
siste m a .
N C h 2 7 7 7
8 4
10.4.1 Control del software operacional
S e d e b e ra p ro v e e r c o n tro l p a ra la im p le m en ta c i n d e l so ftw a re o p e ra c io n a l d e lo s
siste m a s. P a ra m in im iza r e l rie sg o d e c o rru p c i n d e lo s siste m a s o p e ra c io n a le s, se
d e b e ra n c o n sid e ra r lo s c o n tro le s sig u ie n te s:
a ) R e a liza r la a c tu a liza c i n d e la s b ib lio te c a s d e p ro g ra m a s o p e ra c io n a le s s lo m e d ia n te
la b ib lio te c a d e sig n a d a p o r u n a au to riza c i n a p ro p ia d a d e la d ire c c i n (v e r 1 0 . 4 . 3 ).
b ) M a n te n e r, si e s p o sib le , en lo s siste m a s o p e ra c io n a le s s lo lo s c d ig o s e je c u ta b le s.
c ) N o im p le m en ta r lo s c d ig o s e je c u ta b le s e n u n siste m a o p e ra c io n a l h a sta q u e se
o b te n g a la e v id e n c ia d e p ru eb a e x ito sa y la a c e p ta c i n d e l u su a rio y se h a y a n
a c tu a liza d o la s b ib lio te c a s d e p ro g ra m a s fu e n te s.
d ) M a n te n e r u n a au d ito ra d e re g istro d e to d a s la s a c tu a liza c io n e s d e la s b ib lio te c a s d e
p ro g ra m a s o p e ra c io n a le s.
e ) G u a rd a r la s v e rsio n e s p re v ia s d e l so ftw a re c o m o u n a m e d id a d e co n tin g e n c ia .
E l so ftw are su m in istrad o p o r lo s p ro v eed o res q u e se u sa en lo s sistem as o p eracio n ales se
d eb era m an ten er co m o n iv el d e ap o y o . C u alq u ier d ecisi n p ara actu alizar a u n a n u ev a v ersi n
d e so ftw are d eb era to m ar en cu en ta la seg u rid ad d e la n u eva versi n , es d ecir, la
in tro d u cci n d e la n u ev a fu n cio n alid ad d e seg u rid ad o la v aried ad y sev erid ad d e lo s
p ro b lem as d e seg u rid ad q u e afectan esta v ersi n . Lo s p arch es d e so ftw are se d eb eran ap licar
cu an d o ello s p u ed an ay u d ar a red u cir o elim in ar la d eficien cia d e seg u rid ad .
C u a n d o se a n e c e sa rio lo s a c c e so s l g ic o s o fsic o s s lo se d e b e ra n d a r a lo s p ro v e ed o re s
p a ra p ro p sito s d e a p o y o , y c o n la a p ro b a c i n d e la d ire c c i n . S e d e b e ra n m o n ito re a r la s
a c tiv id a d e s d e l p ro v e e d o r.
10.4.2 Proteccin de los datos de prueba del sistema
L o s d a to s se d e b e ra n p ro te g e r y co n tro la r. L a s p ru e b a s d e l sistem a y la a c e p ta c i n
g e n e ra lm e n te re q u ie re n v o l m e n e s im p o rta n te s d e d a to s d e p ru eb a q u e so n tan c e rc a n o s
c o m o se a p o sib le a lo s d a to s d e o p e ra c i n . S e d e b e ra e v ita r e l u so d e la s b a se s d e d a to s
o p e ra c io n a le s q u e c o n tien e n in fo rm a c i n p e rso n a l. S i ta l in fo rm a c i n se u sa, d e b e ra se r
d e sp e rso n a liza d a a n te s d e su u so . S e d e b e ra n a p lic a r lo s sig u ie n te s c o n tro le s p a ra
p ro te g e r lo s d a to s o p e ra c io n a le s, c u a n d o se u sa n p a ra p ro p sito s d e p ru e b a :
a ) L o s p ro c e d im ie n to s d e c o n tro l d e a c c e so , q u e se c o n sid e ra n p a ra la s a p lic a c io n e s
o p e ra c io n a le s d e l sistem a , tam b i n se d e b e ra n a p lic a r a la s p ru e b a s d e la s
a p lic a c io n e s d e l siste m a .
b ) S e p a ra r la a u to riza c i n c a d a v e z q u e la in fo rm a c i n o p e ra c io n a l se co p ie p a ra u n a
p ru e b a d e la a p lic a c i n d e l siste m a .
N C h 2 7 7 7
8 5
c ) B o rra r la in fo rm a c i n o p e ra c io n a l d e p ru e b a d e la a p lic a c i n d e l siste m a
in m e d ia ta m e n te d e sp u s q u e la p ru e b a se co m p le te .
d ) R e g istra r la c o p ia y u so d e la in fo rm a c i n o p e ra c io n a l p a ra p ro v e e r u n se g u im ie n to d e
a u d ito ria .
10.4.3 Control de acceso a la biblioteca de programas fuentes
C o n e l fin d e re d u c ir la c o rru p c i n p o te n c ia l d e p ro g ra m a s d e c o m p u ta d o re s; se d e b e ra
m a n te n e r u n e stric to co n tro l d e lo s a c c e so s a la s b ib lio te c a s d e p ro g ra m a s fu e n te s c o m o
sig u e (v e r ta m b i n 8 . 3 ):
a ) L a s b ib lio te c a s d e p ro g ra m a s fu en te s, cu a n d o se a p o sib le , n o se d e b e ra n m a n te n e r
e n lo s siste m a s o p e ra c io n a le s.
b ) P a ra c a d a a p lic a c i n se d e b e ra d e sig n a r u n a b ib lio te c a d e p ro g ra m a s.
c ) E l p e rso n a l T I d e a p o y o n o d e b e ra te n e r a c c e so irre stric to a la s b ib lio te c a s d e
p ro g ra m a s fu e n te s.
d ) L o s p ro g ra m a s e n d e sa rro llo o m an te n im ie n to n o se d e b e ra n m a n te n e r e n la s
b ib lio te c a s d e p ro g ra m a s fu e n te s o p e ra c io n a le s.
e ) L a a c tu a liza c i n d e b ib lio te c a s d e p ro g ra m a s fu e n te s y la em isi n d e p ro g ra m a s
fu e n te s a p ro g ra m a d o re s s lo se d e b e ra e je c u ta r p o r la b ib lio te c a d e sig n ad a c o n
a u to riza c i n d e l d ire c tiv o d e ap o y o T I p a ra la a p lic a c i n .
f) L a lista d e p ro g ra m a s se d e b e ra m a n ten e r e n u n am b ie n te seg u ro (v e r 8 . 6 . 4 ).
g ) S e d e b e ra m a n te n e r u n a a u d ito ra d e re g istro d e to d o s lo s a c c e so s a la s b ib lio te c a s
d e p ro g ra m a s fu en te s.
h ) S e d e b e ra n a rc h iv a r la s v e rsio n e s an tig u a s d e p ro g ra m a s fu e n te s, c o n u n a in d ic a c i n
c la ra d e la s fe c h a s y h o ra s p re c isa s c u a n d o e llo s estu v ie ro n e n o p e ra c i n , ju n to co n
to d o e l so ftw a re d e a p o y o , c o n tro l d e tra b a jo , d e fin ic io n e s d e d a to s y p ro c e d im ie n to s.
i) E l m a n ten im ie n to y c o p ia d e b ib lio te c a s d e p ro g ra m a s fu e n te s d e b e ra e sta r su je to a
u n e stric to p ro c e d im ie n to d e c o n tro l d e c a m b io s (v e r 1 0 . 4 . 1 ).
N C h 2 7 7 7
8 6
10.5 Seguridad en los procesos de desarrollo y apoyo
O b je tiv o : M a n te n e r la se g u rid a d d e l so ftw a re d e a p lic a c i n d e l siste m a y d e la
in fo rm a c i n .
S e d e b e ra n c o n tro la r e stric ta m e n te lo s a m b ie n te s d e a p o y o y p ro y e c to .
L o s d ire c tiv o s re sp o n sa b le s d e la s a p lic a c io n e s d e l siste m a ta m b i n d e b e ra n se r
re sp o n sa b le s p o r la se g u rid ad d e l a m b ie n te d e a p o y o y p ro y e c to . E llo s d e b e ra n a se g u ra r
q u e to d o s lo s c a m b io s a l sistem a p ro p u e sto se re v ise n p a ra v e rific a r q u e e llo s n o
c o m p ro m e ta n la se g u rid a d d e l siste m a o d e l a m b ie n te o p e ra c io n a l.
10.5.1 Procedimientos de control de cambios
C o n el fin d e m in im izar la co rru p ci n d e lo s sistem as d e in fo rm aci n , d eb era ex istir u n
estricto co n tro l d e la im p lem en taci n d e lo s cam b io s. S e d eb eran ex ig ir lo s p ro ced im ien to s
fo rm ales d e co n tro l d e cam b io s. E llo s d eb eran aseg u rar q u e lo s p ro ced im ien to s d e co n tro l y
la seg u rid ad n o se co m p ro m etan , q u e lo s p ro g ram ad o res d e ap o y o ten g an acceso s lo a
aq u ellas p artes d el sistem a n ecesarias p ara su trab ajo , y q u e se h ay a o b ten id o el acu erd o
fo rm al y la ap ro b aci n d e cu alq u ier cam b io . E l cam b io en el so ftw are d e ap licaci n p u ed e
im p actar el am b ien te o p eracio n al. D o n d e sea p rctico , se d eb eran in teg rar lo s p ro ced im ien to s
d e co n tro l d e cam b io s o p eracio n ales y d e la ap licaci n (v er tam b in 8 . 1 . 2 ). E ste p ro ceso
d eb era in clu ir:
a ) e l m a n te n im ie n to d e u n re g istro d e lo s n iv e le s d e a u to riza c i n a c o rd a d o s;
b ) e l a se g u ra m ie n to d e q u e lo s c a m b io s so n re m itid o s p o r lo s u su a rio s a u to riza d o s;
c ) la re v isi n d e lo s p ro c e d im ie n to s d e in te g rid ad y c o n tro l p a ra a se g u ra r q u e e llo s n o se
se r n a fe c ta d o s c o n lo s c a m b io s;
d ) la id e n tific a c i n d e to d o s lo s so ftw a re d e lo s c o m p u ta d o re s, in fo rm a c i n , e n tid a d e s
d e b a se d e d a to s y h a rd w a re q u e re q u ie re c o rre c c i n ;
e ) la o b te n c i n d e la a p ro b a c i n fo rm a l d e la s p ro p u e sta s d e ta lla d a s a n te s d e co m e n za r
lo s tra b a jo s;
f) e l a se g u ra m ie n to d e q u e e l u su a rio a u to riza d o a c e p ta lo s c a m b io s a n te s d e c u a lq u ie r
im p le m e n ta c i n ;
g ) e l a se g u ra m ie n to d e q u e la im p le m e n ta c i n se re a liza m in im iza n d o la in te rru p c i n d e l
n e g o c io ;
h ) e l a se g u ra m ie n to d e q u e la d o c u m e n ta c i n d e l sistem a e st a c tu a liza d a c u an d o se
c o m p le te c a d a c a m b io y q u e la d o c u m en ta c i n a n tig u a se a rc h iv e o se d e se c h e ;
i) e l m a n te n im ie n to d e u n c o n tro l d e la v e rsi n d e to d a s la s a c tu a liza c io n e s d e l
so ftw a re ;
N C h 2 7 7 7
8 7
j) e l m a n te n im ie n to d e u n se g u im ie n to d e a u d ito ra d e to d o s lo s c a m b io s so lic ita d o s;
k ) e l a se g u ra m ie n to d e q u e la d o c u m e n ta c i n d e o p e ra c i n (v e r 8 . 1 . 1 ) y lo s
p ro c e d im ie n to s d e u su a rio s se c a m b ie n e n fo rm a ap ro p ia d a c u a n d o se a n e c e sa rio ;
l) e l a se g u ra m ie n to d e q u e la im p le m e n ta c i n d e c a m b io s o cu rre e n e l m o m e n to
c o rre c to y n o p e rtu rb a e l p ro c e so in v o lu c ra d o d e l n eg o c io .
10.5.2 Revisin tcnica de los cambios del sistema operativo
P e ri d ic a m e n te e s n e c e sa rio c a m b ia r e l sistem a e n o p e ra c i n , p o r e je m p lo , in sta la r u n a
n u e v a v e rsi n d e l so ftw a re su m in istra d o o p a rc h e s. L a s a p lic a c io n e s d e l sistem a se
d e b e ra n re v isa r y p ro b a r c u a n d o o c u rre n c a m b io s, p a ra a se g u ra r q u e n o h a y a u n im p a c to
a d v e rso e n la o p e ra c i n o se g u rid a d . E ste p ro c e so d e b e ra c u b rir:
a ) re v isa r e l c o n tro l d e la a p lic a c i n y lo s p ro c e d im ie n to s d e in te g rid ad p a ra a se g u ra r q u e
e llo s n o se h a n c o m p ro m e tid o p o r lo s c a m b io s d e l sistem a e n o p e ra c i n ;
b ) a se g u ra r q u e e l p la n d e a p o y o an u a l y e l p re su p u e sto c u b rir n la s re v isio n e s y la s
p ru e b a s d e l siste m a d e b id o s a lo s c a m b io s d e l siste m a e n o p e ra c i n ;
c ) a se g u ra r q u e la n o tific a c i n d e lo s c a m b io s d e l siste m a en o p e ra c i n se re a liza a
tie m p o , lo q u e p e rm ite q u e la s re v isio n e s a p ro p ia d a s se e je c u ta n a n te s d e la
im p le m e n ta c i n ;
d ) a se g u ra r q u e se h ic ie ro n lo s c a m b io s a p ro p ia d o s a lo s p la n e s d e c o n tin u id ad d e l
n e g o c io (v e r c l u su la 1 1 ).
10.5.3 Restriccin de los cambios a paquetes de software
L a s m o d ific a c io n e s a p a q u e te s d e so ftw a re se d eb e ra n d e sa le n ta r. T a n to c o m o se a
p o sib le y p r c tic o , e l p a q u e te d e so ftw a re su m in istra d o p o r e l v en d e d o r se d e b e ra u sa r
sin m o d ific a c i n . C u a n d o se ju zg u e e se n c ia l m o d ific a r u n p a q u e te d e so ftw a re , se
d e b e ra n c o n sid e ra r lo s p u n to s sig u ie n te s:
a ) e l rie sg o d e q u e lo s co n tro le s in te rn o s y la in te g rid a d d e lo s p ro c e so s se
c o m p ro m e ta n ;
b ) e n to d o s lo s c a so s se d e b e ra o b te n e r e l c o n se n tim ie n to d e l v e n d ed o r;
c ) la p o sib ilid ad d e o b ten e r lo s c a m b io s n e c e sa rio s d esd e e l v en d e d o r c o m o n o rm a d e
a c tu a liza c i n d e p ro g ra m a s;
d ) e l im p a c to , p ro d u c to d e lo s c a m b io s si la o rg an iza c i n lle g a a se r re sp o n sa b le d e l
m a n te n im ie n to fu tu ro d e l so ftw a re .
N C h 2 7 7 7
8 8
S i se ju zg a q u e lo s c a m b io s so n e se n c ia le s, e l so ftw a re o rig in a l se d eb e ra g u a rd a r y lo s
c a m b io s ap lic a rlo s a u n a co p ia id e n tific a d a c la ra m e n te . T o d o s lo s c a m b io s se d eb e ra n
p ro b a r to ta lm en te y d o c u m e n ta r, d e m o d o q u e e llo s se p u e d a n re a p lic a r si e s n e c e sa rio a
fu tu ra s a c tu a liza c io n e s d e so ftw a re .
10.5.4 Canales encubiertos y cdigo troyano
U n c a n a l e n c u b ie rto p u e d e e x p o n e r in fo rm a c i n d e a lg u n a fo rm a o sc u ra e in d ire c ta . E sto
se p u e d e a c tiv a r p o r e l c a m b io d e u n p a r m e tro a c c e sib le p o r lo s e le m e n to s d e
in se g u rid a d y seg u rid a d d e u n siste m a c o m p u ta c io n a l, o p o r la in c ru sta c i n d e in fo rm a c i n
e n u n a se c u e n c ia d e d a to s. E l c d ig o tro y a n o se d ise a p a ra a fe c ta r u n sistem a d e u n a
m a n e ra q u e n o e st a u to riza d a y n o a v isa f c ilm e n te y n o e s re q u e rid o p o r e l re c e p to r o
u su a rio d e l p ro g ra m a . L o s c a n a le s e n cu b ie rto s y c d ig o s tro y a n o s ra ra m e n te o c u rre n p o r
a c c id e n te . C u a n d o lo s c d ig o s tro y a n o s o c a n a le s e n cu b ie rto s so n u n a p re o cu p a c i n , se
d e b e ra c o n sid e ra r lo sig u ie n te:
a ) c o m p ra r p ro g ra m a s so la m en te d e o rig e n c o n fia b le;
b ) c o m p ra r p ro g ra m a s e n c d ig o fu e n te d e m o d o q u e e l c d ig o p u e d a se r v e rific a d o ;
c ) u sa r p ro d u c to s e v a lu a d o s;
d ) in sp e c c io n a r to d o e l c d ig o fu e n te an te s d e l u so o p e ra c io n a l;
e ) c o n tro la r lo s a c c e so s y la m o d ific a c i n d e lo s c d ig o s u n a v e z in sta la d o s;
f) u sa r p e rso n a l a p ru e b a d e co n fia n za p a ra tra b a ja r e n siste m a s c la v e s;
10.5.5 Desarrollo de software externalizado
C u a n d o e l d e sa rro llo d e so ftw a re e s e x te rn a liza d o , se d eb e ra n c o n sid e ra r lo s p u n to s
sig u ie n te s:
a ) lo s c o n v e n io s d e lic e n c ia s, la p ro p ie d a d d e lo s c d ig o s y lo s d e re c h o s d e p ro p ie d a d
in te le c tu a l (v e r 1 2 . 1 . 2 );
b ) la c e rtific a c i n d e la c a lid a d y e x a c titu d d e l tra b a jo re a liza d o ;
c ) lo s c o n v e n io s d e re sg u a rd o s, e n e l e v e n to d e q u e fa lle la te rc e ra p a rte ;
d ) lo s d e re c h o s d e a c c e so p a ra a u d ita r la c a lid a d y la e x a c titu d d e l tra b a jo h e ch o ;
e ) lo s re q u isito s c o n tra c tu a le s d e la c a lid a d d e l c d ig o ;
f) la s p ru e b a s an te s d e la in sta la c i n p a ra d e te c ta r c d ig o tro y a n o .
N C h 2 7 7 7
8 9
11 Gestin de la continuidad del negocio
11.1 Aspectos de la gestin de la continuidad del negocio
O b je tiv o : C o n tra rre sta r la s in te rru p c io n e s d e la s a c tiv id a d e s d e l n e g o c io y p ro te g e r lo s
p ro c e so s c rtic o s d e l n e g o c io d e lo s e fe c to s d e fa lla s m a y o re s o d e sa stre s.
S e d e b e ra im p le m e n ta r u n p ro c e so d e g e sti n d e la c o n tin u id a d d e l n eg o c io p a ra re d u c ir
la s in te rru p c io n e s q u e c a u sa n lo s d e sa stre s y fa lla s d e se g u rid a d (lo s q u e p u ed e n se r
re su lta d o d e, p o r e je m p lo , d e sa stre s n a tu ra le s, a c c id e n te s, fa lla s d e e q u ip o s, y a c c io n e s
d e lib e ra d a s) a u n n iv e l a c e p ta b le , co m o u n a c o m b in a c i n d e c o n tro le s p re v e n tiv o s y
re c u p e ra tiv o s.
S e d e b e ra n a n a liza r la s c o n se c u e n c ia s d e lo s d e sa stre s, fa lla s d e se g u rid ad y p rd id a s d e
se rv ic io . S e d e b e ra n d e sa rro lla r e im p le m e n ta r p la n e s d e co n tin g e n c ia p a ra a se g u ra r q u e
lo s p ro c e so s d e l n e g o c io se p u ed a n re sta b le c e r d e n tro d e u n a e sc a la d e tie m p o n e c e sa ria .
T a le s p la n e s se d e b e ra n m a n te n e r y p ra c tic a r p a ra q u e lle g u e n a se r u n a p a rte in te g ra l d e
to d o s lo s o tro s p ro c e so s d e g e sti n .
L a g e sti n d e la co n tin u id a d d e l n eg o c io d e b e ra in c lu ir lo s c o n tro le s p a ra id en tific a r y
re d u c ir lo s rie sg o s, lim ita r la s co n se c u en c ia s d e d a o s d e in c id e n te s y a se g u ra r a tie m p o
la re a n u d a c i n d e la s o p e ra c io n e s e sen c ia le s.
11.1.1 Proceso de gestin de la continuidad del negocio
D e b e ra e x istir u n p ro c e so d e g e sti n p a ra d e sa rro lla r y m a n te n e r la co n tin u id a d d e l
n e g o c io d e to d a la o rg a n iza c i n . E sto se d e b e ra te n e r ju n to a lo s e le m e n to s c la v e s d e
g e sti n d e la c o n tin u id a d d e l n eg o c io sig u ien te :
a ) e n te n d e r q u e lo s rie sg o s d e la o rg a n iza c i n se e n fre n ta n e n t rm in o s d e su
p ro b a b ilid a d y su im p a c to , in c lu y en d o u n a id e n tific a c i n y p rio riza c i n d e lo s p ro c e so s
c rtic o s d e l n e g o c io ;
b ) e n te n d e r e l im p a c to q u e la s in te rru p c io n e s v a n a te n e r p ro b a b le m e n te en lo s n eg o c io s
(e sto e s im p o rta n te p a ra la s so lu c io n e s q u e se e n c o n tra r n p a ra m a n e ja r lo s in c id e n te s
m e n o re s, c o m o ta m b i n lo s in c id en te s se rio s q u e p o d ra n a m e n a za r la v ia b ilid ad d e la
o rg a n iza c i n ), y e sta b le c e r lo s o b je tiv o s d e la s in sta la c io n e s d e p ro c e sa m ien to d e la
in fo rm a c i n d e l n eg o c io ;
c ) c o n sid e ra r la c o n tra ta c i n d e u n se g u ro a d e c u a d o q u e p u e d e fo rm a r p a rte d e l p ro c e so
d e c o n tin u id ad d e l n e g o c io ;
d ) fo rm u la r y d o c u m e n ta r la e stra te g ia d e co n tin u id a d d e l n e g o c io , c o n siste n te c o n lo s
o b je tiv o s y p rio rid ad e s a c o rd a d a s d e l n e g o c io ;
e ) fo rm u la r y d o c u m e n ta r lo s p la n e s d e c o n tin u id a d d e l n eg o c io e n ln e a co n la e stra te g ia
a c o rd a d a ;
N C h 2 7 7 7
9 0
f) p ro b a r y a c tu a liza r re g u la rm e n te lo s p la n e s y p ro c e so s u b ic a d o s e n e l sitio ;
g ) a se g u ra r q u e la g e sti n d e c o n tin u id a d d e l n e g o c io se in c o rp o ra e n lo s p ro c e so s y
e stru c tu ra d e la o rg a n iza c i n . L a re sp o n sa b ilid a d d e la co o rd in a c i n d e l p ro c e so d e
g e sti n d e la c o n tin u id a d d e l n eg o c io se d eb e ra a sig n a r a u n n iv e l a p ro p iad o d e n tro
d e la o rg a n iza c i n , p o r e je m p lo , e n e l co m it d e se g u rid ad d e la in fo rm a c i n
(v e r 4 . 1 . 1 ).
11.1.2 Continuidad del negocio y anlisis del impacto
L a c o n tin u id a d d e l n e g o c io d e b e ra c o m e n za r c o n la id e n tific a c i n d e lo s e v e n to s q u e
p u e d e n c a u sa r in te rru p c io n e s a lo s p ro c e so s d e l n eg o c io , p o r e je m p lo , fa lla d e e q u ip o s,
in u n d a c i n y fu e g o . E sto d e b e ra c o n tin u a r c o n la e v a lu a c i n d e l rie sg o p a ra d e te rm in a r e l
im p a c to d e a q u e lla s in te rru p c io n e s (e n t rm in o s d e u n a e sc a la d e l d a o y p e ro d o d e
re c u p e ra c i n ). E sta s a c tiv id a d e s se d e b e ra n re a liza r c o n e l to ta l in v o lu c ra m ie n to d e lo s
d u e o s d e lo s re c u rso s y p ro c e so s d e l n e g o c io . E sta e v a lu a c i n c o n sid e ra to d o s lo s
p ro c e so s d e l n e g o c io , y n o e st lim ita d a a la s in sta la c io n e s d e p ro c e sa m ie n to d e
in fo rm a c i n .
D e p e n d ie n d o d e lo s re su lta d o s d e la e v a lu a c i n d e l rie sg o , se d e b e ra d e sa rro lla r u n p la n
e stra t g ic o p a ra d e te rm in a r la fo rm a d e a b o rd a r la c o n tin u id a d d e l n e g o c io . U n a v e z q u e
e ste p la n se h a y a c re a d o , se d e b e ra a p ro b a r p o r la d ire c c i n .
11.1.3 Escritura e implementacin de los planes de continuidad
L o s p la n e s se d e b e ra n d e sa rro lla r p a ra m a n te n e r o re sta b le c e r la s o p e ra c io n e s d e l n e g o c io
e n e l tie m p o n e c e sa rio sig u ie n te a la in te rru p c i n o fa lla d e a lg n p ro c e so c rtic o d e l
n e g o c io . L a p la n ific a c i n d e l p ro c e so d e c o n tin u id a d d e l n e g o c io d e b e ra c o n sid e ra r:
a ) la id e n tific a c i n y a c u e rd o d e to d o s lo s p ro c e d im ie n to s d e e m e rg en c ia y
re sp o n sa b ilid ad e s;
b ) la im p le m e n ta c i n d e lo s p ro c e d im ie n to s d e e m e rg e n c ia p a ra p e rm itir la re c u p e ra c i n
y re sta b le c im ie n to e n e l tie m p o re q u e rid o . E s n e c e sa rio d a r p a rtic u la r a te n c i n a la
e v a lu a c i n d e la s d e p en d e n c ia s e x te rn a s d e l n eg o c io y a lo s c o n tra to s e x isten te s;
c ) la d o c u m e n ta c i n d e lo s p ro c e so s y p ro c e d im ie n to s a c o rd a d o s;
d ) la e d u c a c i n ap ro p ia d a d e l p e rso n a l e n lo s p ro c e d im ie n to s y p ro c e so s d e e m e rg e n c ia
a c o rd a d o s, in c lu y en d o u n a c risis d e d ire c c i n ;
e ) la p ru e b a y a c tu a liza c i n d e lo s p la n e s.
E l p ro c e so d e p la n ific a c i n se d e b e ra e n fo c a r e n lo s o b je tiv o s re q u e rid o s d e l n eg o c io , p o r
e je m p lo , re sta b le c im ie n to d e lo s se rv ic io s e sp e c fic o s d e lo s c lie n te s e n u n p e ro d o d e
tie m p o a c e p ta b le. S e d e b e ra n co n sid e ra r lo s se rv ic io s y re c u rso s q u e p e rm itir n e sto ,
in c lu y e n d o a l p e rso n a l, re c u rso s d e p ro c e sa m ie n to d e n o in fo rm a c i n , a s c o m o
c o n fig u ra c io n e s d e re c u p e ra c i n p a ra la s in sta la c io n e s d e p ro c e sa m ie n to d e in fo rm a c i n .
N C h 2 7 7 7
9 1
11.1.4 Marco de planificacin de la continuidad del negocio
S e d e b e ra m a n te n e r u n m a rc o n ic o d e lo s p la n e s d e la c o n tin u id a d d e l n e g o c io p a ra
a se g u ra r q u e to d o s lo s p lan e s se a n c o n sisten te s y p a ra id e n tific a r la s p rio rid ad e s d e
m a n te n im ie n to y p ru e b a s. C a d a p la n d e c o n tin u id ad d e l n e g o c io d eb e ra e sp e c ific a r
c la ra m e n te la s c o n d ic io n es p a ra su a c tiv a c i n , a s c o m o la s re sp o n sa b ilid a d e s d e l n e g o c io
p a ra e je c u ta r c a d a c o m p o n e n te d e l p la n . C u a n d o se id en tific a n n u e v o s re q u isito s, p o r
e je m p lo , p la n e s d e e v a c u a c i n o cu a lq u ie r c o n fig u ra c i n d e re c u p e ra c i n e x iste n te se
d e b e ra n c o rre g ir, c u a n d o se a a p ro p ia d o , lo s p ro c e d im ie n to s d e e m e rg en c ia e sta b le c id o s.
U n m a rc o d e p la n ific a c i n d e co n tin u id a d d e l n e g o c io , d eb e ra c o n sid e ra r lo sig u ie n te:
a ) la s c o n d ic io n e s p a ra a c tiv a r lo s p la n e s q u e d e sc rib e n e l p ro c e so a se g u ir (c m o
e v a lu a r la situ a c i n , q u in e st in v o lu c ra d o , e tc . ) a n te s q u e c a d a p lan se a c tiv e ;
b ) lo s p ro c e d im ie n to s d e e m e rg e n c ia q u e d e sc rib e n la s a c c io n e s a se r to m a d a s d e sp u s
d e u n in c id e n te q u e a rrie sg u e la s o p e ra c io n e s d e l n e g o c io y /o la v id a h u m an a . E sto
d e b e ra in c lu ir la s d isp o sic io n e s p a ra la g e sti n d e la s re la c io n e s p b lic a s y p a ra la
e fe c tiv a u n i n c o n la s a u to rid a d e s p b lic a s ap ro p ia d a s, p o r e je m p lo , p o lic a , b o m b e ro s
y g o b ie rn o lo c a l;
c ) lo s p ro c e d im ie n to s d e re c u p e ra c i n q u e d e sc rib a n la s a c c io n e s q u e se d e b en to m a r
p a ra m o v e r la s a c tiv id a d e s e se n c ia le s d e l n e g o c io o se rv ic io s d e a p o y o a u b ic a c io n e s
a lte rn a tiv a s te m p o ra le s y c o lo c a r e n o p e ra c i n lo s p ro c e so s d e re sp a ld o d e l n e g o c io
e n u n tie m p o a d e c u ad o ;
d ) lo s p ro c e d im ie n to s d e re a n u d a c i n q u e d e sc rib a n la s a c c io n e s q u e se d e b en to m a r
p a ra v o lv e r a la s o p e ra c io n e s n o rm a le s d e l n e g o c io ;
e ) u n p ro g ra m a d e m an te n im ie n to q u e e sp e c ifiq u e c m o y c u n d o e l p la n se p ro b a r y e l
p ro c e so p a ra m a n te n e r e l p la n ;
f) la se n sib iliza c i n y la e d u c a c i n e n la s a c tiv id a d e s q u e se d ise an p a ra c re a r u n
e n te n d im ie n to d e lo s p ro c e so s d e c o n tin u id a d d e l n e g o c io y a seg u ra r q u e lo s p ro c e so s
c o n tin an sie n d o e fe c tiv o s;
g ) la s re sp o n sab ilid a d e s d e lo s in d iv id u o s, d e sc rib ie n d o q u i n e s e l re sp o n sa b le p a ra
e je c u ta r q u c o m p o n e n te d e l p la n . E s n e c e sa rio d esig n a r a lte rn a tiv a s.
C a d a p la n d eb e ra te n e r u n d u e o e sp e c fic o . Lo s p ro c e d im ie n to s d e e m e rg e n c ia , e l
m a n u a l d e lo s p la n e s d e re c u p e ra c i n y lo s p la n e s d e re a n u d a c i n d e b e ra n e sta r d e n tro
d e la re sp o n sa b ilid a d d e lo s p ro p ie ta rio s d e lo s re c u rso s y p ro c e so s in v o lu c ra d o s. L a s
c o n fig u ra c io n e s d e re c u p e ra c i n d e lo s se rv ic io s t c n ic o s a lte rn a tiv o s, ta le s co m o
p ro c e sa m ie n to d e la in fo rm a c i n e in sta la c io n e s d e co m u n ic a c io n e s, g e n e ra lm e n te
d e b e ra n se r d e re sp o n sab ilid a d d e lo s p ro v e ed o re s d e se rv ic io .
N C h 2 7 7 7
9 2
11.1.5 Pruebas, mantenimiento y reevaluacin de los planes de continuidad del negocio
11.1.5.1 Pruebas de los planes
L o s p la n e s d e co n tin u id a d d e l n e g o c io a m en u d o p u e d e n fa lla r e n la s p ru e b a s, d e b id o a
su p o sic io n e s in c o rre c ta s, o m isio n e s o c a m b io s e n lo s e q u ip o s o p e rso n a l. P o r lo tan to ,
e sto s p lan e s se d e b e ra n p ro b a r re g u la rm e n te p a ra a se g u ra r q u e e st n a c tu a liza d o s y so n
e fe c tiv o s. T a le s p ru e b a s d e b e ra n a se g u ra r ta m b i n q u e to d o s lo s m ie m b ro s d e l g ru p o d e
re c u p e ra c i n y to d o e l p e rso n a l p e rtin e n te e stn c o n sc ie n te s d e lo s p la n e s.
E l p ro g ra m a d e p ru e b a s p a ra e l (lo s) p la n (e s) d e c o n tin u id ad d e l n e g o c io d eb e ra in d ic a r
c m o y c u n d o c a d a e le m e n to d e l p la n se d e b e ra p ro b a r. E s re c o m en d a b le p ro b a r
fre c u e n te m e n te lo s c o m p o n en te s in d iv id u a le s d e l (d e lo s) p la n (e s). S e d e b e ra u sa r u n a
v a rie d a d d e t c n ic a s c o n e l fin d e p ro v e e r se g u rid a d q u e e l (lo s) p la n (e s) o p e ra r (n ) e n la
v id a re a l. E sta s d e b e ra n in c lu ir:
a ) p ru e b a s d e v a rio s e sc e n a rio s, tra ta d a s en re u n i n (d isc u tid a s e n la s c o n fig u ra c io n e s
d e re c u p e ra c i n d e l n e g o c io , u sa n d o in te rru p c io n e s d e e je m p lo );
b ) sim u la c io n e s (p a rtic u la rm e n te p a ra e n tre n a m ie n to d e la s p e rso n a s e n su s ro le s d e
g e sti n p o st in c id en te y d u ra n te la c risis);
c ) p ru e b a s d e re c u p e ra c i n t c n ic a (p a ra a se g u ra r q u e lo s siste m a s d e in fo rm a c i n
e fe c tiv a m e n te se p u ed a n re sta b le c e r);
d ) p ru e b a s d e re c u p e ra c i n e n u n sitio a lte rn a tiv o (e je c u ta n d o lo s p ro c e so s d e l n e g o c io
e n p a ra le lo c o n la s o p e ra c io n e s d e re c u p e ra c i n d esd e e l sitio p rin c ip a l);
e ) p ru e b a s d e la s in sta la c io n e s y d e lo s se rv ic io s d e l p ro v e e d o r (p a ra a se g u ra r q u e lo s
se rv ic io s y p ro d u c to s e x te rn a m e n te su m in istra d o s v a n a c u m p lir c o n e l c o m p ro m iso
c o n tra ta d o );
f) e n sa y o s co m p le to s (p ru e b a s q u e la o rg an iza c i n , p e rso n a l, e q u ip o s, in sta la c io n e s y
p ro c e so s p u e d an sa lir a d e la n te c o n la s in te rru p c io n e s).
E sta s t c n ic a s la s p u ed e u sa r c u a lq u ie r o rg a n iza c i n y d e b e ra n re fle ja r la n a tu ra le za d e l
p la n d e re c u p e ra c i n e sp e c fic o .
11.1.5.2 Planes de reevaluacin y mantenimiento
L o s p la n e s d e co n tin u id a d d e l n e g o c io se d eb e ra n m a n ten e r c o n re v isio n e s y
a c tu a liza c io n e s re g u la re s p a ra a se g u ra r su c o n tin u a e fe c tiv id a d (v e r 1 1 . 1 . 5 . 1 a 1 1 . 1 . 5 . 3 ).
L o s p ro c e d im ie n to s d e b e ra n in c lu ir e l p ro g ra m a d e g e sti n d e c a m b io s d en tro d e la
o rg a n iza c i n p a ra a se g u ra r q u e la s m a te ria s d e c o n tin u id a d d e l n e g o c io se a n c o n sid e ra d a s
a p ro p ia d a m e n te.
N C h 2 7 7 7
9 3
S e d e b e ra a sig n a r la re sp o n sa b ilid a d d e la s re v isio n e s re g u la re s d e c a d a p la n d e
c o n tin u id a d d e l n e g o c io ; la id e n tific a c i n d e lo s c a m b io s en la s d isp o sic io n e s d e l n eg o c io
q u e n o se re fle ja n to d a v a en lo s p la n e s d e co n tin u id a d d e l n eg o c io , d eb e ra lle v a r a u n a
a c tu a liza c i n a p ro p ia d a d e l p la n . E ste p ro c e so fo rm a l d e co n tro l d e c a m b io d e b e ra
a se g u ra r q u e lo s p la n e s a c tu a liza d o s se d istrib u y a n y re fu e rza n d e b id o a la s re v isio n e s
re g u la re s d e l p la n to ta l.
E je m p lo s d e situ a c io n e s q u e p u ed e n n e c e sita r p la n e s d e a c tu a liza c i n in c lu y en d o la
a d q u isic i n d e n u e v o s e q u ip o s, o a c tu a liza c i n y c a m b io s d e siste m a s o p e ra c io n a le s:
a ) p e rso n a l;
b ) d ire c c io n e s o n m e ro s te le f n ico s;
c ) e stra te g ia d e l n e g o c io ;
d ) u b ic a c i n d e la s in sta la c io n e s y re c u rso s;
e ) le g isla c i n ;
f) p e rso n a l e x te rn o , p ro v e e d o re s y c lie n te s c la v e s;
g ) p ro c e so s n u e v o s o e lim in a d o s;
h ) rie sg o (o p e ra c io n a l y fin a n c ie ro ).
12 Cumplimiento
12.1 Cumplimiento con los requisitos legales
O b je tiv o : E v ita r v io la c io n e s a cu a lq u ie r le y c iv il y c rim in a l, e sta tu ta ria , u o b lig a c io n e s
c o n tra c tu a le s o re g u la d o ra s y a c u a lq u ie r re q u isito d e seg u rid a d .
E l d ise o , o p e ra c i n , u so y g e sti n d e lo s siste m a s d e in fo rm a c i n p u e d e e sta r su je to a
re q u isito s co n tra c tu a le s d e se g u rid a d , re g u la d o re s y e sta tu ta rio s.
S e d e b e ra o b te n e r u n a o p in i n d e lo s a se so re s le g a le s d e la o rg a n iza c i n so b re lo s
re q u isito s le g a le s e sp e c fic o s, o d e lo s p ro fe sio n a le s c a lific a d o s ap ro p ia d o s. L o s re q u isito s
le g isla tiv o s v a ra n d e p a s e n p a s y ta m b i n v a ra n p a ra la in fo rm a c i n c re a d a e n u n p a s
q u e e s tra n sm itid a a o tro p a s (e s d e c ir e l flu jo d e d a to s m s a ll d e la fro n te ra ).
12.1.1 Identificacin de la legislacin aplicable
T o d o s lo s re q u isito s p e rtin e n te s a lo e sta tu ta rio , re g u la to rio y co n tra c tu a l d eb e ra n e sta r
e x p lc ita m e n te d e fin id o s y d o c u m e n ta d o s p a ra c a d a sistem a d e in fo rm a c i n . S im ila rm e n te
lo s c o n tro le s e sp e c fic o s y la s re sp o n sab ilid a d e s in d iv id u a le s p a ra c u m p lir c o n e sto s
re q u isito s se d e b e ra n d e fin ir y d o c u m e n ta r.
N C h 2 7 7 7
9 4
12.1.2 Derechos de propiedad intelectual (DPI)
12.1.2.1 Derechos de autor
S e d e b e ra n im p le m e n ta r p ro c e d im ie n to s ap ro p ia d o s p a ra a se g u ra r e l c u m p lim ie n to c o n la s
re stric c io n e s le g a le s e n e l u so d e l m a te ria l e n re la c i n a q u ie n p u e d e te n e r lo s d e re c h o s d e
p ro p ie d a d in te le c tu a l, ta l co m o e l d e re c h o d e a u to r, d e re c h o s d e d ise o , m a rc a re g istra d a .
E l in frin g ir e l d e re c h o d e a u to r p u ed e lle v a r a a c c io n e s le g a le s q u e p u e d e n in v o lu c ra r
p ro c e d im ie n to s c rim in a le s.
L o s re q u isito s le g isla tiv o s, re g u la to rio s y c o n tra c tu a le s p u e d en c o lo c a r re stric c io n e s e n e l
c o p ia d o d e m a te ria l p ro p ie ta rio . E n p a rtic u la r, e llo s p u e d e n e x ig ir q u e s lo se p u ed a u sa r e l
m a te ria l q u e d e sa rro lla la o rg an iza c i n o q u e e st c o n lic e n c ia o su m in istra d o p o r e l
d e sa rro lla d o r p a ra la o rg a n iza c i n .
12.1.2.2 Derechos de autor del software
L o s p ro d u c to s d e so ftw a re p ro p ie ta rio s g e n e ra lm e n te se su m in istra n b a jo u n a lic e n c ia d e
a c u e rd o q u e lim ita e l u so d e l p ro d u c to a m q u in a s e sp e c fic a s y p u ed e lim ita r e l c o p ia d o a
la c re a c i n d e c o p ia s d e re sp a ld o so la m e n te . S e d e b e ra n co n sid e ra r lo s c o n tro le s
sig u ie n te s:
a ) p u b lic a r la p o ltic a d e c u m p lim ie n to c o n lo s d e re c h o s d e au to r d e l so ftw a re , q u e
d e fin e su u so le g a l y d e lo s p ro d u c to s d e in fo rm a c i n ;
b ) e m isi n d e n o rm a s d e lo s p ro c e d im ie n to s p a ra la a d q u isic i n d e p ro d u c to s d e
so ftw a re ;
c ) m a n te n im ie n to d e la se n sib iliza c i n d e la p o ltic a d e a d q u isic i n y d e re c h o s d e a u to r
d e l so ftw a re , e in fo rm a r d e la in te n c i n d e to m a r m e d id a s d isc ip lin a ria s e n co n tra d e l
p e rso n a l q u e v io le e sto ;
d ) m a n te n e r u n a p ro p ia d o re g istro d e b ie n e s;
e ) m a n te n e r p ru eb a s y e v id e n c ia s d e la p ro p ie d a d d e la s lic e n c ia s, d isc o s m a e stro s,
m a n u a le s, e tc. ;
f) im p le m e n ta r c o n tro le s p a ra a se g u ra r q u e e l n m e ro m x im o d e u su a rio s p e rm itid o s n o
se e x c e d a ;
g ) re a liza r v e rific a c io n e s d e q u e s lo e l so ftw a re a u to riza d o y lo s p ro d u c to s co n lic e n c ia
e st n in sta la d o s;
h ) p ro v e e r u n a p o ltic a p a ra e l m an te n im ie n to a p ro p ia d o d e la s c o n d ic io n e s d e la lic e n c ia ;
N C h 2 7 7 7
9 5
i) p ro v e e r u n a p o ltic a p a ra d e se ch a r o tra n sfe rir e l so ftw a re a o tro s;
j) u sa r h e rra m ie n ta s a p ro p ia d a s d e a u d ito ra ;
k ) c u m p lir c o n lo s t rm in o s y co n d ic io n e s p a ra e l so ftw a re e in fo rm a c i n q u e se o b tie n e
d e re d e s p b lic a s (v e r ta m b i n 8 . 7 . 6 ).
12.1.3 Salvaguardia de los registros de la organizacin
L o s re g istro s im p o rta n te s d e u n a o rg a n iza c i n se d e b e ra n p ro teg e r d e p rd id a s,
d e stru c c i n y fa lsific a c i n . P u e d e se r n e c e sa rio q u e a lg u n o s re g istro s se re te n g a n e n
fo rm a se g u ra p a ra c u m p lir c o n lo s re q u isito s e sta tu ta rio s o re g u lad o re s, a s c o m o p a ra
a p o y a r la s a c tiv id a d e s e sen c ia le s d e l n eg o c io . E je m p lo s d e e sto s re g istro s so n lo s q u e se
p u e d e n re q u e rir c o m o e v id e n c ia d e q u e u n a o rg a n iza c i n o p e ra d e n tro d e la s re g la s
e sta tu ta ria s o re g u la d o ra s, p a ra a se g u ra r u n a d e fe n sa a d e c u a d a en a c c io n e s c iv ile s o
c rim in a le s, o p a ra c o n firm a r e l e sta d o fin an c ie ro d e u n a o rg a n iza c i n c o n re sp e c to a la
c a sa m a triz, so c io s y a u d ito re s. E l p e ro d o d e tie m p o y e l co n te n id o d e lo s d a to s d e la
in fo rm a c i n q u e se re tie n e se p u e d e fija r p o r u n a le y o u n re g la m en to .
L o s re g istro s se d eb e ra n c la sific a r e n tip o s d e re g istro , p o r e je m p lo , re g istro s c o n ta b le s,
re g istro s d e b a se d e d a to s, re g istro s d e tra n sa c c io n e s, re g istro s d e a u d ito ra y
p ro c e d im ie n to s o p e ra c io n a le s, c a d a u n o c o n d e ta lle s d e p e ro d o s d e re te n c i n y tip o d e
d isp o sitiv o d e a lm a c e n a m ie n to , p o r e je m p lo , p a p e l, m ic ro fic h a , m a g n tic o , p tic o .
C u a lq u ie r c la v e c rip to g r fic a re la c io n a d a , a so c ia d a co n lo s a rc h iv o s e n c rip ta d o s o firm a s
e le c tr n ic a s (v e r 1 0 . 3 . 2 y 1 0 . 3 . 3 ), se d e b e ra m a n te n e r en fo rm a se g u ra y e sta r
d isp o n ib le a la s p e rso n a s a u to riza d a s c u a n d o se a n e c e sa rio .
S e d e b e ra te n e r e n c o n sid e ra c i n la p o sib ilid a d d e d eg ra d a c i n d e lo s d isp o sitiv o s q u e se
u sa n p a ra a lm a c e n a r lo s re g istro s. S e d eb e ra n im p le m en ta r lo s p ro c e d im ie n to s d e
a lm a c e n a m ie n to y m a n ip u la c i n d e a c u e rd o c o n la s re c o m en d a c io n e s d e l fa b ric a n te .
C u a n d o se e lija n lo s d isp o sitiv o s d e a lm a c e n a m ie n to e le c tr n ic o , se d eb e ra n in c lu ir
p ro c e d im ie n to s p a ra a se g u ra r la c a p a c id a d d e a c c e d e r a lo s d a to s (d isp o sitiv o y fo rm a to
q u e se p u ed a le e r) e n to d o e l p e ro d o d e re te n c i n , p a ra sa lv a g u a rd a r la p rd id a d e b id o a
c a m b io s fu tu ro s d e te c n o lo g a .
L o s siste m a s d e a lm a c e n a m ie n to d e d a to s se d e b e ra n e le g ir d e m o d o q u e lo s d a to s
n e c e sa rio s se p u e d a n re c u p e ra r d e m a n e ra a c e p ta b le p a ra u n trib u n a l, p o r e je m p lo , to d o s
lo s re g istro s re q u e rid o s se p u e d a n re c u p e ra r e n u n m a rc o d e tie m p o a c e p ta b le y en u n
fo rm a to a c e p ta b le .
E l siste m a d e a lm a c e n a m ie n to y m a n ip u la c i n d e b e ra a se g u ra r u n a c la ra id e n tific a c i n d e
re g istro s y su p e ro d o d e re te n c i n e sta tu ta rio y re g u la d o r. S e d e b e ra p e rm itir u n a
d e stru c c i n ap ro p ia d a d e re g istro s d e sp u s d e e ste p e ro d o , si e llo s n o so n n e c e sa rio s e n
la o rg a n iza c i n .
N C h 2 7 7 7
9 6
P a ra c u m p lir e sta s o b lig a c io n e s, lo s sig u ie n te s p a so s se d eb e ra n to m a r d e n tro d e la
o rg a n iza c i n :
a ) S e d e b e ra n e m itir g u a s p a ra re te n e r, a lm a c e n a r, m a n ip u la r y d e se c h a r re g istro s e
in fo rm a c i n .
b ) S e d e b e ra e la b o ra r u n c ro n o g ra m a p a ra g u a rd a r e id e n tific a r lo s tip o s d e re g istro
e se n c ia le s y e l p e ro d o d e tie m p o d u ra n te e l c u a l e llo s se d e b e ra n re te n e r.
c ) S e d e b e ra m a n te n e r u n in v e n ta rio d e la s fu en te s d e la s c la v e s d e in fo rm a c i n .
d ) S e d e b e ra n im p le m e n ta r c o n tro le s ap ro p ia d o s p a ra p ro te g e r lo s re g istro s e se n c ia le s y
la in fo rm a c i n d e p rd id a s, d e stru c c i n y fa lsific a c i n .
12.1.4 Proteccin de los datos y de la privacidad de la informacin personal
D iv e rso s p a se s h a n in tro d u c id o en la le g isla c i n c o n tro le s a d e c u a d o s en e l p ro c e sa m ie n to
y tra n sm isi n d e d a to s p e rso n a le s (g e n e ra lm e n te la in fo rm a c i n d e la s p e rso n a s q u e se
p u e d e n id e n tific a r d e e sa in fo rm a c i n ). T a le s co n tro le s p u e d en im p o n e r o b lig a c io n e s a
a q u e llo s q u e re n e n , p ro c e sa n y d ise m in a n la in fo rm a c i n p e rso n a l, y p u e d e re strin g ir la
c a p a c id a d d e tra n sfe rir e so s d a to s a o tro s p a se s.
E l c u m p lim ie n to c o n la le g isla c i n a la p ro te c c i n d e d a to s, re q u ie re u n c o n tro l y u n a
e stru c tu ra d e g e sti n ad e c u a d a . A m e n u d o e sto se lo g ra m e jo r c o n la d e sig n a c i n d e u n
fu n c io n a rio d e p ro te c c i n d e d a to s q u ie n d e b e ra p ro v e e r u n a g u a a lo s d ire c tiv o s,
u su a rio s y p ro v e e d o re s d e se rv ic io s d e su s re sp o n sa b ilid a d e s in d iv id u a le s y d e lo s
p ro c e d im ie n to s e sp e c fic o s q u e se d eb e ra n se g u ir. D e b e ra se r re sp o n sa b ilid a d d e lo s
d u e o s d e lo s d a to s in fo rm a r a l fu n c io n a rio d e p ro te c c i n d e d a to s e n re la c i n a c u a lq u ie r
p ro p u e sta p a ra m a n ten e r la in fo rm a c i n p e rso n a l e n u n a rc h iv o e stru c tu ra d o , y a se g u ra r e l
c o n o c im ie n to d e lo s p rin c ip io s d e p ro te c c i n d e d ato s d e fin id o s en la le g isla c i n
p e rtin e n te .
12.1.5 Prevencin del mal uso de las instalaciones de procesamiento de la informacin
L a s in sta la c io n e s d e p ro c e sa m ie n to d e la in fo rm a c i n d e u n a o rg a n iza c i n se p ro v e e n p a ra
p ro p sito s d e l n eg o c io . L a d ire c c i n d e b e ra a u to riza r su u so . C u a lq u ie r u so d e e sta s
in sta la c io n e s p a ra p ro p sito s n o a u to riza d o s o n o d e l n e g o c io , sin la ap ro b a c i n d e la
d ire c c i n , se d e b e ra c o n sid e ra r c o m o u so im p ro p io d e la s in sta la c io n e s. S i ta l a c tiv id a d se
id e n tific a p o r m o n ito re o u o tro s m ed io s, e sto d e b e ra lla m a r la a te n c i n d e l d ire c tiv o p a ra
q u e to m e u n a a c c i n d isc ip lin a ria a p ro p ia d a .
L a le g a lid a d d e l u so d e l m o n ito re o v a ra d e p a s e n p a s y p u e d e se r n e c e sa rio n o tific a r a
lo s e m p le a d o s d e ta le s m o n ito re o s u o b te n e r su a c u e rd o . S e d eb e ra to m a r e n c u e n ta e l
m a rc o le g a l a n te s d e im p lem e n ta r lo s p ro c e d im ie n to s d e m o n ito re o .
N C h 2 7 7 7
9 7
M u c h o s p a se s tie n en o e st n e n p ro c e so d e in tro d u c ir le y e s p a ra p ro te g e rse d e l m a l u so
d e lo s co m p u ta d o re s. P u ed e se r u n d e lito c rim in a l u sa r u n c o m p u ta d o r p a ra p ro p sito s n o
a u to riza d o s. P o r lo ta n to e s e se n c ia l q u e to d o s lo s u su a rio s ten g a n c o n c ie n c ia d e l a lc a n c e
p re c iso d e l a c c e so p e rm itid o . E sto se p u e d e lo g ra r, p o r e je m p lo , d a n d o a lo s u su a rio s
a u to riza c i n e sc rita , u n a c o p ia firm a d a p o r e llo s se d eb e ra g u a rd a r e n la o rg a n iza c i n . L o s
e m p le a d o s d e u n a o rg a n iza c i n y lo s u su a rio s d e te rc e ra s p a rte s, d e b e ra n se r n o tific a d o s
q u e n o e st p e rm itid o e l a c c e so , e x c e p to e l q u e e st a u to riza d o .
A l re g istra rse u n u su a rio se d eb e ra p re se n ta r e n la p a n ta lla d e l c o m p u ta d o r u n m e n sa je d e
a d v e rte n c ia e in d ic a r q u e e l siste m a a l q u e se v a a en tra r e s p riv a d o y q u e e l a c c e so n o
a u to riza d o n o e st p e rm itid o . E l u su a rio to m a c o n o c im ie n to y re a c c io n a a p ro p iad a m e n te a l
m e n sa je e n la p a n ta lla p a ra c o n tin u a r c o n e l p ro c e so d e re g istro .
12.1.6 Regulacin de los controles criptogrficos
A lg u n o s p a se s h an im p le m e n ta d o a c u e rd o s, le y e s, re g la m e n to s u o tro s in stru m e n to s p a ra
c o n tro la r e l a c c e so o e l u so d e c o n tro le s c rip to g r fic o s. T a le s c o n tro le s p u ed e n in c lu ir:
a ) im p o rta r y /o e x p o rta r h a rd w a re y so ftw a re d e c o m p u tad o re s p a ra re a liza r la s
fu n c io n e s c rip to g r fic a s;
b ) im p o rta r y /o e x p o rta r h a rd w a re y so ftw a re q u e fu e d ise a d o p a ra te n e r fu n c io n e s
c rip to g r fic a s a g re g a d a s a l;
c ) m to d o s o b lig a to rio s o d isc re c io n a le s d e a c c e so d e lo s p a se s a la in fo rm a c i n
e n c rip ta d a p o r h a rd w a re o so ftw a re p a ra p ro v e e r c o n fid e n c ia lid a d d e l c o n te n id o .
E l m a rc o le g a l se d e b e ra p ro c u ra r p a ra a se g u ra r e l c u m p lim ie n to c o n la s le y e s n a c io n a le s.
T a m b i n se d eb e ra to m a r e n cu e n ta la o p in i n le g a l, a n te s d e en c rip ta r la in fo rm a c i n o
a n te s q u e lo s c o n tro le s c rip to g r fic o s se tra n sp o rte n a o tro p a s.
12.1.7 Recopilacin de evidencias
12.1.7.1 Reglas para la evidencia
E s n e c e sa rio te n e r u n a a d e c u a d a e v id en c ia p a ra a p o y a r u n a a c c i n e n c o n tra d e u n a
p e rso n a u o rg an iza c i n . C a d a v e z q u e e sta a c c i n se a u n a m a te ria d isc ip lin a ria in te rn a , la
e v id e n c ia n e c e sa ria se d e sc rib ir m e d ia n te lo s p ro c e d im ie n to s in te rn o s.
C u a n d o la a c c i n in v o lu c ra la s le y e s, y a se a n c rim in a le s o c iv ile s, la e v id e n c ia q u e se
p re se n te d e b e ra e sta r c o n fo rm e c o n la s re g la s d e la e v id e n c ia fre n te a la le y p e rtin e n te o
c o n la s re g la s d e la c o rte e sp e c fic a e n la c u a l e l c a so se tra ta r . E n g e n e ra l e sta s re g la s
c u b re n :
a ) a d m isib ilid a d d e la e v id e n c ia : e s d e c ir si la e v id e n c ia p u e d e o n o u sa rse e n la c o rte ;
N C h 2 7 7 7
9 8
b ) p e so d e la e v id e n c ia : la c a lid a d y to ta lid a d d e la e v id e n c ia ;
c ) e v id e n c ia a d e c u a d a d e q u e lo s c o n tro le s h a n o p e ra d o c o rre c ta m e n te y
c o n siste n te m en te (e s d e c ir, e v id e n c ia d e c o n tro l d e l p ro c e so ) e n to d o e l p e ro d o e n
q u e se re c u p e r , a lm a c e n y p ro c e s la e v id e n c ia p o r e l sistem a .
12.1.7.2 Admisibilidad de la evidencia
P a ra a lc a n za r la a d m isib ilid a d d e la e v id e n c ia , la s o rg a n iza c io n e s d e b e ra n a se g u ra r q u e
su s sistem a s d e in fo rm a c i n c u m p le n c o n la s n o rm a s p u b lic a d a s o lo s c d ig o s d e
p r c tic a s p a ra la g e n e ra c i n d e e v id e n c ia s a d m isib le s.
12.1.7.3 Calidad e integridad de la evidencia
P a ra a lc a n za r la c a lid a d y to ta lid ad d e la e v id e n c ia , e s n e c e sa rio u n se g u im ien to fu e rte d e
la e v id e n c ia . E n g en e ra l, ta l se g u im ie n to fu e rte se p u e d e e sta b le c e r b a jo la s sig u ie n te s
c o n d ic io n e s:
a ) P a ra d o c u m e n to s e n p a p e l: e l o rig in a l se g u a rd a e n fo rm a se g u ra y se re g istra q u i n lo
e n c o n tr , d n d e lo en c o n tr , c u n d o se en c o n tr y q u i n c o n firm a e l d e sc u b rim ie n to .
C u a lq u ie r in v e stig a c i n d e b e ra a se g u ra r q u e lo s o rig in a le s n o e st n fa lsific a d o s.
b ) P a ra la in fo rm a c i n e n d isp o sitiv o s c o m p u ta c io n a le s: se d e b e ra te n e r c o p ia d e
c u a lq u ie r d isp o sitiv o re m o v ib le , in fo rm a c i n en d isco s d u ro s o e n m e m o ria s, p a ra
a se g u ra r la d isp o n ib ilid a d . E l re g istro d e to d a s la s a c c io n e s d u ra n te e l p ro c e so d e
c o p ia se d e b e ra g u a rd a r y e l p ro c e so se d e b e ra c o n firm a r. S e d e b e ra g u a rd a r e n
fo rm a se g u ra u n a c o p ia d e l d isp o sitiv o y e l re g istro .
C u a n d o se d e te c ta u n in c id e n te p o r p rim e ra v e z, p u e d e n o se r o b v io q u e lle v a r a u n a
p o sib le a c c i n le g a l. P o r lo tan to , e x iste e l p e lig ro q u e la e v id en c ia n e c e sa ria se d e stru y a
a c c id e n ta lm e n te a n te s d e q u e se an a lic e la se v e rid a d d e l a c c id e n te . E s a c o n se ja b le
in v o lu c ra r te m p ra n a m en te a u n a b o g ad o o a la p o lic a e n c u a lq u ie r a c c i n leg a l
c o n te m p la d a y to m a r n o ta d e la e v id e n c ia n e c e sa ria .
12.2 Revisin de las polticas de seguridad y cumplimiento tcnico
O b je tiv o : A se g u ra r e l c u m p lim ie n to d e lo s sistem a s c o n la s p o ltic a s y n o rm a s d e
se g u rid a d d e la o rg a n iza c i n .
L a se g u rid a d d e lo s siste m a s d e in fo rm a c i n se d e b e ra re v isa r re g u la rm e n te .
T a le s re v isio n e s se d e b e ra n re a liza r a la s p o ltic a s d e se g u rid a d a p ro p ia d a s y a la s
p la ta fo rm a s t c n ic a s y se d eb e ra n a u d ita r lo s siste m a s d e in fo rm a c i n p a ra v e r e l
c u m p lim ie n to c o n la s n o rm a s d e im p le m e n ta c i n d e se g u rid ad .
N C h 2 7 7 7
9 9
12.2.1 Cumplimiento con la poltica de seguridad
L o s d ire c tiv o s d e b e ra n a se g u ra r q u e to d o s lo s p ro c ed im ie n to s d e se g u rid ad d en tro d e su
re a d e re sp o n sab ilid a d se re a liza n c o rre c ta m e n te . A d e m s, se d e b e ra c o n sid e ra r q u e
to d a s la s re a s d e n tro d e la o rg a n iza c i n ten g a n u n a re v isi n re g u la r p a ra a se g u ra r e l
c u m p lim ie n to c o n la s n o rm a s y p o ltic a s. E sta d e b e ra in c lu ir lo sig u ie n te:
a ) lo s siste m a s d e in fo rm a c i n ;
b ) lo s p ro v e ed o re s d e siste m a s;
c ) lo s d u e o s d e la in fo rm a c i n y b ie n e s d e in fo rm a c i n ;
d ) lo s u su a rio s;
e ) la g e sti n .
L o s d u e o s d e lo s siste m a s d e in fo rm a c i n (v e r 5 . 1 ) d e b e ra n ap o y a r la s re v isio n e s
re g u la re s d e l c u m p lim ie n to d e su s siste m a s co n la s p o ltic a s y n o rm a s d e se g u rid a d
a p ro p ia d a s y c u a lq u ie r o tro re q u isito d e se g u rid a d . E l u so d e lo s siste m a s d e m o n ito re o
o p e ra c io n a l e st c u b ie rto e n 9 . 7 .
12.2.2 Verificacin del cumplimiento tcnico
L o s siste m a s d e in fo rm a c i n se d e b e ra n v e rific a r re g u la rm e n te si c u m p le n co n la s n o rm a s
d e im p le m en ta c i n d e la se g u rid a d . L a v e rific a c i n d e l cu m p lim ien to t c n ico in v o lu c ra e l
e x a m e n d e lo s sistem a s o p e ra c io n a le s p a ra a se g u ra r q u e se h a n im p le m e n ta d o
c o rre c ta m e n te lo s c o n tro le s d e h a rd w a re y so ftw a re . E ste tip o d e v e rific a c i n d e l
c u m p lim ie n to n e c e sita d e a siste n c ia t c n ic a d e e sp e c ia lista s. E sto se d eb e ra re a liza r
m a n u a lm e n te (a p o y a d o p o r h e rra m ie n ta s d e so ftw a re a p ro p ia d a s, si e s n e c e sa rio ) p o r u n
in g e n ie ro d e siste m a e x p e rim e n ta d o , o p o r u n p a q u e te d e so ftw a re a u to m a tiza d o q u e
g e n e re u n in fo rm e t c n ic o p a ra la in te rp re ta c i n su b se c u e n te d e u n t c n ic o e sp e c ia lista .
L a v e rific a c i n d e l c u m p lim ie n to ta m b i n c u b re , p o r e je m p lo , la s p ru e b a s d e p en e tra c i n ,
q u e p o d ra n re a liza rse p o r e x p e rto s in d e p e n d ie n te s e sp e c fic a m e n te c o n tra ta d o s p a ra e ste
p ro p sito . E sto p u e d e se r til p a ra d e te c ta r v u ln e ra b ilid a d e s e n e l siste m a y p a ra v e rific a r
c u n e fe c tiv o so n lo s co n tro le s en p re v e n ir e l a c c e so n o a u to riza d o d e b id o a e sta s
v u ln e ra b ilid a d e s. S e d e b e ra e je rc ita r la p re c a u c i n e n e l c a so d e u n a p ru e b a d e
p e n e tra c i n e x ito sa q u e p o d ra lle v a r a u n c o m p ro m iso d e la se g u rid a d d e l siste m a e
in a d v e rtid a m e n te a p ro v e c h a r o tra s v u ln e ra b ilid a d e s.
C u a lq u ie r v e rific a c i n d e l c u m p lim ie n to t c n ic o se d e b e ra re a liza r p o r o b a jo la su p e rv isi n
d e p e rso n a s c o m p e te n te s y a u to riza d a s.
N C h 2 7 7 7
1 0 0
12.3 Consideraciones sobre la auditora del sistema
O b je tiv o : M a x im iza r la e fe c tiv id a d y m in im iza r la in te rfe re n c ia a o d e sd e lo s p ro c e so s d e
a u d ito ra .
D e b e ra n e x istir c o n tro le s p a ra sa lv a g u a rd a r lo s siste m a s o p e ra c io n a le s y h e rra m ie n ta s d e
a u d ito ra d u ra n te la s a u d ito ra s d e l siste m a .
T a m b i n se re q u ie re p ro te c c i n p a ra sa lv a g u a rd a r la in te g rid a d y p re v e n ir e l m a l u so d e la s
h e rra m ie n ta s d e a u d ito ra .
12.3.1 Controles de auditoras de sistema
L o s re q u isito s d e a u d ito ra y la s a c tiv id a d e s q u e in v o lu c ra n la v e rific a c i n d e lo s siste m a s
o p e ra c io n a le s se d e b e ra n p la n ific a r y a c o rd a r cu id a d o sa m e n te , p a ra m in im iza r e l rie sg o d e
in te rru p c i n d e lo s p ro c e so s d e l n e g o c io . S e d e b e ra o b se rv a r lo sig u ie n te :
a ) L o s re q u isito s d e a u d ito ra se d e b e ra n a co rd a r c o n la d ire c c i n a p ro p ia d a .
b ) E l a lc a n c e d e la s v e rific a c io n e s se d e b e ra a c o rd a r y c o n tro la r.
c ) L a s v e rific a c io n e s se d e b e ra n lim ita r a l a c c e so d e le c tu ra so lam e n te d e l so ftw a re y d e
lo s d a to s.
d ) E l a c c e so q u e n o se a d e s lo le c tu ra d e a rc h iv o s, se d e b e ra p e rm itir so la m en te p a ra
c o p ia s a isla d a s d e a rc h iv o s d e sistem a , q u e se d e b e ra n b o rra r c u a n d o se co m p le te la
a u d ito ra .
e ) L o s re c u rso s d e T I p a ra re a liza r la s v e rific a c io n e s d e b e ra n e sta r d isp o n ib le s e
id e n tific a d o s e x p lc ita m e n te .
f) L o s re q u isito s p a ra e l p ro c e sa m ie n to a d ic io n a l o e sp e c ia l se d e b e ra n id e n tific a r y
a c o rd a r.
g ) T o d o s lo s a c c e so s se d e b e ra n m o n ito re a r y re g istra r p a ra te n e r u n seg u im ie n to d e
re fe re n c ia .
h ) T o d o s lo s p ro c e d im ie n to s, re q u isito s y re sp o n sa b ilid ad e s se d e b e ra n d o c u m e n ta r.
12.3.2 Proteccin de las herramientas de auditora del sistema
S e d e b e ra n p ro te g e r lo s a c c e so s a la s h e rra m ie n ta s d e a u d ito ra , e s d e c ir, a lo s so ftw a re
o a rc h iv o s d e d a to s, p a ra e v ita r c u a lq u ie r c o m p ro m iso o p o sib le m a l u so . T a le s
h e rra m ie n ta s se d e b e ra n se p a ra r d e lo s siste m a s o p e ra c io n a le s y d e d e sa rro llo y n o se
d e b e ra n m a n ten e r e n b ib lio te c a s d e c in ta s o re a s d e u su a rio s, a m e n o s q u e se ten g a u n
a p ro p ia d o n iv e l d e p ro te c c i n a d ic io n a l.
NORMA CHILENA OFICIAL NCh 2777.Of2003
I S O /I E C 1 7 7 7 9 : 2 0 0 0
I N S T I T U T O N A C I O N A L D E N O R M A L I Z A C I O N ! I N N - C H I L E
Tecnologa de la informacin - Cdigo de prctica para la
gestin de seguridad de la informacin
Information technology - Code of practice for information security management
P rim e ra e d ic i n : 2 0 0 3
Descriptores: tecnologa de la informacin, gestin, seguridad de la informacin, controles
de acceso
C I N 3 5 . 0 4 0
C O P Y R I G H T 2 0 0 3 : I N S T I T U T O N A C I O N A L D E N O R M A L I Z A C I O N - I N N * P ro h ib id a re p ro d u c c i n y v e n ta *
D ire c c i n : M a ta s C o u si o N 6 4 , 6 P iso , S a n tia g o , C h ile
C a silla : 9 9 5 S a n tia g o 1 - C h ile
T e l fo n o s : +(5 6 2 ) 4 4 1 0 3 3 0 C e n tro d e D o c u m e n ta c i n y V e n ta d e N o rm a s (5 P iso ) : +(5 6 2 ) 4 4 1 0 4 2 5
T e le fa x : +(5 6 2 ) 4 4 1 0 4 2 7 C e n tro d e D o c u m e n ta c i n y V e n ta d e N o rm a s (5 P iso ) : +(5 6 2 ) 4 4 1 0 4 2 9
We b : w w w . in n . c l
M ie m b ro d e : I S O (I n te rn a tio n a l O rg a n iza tio n fo r S ta n d a rd iza tio n ) C O P A N T (C o m isi n P a n a m e ric a n a d e N o rm a s T c n ic a s)