Anexo Iso 27001

ISO 27002
iso27002.es - El Anexo de ISO 27001 en espaol

Quick Search
Site Home ISO 27002
Go
Go
Navigate pages | Site Map
ISO 27002
Powered by:
ISO 27002
05. Poltica de Seguridad
06. Organizacin de la
Seguridad de Informacin
07. Gestin de Activos
08. Seguridad ligada a los
Recursos Humanos
09. Seguridad Fsica y del
Entorno
10. Gestin de
Comunicaciones y
Operaciones
11. Control de Accesos
12. Adquisicin, Desarrollo
y Mantenimiento de
Sistemas de Informacin
Con objeto de mantener las normas relacionadas con la Seguridad de la Informacin dentro de la serie ISO 2700x,
ISO/IEC 27002 sustituye
slo en la numeracin a ISO/IEC 17799:2005, manteniendo intacto su contenido y su relacin mediante el Anexo A del
estndar ISO 27001.
Existe una descarga en formato pdf con la lista de los 133 controles de la norma y en una sla pgina a modo de gua.
13. Gestin de Incidentes

de Seguridad de la
Informacin
Los dominios de control ISO 27002:2005 son:
14. Gestin de Continuidad

del Negocio
15. Conformidad
Objetivos
Contacto
05.Poltica de Seguridad
Aviso Legal
06.Aspectos Organizativos
07.Gestin de Activos
14.Gestin Continuidad
de negocio
10.Comunicaciones y
09.Fsica y Ambiental
Operaciones
11.Control Accesos
08.Recursos Humanos
13.Gestin de incidentes
12.Adquisicin, desarrollo y mantenimiento de sistemas
15.Cumplimiento legal
Las clusulas de ISO 27002:2005 son:

00. Introduccin
Conceptos generales de seguridad de la informacin y SGSI.
01. Campo de aplicacin
Se especifica el objetivo de la norma.
02. Trminos y definiciones
Breve descripcin de los trminos ms usados en la norma.
03. Estructura del estndar
http://iso27002.wiki.zoho.com/[28/01/2011 08:07:18 p.m.]
ISO 27002
Descripcin de la estructura de la norma.
04. Evaluacin y tratamiento del riesgo
Indicaciones sobre cmo evaluar y tratar los riesgos de seguridad de la informacin.
Documento de poltica de seguridad y su gestin.
Organizacin interna; organizacin externa.
Responsabilidad sobre los activos; clasificacin de la informacin.
08.Recursos Humanos
Anterior al empleo; durante el empleo; finalizacin o cambio de empleo.
reas seguras; seguridad de los equipos.
10.Comunicaciones y Operaciones
Procedimientos y responsabilidades de operacin; gestin de servicios de terceras partes; planificacin y aceptacin
del sistema; proteccin contra software malicioso; backup; gestin de seguridad de redes; utilizacin de soportes
de informacin; intercambio de informacin y software; servicios de comercio electrnico; monitorizacin.
11.Control Accesos
Requisitos de negocio para el control de accesos; gestin de acceso de usuario; responsabilidades del usuario;
control de acceso en red; control de acceso al sistema operativo; control de acceso a las aplicaciones e
informaciones; informtica y conexin mvil.
Requisitos de seguridad de los sistemas de informacin; procesamiento correcto en aplicaciones; controles
criptogrficos; seguridad de los ficheros del sistema; seguridad en los procesos de desarrollo y soporte; gestin de
vulnerabilidades tcnicas.
Comunicacin de eventos y puntos dbiles de seguridad de la informacin; gestin de incidentes y mejoras de
seguridad de la informacin.
14.Gestin Continuidad de negocio
Aspectos de la seguridad de la informacin en la gestin de continuidad del negocio.
Con los requisitos legales; polticas de seguridad y estndares de conformidad y conformidad tcnica;
consideraciones sobre la auditora de sistemas de informacin.
Bibliografa
Normas y publicaciones de referencia.
La norma est disponible para su adquisicin en diversos enlaces:

ISO/IEC 27001:2005 ISO (ingls y francs)
NTC ISO/IEC 27001:2006 ICONTEC (Colombia)
NTP ISO/IEC 17799:2007 INDECOPI (Per)
0 Comments Show recent to old

Post a comment
Attachments (13)
RSS of this page
Author: aglone3
Version: 2.8
Last Edited By: aglone3
Modified: 14 - days ago
Informacin de contacto
ISO 27002
Powered by Zoho Wiki | Zoho | Report Abuse | Wiki Index | Site Map | Help | Feedback | Jump Start with 2 Free Wikis | Sign in

Quick Search
Site Map
Go
Go

ISO 27002
Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
ISO 27002
5 1 Poltica de seguridad de la informacin
5.1.1 Documento de poltica de seguridad de la informacin
5.1.2 Revisin de la poltica de seguridad de la informacin
06. Organizacin de la Seguridad de Informacin
6 1 Organizacin Interna
6.1.1. Compromiso de la Direccin con la Seguridad de la Informacin
6.1.2. Coordinacin de la Seguridad de la Informacin
6.1.3. Asignacin de responsabilidades
6.1.4. Proceso de Autorizacin de Recursos para el Tratamiento de la Informacin
6.1.5. Acuerdos de Confidencialidad
6.1.6. Contacto con las Autoridades
6.1.7. Contacto con Grupos de Inters Especial
6.1.8. Revisin Independiente de la Seguridad de la Informacin
6 2 Terceros
15. Conformidad
6.2.1. Identificacin de los riesgos derivados del acceso de terceros
Objetivos
6.2.2. Tratamiento de la seguridad en la relacin con los clientes
Contacto
6.2.3. Tratamiento de la seguridad en contratos con terceros
Aviso Legal
7 1 Responsabilidad sobre los activos
7.1.1. Inventario de Activos
7.1.2. Responsable de los activos
7 1 3 Acuerdos sobre el uso adecuado de los activos
7 2 Clasificacin de la Informacin
7.2.1 Directrices de Clasificacin
7.2.2 Marcado y tratamiento de la informacin
08. Seguridad ligada a los Recursos Humanos
8 1 Seguridad en la definicin del trabajo y los recursos
8.1.1. Inclusin de la seguridad en las responsabilidades laborales
8.1.2. Seleccin y poltica de personal
8.1.3. Trminos y condiciones de la relacin laboral
8 2 Seguridad en el desempeo de las funciones del empleo
8.2.1. Supervisin de las obligaciones
8.2.2. Formacin y capacitacin en seguridad de la informacin
8.2.3. Procedimiento disciplinario
8 3 Finalizacin o cambio del puesto de trabajo
8.3.1. Cese de responsabilidades
8.3.2. Restitucin de activos
8.3.3. Cancelacin de permisos de acceso
09. Seguridad Fsica y del Entorno
9 1 reas seguras
9.1.1. Permetro de seguridad fsica
9.1.2. Controles fsicos de entrada
9.1.3. Seguridad de oficinas, despachos y recursos
9.1.4. Proteccin contra amenazas externas y del entorno
9.1.5. El trabajo en reas seguras
9.1.6. reas aisladas de carga y descarga
9 2 Seguridad de los equipos
9.2.1. Instalacin y proteccin de equipos
9.2.2. Suministro elctrico
9.2.3. Seguridad del cableado
9.2.4. Mantenimiento de equipos
9 2 5 Seguridad de equipos fuera de los locales de la Organizacin
9.2.6. Seguridad en la reutilizacin o eliminacin de equipos
9.2.7. Traslado de activos
http://iso27002.wiki.zoho.com/sitemap.zhtml[28/01/2011 08:07:37 p.m.]

10. Gestin de Comunicaciones y Operaciones
10 1 Procedimientos y responsabilidades de operacin
10.1.1. Documentacin de procedimientos operativos
10.1.2. Control de cambios operacionales
10.1.3. Segregacin de tareas
10.1.4. Separacin de los recursos para desarrollo y produccin
10 2 Supervisin de los servicios contratados a terceros
10.2.1. Prestacin de servicios
10.2.2. Monitorizacin y revisin de los servicios contratados
10.2.3. Gestin de los cambios en los servicios contratados
10 3 Planificacin y aceptacin del sistema
10. 3. 1. Planificacin de capacidades
10. 3. 2. Aceptacin del sistema
10 4 Proteccin contra software malicioso y cdigo mvil
10. 4. 1. Medidas y controles contra software malicioso
10. 4. 2. Medidas y controles contra cdigo mvil
10 5 Gestin interna de soportes y recuperacin
10. 5. 1. Recuperacin de la informacin
10 6 Gestin de redes
10. 6. 1. Controles de red
10. 6. 2. Seguridad en los servicios de red
10 7 Utilizacin y seguridad de los soportes de informacin
10. 7. 1. Gestin de soportes extrables
10. 7. 2. Eliminacin de soportes
10. 7. 3. Procedimientos de utilizacin de la informacin
10. 7. 4. Seguridad de la documentacin de sistemas
10 8 Intercambio de informacin y software
10. 8. 1. Polticas y procedimientos de intercambio de informacin
10. 8. 2. Acuerdos de intercambio
10. 8. 3. Soportes fsicos en trnsito
10. 8. 4. Mensajera electrnica
10. 8. 5. Sistemas de informacin empresariales
10 9 Servicios de comercio electrnico
10. 9. 1. Seguridad en comercio electrnico
10. 9. 2. Seguridad en transacciones en lnea
10 9 3 Seguridad en informacin pblica
10 10 Monitorizacin
10. 10. 1. Registro de incidencias
10. 10. 2. Supervisin del uso de los sistemas
10. 10. 3. Proteccin de los registros de incidencias
10. 10. 4. Diarios de operacin del administrador y operador
10. 10. 5. Registro de fallos
10. 10. 6. Sincronizacin del reloj
11 1 Requerimientos de negocio para el control de accesos
11.1.1. Poltica de control de accesos
11 2 Gestin de acceso de usuario
11.2.1. Registro de usuario
11.2.2. Gestin de privilegios
11.2.3. Gestin de contraseas de usuario
11.2.4. Revisin de los derechos de acceso de los usuarios
11 3 Responsabilidades del usuario
11.3.1. Uso de contrasea
11.3.2. Equipo informtico de usuario desatendido
11.3.3. Polticas para escritorios y monitores sin informacin
11 4 Control de acceso en red
11.4.1. Poltica de uso de los servicios de red
11.4.2. Autenticacin de usuario para conexiones externas
11.4.3. Autenticacin de nodos de la red
11.4.4. Proteccin a puertos de diagnstico remoto
11.4.5. Segregacin en las redes
11.4.6. Control de conexin a las redes
11.4.7. Control de encaminamiento en la red
11 5 Control de acceso al sistema operativo
11.5.1. Procedimientos de conexin de terminales

11.5.2. Identificacin y autenticacin de usuario
11.5.3. Sistema de gestin de contraseas
11.5.4. Uso de los servicios del sistema
11.5.5. Desconexin automtica de terminales
11.5.6. Limitacin del tiempo de conexin
11 6 Control de acceso a las aplicaciones
11.6.1. Restriccin de acceso a la informacin
11 6 2 Aislamiento de sistemas sensibles
11 7 Informtica mvil y tele trabajo
11 7 1 Informtica mvil
11.7.2. Tele trabajo
12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
12 1 Requisitos de seguridad de los sistemas
12.1.1. Anlisis y especificacin de los requisitos de seguridad
12 2 Seguridad de las aplicaciones del sistema
12.2.1. Validacin de los datos de entrada
12.2.2. Control del proceso interno
12.2.3. Autenticacin de mensajes
12.2.4. Validacin de los datos de salida
12 3 Controles criptogrficos
12.3.1. Poltica de uso de los controles criptogrficos
12.3.2. Cifrado
12 4 Seguridad de los ficheros del sistema
12.4.1. Control del software en explotacin
12.4.2. Proteccin de los datos de prueba del sistema
12.4.3. Control de acceso a la librera de programas fuente
12 5 Seguridad en los procesos de desarrollo y soporte
12.5.1. Procedimientos de control de cambios
12.5.2. Revisin tcnica de los cambios en el sistema operativo
12.5.3. Restricciones en los cambios a los paquetes de software
12.5.4. Canales encubiertos y cdigo Troyano
12.5.5. Desarrollo externalizado del software
12 6 Gestin de las vulnerabilidades tcnicas
12.6.1. Control de las vulnerabilidades tcnicas
13. Gestin de Incidentes de Seguridad de la Informacin
13 1 Comunicacin de eventos y debilidades en la seguridad de la informacin
13 1 1 Comunicacin de eventos en seguridad
13.1.2. Comunicacin de debilidades en seguridad
13 2 Gestin de incidentes y mejoras en la seguridad de la informacin
13.2.1. Identificacin de responsabilidades y procedimientos
13.2.2. Evaluacin de incidentes en seguridad
13.2.3. Recogida de pruebas
14. Gestin de Continuidad del Negocio
14 1 Aspectos de la gestin de continuidad del negocio
14.1.1. Proceso de la gestin de continuidad del negocio
14.1.2. Continuidad del negocio y anlisis de impactos
14.1.3. Redaccin e implantacin de planes de continuidad
14.1.4. Marco de planificacin para la continuidad del negocio
14.1.5. Prueba, mantenimiento y reevaluacin de planes de continuidad
15. Conformidad
15 1 Conformidad con los requisitos legales
15.1.1. Identificacin de la legislacin aplicable
15.1.2. Derechos de propiedad intelectual (IPR)
15.1.3. Salvaguarda de los registros de la Organizacin
15.1.4. Proteccin de datos de carcter personal y de la intimidad de las personas
15.1.5. Evitar mal uso de los dispositivos de tratamiento de la informacin
15.1.6. Reglamentacin de los controles de cifrados
15 2 Revisiones de la poltica de seguridad y de la conformidad tcnica
15.2.1. Conformidad con la poltica de seguridad
15.2.2. Comprobacin de la conformidad tcnica
15 3 Consideraciones sobre la auditora de sistemas
15.3.1. Controles de auditoria de sistemas
15.3.2. Proteccin de las herramientas de auditoria de sistemas

Objetivos
Contacto
Aviso Legal
ISO 27002

Quick Search
Site Home ISO 27002
Go
Go
ISO 27002
Powered by:
ISO 27002
Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
Con objeto de mantener las normas relacionadas con la Seguridad de la Informacin dentro de la serie ISO 2700x,
ISO/IEC 27002 sustituye
slo en la numeracin a ISO/IEC 17799:2005, manteniendo intacto su contenido y su relacin mediante el Anexo A del
estndar ISO 27001.

y Mantenimiento de
Existe una descarga en formato pdf con la lista de los 133 controles de la norma y en una sla pgina a modo de gua.

de Seguridad de la
Informacin
Los dominios de control ISO 27002:2005 son:

del Negocio
15. Conformidad
Objetivos
Contacto
05.Poltica de Seguridad
Aviso Legal
14.Gestin Continuidad
de negocio
10.Comunicaciones y
Operaciones
11.Control Accesos
08.Recursos Humanos
Las clusulas de ISO 27002:2005 son:

00. Introduccin
Conceptos generales de seguridad de la informacin y SGSI.
01. Campo de aplicacin
Se especifica el objetivo de la norma.
02. Trminos y definiciones
Breve descripcin de los trminos ms usados en la norma.
03. Estructura del estndar
http://iso27002.wiki.zoho.com/ISO-27002.html[28/01/2011 08:08:25 p.m.]
ISO 27002
Descripcin de la estructura de la norma.
04. Evaluacin y tratamiento del riesgo
Indicaciones sobre cmo evaluar y tratar los riesgos de seguridad de la informacin.
Documento de poltica de seguridad y su gestin.
Organizacin interna; organizacin externa.
Responsabilidad sobre los activos; clasificacin de la informacin.
08.Recursos Humanos
Anterior al empleo; durante el empleo; finalizacin o cambio de empleo.
reas seguras; seguridad de los equipos.
10.Comunicaciones y Operaciones
Procedimientos y responsabilidades de operacin; gestin de servicios de terceras partes; planificacin y aceptacin
del sistema; proteccin contra software malicioso; backup; gestin de seguridad de redes; utilizacin de soportes
de informacin; intercambio de informacin y software; servicios de comercio electrnico; monitorizacin.
11.Control Accesos
Requisitos de negocio para el control de accesos; gestin de acceso de usuario; responsabilidades del usuario;
control de acceso en red; control de acceso al sistema operativo; control de acceso a las aplicaciones e
informaciones; informtica y conexin mvil.
Requisitos de seguridad de los sistemas de informacin; procesamiento correcto en aplicaciones; controles
criptogrficos; seguridad de los ficheros del sistema; seguridad en los procesos de desarrollo y soporte; gestin de
vulnerabilidades tcnicas.
Comunicacin de eventos y puntos dbiles de seguridad de la informacin; gestin de incidentes y mejoras de
14.Gestin Continuidad de negocio
Aspectos de la seguridad de la informacin en la gestin de continuidad del negocio.
Con los requisitos legales; polticas de seguridad y estndares de conformidad y conformidad tcnica;
consideraciones sobre la auditora de sistemas de informacin.
Bibliografa
Normas y publicaciones de referencia.
La norma est disponible para su adquisicin en diversos enlaces:

ISO/IEC 27001:2005 ISO (ingls y francs)
NTC ISO/IEC 27001:2006 ICONTEC (Colombia)
NTP ISO/IEC 17799:2007 INDECOPI (Per)

Post a comment
Attachments (13)
RSS of this page
Author: aglone3
Version: 2.8
ISO 27002

Quick Search
Site Home 05. Poltica de Seguridad
Go
Go

ISO 27002
5 1 Poltica de seguridad
de la informacin
La estructura de este punto de la norma es:
5.1. Poltica de seguridad de la informacin

Recursos Humanos
5.1.1. Documento de poltica de seguridad de la informacin

Entorno
5.1.2. Revisin de la poltica de seguridad de la informacin
10. Gestin de
Comunicaciones y
Operaciones

Post a comment

y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
RSS of this page
Objetivos
Contacto
Author: aglone
Version: 1.6
Last Edited By: javier_ruiz
Aviso Legal
http://iso27002.wiki.zoho.com/05Politica.html[28/01/2011 08:08:37 p.m.]

Quick Search
Site Home 06. Organizacin de la Seguridad de Informacin
Go
Go

ISO 27002
Seguridad de
Informacin
6 2 Terceros
6.1. Estructura para la seguridad de la informacin
6.1.1. Comit de gestin de seguridad de la informacin

Recursos Humanos
6.1.2. Coordinacin de seguridad de la informacin

Entorno
6.1.3. Asignacin de responsabilidades para la seguridad de la informacin
10. Gestin de
Comunicaciones y
Operaciones
6.1.4. Proceso de autorizacin de recursos para el tratamiento de la informacin

6.1.5. Acuerdos de confidencialidad

y Mantenimiento de
de Seguridad de la
Informacin
Objetivos
Contacto
Aviso Legal
6.1.7. Contacto con organizaciones de especial inters

6.1.8. Revisin independiente de la seguridad de la informacin

del Negocio
15. Conformidad
6.1.6. Contacto con las autoridades
6.2. Terceros

Post a comment
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/06Organizacion.html[28/01/2011 08:08:50 p.m.]

Quick Search
Site Home 07. Gestin de Activos
Go
Go

ISO 27002

7 1 Responsabilidad
sobre los activos
7.1. Responsabilidad sobre los activos.
7 2 Clasificacin de la
Informacin
7.1.1. Inventario de activos.

Recursos Humanos
7.1.2. Responsable de los activos.

Entorno
7.1.3. Acuerdos sobre el uso aceptable de los activos.

7.2. Clasificacin de la informacin
10. Gestin de
Comunicaciones y
Operaciones
7.2.1. Directrices de clasificacin.

y Mantenimiento de
7.2.2. Marcado y tratamiento de la informacin.

Post a comment

de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
RSS of this page
Contacto
Aviso Legal
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/07GestionActivos.html[28/01/2011 08:09:02 p.m.]

Quick Search
Site Home 08. Seguridad ligada a los Recursos Humanos
Go
Go

ISO 27002
08. Seguridad ligada a

los Recursos Humanos
8.1. Seguridad en la definicin del trabajo y los recursos.
8 1 Seguridad en la
definicin del trabajo y
los recursos
8.1.1. Inclusin de la seguridad en las responsabilidades laborales.

8.1.2. Seleccin y poltica de personal.
8 2 Seguridad en el
desempeo de las
funciones del empleo
8.1.3. Trminos y condiciones de la relacin laboral.
8 3 Finalizacin o cambio
del puesto de trabajo
Entorno
8.2. Seguridad en el desempeo de las funciones del empleo.

8.2.1. Supervisin de las obligaciones.
10. Gestin de
Comunicaciones y
Operaciones
8.2.2. Formacin y capacitacin en seguridad de la informacin.

8.2.3. Procedimiento disciplinario.

y Mantenimiento de
de Seguridad de la
Informacin
8.3. Finalizacin o cambio del puesto de trabajo.

8.3.1. Cese de responsabilidades.
8.3.2. Restitucin de activos.

del Negocio
8.3.3. Cancelacin de permisos de acceso.
15. Conformidad
Objetivos
Contacto

Post a comment
Aviso Legal
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/08SeguridadRRHH.html[28/01/2011 08:09:13 p.m.]

Quick Search
Site Home 09. Seguridad Fsica y del Entorno
Go
Go

ISO 27002

Recursos Humanos
9.1. reas seguras.

9.1.1. Permetro de seguridad fsica.
09. Seguridad Fsica y

del Entorno
9 1 reas seguras
9.1.2. Controles fsicos de entrada.
9 2 Seguridad de los
equipos
9.1.3. Seguridad de oficinas, despachos y recursos.
10. Gestin de
Comunicaciones y
Operaciones
9.1.4. Proteccin contra amenazas externas y del entorno.

9.1.5. El trabajo en reas seguras.

y Mantenimiento de
de Seguridad de la
Informacin
Objetivos
Contacto
Aviso Legal
9.2. Seguridad de los equipos.

9.2.1. Instalacin y proteccin de equipos.

del Negocio
15. Conformidad
9.1.6. reas aisladas de carga y descarga.
9.2.2. Suministro elctrico.

9.2.3. Seguridad del cableado.
9.2.4. Mantenimiento de equipos.
9.2.5. Seguridad de equipos fuera de los locales de la Organizacin.
9.2.6. Seguridad en la reutilizacin o eliminacin de equipos.
9.2.7. Traslado de activos.

Post a comment
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/09SeguridadFsicayEntorno.html[28/01/2011 08:09:25 p.m.]

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones
Go
Go

ISO 27002
Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
10 1 Procedimientos y
responsabilidades de
operacin
10 2 Supervisin de los
servicios contratados a
terceros
10 3 Planificacin y
aceptacin del sistema
10 4 Proteccin contra
software malicioso y
cdigo mvil
10 5 Gestin interna de
soportes y recuperacin
10 7 Utilizacin y
seguridad de los
soportes de informacin
10 8 Intercambio de
informacin y software

10.1. Procedimientos y responsabilidades de operacin.
10.1.1. Documentacin de procedimientos operativos.
10.1.2. Control de cambios operacionales.
10.1.3. Segregacin de tareas.
10.1.4. Separacin de los recursos para desarrollo y produccin.
10.2. Supervisin de los servicios contratados a terceros.
10.2.1. Prestacin de servicios.
10.2.2. Monitorizacin y revisin de los servicios contratados.
10.2.3. Gestin de los cambios en los servicios contratados.
10.3. Planificacin y aceptacin del sistema.
10.3.1. Planificacin de capacidades.
10.3.2. Aceptacin del sistema.
10.4. Proteccin contra software malicioso y cdigo mvil.
10 9 Servicios de
comercio electrnico
10.4.1. Medidas y controles contra software malicioso.
10 10 Monitorizacin
10.4.2. Medidas y controles contra cdigo mvil.

y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
10.5. Gestin interna de soportes y recuperacin.

10.5.1. Recuperacin de la informacin.
10.6. Gestin de redes.
10.6.1. Controles de red.
10.6.2. Seguridad en los servicios de red.
10.7. Utilizacin y seguridad de los soportes de informacin.
10.7.1. Gestin de soportes extrables.
10.7.2. Eliminacin de soportes.
10.7.3. Procedimientos de utilizacin de la informacin.
10.7.4. Seguridad de la documentacin de sistemas.
10.8. Intercambio de informacin y software.
10.8.1. Acuerdos para intercambio de informacin y software.
10.8.2. Seguridad de soportes en trnsito.
10.8.3. Mensajera electrnica.
10.8.4. Interconexin de sistemas con informacin de negocio
10.8.5. Sistemas de informacin empresariales.
10.9. Servicios de comercio electrnico.
10.9.1. Seguridad en comercio electrnico.
10.9.2. Seguridad en transacciones en lnea.
10.9.3. Seguridad en informacin pblica.
10.10. Monitorizacin
10.10.1. Registro de incidencias.
10.10.2. Seguimiento del uso de los sistemas.
10.10.3. Proteccin de los registros de incidencias.
10.10.4. Diarios de operacin del administrador y operador.
http://iso27002.wiki.zoho.com/10ComunicacionesyOperaciones.html[28/01/2011 08:09:39 p.m.]

10.10.5. Registro de fallos.
10.10.6. Sincronizacin de reloj.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10ComunicacionesyOperaciones.html[28/01/2011 08:09:39 p.m.]

Quick Search
Site Home 11. Control de Accesos
Go
Go

ISO 27002

Recursos Humanos
11.1. Requisitos de negocio para el control de accesos.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
11 1 Requerimientos de
negocio para el control
de accesos
11 2 Gestin de acceso
de usuario
11 3 Responsabilidades
del usuario
11.1.1. Poltica de control de accesos.

11.2. Gestin de acceso de usuario.
11.2.1. Registro de usuario.
11.2.2. Gestin de privilegios.
11.2.3. Gestin de contraseas de usuario.
11.2.4. Revisin de los derechos de acceso de los usuarios.
11.3. Responsabilidades del usuario.
11 4 Control de acceso
en red
11.3.1. Uso de contrasea.
11 5 Control de acceso al
sistema operativo
11.3.2. Equipo informtico de usuario desatendido.
11 6 Control de acceso a
las aplicaciones
11.3.3. Polticas para escritorios y monitores sin informacin.
11 7 Informtica mvil y
tele trabajo
y Mantenimiento de
de Seguridad de la
Informacin
11.4. Control de acceso en red.

11.4.1. Poltica de uso de los servicios de red.
11.4.2. Autenticacin de usuario para conexiones externas.
11.4.3. Autenticacin de nodos de la red.

del Negocio
11.4.4. Proteccin a puertos de diagnstico remoto.
15. Conformidad
11.4.5. Segregacin en las redes.
Objetivos
Contacto
Aviso Legal
11.4.6. Control de conexin a las redes.

11.4.7. Control de encaminamiento en la red.
11.5. Control de acceso al sistema operativo.
11.5.1. Procedimientos de conexin de terminales.
11.5.2. Identificacin y autenticacin de usuario.
11.5.3. Sistema de gestin de contraseas.
11.5.4. Uso de los servicios del sistema.
11.5.5. Desconexin automtica de terminales.
11.5.6. Limitacin del tiempo de conexin.
11.6. Control de acceso a las aplicaciones.
11.6.1. Restriccin de acceso a la informacin.
11.6.2. Aislamiento de sistemas sensibles.
11.7. Informtica mvil y tele trabajo.
11.7.1. Informtica mvil.
11.7.2. Tele trabajo.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11ControlAccesos.html[28/01/2011 08:09:56 p.m.]
http://iso27002.wiki.zoho.com/11ControlAccesos.html[28/01/2011 08:09:56 p.m.]

Quick Search
Site Home 12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
Go
Go

ISO 27002

Recursos Humanos
12.1. Requisitos de seguridad de los sistemas.

Entorno
12.1.1. Anlisis y especificacin de los requisitos de seguridad.
10. Gestin de
Comunicaciones y
Operaciones
12.2. Seguridad de las aplicaciones del sistema.

12.2.1. Validacin de los datos de entrada.

12. Adquisicin,
Desarrollo y
Mantenimiento de Sistemas
de Informacin
12 1 Requisitos de
seguridad de los
sistemas
12.2.2. Control del proceso interno.

12.2.3. Autenticacin de mensajes.
12.2.4. Validacin de los datos de salida.
12 2 Seguridad de las
aplicaciones del sistema
12.3. Controles criptogrficos.
12 3 Controles
criptogrficos
12.3.1. Poltica de uso de los controles criptogrficos.
ficheros del sistema
12.3.2. Cifrado.
12 5 Seguridad en los
procesos de desarrollo y
soporte
12 6 Gestin de las
vulnerabilidades tcnicas
de Seguridad de la
Informacin
Objetivos
12.4.1. Control del software en explotacin.

12.4.2. Proteccin de los datos de prueba del sistema.

del Negocio
15. Conformidad
12.4. Seguridad de los ficheros del sistema.
12.4.3. Control de acceso a la librera de programas fuente.

12.5. Seguridad en los procesos de desarrollo y soporte.
12.5.1. Procedimientos de control de cambios.
Contacto
Aviso Legal
12.5.2. Revisin tcnica de los cambios en el sistema operativo.

12.5.3. Restricciones en los cambios a los paquetes de software.
12.5.4. Canales encubiertos y cdigo Troyano.
12.5.5. Desarrollo externalizado del software.
12.6. Gestin de las vulnerabilidades tcnicas.
12.6.1. Control de las vulnerabilidades tcnicas.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12AdquisicionDesarrolloMantenimiento.html[28/01/2011 08:10:11 p.m.]
http://iso27002.wiki.zoho.com/12AdquisicionDesarrolloMantenimiento.html[28/01/2011 08:10:11 p.m.]

Quick Search
Site Home 13. Gestin de Incidentes de Seguridad de la Informacin
Go
Go

ISO 27002

Recursos Humanos
13.1. Comunicacin de eventos y debilidades en la seguridad de la informacin.

Entorno
13.1.1. Comunicacin de eventos en seguridad.

13.1.2. Comunicacin de debilidades en seguridad.
10. Gestin de
Comunicaciones y
Operaciones
13.2. Gestin de incidentes y mejoras en la seguridad de la informacin.

y Mantenimiento de
13. Gestin de
Incidentes de Seguridad
de la Informacin
13 1 Comunicacin de
eventos y debilidades en
la seguridad de la
informacin
13.2.1. Identificacin de responsabilidades y procedimientos.

13.2.2. Evaluacin de incidentes en seguridad.
13.2.3. Recogida de pruebas.

Post a comment
13 2 Gestin de
incidentes y mejoras en
la seguridad de la
informacin
del Negocio
RSS of this page
15. Conformidad
Objetivos
Author: aglone
Version: 1.1
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/13Incidentes.html[28/01/2011 08:10:25 p.m.]

Quick Search
Site Home 14. Gestin de Continuidad del Negocio
Go
Go

ISO 27002

Recursos Humanos
14.1. Aspectos de la gestin de continuidad del negocio.

Entorno
14.1.1. Proceso de la gestin de continuidad del negocio.

14.1.2. Continuidad del negocio y anlisis de impactos.
10. Gestin de
Comunicaciones y
Operaciones
14.1.3. Redaccin e implantacin de planes de continuidad.

y Mantenimiento de
de Seguridad de la
Informacin
14. Gestin de
Continuidad del Negocio
14.1.4. Marco de planificacin para la continuidad del negocio.

14.1.5. Prueba, mantenimiento y reevaluacin de planes de continuidad.

Post a comment
14 1 Aspectos de la
gestin de continuidad
del negocio
15. Conformidad
Objetivos
RSS of this page
Contacto
Aviso Legal
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/14ContinuidaddeNegocio.html[28/01/2011 08:10:37 p.m.]
15. Conformidad

Quick Search
Site Home 15. Conformidad
Go
Go
15. Conformidad

ISO 27002
15.1. Conformidad con los requisitos legales.

Recursos Humanos
15.1.1. Identificacin de la legislacin aplicable.

Entorno
15.1.2. Derechos de propiedad intelectual (IPR).

15.1.3. Salvaguarda de los registros de la Organizacin.
10. Gestin de
Comunicaciones y
Operaciones
15.1.4. Proteccin de datos de carcter personal y de la intimidad de las personas.

y Mantenimiento de
de Seguridad de la
Informacin
15.1.5. Evitar mal uso de los dispositivos de tratamiento. de la informacin.

15.1.6. Reglamentacin de los controles de cifrados.
15.2. Revisiones de la poltica de seguridad y de la conformidad tcnica.

del Negocio
15.2.1. Conformidad con la poltica de seguridad.

15.2.2. Comprobacin de la conformidad tcnica.
15. Conformidad
15 1 Conformidad con los
requisitos legales
15 2 Revisiones de la
poltica de seguridad y
de la conformidad tcnica
15.3. Consideraciones sobre la auditoria de sistemas.

15.3.1. Controles de auditoria de sistemas.
15.3.2. Proteccin de las herramientas de auditoria de sistemas.
15 3 Consideraciones
sobre la auditora de
sistemas
Objetivos
Contacto

Post a comment
Aviso Legal
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15ConformidadLegal.html[28/01/2011 08:10:48 p.m.]
Objetivos

Quick Search
Site Home Objetivos
Go
Go
Objetivos
iso27002.es es una iniciativa privada que tiene como objetivo:

ISO 27002
- Servir de punto de informacin de la serie de normas ISO 27000 y de la gestin de seguridad de la informacin mediante
la aplicacin de controles ptimos a las necesidades de las organizaciones en cada momento;
- Realizar la libre difusin de informacin en espaol en base a las investigaciones, conocimientos y bsquedas de los

Recursos Humanos
editores de la web;

Entorno
- Responder a todas las consultas recibidas en relacin a las normas de la serie ISO 27000, independientemente de su
10. Gestin de
Comunicaciones y
Operaciones
origen (empresas grandes, Pymes, organismos pblicos, estudiantes, etc.;

- Establecer contactos con todo tipo de organizaciones, desarrolladores y personas relacionadas con la norma, con el

y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
objetivo de intercambiar informaciones, opiniones, experiencias o conocimientos, e impulsar la colaboracin en actividades

de fomento y promocin de las buenas prcticas para la aplicacin de controles para la seguridad de la informacin.
Interesados en ponerse en contacto con el gestor de contenidos:
Objetivos
Contacto
Aviso Legal
Peticin de cuentas de usuario

El acceso para la gestin de contenidos de este portal no necesita de un alta previa de usuario.
Desde cada pgina se pueden realizar comentarios, sugerencias y aportaciones sobre las mejores prcticas y
productos open source.
No se admiten prcticas en los comentarios de enlaces a productos comerciales o spam en los espacios dedicados a
comentarios de los controles del wiki.
Interesados en apoyar el desarrollo de contenidos mediante prcticas comerciales de servicios o productos existen
espacios dedicados previo contacto con:

Post a comment
RSS of this page
Author: aglone3
Version: 2.0
http://iso27002.wiki.zoho.com/Objetivos.html[28/01/2011 08:11:01 p.m.]
Objetivos
http://iso27002.wiki.zoho.com/Objetivos.html[28/01/2011 08:11:01 p.m.]
Contacto

Quick Search
Site Home Contacto
Go
Go
Contacto

ISO 27002
Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de

Post a comment

de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
RSS of this page
Aviso Legal
Author: aglone3
Version: 2.0
http://iso27002.wiki.zoho.com/CustomBottomPanel.html[28/01/2011 08:11:15 p.m.]
Aviso Legal

Quick Search
Site Home Aviso Legal
Go
Go
Aviso Legal
1. Aviso legal y su aceptacin.
ISO 27002
Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
El presente aviso legal (en adelante, "Aviso Legal") regula el uso del servicio de portal de Internet "iso27002.es" (en adelante, el "Portal") que sus
legtimos titulares ponen a disposicin de los usuarios de Internet. La utilizacin del Portal atribuye la condicin de usuario del Portal (en adelante,
el "Usuario") e implica la aceptacin plena y sin reservas de todas y cada una de las disposiciones incluidas en este Aviso Legal en la versin
publicada en el Portal en el momento en que el Usuario acceda al mismo. En consecuencia, el Usuario debe leer atentamente el Aviso Legal en cada
una de las ocasiones en que se proponga utilizar el Portal, ya que ste puede sufrir modificaciones.
2. Objeto y Modificacin de condiciones.

El Portal pone a disposicin del Usuario la posibilidad de navegar, accediendo a sus contenidos y servicios siempre que lo haga de acuerdo con lo
previsto en el presente Aviso Legal. En cualquier caso, el Portal se reserva el derecho de, en cualquier momento y sin necesidad de previo aviso,
modificar o eliminar el contenido, estructura, diseo, servicios y condiciones de acceso y/o uso de este sitio, siempre que lo estime oportuno.
3. Principios Generales - Responsabilidad del Usuario.

El Usuario se obliga a utilizar los servicios y contenidos que le proporciona el Portal conforme a la legislacin vigente y a los principios de buena fe
y usos generalmente aceptados y a no contravenir con su actuacin a travs del Web el orden pblico. Por tanto, queda prohibido todo uso con
fines ilcitos o que perjudiquen o impidan, puedan daar y/o sobrecargar, de cualquier forma, la utilizacin y normal funcionamiento del Portal, o
bien, que directa o indirectamente atenten contra el mismo o contra cualquier tercero. El Usuario no transmitir a travs del servicio nada que
15. Conformidad
atente contra los valores y la dignidad de las personas, de acuerdo con las normas nacionales e internacionales de proteccin de los derechos
Objetivos
humanos.Asimismo, queda prohibida la reproduccin, distribucin, transmisin, adaptacin o modificacin, por cualquier medio y en cualquier
Contacto
Aviso Legal
forma, de los contenidos del Portal (textos, diseos, grficos, informaciones, bases de datos, archivos de sonido y/o imagen, logos,) y dems
elementos de este sitio, salvo autorizacin previa de sus legtimos titulares o cuando as resulte permitido por la ley. Se prohbe asimismo respecto
de los contenidos antes detallados, cualquier utilizacin comercial o publicitaria, distinta de la estrictamente permitida, en su caso, y la vulneracin,
en general, de cualquier derecho derivado de los mismos.
4. Condiciones que debern cumplir los usuarios que quieran establecer un

hiperenlace entre su pgina web y este Portal.
No se admite la reproduccin de pginas del Portal mediante hiperenlace desde otro portal o pgina web, permitindose exclusivamente el acceso a
dicho Portal. En ningn caso se podr dar a entender que el Portal autoriza el hiperenlace o que ha supervisado o asumido de cualquier forma los
servicios o contenidos ofrecidos por la web desde la que se produce el hiperenlace. No se podrn realizar manifestaciones o referencias falsas,
incorrectas o inexactas sobre las pginas y servicios del Portal. La pgina desde donde se establece el hiperenlace no podr tener ningn distintivo
que haga referencia al Portal, exceptuando los signos integrados en el propio hiperenlace. Se prohbe explcitamente la creacin de cualquier tipo
de browser o border environment sobre las pginas del Portal. No se podrn incluir contenidos contrarios a los derechos de terceros, ni
contrarios a la moral y las buenas costumbres aceptadas, ni contenidos o informaciones ilcitas, en la pgina web desde la que se establezca el
hiperenlace. La existencia de un hiperenlace entre una pgina web y este Portal no implica la existencia de relaciones entre el Portal y el
propietario de esa pgina, ni la aceptacin y aprobacin de sus contenidos y servicios.
5. Uso de cookies.
Cuando el Usuario navega a travs del Portal, puede recibir en su ordenador cookies enviadas desde el servidor del Portal o desde el servidor de
una tercera empresa contratada para la prestacin del servicio de medicin de audiencias. Si el Usuario desea conocer el servidor desde el que se
han enviado estas cookies, debe consultar las instrucciones de uso de su navegador. Si el Usuario admite la recepcin de cookies, debe saber
que stas no proporcionan ningn dato de carcter personal suyo y que la nica finalidad es permitir que el servidor pueda reconocer el navegador
utilizado por el Usuario con objeto de facilitar la navegacin, adems de conocer el nmero de usuarios nicos que acceden al Portal. El Usuario
puede configurar su navegador para que ste le avise a travs de la pantalla del ordenador de la recepcin de cookies. Asimismo, puede impedir
la instalacin de cookies en su ordenador. Para ello, debe consultar las instrucciones de uso de su navegador.
6. Exclusin de garantas y responsabilidades.

El Portal no se hace responsable directa ni indirecta o subsidiariamente de ningn dao o perjuicio sufrido por el Usuario derivado del acceso a
dicho Portal o del uso de informaciones o aplicaciones en l contenidas. Se excluye la responsabilidad por los daos y perjuicios de toda naturaleza
que puedan deberse a las informaciones contenidas en pginas web a las que este Portal pueda remitir a travs de hiperenlaces. La finalidad de los
hiperenlaces que aparecen en el Portal es puramente informativa, no siendo ste responsable en ningn caso del resultado que el Usuario pretenda
obtener mediante el acceso a los mismos. Por consiguiente, el Portal no responder por:
a) La disponibilidad, accesibilidad y funcionamiento o continuidad de los sitios enlazados.b) La calidad, licitud, fiabilidad, utilidad, veracidad,
vigencia, exhaustividad y/o autenticidad del contenido existente en los sitios enlazados.c) Del mantenimiento, prestacin o transmisin de los
contenidos existentes en los sitios enlazados.d) El Portal no tiene conocimiento efectivo de que la actividad o la informacin a la que remiten o
recomiendan es ilcita o de que lesiona bienes o derechos de un tercero susceptibles de indemnizacin. En caso de tener conocimiento se actuar
con la diligencia debida para suprimir o inutilizar el enlace correspondiente, tal y como establece la LSSICE.El Portal no ser responsable de los
daos y perjuicios de toda naturaleza que puedan deberse a la existencia de virus en el sistema informtico, documentos electrnicos o ficheros del
Usuario o por la presencia de virus en los servicios prestados por terceros a travs del Portal.
7. Disputas ante los Tribunales.

Esta licencia de uso se rige por las leyes espaolas independientemente del entorno legal del usuario. Cualquier disputa que pueda surgir en la
interpretacin de este acuerdo se resolver en los tribunales espaoles.
http://iso27002.wiki.zoho.com/Aviso-Legal.html[28/01/2011 08:11:28 p.m.]
Aviso Legal

Post a comment
RSS of this page
Author: aglone3
Version: 1.1
http://iso27002.wiki.zoho.com/Aviso-Legal.html[28/01/2011 08:11:28 p.m.]

Quick Search
Site Home 09. Seguridad Fsica y del Entorno
Go
Go

ISO 27002

Recursos Humanos
9.1. reas seguras.

9.1.1. Permetro de seguridad fsica.
09. Seguridad Fsica y

del Entorno
9 1 reas seguras
9.1.2. Controles fsicos de entrada.
equipos
9.1.3. Seguridad de oficinas, despachos y recursos.
10. Gestin de
Comunicaciones y
Operaciones
9.1.4. Proteccin contra amenazas externas y del entorno.

9.1.5. El trabajo en reas seguras.

y Mantenimiento de
de Seguridad de la
Informacin
Objetivos
Contacto
Aviso Legal
9.2. Seguridad de los equipos.

9.2.1. Instalacin y proteccin de equipos.

del Negocio
15. Conformidad
9.1.6. reas aisladas de carga y descarga.
9.2.2. Suministro elctrico.

9.2.3. Seguridad del cableado.
9.2.4. Mantenimiento de equipos.
9.2.5. Seguridad de equipos fuera de los locales de la Organizacin.
9.2.6. Seguridad en la reutilizacin o eliminacin de equipos.
9.2.7. Traslado de activos.

Post a comment
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/09SeguridadFsicayEntorno.html[28/01/2011 08:11:50 p.m.]

Quick Search
Wiki Index
Go
Go
Show: All | A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
ISO 27002
Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal

08. Seguridad ligada a los Recursos
Humanos
06. Organizacin de la Seguridad de

Informacin
10 1 Procedimientos y responsabilidades de 10. 10. 1. Registro de incidencias

operacin

10.1.1. Documentacin de procedimientos
operativos
10.1.4. Separacin de los recursos para
desarrollo y produccin
10. 10. 2. Supervisin del uso de los
sistemas
10. 10. 3. Proteccin de los registros de

incidencias
10. 10. 4. Diarios de operacin del

administrador y operador

10.2.2. Monitorizacin y revisin de los
servicios contratados
10 10 Monitorizacin
10.2.3. Gestin de los cambios en los

10. 4. 1. Medidas y controles contra
software malicioso

10. 4. 2. Medidas y controles contra cdigo 10 4 Proteccin contra software malicioso y
mvil
cdigo mvil

10 5 Gestin interna de soportes y

recuperacin

10 2 Supervisin de los servicios
contratados a terceros

10. 7. 3. Procedimientos de utilizacin de la 10. 7. 4. Seguridad de la documentacin de

informacin
sistemas
10 7 Utilizacin y seguridad de los soportes 10. 8. 1. Polticas y procedimientos de
de informacin
intercambio de informacin
10. 8. 5. Sistemas de informacin
empresariales
10 8 Intercambio de informacin y software 10. 9. 1. Seguridad en comercio electrnico 10. 9. 2. Seguridad en transacciones en
lnea
10. Gestin de Comunicaciones y
Operaciones
11 1 Requerimientos de negocio para el
control de accesos
11.2.4. Revisin de los derechos de acceso
de los usuarios
11.3.2. Equipo informtico de usuario
desatendido
11.3.3. Polticas para escritorios y
11.4.1. Poltica de uso de los servicios de
monitores sin informacin
red
11.4.2. Autenticacin de usuario para
11.4.4. Proteccin a puertos de diagnstico
conexiones externas
remoto
11.4.7. Control de encaminamiento en la
red
11.5.1. Procedimientos de conexin de
11.5.2. Identificacin y autenticacin de
terminales
usuario
11.5.5. Desconexin automtica de
terminales
11 5 Control de acceso al sistema operativo 11.6.1. Restriccin de acceso a la
informacin
12.1.1. Anlisis y especificacin de los
requisitos de seguridad

12 1 Requisitos de seguridad de los
sistemas


12 2 Seguridad de las aplicaciones del
sistema

12.3.1. Poltica de uso de los controles
criptogrficos

12.3.2. Cifrado
12.4.3. Control de acceso a la librera de
programas fuente
12.5.2. Revisin tcnica de los cambios en
el sistema operativo
12.5.5. Desarrollo externalizado del
software
12 6 Gestin de las vulnerabilidades
tcnicas
13.1.2. Comunicacin de debilidades en
seguridad

12.5.3. Restricciones en los cambios a los
paquetes de software
12 5 Seguridad en los procesos de
desarrollo y soporte
12. Adquisicin, Desarrollo y
Mantenimiento de Sistemas de Informacin
13 1 Comunicacin de eventos y
debilidades en la seguridad de la
informacin
13.2.2. Evaluacin de incidentes en

seguridad
13. Gestin de Incidentes de Seguridad de
14.1.1. Proceso de la gestin de
la Informacin
continuidad del negocio
14.1.3. Redaccin e implantacin de planes 14.1.4. Marco de planificacin para la
de continuidad
12.4.2. Proteccin de los datos de prueba

del sistema
12.5.1. Procedimientos de control de
cambios
12.5.4. Canales encubiertos y cdigo
Troyano
12.6.1. Control de las vulnerabilidades
tcnicas
13 1 1 Comunicacin de eventos en
seguridad
13.2.1. Identificacin de responsabilidades
y procedimientos
13 2 Gestin de incidentes y mejoras en la
seguridad de la informacin
14.1.2. Continuidad del negocio y anlisis
de impactos
14.1.5. Prueba, mantenimiento y
reevaluacin de planes de continuidad
14 1 Aspectos de la gestin de continuidad 14. Gestin de Continuidad del Negocio

15.1.1. Identificacin de la legislacin
del negocio
aplicable
15.1.2. Derechos de propiedad intelectual
15.1.3. Salvaguarda de los registros de la
15.1.4. Proteccin de datos de carcter
(IPR)
Organizacin
personal y de la intimidad de las personas
15.1.5. Evitar mal uso de los dispositivos
15.1.6. Reglamentacin de los controles de 15 1 Conformidad con los requisitos legales
de tratamiento de la informacin
cifrados
15.2.1. Conformidad con la poltica de
15.2.2. Comprobacin de la conformidad
15 2 Revisiones de la poltica de seguridad
seguridad
tcnica
y de la conformidad tcnica
http://iso27002.wiki.zoho.com/siteindex.zhtml[28/01/2011 08:12:16 p.m.]

15. Conformidad
6.2.3. Tratamiento de la seguridad en
contratos con terceros
8.1.1. Inclusin de la seguridad en las
responsabilidades laborales
8 1 Seguridad en la definicin del trabajo y
los recursos
9.1.4. Proteccin contra amenazas
externas y del entorno
9 1 reas seguras
15.3.2. Proteccin de las herramientas de

auditoria de sistemas
5.1.1 Documento de poltica de seguridad
de la informacin
6.1.1. Compromiso de la Direccin con la

6.1.2. Coordinacin de la Seguridad de la
Seguridad de la Informacin
Informacin
6.1.4. Proceso de Autorizacin de Recursos 6.1.5. Acuerdos de Confidencialidad
para el Tratamiento de la Informacin
6.1.7. Contacto con Grupos de Inters
6.1.8. Revisin Independiente de la
Especial
6.2.1. Identificacin de los riesgos
6.2.2. Tratamiento de la seguridad en la
derivados del acceso de terceros
relacin con los clientes
6 2 Terceros
7 1 3 Acuerdos sobre el uso adecuado de
los activos
7.2.2 Marcado y tratamiento de la
informacin
8 2 Seguridad en el desempeo de las

8.1.3. Trminos y condiciones de la
relacin laboral
8.2.2. Formacin y capacitacin en
8 3 Finalizacin o cambio del puesto de
trabajo
9.1.3. Seguridad de oficinas, despachos y
recursos
9.2.6. Seguridad en la reutilizacin o

eliminacin de equipos
Aviso Legal
Objetivos
15 3 Consideraciones sobre la auditora de

sistemas
5.1.2 Revisin de la poltica de seguridad
de la informacin

Contacto
9 2 5 Seguridad de equipos fuera de los

locales de la Organizacin
ISO 27002
http://iso27002.wiki.zoho.com/siteindex.zhtml[28/01/2011 08:12:16 p.m.]

Quick Search
Site Home 05. Poltica de Seguridad 5 1 Poltica de seguridad de la informacin
Go
Go

ISO 27002
5 1 Poltica de
seguridad de la
informacin
5.1.1 Documento de
poltica de seguridad
de la informacin
Proporcionar la gua y apoyo de la Direccin para la seguridad de la informacin en relacin a los requisitos
del negocio y a las leyes y regulaciones relevantes.
5.1.2 Revisin de la
de la informacin
La Direccin debera establecer una poltica clara y en lnea con los objetivos del negocio y demostrar su
apoyo y compromiso con la seguridad de la informacin mediante la publicacin y mantenimiento de una
poltica de seguridad de la informacin para toda la organizacin.

Recursos Humanos
Entorno
Piense en trminos de un manual o wiki de polticas de seguridad de la informacin que contenga un

conjunto coherente e internamente consistente de polticas, normas, procedimientos y directrices.
10. Gestin de
Comunicaciones y
Operaciones
Determine la frecuencia de revisin de la poltica de seguridad de la informacin y las formas de
comunicacin a toda la organizacin.

y Mantenimiento de
La revisin de la idoneidad y adecuacin de la poltica de seguridad de la informacin puede ser incluida en

las revisiones de la direccin.

de Seguridad de la
Informacin
Cobertura de la poltica (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han

del Negocio
especificado, escrito, aprobado y publicado polticas y sus normas, procedimientos y directrices asociadas.
Grado de despliegue y adopcin de la poltica en la organizacin (medido por auditora, gerencia o auto-
15. Conformidad
evaluacin).
Objetivos
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.6
http://iso27002.wiki.zoho.com/5-1-Poltica-de-seguridad-de-la-informacin.html[28/01/2011 08:12:31 p.m.]

Quick Search
Site Home
05. Poltica de Seguridad 5 1 Poltica de seguridad de la informacin 5.1.1 Documento de poltica de seguridad
de la informacin
Go
Go

5 1 Poltica de seguridad de
la informacin
5.1.1 Documento de
de la informacin
5.1.2 Revisin de la
poltica de seguridad de
la informacin
Control:
La Direccin debera aprobar y publicar un documento de la poltica de seguridad de la informacin y comunicar la politca a todos los
empleados y las partes externas relevantes.
Posibles Soluciones a este control:
Relacin de diferentes referencias para
ISO27000.es
el desarrollo de polticas de seguridad de
ISO27000.es - Herramientas
la informacin y plantillas
Elementos a considerar en una poltica
de seguridad.
Elementos
Manual de polticas de seguridad
Manual
Plantilla de una poltica de seguridad
Declaracin de la Poltica
(libre descarga-ingls)

Post a comment
RSS of this page
Author: aglone
Version: 2.4
http://iso27002.wiki.zoho.com/5-1-1-Documento-de-poltica-de-seguridad-de-la-informacin.html[28/01/2011 08:12:44 p.m.]

Quick Search
Site Home
05. Poltica de Seguridad 5 1 Poltica de seguridad de la informacin 5.1.2 Revisin de la poltica de seguridad de
la informacin
Go
Go

5 1 Poltica de seguridad de
la informacin
5.1.1 Documento de
poltica de seguridad de
la informacin
5.1.2 Revisin de la
de la informacin
Control:
La poltica de seguridad de la informacin se debera revisar a intervalos planificados (o en caso que se produzcan cambios significativos)
para garantizar que es adecuada, eficaz y suficiente.
(consultar 6.1.8)
(consultar 6.1.8 y 15.2.1)
(consultar 13.1)
(consultar 6.1.6)
Plantilla del proceso de revisin de la poltica de
callio.gif
seguridad
Callio Technologies

Post a comment
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/5-1-2-Revisin-de-la-poltica-de-seguridad-de-la-informacin.html[28/01/2011 08:12:54 p.m.]

Quick Search
Site Home 06. Organizacin de la Seguridad de Informacin 6 1 Organizacin Interna
Go
Go

ISO 27002
6 1 Organizacin
Interna
Gestionar la seguridad de la informacin dentro de la Organizacin.
6.1.1. Compromiso de
la Direccin con la
Seguridad de la
Informacin
6.1.2. Coordinacin de
la Seguridad de la
Informacin
Se debera establecer una estructura de gestin con objeto de iniciar y controlar la implantacin de la
seguridad de la informacin dentro de la Organizacin.
6.1.3. Asignacin de
responsabilidades
6.1.4. Proceso de
Autorizacin de
Recursos para el
Tratamiento de la
Informacin
El rgano de direccin debera aprobar la poltica de seguridad de la informacin, asignar los roles de
seguridad y coordinar y revisar la implantacin de la seguridad en toda la Organizacin.
6.1.5. Acuerdos de
Confidencialidad
Si fuera necesario, en la Organizacin se debera establecer y facilitar el acceso a una fuente especializada
de consulta en seguridad de la informacin. Deberan desarrollarse contactos con especialistas externos en
6.1.6. Contacto con

las Autoridades
seguridad, que incluyan a las administraciones pertinentes, con objeto de mantenerse actualizado en las
6.1.7. Contacto con

Grupos de Inters
Especial
tendencias de la industria, la evolucin de las normas y los mtodos de evaluacin, as como proporcionar
enlaces adecuados para el tratamiento de las incidencias de seguridad.
6.1.8. Revisin
Independiente de la
Seguridad de la
Informacin
Debera fomentarse un enfoque multidisciplinario de la seguridad de la informacin, que, por ejemplo,

implique la cooperacin y la colaboracin de directores, usuarios, administradores, diseadores de
6 2 Terceros
aplicaciones, auditores y el equipo de seguridad con expertos en reas como la gestin de seguros y la

Recursos Humanos
gestin de riesgos.

Entorno
Reproduzca la estructura y tamao de otras funciones corporativas especializadas, como Legal, Riesgos y
10. Gestin de
Comunicaciones y
Operaciones
Compliance.

y Mantenimiento de
Porcentaje de funciones/unidades organizativas para las cuales se ha implantado una estrategia global para

de Seguridad de la
Informacin
la direccin.
mantener los riesgos de seguridad de la informacin por debajo de umbrales explcitamente aceptados por
Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y responsabilidades de

del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/6-1-Organizacin-Interna.html[28/01/2011 08:13:04 p.m.]
http://iso27002.wiki.zoho.com/6-1-Organizacin-Interna.html[28/01/2011 08:13:04 p.m.]

Quick Search
Site Home
06. Organizacin de la Seguridad de Informacin 6 1 Organizacin Interna 6.1.1. Compromiso de la Direccin
con la Seguridad de la Informacin
Go
Go

6.1.1. Compromiso de
la Direccin con la
Seguridad de la
Informacin
6.1.2. Coordinacin de la
Seguridad de la
Informacin
6.1.3. Asignacin de
responsabilidades
Control:
Los miembros de la Direccin deberan respaldar activamente las iniciativas de seguridad demostrando su claro apoyo y compromiso,
6.1.4. Proceso de
Autorizacin de Recursos
para el Tratamiento de la
Informacin
6.1.5. Acuerdos de
Confidencialidad
asignando y aprobando explcitamente las responsabilidades en seguridad de la informacin dentro de la Organizacin.
(consultar 6.1.2)
6.1.6. Contacto con las

Autoridades
Espacio pendiente de posibles aportaciones.
6.1.7. Contacto con

Grupos de Inters
Especial
6.1.8. Revisin
Independiente de la
Seguridad de la
Informacin

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/6-1-1-Compromiso-de-la-Direccin-con-la-Seguridad-de-la-Informacin.html[28/01/2011 08:13:19 p.m.]

Quick Search
Site Home
06. Organizacin de la Seguridad de Informacin 6 1 Organizacin Interna 6.1.2. Coordinacin de la Seguridad
de la Informacin
Go
Go

6.1.1. Compromiso de la
Direccin con la
Seguridad de la
Informacin
6.1.2. Coordinacin de
la Seguridad de la
Informacin
6.1.3. Asignacin de
responsabilidades
Control:
Las actividades para la seguridad de la informacin deberan ser coordinadas por representantes que posean de cierta relevancia en su
6.1.4. Proceso de
Informacin
6.1.5. Acuerdos de
Confidencialidad
puesto y funciones y de los distintos sectores que forman la Organizacin.

Plantilla para el registro de los miembros del
callio.gif
grupo para la gestin de la seguridad

Autoridades
6.1.7. Contacto con
Grupos de Inters
Especial
6.1.8. Revisin
Independiente de la
Seguridad de la
Informacin
Callio Technologies

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/6-1-2-Coordinacin-de-la-Seguridad-de-la-Informacin.html[28/01/2011 08:13:32 p.m.]

Quick Search
Site Home
06. Organizacin de la Seguridad de Informacin 6 1 Organizacin Interna 6.1.3. Asignacin de
responsabilidades
Go
Go

Direccin con la
Seguridad de la
Informacin
Seguridad de la
Informacin
6.1.3. Asignacin de
responsabilidades
Control:
Se deberan definir claramente todas las responsabilidades para la seguridad de la informacin.
6.1.4. Proceso de
Informacin
(consultar tambin 7.1.2)

6.1.5. Acuerdos de
Confidencialidad
Plantilla en ingls de definicin de

Autoridades
6.1.7. Contacto con
Grupos de Inters
Especial
6.1.8. Revisin
Independiente de la
Seguridad de la
Informacin
Callio Technologies
responsabilidades de un asesor o responsable
-Information+Security+Advisor.doc
de seguridad de la informacin.
Gua en ingls que analiza las
ASIS International
responsabilidades, competencias y perfil
Chief Security Officer (CSO) Guideline
profesional de un CSO (Chief Security Officer).

Post a comment
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/6-1-3-Asignacin-de-responsabilidades.html[28/01/2011 08:13:44 p.m.]

Quick Search
Site Home
06. Organizacin de la Seguridad de Informacin 6 1 Organizacin Interna 6.1.4. Proceso de Autorizacin de
Recursos para el Tratamiento de la Informacin
Go
Go

Direccin con la
Seguridad de la
Informacin
Seguridad de la
Informacin
6.1.3. Asignacin de
responsabilidades
Control:
Se debera definir y establecer un proceso de gestin de autorizaciones para los nuevos recursos de tratamiento de la informacin.
6.1.4. Proceso de
Autorizacin de
Recursos para el
Tratamiento de la
Informacin

Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls, sobre
FFIEC
6.1.5. Acuerdos de
Confidencialidad
6.1.7. Contacto con

Grupos de Inters
Especial
6.1.8. Revisin
Independiente de la
Seguridad de la
Informacin
organizacin. La acompaa una lista de verificacin -checklist-, til para auditar dicho

Post a comment
RSS of this page
Author: aglone
Version: 1.2
FFIEC Audit of D_A

workprogram
proceso.

Autoridades
FFIEC D&A IT Handbook
cmo implantar un proceso de desarrollo y adquisicin de TI eficaz en una
http://iso27002.wiki.zoho.com/6-1-4-Proceso-de-Autorizacin-de-Recursos-para-el-Tratamiento-de-la-Informacin.html[28/01/2011 08:13:55 p.m.]

Quick Search
Site Home
Go
Go
06. Organizacin de la Seguridad de Informacin 6 1 Organizacin Interna 6.1.5. Acuerdos de Confidencialidad

Direccin con la
Seguridad de la
Informacin
Seguridad de la
Informacin
6.1.3. Asignacin de
responsabilidades
Control:
Se deberan identificar y revisar regularmente en los acuerdos aquellos requisitos de confidencialidad o no divulgacin que contemplan las
necesidades de proteccin de la informacin de la Organizacin.
6.1.4. Proceso de
Informacin
6.1.5. Acuerdos de
Confidencialidad


Autoridades
6.1.7. Contacto con
Grupos de Inters
Especial

Post a comment
6.1.8. Revisin
Independiente de la
Seguridad de la
Informacin
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/6-1-5-Acuerdos-de-Confidencialidad.html[28/01/2011 08:14:07 p.m.]

Quick Search
Site Home
Go
Go
06. Organizacin de la Seguridad de Informacin 6 1 Organizacin Interna 6.1.6. Contacto con las Autoridades

Direccin con la
Seguridad de la
Informacin
Seguridad de la
Informacin
6.1.3. Asignacin de
responsabilidades
6.1.4. Proceso de
Informacin
Control:
Se deberan mantener los contactos apropiados con las autoridades pertinentes.
El GDT est creado para perseguir los delitos informticos. Si Vd.
identifica un problema de seguridad en la red, localiza un contenido
6.1.5. Acuerdos de
Confidencialidad
ilcito o cree haber detectado u observado una conducta que pudiera ser
Guardia Civil
delictiva, puede comunicarlo al GDT. Todo lo que en ella se recibe es

Autoridades
tratado con la mxima discrecin.
6.1.7. Contacto con

Grupos de Inters
Especial
La Agencia de Proteccin de Datos tiene por objetivo velar por el

cumplimiento de la legislacin sobre proteccin de datos y controlar su
6.1.8. Revisin
Independiente de la
Seguridad de la
Informacin
aplicacin, en especial en lo relativo a los derechos de informacin,
ADPG
acceso, rectificacin, oposicin y cancelacin de datos.

La piratera de software es la copia o distribucin no autorizada de
software con copyright. Puede hacerse copiando, descargando,
compartiendo, vendiendo o instalando mltiples copias en ordenadores
personales o de trabajo. Lo que mucha gente no advierte o no sabe es
que cuando se compra software, realmente se est comprando una
BSA
licencia para usarlo, no el software en s. Esa licencia es la que le dice

cuntas veces puede instalar el software, por lo que es importante
leerla. Si hace ms copias del software de las permitidas por la licencia,
est pirateando.
CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la
Logo.gif
Informacin del Centro Criptolgico Nacional (CCN), dependiente del

Centro Nacional de Inteligencia (CNI). Este servicio se cre a principios
de 2007 como CERT gubernamental espaol y est presente en los
CNI
principales foros internacionales en los que se comparte objetivos, ideas

e informacin sobre la seguridad de forma global.
INTECO tiene encomendadas a travs del Plan Avanza las misiones de
sentar las bases de coordinacin de distintas iniciativas pblicas en
torno a la seguridad informtica, impulsar la investigacin aplicada y la
formacin especializada en el mbito de la seguridad en el uso de las
TIC y convertirse en el Centro de Referencia en Seguridad Informtica a
nivel nacional.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/6-1-6-Contacto-con-las-Autoridades.html[28/01/2011 08:14:20 p.m.]
INTECO
http://iso27002.wiki.zoho.com/6-1-6-Contacto-con-las-Autoridades.html[28/01/2011 08:14:20 p.m.]

Quick Search
Site Home
06. Organizacin de la Seguridad de Informacin 6 1 Organizacin Interna 6.1.7. Contacto con Grupos de
Inters Especial
Go
Go

Direccin con la
Seguridad de la
Informacin
Seguridad de la
Informacin
6.1.3. Asignacin de
responsabilidades
Control:
Se debera mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales.
6.1.4. Proceso de
Informacin
(consultar tambin 13.2.1).

6.1.5. Acuerdos de
Confidencialidad
McAfee Consumer Threat Alerts warn you about the most dangerous downloads,

Autoridades
poisonous pop-ups and suspicious spam so you can stay ahead of the
cyberscammers, and keep your PC and personal information safe. Sign up for
6.1.7. Contacto con

Grupos de Inters
Especial
McAfee Alerts
the free alerts by filling out the information below.

International in scope and free for public use, CWE provides a unified,
6.1.8. Revisin
Independiente de la
Seguridad de la
Informacin
measurable set of software weaknesses that is enabling more effective

discussion, description, selection, and use of software security tools and
services that can find these weaknesses in source code and operational systems
CWE
as well as better understanding and management of software weaknesses

related to architecture and design.
Informacin actualizada y muy completa sobre aquellas amenazas de Internet
que estn activas, y explica cmo evitarlas. El portal incluye diferentes
secciones con artculos informativos y anlisis, blogs, una enciclopedia de
Kaspersky Alerts
seguridad informtica y descripciones de malware, as como un amplio glosario

de trminos.
Consejos de seguridad para el uso seguro del ordenador y de la informacin

sensible y personal.
Alertas ESET
La Oficina de Seguridad del Internauta (OSI) es un servicio del Gobierno para

proporcionar la informacin y el soporte necesarios para evitar y resolver los
problemas de seguridad que pueden afectarnos al navegar por Internet.
Nuestro objetivo es elevar la cultura de seguridad, prevenir, concienciar y
formar proporcionando informacin clara y concisa acerca de la tecnologa y el
estado de la seguridad en Internet. Al mismo tiempo impulsamos la deteccin y
denuncia de nuevas amenazas en la red, de fraudes, estafas online o de
cualquier otro tipo de ataque de Seguridad Informtica.

Post a comment
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/6-1-7-Contacto-con-Grupos-de-Inters-Especial.html[28/01/2011 08:14:32 p.m.]
OSI
http://iso27002.wiki.zoho.com/6-1-7-Contacto-con-Grupos-de-Inters-Especial.html[28/01/2011 08:14:32 p.m.]

Quick Search
Site Home
06. Organizacin de la Seguridad de Informacin 6 1 Organizacin Interna 6.1.8. Revisin Independiente de la
Go
Go

Direccin con la
Seguridad de la
Informacin
Seguridad de la
Informacin
6.1.3. Asignacin de
responsabilidades
Control:
Se deberan revisar las prcticas de la Organizacin para la gestin de la seguridad de la informacin y su implantacin (por ej., objetivos de
6.1.4. Proceso de
Informacin
6.1.5. Acuerdos de
Confidencialidad
Autoridades
control, polticas, procesos y procedimientos de seguridad) de forma independiente y a intervalos planificados o cuando se produzcan
cambios significativos para la seguridad de la informacin.
(consultar 5.1.1)
6.1.7. Contacto con

Grupos de Inters
Especial
ISMS auditing guideline.
6.1.8. Revisin
Independiente de la
Seguridad de la
Informacin
iso27001security
This procedure includes planning, execution, reporting and followup of an internal

ISMS audit and applies to all departments that form part of the company information
iso27001security
security management system.

La Herramienta de Evaluacin de Seguridad de Microsoft (MSAT) es una herramienta
gratuita diseada para ayudar a las organizaciones de menos de 1.000 empleados a
evaluar los puntos dbiles de su entorno de seguridad de TI. Presenta un listado de
TechCenter de seguridad
cuestiones ordenadas por prioridad as como orientacin especfica para minimizar

esos riesgos.
The Symantec Small Business Check-up enables small businesses to benchmark
themselves against survey results from 700 small businesses across Europe, the
Middle East and Africa (EMEA).

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/6-1-8-Revisin-Independiente-de-la-Seguridad-de-la-Informacin.html[28/01/2011 08:14:46 p.m.]
Symantec Small Business

Check-up
6 2 Terceros

Quick Search
Site Home 06. Organizacin de la Seguridad de Informacin 6 2 Terceros
Go
Go
6 2 Terceros

ISO 27002
6 2 Terceros
Mantener la seguridad de que los recursos de tratamiento de la informacin y de los activos de informacin
6.2.1. Identificacin de
los riesgos derivados
del acceso de terceros
de la organizacin sean accesibles por terceros..
6.2.2. Tratamiento de
la seguridad en la
La seguridad de la informacin de la organizacin y las instalaciones de procesamiento de la informacin no

debera ser reducida por la introduccin de un servicio o producto externo.
la seguridad en
Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin de la
organizacin.

Recursos Humanos
Cuando el negocio requiera dicho acceso de terceros, se debera realizar una evaluacin del riesgo para

Entorno
determinar sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de
control deberan definirse y aceptarse en un contrato con la tercera parte.
10. Gestin de
Comunicaciones y
Operaciones
Haga inventario de conexiones de red y flujos de informacin significativos con 3as partes, evale sus
riesgos y revise los controles de seguridad de informacin existentes respecto a los requisitos. Esto puede

y Mantenimiento de
dar miedo, pero es 100% necesario!

de Seguridad de la
Informacin
Considere exigir certificados en ISO/IEC 27001 a los partners ms crticos, tales como outsourcing de TI,
proveedores de servicios de seguridad TI, etc.

del Negocio
15. Conformidad
Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a su riesgo y
Objetivos
estimadas como seguras.
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/6-2-Terceros.html[28/01/2011 08:14:57 p.m.]

Quick Search
Site Home
06. Organizacin de la Seguridad de Informacin 6 2 Terceros 6.2.1. Identificacin de los riesgos derivados del
acceso de terceros
Go
Go

6 2 Terceros
6.2.1. Identificacin
de los riesgos
derivados del acceso de
terceros
6.2.2. Tratamiento de la
seguridad en la relacin
con los clientes
seguridad en contratos
con terceros
Control:
Se deberan identificar los riesgos a la informacin de la organizacin y a las instalaciones del procesamiento de informacin de los procesos
de negocio que impliquen a terceros y se deberan implementar controles apropiados antes de conceder el acceso.
(6.2.3 y 6.2.3).
Cisco Systems is offering these ASP security evaluation criteria as a step
toward mitigating the risks of outsourcing to ASPs(Application Service
Providers ). These criteria are specific measurements of an ASP's
security posture and maturity.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/6-2-1-Identificacin-de-los-riesgos-derivados-del-acceso-de-terceros.html[28/01/2011 08:15:11 p.m.]
Cisco ASP evaluation

Quick Search
Site Home
06. Organizacin de la Seguridad de Informacin 6 2 Terceros 6.2.2. Tratamiento de la seguridad en la relacin
con los clientes
Go
Go

6 2 Terceros
los riesgos derivados del
acceso de terceros
la seguridad en la
seguridad en contratos
con terceros
Control:
Se deberan anexar todos los requisitos identificados de seguridad antes de dar a los clientes acceso a la informacin o a los activos de la
organizacin.
(consultar 15.1)
(consultar 15.1.2.)
(consultar 6.1.5).
(consultar 6.2.1.).

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/6-2-2-Tratamiento-de-la-seguridad-en-la-relacin-con-los-clientes.html[28/01/2011 08:15:21 p.m.]

Quick Search
Site Home
06. Organizacin de la Seguridad de Informacin 6 2 Terceros 6.2.3. Tratamiento de la seguridad en contratos
con terceros
Go
Go

6 2 Terceros
los riesgos derivados del
acceso de terceros
seguridad en la relacin
con los clientes
la seguridad en
Control:
Los acuerdos con terceras partes que implican el acceso, proceso, comunicacin o gestin de la informacin de la organizacin o de las
instalaciones de procesamiento de informacin o la adicin de productos o servicios a las instalaciones, deberan cubrir todos los requisitos
de seguridad relevantes.
(consultar 6.2.1)
(consultar 10.4.1)
(consultar 6.1.5)
(consultar 7.2.1)
(consultar 15.1)
(consultar 15.1.2)
(consultar 6.1.5)
(consultar 6.2.1)
Poltica de referencia para la externalizacin dentro del
contexto de un SGSI
Outsourcing security policy

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/6-2-3-Tratamiento-de-la-seguridad-en-contratos-con-terceros.html[28/01/2011 08:15:30 p.m.]

Quick Search
Site Home 07. Gestin de Activos 7 1 Responsabilidad sobre los activos
Go
Go

ISO 27002
7 1 Responsabilidad
sobre los activos
Alcanzar y mantener una proteccin adecuada de los activos de la Organizacin
7.1.1. Inventario de
Activos
7.1.2. Responsable de
los activos
Todos los activos deberan ser justificados y tener asignado un propietario.
7 1 3 Acuerdos sobre
el uso adecuado de los
activos
Se deberan identificar a los propietarios para todos los activos y asignarles la responsabilidad del
Informacin
mantenimiento de los controles adecuados. La implantacin de controles especficos podra ser delegada por
el propietario convenientemente. No obstante, el propietario permanece como responsable de la adecuada

Recursos Humanos
proteccin de los activos.

Entorno
El trmino propietario identifica a un individuo o entidad responsable, que cuenta con la aprobacin del
10. Gestin de
Comunicaciones y
Operaciones
rgano de direccin, para el control de la produccin, desarrollo, mantenimiento, uso y seguridad de los
activos. El trmino propietario no significa que la persona disponga de los derechos de propiedad reales
del activo.

y Mantenimiento de
Elabore y mantenga un inventario de activos de informacin (similar al preparado en su da para el Efecto

2000), mostrando los propietarios de los activos (directivos o gestores responsables de proteger sus

de Seguridad de la
Informacin
activos) y los detalles relevantes (p. ej., ubicacin, n de serie, n de versin, estado de desarrollo /

del Negocio
pruebas / produccin, etc.).
15. Conformidad
Use cdigos de barras para facilitar las tareas de realizacin de inventario y para vincular equipos de TI
Objetivos
que entran y salen de las instalaciones con empleados.
Contacto
Porcentaje de activos de informacin en cada fase del proceso de clasificacin (identificado / inventariado /
Aviso Legal
propietario asignado / riesgo evaluado / clasificado / asegurado).

Porcentaje de activos de informacin claves para los cuales se ha implantado una estrategia global para
mitigar riesgos de seguridad de la informacin segn sea necesario y para mantener dichos riesgos en
niveles aceptables.

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/7-1-Responsabilidad-sobre-los-activos.html[28/01/2011 08:15:40 p.m.]
http://iso27002.wiki.zoho.com/7-1-Responsabilidad-sobre-los-activos.html[28/01/2011 08:15:40 p.m.]

Quick Search
Site Home
Go
Go
07. Gestin de Activos 7 1 Responsabilidad sobre los activos 7.1.1. Inventario de Activos

7 1 Responsabilidad sobre
los activos
Activos
los activos
Control:
7 1 3 Acuerdos sobre el
uso adecuado de los
activos
Todos los activos deberan estar claramente identificados, confeccionando y manteniendo un inventario con los ms importantes.
(consultar 7.1.2)
(consultar 7.2)
Spiceworks is the complete network management &
monitoring, helpdesk, PC inventory & software reporting
solution to manage Everything IT in small and medium
Spiceworks
businesses.
Paglo is on-demand tool. Businesses can discover all their
logo.png
IT information and get instant answers to their computer,
Paglo
network, and security questions.

callio.gif
Plantilla de inventario de activos manual en hoja excel


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/7-1-1-Inventario-de-Activos.html[28/01/2011 08:15:53 p.m.]
Callio Technologies

Quick Search
Site Home
Go
Go
07. Gestin de Activos 7 1 Responsabilidad sobre los activos 7.1.2. Responsable de los activos

los activos
Activos
los activos
7 1 3 Acuerdos sobre el
uso adecuado de los
activos
Control:
Toda la informacin y activos asociados a los recursos para el tratamiento de la informacin deberan pertenecer a una parte designada de
la Organizacin.
Plantilla para la gestin de roles y
callio.gif
responsabilidades asociadas a los activos (libre
Callio Technologies
descarga-ingls)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/7-1-2-Responsable-de-los-activos.html[28/01/2011 08:16:03 p.m.]

Quick Search
Site Home
Go
Go
07. Gestin de Activos 7 1 Responsabilidad sobre los activos 7 1 3 Acuerdos sobre el uso adecuado de los activos

los activos
Activos
los activos
Control:
7 1 3 Acuerdos sobre
el uso adecuado de los
activos
Se deberan identificar, documentar e implantar regulaciones para el uso adecuado de la informacin y los activos asociados a recursos de
tratamiento de la informacin.
(consultar 10.8)
(consultar 11.7.1)
Gua para proteger y usar de forma segura su

mvil
Gua INTECO

Post a comment
Attachments (1)
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/7-1-3-Acuerdos-sobre-el-uso-adecuado-de-los-activos.html[28/01/2011 08:16:14 p.m.]

Quick Search
Site Home 07. Gestin de Activos 7 2 Clasificacin de la Informacin
Go
Go

ISO 27002
7 1 Responsabilidad
sobre los activos
Asegurar que se aplica un nivel de proteccin adecuado a la informacin.
Informacin
7.2.1 Directrices de
Clasificacin
Se debera clasificar la informacin para indicar la necesidad, prioridades y nivel de proteccin previsto para
7.2.2 Marcado y
tratamiento de la
informacin
su tratamiento.

Recursos Humanos
La informacin tiene diversos grados de sensibilidad y criticidad. Algunos tems podran requerir niveles de
proteccin adicionales o de un tratamiento especial. Debera utilizarse un esquema de clasificacin de la

Entorno
informacin para definir el conjunto adecuado de niveles de proteccin y comunicar la necesidad de
10. Gestin de
Comunicaciones y
Operaciones
medidas especiales para el tratamiento.

Mantenga la sencillez! Distinga los requisitos de seguridad bsicos (globales) de los avanzados, de acuerdo
con el riesgo.

y Mantenimiento de
Comience quizs con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.

de Seguridad de la
Informacin
Porcentaje de activos de informacin en cada categora de clasificacin (incluida la de "an sin clasificar").

del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/7-2-Clasificacin-de-la-Informacin.html[28/01/2011 08:16:24 p.m.]

Quick Search
Site Home
Go
Go
07. Gestin de Activos 7 2 Clasificacin de la Informacin 7.2.1 Directrices de Clasificacin

Informacin
Clasificacin
7.2.2 Marcado y
tratamiento de la
informacin
Control:
La informacin debera clasificarse en relacin a su valor, requisitos legales, sensibilidad y criticidad para la Organizacin.
(consultar 11.1.1)
(consultar 7.1.2)
(consultar 10.7.2)
callio.gif
Plantilla con clasificacin de la informacion de 3 y de 4 niveles (libre

descarga-ingls)
MEHARI 2010 : Guide de lanalyse des enjeux et de la classification

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/7-2-1-Directrices-de-Clasificacin.html[28/01/2011 08:16:37 p.m.]
Callio Technologies
MEHARI

Quick Search
Site Home
Go
Go
07. Gestin de Activos 7 2 Clasificacin de la Informacin 7.2.2 Marcado y tratamiento de la informacin

Informacin
Clasificacin
7.2.2 Marcado y
tratamiento de la
informacin
Control:
Se debera desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la informacin, de acuerdo con el
esquema de clasificacin adoptado por la Organizacin.
(consultar 7.2.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/7-2-2-Marcado-y-tratamiento-de-la-informacin.html[28/01/2011 08:16:46 p.m.]

Quick Search
Site Home 08. Seguridad ligada a los Recursos Humanos 8 1 Seguridad en la definicin del trabajo y los recursos
Go
Go

ISO 27002
Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y

Recursos Humanos
sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las
instalaciones y medios.
8 1 Seguridad en la
definicin del trabajo
y los recursos
Las responsabilidades de la seguridad se deberan definir antes de la contratacin laboral mediante la
8.1.1. Inclusin de la
seguridad en las
responsabilidades
laborales
descripcin adecuada del trabajo y los trminos y condiciones del empleo.

Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se deberan
8.1.2. Seleccin y
poltica de personal
seleccionar adecuadamente, especialmente para los trabajos sensibles.
8.1.3. Trminos y
condiciones de la
relacin laboral
Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento de la
8 2 Seguridad en el
desempeo de las
informacin deberan firmar un acuerdo sobre sus funciones y responsabilidades con relacin a la seguridad.
Conjuntamente con RRHH, asegure que se emplea un proceso de verificacin de antecedentes proporcional
a la clasificacin de seguridad de aquella informacin a la que va a acceder el empleado a contratar.

Entorno
Dicho simplemente, el proceso de contratacin de un administrador de sistemas TI debera ser muy
10. Gestin de
Comunicaciones y
Operaciones
diferente del de un administrativo. Haga comprobaciones de procedencia, formacin, conocimientos, etc.

Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores, temporales, etc.) que
hayan sido totalmente verificados y aprobados de acuerdo con las polticas de la empresa antes de

y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
comenzar a trabajar.

Post a comment
Attachments (2)
Objetivos
Contacto
Aviso Legal
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/8-1-Seguridad-en-la-definicin-del-trabajo-y-los-recursos.html[28/01/2011 08:16:56 p.m.]

Quick Search
Site Home
08. Seguridad ligada a los Recursos Humanos 8 1 Seguridad en la definicin del trabajo y los recursos 8.1.1.
Inclusin de la seguridad en las responsabilidades laborales
Go
Go

8 1 Seguridad en la
definicin del trabajo y los
recursos
seguridad en las
responsabilidades
laborales
8.1.2. Seleccin y poltica
de personal
8.1.3. Trminos y
condiciones de la relacin
laboral
Control:
Se deberan definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la
poltica de seguridad de la informacin de la organizacin.
(consultar 5.1)
Elementos de la descripcin de trabajo
callio.gif
Modelo de descripcin de funciones

Diversas Plantillas relacionadas (ingls)
Ejemplo 1: Descripcin Asesor de Seguridad
Ejemplo 2: Descripciones de posiciones y funciones en seguridad

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/8-1-1-Inclusin-de-la-seguridad-en-las-responsabilidades-laborales.html[28/01/2011 08:17:10 p.m.]

Quick Search
Site Home
Seleccin y poltica de personal
Go
Go

8 1 Seguridad en la
recursos
seguridad en las
8.1.2. Seleccin y
poltica de personal
Control:
8.1.3. Trminos y
condiciones de la relacin
laboral
Se deberan realizar revisiones de verificacin de antecedentes de los candidatos al empleo, contratistas y terceros y en concordancia con
las regulaciones, tica y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificacin de la informacin a la
cual se va a tener acceso y los riesgos percibidos.
callio.gif
Relacin para el chequeo de referencias

Diversas Plantillas relacionadas (ingls).
Autorizacin previa al chequeo de referencias
Security screening of individuals employed
in a security environment. Code of
BS 7858:2006+A2:2009
practice.
Gua en ingls de cmo realizar
ASIS International
comprobaciones de antecedentes a la hora Screening guideline

de contratar personal.

Post a comment
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/8-1-2-Seleccin-y-poltica-de-personal.html[28/01/2011 08:17:21 p.m.]

Quick Search
Site Home
Trminos y condiciones de la relacin laboral
Go
Go

8 1 Seguridad en la
recursos
seguridad en las
8.1.2. Seleccin y poltica
de personal
8.1.3. Trminos y
condiciones de la
relacin laboral
Control:
Como parte de su obligacin contractual, empleados, contratistas y terceros deberan aceptar y firmar los trminos y condiciones del contrato
de empleo, el cual establecer sus obligaciones y las obligaciones de la organizacin para la seguridad de informacin.
(consultar tambin 7.2.1 y 10.7.3)
(consultar tambin 9.2.5 y 11.7.1)
(consultar 8.2.3)
(consultar 8.3)
Acuerdo de Confidencialidad
callio.gif
Ejemplo 1: acuerdo de confidencialidad

Ejemplo 2: acuerdo de no revelacin
Contrato del personal

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/8-1-3-Trminos-y-condiciones-de-la-relacin-laboral.html[28/01/2011 08:17:32 p.m.]

Quick Search
Site Home 08. Seguridad ligada a los Recursos Humanos 8 2 Seguridad en el desempeo de las funciones del empleo
Go
Go

ISO 27002
Asegurar que los empleados, contratistas y terceras partes son conscientes de las amenazas de seguridad,

Recursos Humanos
de sus responsabilidades y obligaciones y que estn equipados para cumplir con la poltica de seguridad de
8 1 Seguridad en la
los recursos
humanos.
la organizacin en el desempeo de sus labores diarias, para reducir el riesgo asociado a los errores
8 2 Seguridad en el
desempeo de las
Se debera definir las responsabilidades de la Direccin para garantizar que la seguridad se aplica en todos
los puestos de trabajo de las personas de la organizacin.
8.2.1. Supervisin de
las obligaciones
A todos los usuarios empleados, contratistas y terceras personas se les debera proporcionar un adecuado
8.2.2. Formacin y
capacitacin en
seguridad de la
informacin
nivel de concienciacin, educacin y capacitacin en procedimientos de seguridad y en el uso correcto de

los medios disponibles para el procesamiento de la informacin con objeto de minimizar los posibles riesgos
de seguridad.
8.2.3. Procedimiento
disciplinario
Se debera establecer un proceso disciplinario normal para gestionar las brechas en seguridad.

Entorno
La responsabilidad con respecto a la proteccin de la informacin no finaliza cuando un empleado se va a

casa o abandona la organizacin. Asegure que esto se documenta claramente en materiales de
10. Gestin de
Comunicaciones y
Operaciones
concienciacin, contratos de empleo, etc.
Contemple la posibilidad de una revisin anual por RRHH de los contratos junto con los empleados para

y Mantenimiento de
refrescar las expectativas expuestas en los trminos y condiciones de empleo, incluyendo su compromiso
con la seguridad de la informacin.

de Seguridad de la
Informacin
Respuesta a las actividades de concienciacin en seguridad medidas por (por ejemplo) el nmero de e-

del Negocio
mails y llamadas relativas a iniciativas de concienciacin individuales.
15. Conformidad
Objetivos
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.5
http://iso27002.wiki.zoho.com/8-2-Seguridad-en-el-desempeo-de-las-funciones-del-empleo.html[28/01/2011 08:18:13 p.m.]

Quick Search
Site Home
08. Seguridad ligada a los Recursos Humanos 8 2 Seguridad en el desempeo de las funciones del empleo
Go
Go

8 2 Seguridad en el
desempeo de las funciones
del empleo
8.2.1. Supervisin de
las obligaciones
8.2.2. Formacin y
capacitacin en
disciplinario
Control:
La Direccin debera requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las polticas y
los procedimientos establecidos de la organizacin.
(consultar 8.2.2)
callio.gif
Relacin para la supervisin del personal

Formulario de supervision del personal

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/8-2-1-Supervisin-de-las-obligaciones.html[28/01/2011 08:18:27 p.m.]

Quick Search
Site Home
Go
Go

8 2 Seguridad en el
del empleo
8.2.1. Supervisin de las
obligaciones
8.2.2. Formacin y
capacitacin en
seguridad de la
informacin
disciplinario
Control:
Todos los empleados de la organizacin y donde sea relevante, contratistas y usuarios de terceros deberan recibir entrenamiento apropiado
del conocimiento y actualizaciones regulares en polticas y procedimientos organizacionales como sean relevantes para la funcin de su
trabajo.
(consultar 8.2.3)
(consultar 13.1)
Curso introductorio gratuito de 20h. a los Sistemas de Gestin de la Seguridad de la
Informacin (SGSI) segn la norma UNE-ISO/IEC 27001. Se darn a conocer los
conceptos bsicos necesarios para introducir al usuario en la gestin de la Seguridad
de la Informacin, as como conocer la dimensin y alcance que suponen la
Inteco.es
implantacin, certificacin y mantenimiento de un Sistema de Gestin de Seguridad de

la Informacin en una Organizacin, en base a la norma ISO/IEC 27001.
The business value of ISO27k: case_study for senior managers. This case is derived
from a presentation by the Managing Director of "serviceCo", an IT services company,
iso27001security
to an audience of information security and IT audit specialist.

This kit includes a planning guide, templates, pointers to material can that can help
speed the development of a security awareness program, a sample general security
awareness presentation that can be modified and tailored to any organization,
material to help articulate the value to peers and managers, and three example
Microsoft Security Awareness

Toolkit
awareness campaigns from Microsoft Information Security.

Un LMS es un programa (aplicacin de software) instalado en un servidor, que se
emplea para administrar, distribuir y controlar las actividades de formacin no
presencial o e-Learning de una institucin u organizacin.
Learning Management
systems
Incluye contenido de muestra sobre concienciacin utilizado en todo el mundo para

ayudar a reconocer y responder a problemas de seguridad y proteccin. Este
contenido se ha utilizado en programas de la comunidad, en escuelas, empresas
TechCenter de seguridad
industriales y en lnea a travs de staysafe.org. Puede emplear este material como

ejemplo o directamente en sus propios programas internos de concienciacin.
InfoSec Institute's Enterprise Security Awareness for Software Developers highlights
the important subject areas and best practices of secure coding. An emphasis is
placed on the most common threats to applications, as well as language or
architecture-specific remediation. There are three formats of the course available: *
InfoSec Institute
Security Awareness for .NET/C#/VB developers, * Security Awareness for J2EE/Java

developers, * Security Awareness for C/C++ developers.
MindfulSecurity.com is a personal website created, owned and maintained by Paul
Johnson. This site is primarily designed as a resource for businesses seeking materials
and ideas for raising the information security awareness levels of their employees and
mindfulsecurity
workers.
En esta pgina la AEPD pone a disposicin de los ciudadanos informacin, consejos as
como recursos y materiales para fomentar una participacin segura en las mltiples
Agencia Proteccin de Datos
posibilidades que hoy nos ofrece Internet.

Formacin en qu consiste y cmo informar de Incidentes de seguridad. Sirve como
modelo de formacin til a implantar internamente por una organizacin. IQS dispone
de material diverso de demostracin y tambien para su adquisicin y traduccin al
espaol.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/8-2-2-Formacin-y-capacitacin-en-seguridad-de-la-informacin.html[28/01/2011 08:18:38 p.m.]
ISQ
http://iso27002.wiki.zoho.com/8-2-2-Formacin-y-capacitacin-en-seguridad-de-la-informacin.html[28/01/2011 08:18:38 p.m.]

Quick Search
Site Home
Go
Go

8 2 Seguridad en el
del empleo
8.2.1. Supervisin de las
obligaciones
8.2.2. Formacin y
capacitacin en
disciplinario
Control:
Debera existir un proceso formal disciplinario para empleados que produzcan brechas en la seguridad.
(consultar 13.2.3)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/8-2-3-Procedimiento-disciplinario.html[28/01/2011 08:18:51 p.m.]

Quick Search
Site Home 08. Seguridad ligada a los Recursos Humanos 8 3 Finalizacin o cambio del puesto de trabajo
Go
Go

ISO 27002
Garantizar que los empleados, contratistas y terceras personas abandonan la organizacin o cambian de

Recursos Humanos
empleo de forma organizada.
8 1 Seguridad en la
los recursos
8 2 Seguridad en el
desempeo de las
Se deberan establecer las responsabilidades para asegurar que el abandono de la organizacin por parte
8 3 Finalizacin o
cambio del puesto de
trabajo
eliminan completamente todos los derechos de acceso.
de los empleados, contratistas o terceras personas se controla, que se devuelve todo el equipamiento y se
Los cambios en las responsabilidades y empleos en la organizacin se deberan manejar, en el caso de su
8.3.1. Cese de
responsabilidades
finalizacin en lnea con esta seccin, y para el caso de nuevos empleos como se describe en la seccin
8.3.2. Restitucin de
activos
8.1.
8.3.3. Cancelacin de
permisos de acceso
Vase Seccin 7.1. La devolucin de los activos de la organizacin cuando un empleado se marcha sera
mucho ms sencilla de verificar si el inventario de activos ha sido actualizado y verificado regularmente.

Entorno
Examine qu accesos necesita revocar en primer lugar cuando un empleado presenta su carta de dimisin:
10. Gestin de
Comunicaciones y
Operaciones
cules son los sistemas ms crticos o vulnerables?.
Haga un seguimiento del uso del e-mail por estas personas antes de salir definitivamente de la empresa,

y Mantenimiento de
por si comienzan a sacar informacin confidencial (sujeto a las polticas aplicables y a consideraciones
legales sobre privacidad).

de Seguridad de la
Informacin
Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la organizacin,

separados por las categoras de activos (pendientes de desactivacin) e inactivos (pendientes de archivo y

del Negocio
borrado).
15. Conformidad
Objetivos
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.7
http://iso27002.wiki.zoho.com/8-3-Finalizacin-o-cambio-del-puesto-de-trabajo.html[28/01/2011 08:19:00 p.m.]

Quick Search
Site Home
Go
Go
08. Seguridad ligada a los Recursos Humanos 8 3 Finalizacin o cambio del puesto de trabajo 8.3.1. Cese de
responsabilidades

8.3.1. Cese de
responsabilidades
activos
permisos de acceso
Control:
Las responsabilidades para ejecutar la finalizacin de un empleo o el cambio de ste deberan estar claramente definidas y asignadas.
(consultar 6.1.5)
(consultar 8.1.3)
(seccin 8.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/8-3-1-Cese-de-responsabilidades.html[28/01/2011 08:19:16 p.m.]

Quick Search
Site Home
Go
Go
08. Seguridad ligada a los Recursos Humanos 8 3 Finalizacin o cambio del puesto de trabajo 8.3.2.
Restitucin de activos

8.3.1. Cese de
responsabilidades
activos
permisos de acceso
Control:
Todos los empleados, contratistas y terceros deberan devolver todos los activos de la organizacin que estn en su posesin a la
finalizacin de su empleo, contrato o acuerdo.
Gua:
El proceso de finalizacin debera estar formalizado para incluir el retorno previo de los software, documentos corporativos y equipos.
Otros activos de la organizacin como dispositivos mviles de computo, tarjetas de crdito, tarjetas de acceso, manuales, software e
informacin guardada en medios electrnicos, tambin necesitan ser devueltos.
En casos donde el empleado, contratista o tercero compra el equipo de la organizacin o usa su propio equipo, se debera seguir
procedimientos para asegurar que toda la informacin relevante es transferida a la organizacin y borrado con seguridad del equipo
(consultar 10.7.1).
En casos donde un empleado, contratista o tercero tiene conocimiento que es importante para las operaciones en curso, esa informacin
debe ser documentada y transferida a la organizacin.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/8-3-2-Restitucin-de-activos.html[28/01/2011 08:19:25 p.m.]

Quick Search
Site Home
Go
Go
08. Seguridad ligada a los Recursos Humanos 8 3 Finalizacin o cambio del puesto de trabajo 8.3.3.
Cancelacin de permisos de acceso

8.3.1. Cese de
responsabilidades
activos
permisos de acceso
Control:
Se deberan retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la informacin y a las
instalaciones del procesamiento de informacin a la finalizacin del empleo, contrato o acuerdo, o ser revisada en caso de cambio.
Gua:
Tras la finalizacin, se deberan reconsiderar los derechos de acceso de un individuo a los activos asociados con los sistemas de informacin
y a los servicios. Esto determinara si es necesario retirar los derechos de acceso.
Los cambios en un empleo deberan reflejarse en la retirada de todos los derechos de acceso que no sean aprobados para el nuevo empleo.
Los derechos de acceso deberan ser retirados o adaptados, incluyendo acceso fsico y lgico, llaves, tarjetas de identificacin, instalaciones
del proceso de informacin (consultar 11.2.4), subscripciones y retirada de cualquier documentacin que los identifica como un miembro
actual de la organizacin.
Si un empleado, contratista o usuario de tercero saliente ha sabido contraseas para activos restantes de las cuentas, deberan ser
cambiadas hasta la finalizacin o cambio del empleo, contrato o acuerdo.
Los derechos de acceso para activos de informacin y equipos se deberan reducir o retirar antes que el empleo termine o cambie,
dependiendo de la evaluacin de los factores de riesgo como:
a) si la finalizacin o cambio es iniciado por el empleado, contratista o usuario de tercero, o por la gerencia y la razn de la finalizacin;
b) las responsabilidades actuales del empleado u otro usuario;
c) el valor de los activos a los que se accede actualmente.
Informacin adicional:
En ciertas circunstancias los derechos de acceso pueden ser asignados en base a la disponibilidad hacia ms personas que el empleado,
contratista o usuario de tercero saliente.
En estas circunstancias, los individuos salientes deberan ser removidos de cualquier lista de grupos de acceso y se deben realizar arreglos
para advertir a los dems empleados, contratistas y usuarios de terceros involucrados de no compartir esta informacin con la persona
saliente.
En casos de gerencia terminada, contrariedad con los empleados, contratistas o usuarios de terceros pueden llevar a corromper informacin
deliberadamente o a sabotear las instalaciones del procesamiento de informacin.
En casos de renuncia de personal, estos pueden ser tentados a recolectar informacin para usos futuros.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/8-3-3-Cancelacin-de-permisos-de-acceso.html[28/01/2011 08:19:35 p.m.]
http://iso27002.wiki.zoho.com/8-3-3-Cancelacin-de-permisos-de-acceso.html[28/01/2011 08:19:35 p.m.]
9 1 reas seguras

Quick Search
Site Home 09. Seguridad Fsica y del Entorno 9 1 reas seguras
Go
Go
9 1 reas seguras

ISO 27002
Evitar el acceso fsico no autorizado, daos o intromisiones en las instalaciones y a la informacin de la

Recursos Humanos
organizacin.

Entorno
9 1 reas seguras
Los servicios de procesamiento de informacin sensible deberan ubicarse en reas seguras y protegidas en
9.1.1. Permetro de
seguridad fsica
un permetro de seguridad definido por barreras y controles de entrada adecuados. Estas reas deberan
9.1.2. Controles fsicos

de entrada
estar protegidas fsicamente contra accesos no autorizados, daos e interferencias.
9.1.3. Seguridad de
oficinas, despachos y
recursos
La proteccin suministrada debera estar acorde con los riesgos identificados.

El estndar parece centrarse en el CPD pero hay muchas otras reas vulnerables a considerar, p. ej.,
9.1.4. Proteccin
contra amenazas
armarios de cableado, "servidores departamentales" y archivos (recuerde: los estndares se refieren a
9.1.5. El trabajo en
reas seguras
asegurar la informacin, no slo las TI).
9.1.6. reas aisladas

de carga y descarga
Examine la entrada y salida de personas a/de su organizacin. Hasta dnde podra llegar el repartidor de
pizza o el mensajero sin ser parado, identificado y acompaado? Qu podran ver, llevarse o escuchar
equipos
mientras estn dentro?
10. Gestin de
Comunicaciones y
Operaciones
Algunas organizaciones usan tarjetas de identificacin de colores para indicar las reas accesibles por los
visitantes (p. ej., azul para la 1 planta, verde para la 3, etc.; ahora, si ve a alguien con una
identificacin verde en la 4 planta, retngalo).

y Mantenimiento de
Asegrese de retirar todos los pases de empleado y de visita cuando se vayan. Haga que los sistemas de

de Seguridad de la
Informacin
acceso con tarjeta rechacen y alarmen ante intentos de acceso. Use pases de visita que se vuelvan opacos
o muestren de alguna manera que ya no son vlidos a las x horas de haberse emitido.

del Negocio
15. Conformidad
Informes de inspecciones peridicas de seguridad fsica de instalaciones, incluyendo actualizacin regular
Objetivos
del estado de medidas correctivas identificadas en inspecciones previas que an estn pendientes.
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/9-1-reas-seguras.html[28/01/2011 08:19:44 p.m.]
9 1 reas seguras
http://iso27002.wiki.zoho.com/9-1-reas-seguras.html[28/01/2011 08:19:44 p.m.]

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 1 reas seguras 9.1.1. Permetro de seguridad fsica

9 1 reas seguras
9.1.1. Permetro de
seguridad fsica
de entrada
Control:
9.1.3. Seguridad de
recursos
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepcin) deberan utilizarse
9.1.4. Proteccin contra

amenazas externas y del
entorno
9.1.5. El trabajo en reas
seguras
9.1.6. reas aisladas de
carga y descarga
para proteger las reas que contengan informacin y recursos para su procesamiento.
ASIS International
Gua en ingls sobre medidas de seguridad
ASIS Facilities Physical Security Measures
fsica.
Guideline

Post a comment
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/9-1-1-Permetro-de-seguridad-fsica.html[28/01/2011 08:19:58 p.m.]

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 1 reas seguras 9.1.2. Controles fsicos de entrada

9 1 reas seguras
9.1.1. Permetro de
seguridad fsica
de entrada
9.1.3. Seguridad de
recursos
Control:
Las reas de seguridad deberan estar protegidas por controles de entrada adecuados que garanticen el acceso nicamente al personal

entorno
seguras
carga y descarga
autorizado.
(consultar 8.3.3)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-1-2-Controles-fsicos-de-entrada.html[28/01/2011 08:20:07 p.m.]

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 1 reas seguras 9.1.3. Seguridad de oficinas, despachos y recursos

9 1 reas seguras
9.1.1. Permetro de
seguridad fsica
de entrada
9.1.3. Seguridad de
recursos
entorno
seguras
Control:
Se debera asignar y aplicar la seguridad fsica para oficinas, despachos y recursos.

carga y descarga

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-1-3-Seguridad-de-oficinas-despachos-y-recursos.html[28/01/2011 08:20:17 p.m.]

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 1 reas seguras 9.1.4. Proteccin contra amenazas externas y del entorno

9 1 reas seguras
9.1.1. Permetro de
seguridad fsica
de entrada
Control:
9.1.3. Seguridad de
recursos
Se debera designar y aplicar medidas de proteccin fsica contra incendio, inundacin, terremoto, explosin, malestar civil y otras formas de
9.1.4. Proteccin
contra amenazas
desastre natural o humano.

seguras
carga y descarga


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-1-4-Proteccin-contra-amenazas-externas-y-del-entorno.html[28/01/2011 08:20:29 p.m.]

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 1 reas seguras 9.1.5. El trabajo en reas seguras

9 1 reas seguras
9.1.1. Permetro de
seguridad fsica
de entrada
Control:
9.1.3. Seguridad de
recursos
Se debera disear y aplicar proteccin fsica y pautas para trabajar en las reas seguras.

entorno
9.1.5. El trabajo en
reas seguras


carga y descarga

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-1-5-El-trabajo-en-reas-seguras.html[28/01/2011 08:20:39 p.m.]

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 1 reas seguras 9.1.6. reas aisladas de carga y descarga

9 1 reas seguras
9.1.1. Permetro de
seguridad fsica
de entrada
Control:
9.1.3. Seguridad de
recursos
Se deberan controlar las reas de carga y descarga con objeto de evitar accesos no autorizados y, si es posible, aislarlas de los recursos

entorno
seguras
9.1.6. reas aisladas
de carga y descarga
para el tratamiento de la informacin.

(consultar 9.2.1d)
(consultar 7.1.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-1-6-reas-aisladas-de-carga-y-descarga.html[28/01/2011 08:20:49 p.m.]

Quick Search
Site Home 09. Seguridad Fsica y del Entorno 9 2 Seguridad de los equipos
Go
Go

ISO 27002
Evitar la prdida, dao, robo o puesta en peligro de los activos y interrupcin de las actividades de la

Recursos Humanos
organizacin.

Entorno
9 1 reas seguras
Deberan protegerse los equipos contra las amenazas fsicas y ambientales. La proteccin del equipo es
equipos
necesaria para reducir el riesgo de acceso no autorizado a la informacin y su proteccin contra prdida o
9.2.1. Instalacin y
proteccin de equipos
robo.
9.2.2. Suministro
elctrico
As mismo, se debera considerar la ubicacin y eliminacin de los equipos.
9.2.3. Seguridad del

cableado
Se podran requerir controles especiales para la proteccin contra amenazas fsicas y para salvaguardar
9.2.4. Mantenimiento
de equipos
servicios de apoyo como energa elctrica e infraestructura del cableado.
9 2 5 Seguridad de
equipos fuera de los
locales de la
Organizacin
Haga que los vigilantes de seguridad impidan a cualquiera (empleados, visitas, personas de soporte TI,
mensajeros, personal de mudanzas, etc.) sacar equipos informticos de las instalaciones sin autorizacin
escrita.
9.2.6. Seguridad en la
reutilizacin o
Convirtalo en un elemento disuasorio visible mediante chequeos aleatorios (o, incluso, arcos de deteccin
9.2.7. Traslado de
activos
de metales).
10. Gestin de
Comunicaciones y
Operaciones
Est especialmente atento a puertas traseras, rampas de carga, salidas para fumadores, etc.
Tome en consideracin el uso de cdigos de barras para hacer los chequeos ms eficientes.

y Mantenimiento de
Nmero de chequeos (a personas a la salida y a existencias en stock) realizados en el ltimo mes y

de Seguridad de la
Informacin
otras cuestiones de seguridad.

del Negocio
15. Conformidad
porcentaje de chequeos que evidenciaron movimientos no autorizados de equipos o soportes informticos u

Post a comment
Objetivos
Contacto
Attachments (2)
Aviso Legal
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/9-2-Seguridad-de-los-equipos.html[28/01/2011 08:20:59 p.m.]

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 2 Seguridad de los equipos 9.2.1. Instalacin y proteccin de equipos

equipos
9.2.1. Instalacin y
9.2.2. Suministro
elctrico
Control:

cableado
El equipo debera situarse y protegerse para reducir el riesgo de materializacin de las amenazas del entorno, as como las oportunidades de
9.2.4. Mantenimiento de
equipos
9 2 5 Seguridad de
reutilizacin o
9.2.7. Traslado de
activos
acceso no autorizado.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-2-1-Instalacin-y-proteccin-de-equipos.html[28/01/2011 08:21:14 p.m.]

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 2 Seguridad de los equipos 9.2.2. Suministro elctrico

equipos
9.2.1. Instalacin y
9.2.2. Suministro
elctrico
Control:

cableado
Se deberan proteger los equipos contra fallos en el suministro de energa u otras anomalas elctricas en los equipos de apoyo.
equipos
9 2 5 Seguridad de
reutilizacin o
9.2.7. Traslado de
activos

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-2-2-Suministro-elctrico.html[28/01/2011 08:21:24 p.m.]

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 2 Seguridad de los equipos 9.2.3. Seguridad del cableado

equipos
9.2.1. Instalacin y
9.2.2. Suministro
elctrico
Control:

cableado
Se debera proteger el cableado de energa y de telecomunicaciones que transporten datos o soporten servicios de informacin contra
equipos
9 2 5 Seguridad de
reutilizacin o
9.2.7. Traslado de
activos
posibles interceptaciones o daos.


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-2-3-Seguridad-del-cableado.html[28/01/2011 08:21:34 p.m.]

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 2 Seguridad de los equipos 9.2.4. Mantenimiento de equipos

equipos
9.2.1. Instalacin y
9.2.2. Suministro
elctrico
Control:

cableado
Se deberan mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad.
9.2.4. Mantenimiento
de equipos
9 2 5 Seguridad de
reutilizacin o
9.2.7. Traslado de
activos

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-2-4-Mantenimiento-de-equipos.html[28/01/2011 08:21:44 p.m.]

Quick Search
Site Home
09. Seguridad Fsica y del Entorno 9 2 Seguridad de los equipos 9 2 5 Seguridad de equipos fuera de los locales
de la Organizacin
Go
Go

equipos
9.2.1. Instalacin y
9.2.2. Suministro
elctrico
cableado
Control:
equipos
Se debera aplicar seguridad a los equipos que se encuentran fuera de los locales de la organizacin considerando los diversos riesgos a los
9 2 5 Seguridad de
locales de la
Organizacin
reutilizacin o
que estn expuestos.

(consultar 11.7.1.)
9.2.7. Traslado de
activos
mvil
Gua INTECO

Post a comment
Attachments (1)
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/9-2-5-Seguridad-de-equipos-fuera-de-los-locales-de-la-Organizacin.html[28/01/2011 08:22:24 p.m.]

Quick Search
Site Home
09. Seguridad Fsica y del Entorno 9 2 Seguridad de los equipos 9.2.6. Seguridad en la reutilizacin o eliminacin
de equipos
Go
Go

equipos
9.2.1. Instalacin y
9.2.2. Suministro
elctrico
cableado
Control:
equipos
Debera revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con el fin de garantizar que cualquier dato
9 2 5 Seguridad de
reutilizacin o
sensible y software con licencia se haya eliminado o sobrescrito con seguridad antes de la eliminacin.
(consultar 10.7.2).
9.2.7. Traslado de
activos
Darik's Boot and Nuke ("DBAN") is a self-contained boot disk that

securely wipes the hard disks of most computers. DBAN will
automatically and completely delete the contents of any hard disk that
it can detect, which makes it an appropriate utility for bulk or
emergency data destruction.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-2-6-Seguridad-en-la-reutilizacin-o-eliminacin-de-equipos.html[28/01/2011 08:22:34 p.m.]
DBAN

Quick Search
Site Home
Go
Go
09. Seguridad Fsica y del Entorno 9 2 Seguridad de los equipos 9.2.7. Traslado de activos

equipos
9.2.1. Instalacin y
9.2.2. Suministro
elctrico
Control:

cableado
No deberan sacarse equipos, informacin o software fuera del local sin una autorizacin.
equipos
9 2 5 Seguridad de
reutilizacin o
9.2.7. Traslado de
activos

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/9-2-7-Traslado-de-activos.html[28/01/2011 08:22:44 p.m.]

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones 10 1 Procedimientos y responsabilidades de operacin
Go
Go

ISO 27002
Recursos Humanos
Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan establecer responsabilidades y procedimientos para la gestin y operacin de todos los

recursos para el tratamiento de la informacin.
operacin
Esto incluye el desarrollo de instrucciones apropiadas de operacin y de procedimientos de respuesta ante

incidencias.
10.1.1.
Documentacin de
procedimientos
operativos
Se implantar la segregacin de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del
sistema deliberado o por negligencia.
10.1.2. Control de
cambios operacionales
10.1.3. Segregacin
de tareas
Documente procedimientos, normas y directrices de seguridad de la informacin, adems de roles y
10.1.4. Separacin de
los recursos para
responsabilidades, identificadas en el manual de poltica de seguridad de la organizacin.
terceros
Mtricas de madurez de procesos TI relativos a seguridad, tales como el semiperiodo de aplicacin de
10 3 Planificacin y
parches de seguridad (tiempo que ha llevado parchear al menos la mitad de los sistemas vulnerables -esta
medida evita la cola variable provocada por los pocos sistemas inevitables que permanecen sin parchear
cdigo mvil
por no ser de uso diario, estar normalmente fuera de la oficina o cualquier otra razn-).

Post a comment
10 7 Utilizacin y
seguridad de los
Attachments (2)
10 8 Intercambio de
10 9 Servicios de
comercio electrnico
10 10 Monitorizacin
RSS of this page

y Mantenimiento de
Author: aglone
Version: 1.5

de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/10-1-Procedimientos-y-responsabilidades-de-operacin.html[28/01/2011 08:22:54 p.m.]
http://iso27002.wiki.zoho.com/10-1-Procedimientos-y-responsabilidades-de-operacin.html[28/01/2011 08:22:54 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 1 Procedimientos y responsabilidades de operacin 10.1.1.
Documentacin de procedimientos operativos
Go
Go

operacin
10.1.1. Documentacin
de procedimientos
operativos
10.1.2. Control de
Control:
10.1.3. Segregacin de
tareas
Se deberan documentar y mantener los procedimientos de operacin y ponerlos a disposicin de todos los usuarios que lo necesiten.
10.1.4. Separacin de los

recursos para desarrollo
y produccin
(consultar 10.5)
(consultar 11.5.4)
(consultar 10.7.2 y 10.7.3)
(consultar 10.10)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-1-1-Documentacin-de-procedimientos-operativos.html[28/01/2011 08:23:08 p.m.]

Quick Search
Site Home
Control de cambios operacionales
Go
Go

operacin
de procedimientos
operativos
10.1.2. Control de
Control:
tareas
Se deberan controlar los cambios en los sistemas y en los recursos de tratamiento de la informacin.

y produccin
(consultar 12.5.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-1-2-Control-de-cambios-operacionales.html[28/01/2011 08:23:17 p.m.]

Quick Search
Site Home
Segregacin de tareas
Go
Go

operacin
de procedimientos
operativos
10.1.2. Control de
Control:
tareas
Se deberan segregar las tareas y las reas de responsabilidad con el fin de reducir las oportunidades de una modificacin no autorizada o

y produccin
no intencionada, o el de un mal uso de los activos de la organizacin.

The software-based solution captures user activity in any user session,
logo.gif
including Terminal, Remote Desktop, Citrix, VMWare, VNC, NetOP and

PC Anywhere. ObserveIT Xpress is a completely free version of the
ObserveIT Xpress
ObserveIT product, with no time limit. The free version can monitor a
maximum of 5 servers
The segregation of duties control matrix is illustrative of potential
segregation of duties issues.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-1-3-Segregacin-de-tareas.html[28/01/2011 08:23:26 p.m.]
ISACA

Quick Search
Site Home
Separacin de los recursos para desarrollo y produccin
Go
Go

operacin
de procedimientos
operativos
10.1.2. Control de
Control:
tareas
La separacin de los recursos para el desarrollo, prueba y produccin es importante para reducir los riesgos de un acceso no autorizado o
10.1.4. Separacin de
los recursos para
de cambios al sistema operacional.

(consultar 12.4.2)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-1-4-Separacin-de-los-recursos-para-desarrollo-y-produccin.html[28/01/2011 08:23:35 p.m.]

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones 10 2 Supervisin de los servicios contratados a terceros
Go
Go

ISO 27002
Implementar y mantener un nivel apropiado de seguridad de la informacin y de la prestacin del servicio

Recursos Humanos
en lnea con los acuerdos de prestacin del servicio por terceros.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
La organizacin debera verificar la implementacin de acuerdos, el monitoreo de su cumplimiento y gestin

de los cambios con el fin de asegurar que los servicios que se ser prestan cumplen con todos los
operacin
requerimientos acordados con los terceros.
10 2 Supervisin de
los servicios
Lo que recibe vale lo que paga por ello? D respuesta a esta pregunta y respldela con hechos,
estableciendo un sistema de supervisin de terceros proveedores de servicios y sus respectivas entregas de
10.2.1. Prestacin de
servicios
servicio.
10.2.2. Monitorizacin
y revisin de los
Revise peridicamente los acuerdos de nivel de servicio (SLA) y comprelos con los registros de
supervisin. En algunos casos puede funcionar un sistema de premio y castigo.
10.2.3. Gestin de los

cambios en los
st atento a cambios que tengan impacto en la seguridad.
10 3 Planificacin y
cdigo mvil
Coste del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio. Evaluacin
del rendimiento de proveedores incluyendo la calidad de servicio, entrega, coste, etc.
10 7 Utilizacin y
seguridad de los

Post a comment
10 8 Intercambio de
Attachments (2)
10 9 Servicios de
comercio electrnico
10 10 Monitorizacin
y Mantenimiento de
RSS of this page
Author: aglone

de Seguridad de la
Informacin
Version: 1.5

del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/10-2-Supervisin-de-los-servicios-contratados-a-terceros.html[28/01/2011 08:23:44 p.m.]
http://iso27002.wiki.zoho.com/10-2-Supervisin-de-los-servicios-contratados-a-terceros.html[28/01/2011 08:23:44 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 2 Supervisin de los servicios contratados a terceros
Go
Go

terceros
servicios
10.2.2. Monitorizacin y
revisin de los servicios
contratados
cambios en los servicios
contratados
Control:
Se debera garantizar que los controles de seguridad, definiciones de servicio y niveles de entrega incluidos en el acuerdo de entrega de
servicio externo sean implementados, operados y mantenidos por la parte externa.
(consultar 14.1)
Ejemplos de peticiones de propuestas en los que se incluyen
descripciones del servicio entregado y acuerdos de seguridad con
terceros, as como, definiciones de servicio y aspectos de la gestin
del servicio (ingls)
Kerala State Wide Area Network Infrastructure

Kerala State ISMS implantation

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-2-1-Prestacin-de-servicios.html[28/01/2011 08:23:58 p.m.]

Quick Search
Site Home
Go
Go

terceros
servicios
10.2.2. Monitorizacin
y revisin de los
cambios en los servicios
contratados
Control:
Los servicios, informes y registros suministrados por terceros deberan ser monitoreados y revisados regularmente, y las auditorias se
deberan realizar a intervalos regulares.
(consultar 6.2.3)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-2-2-Monitorizacin-y-revisin-de-los-servicios-contratados.html[28/01/2011 08:24:07 p.m.]

Quick Search
Site Home
Go
Go

terceros
servicios
10.2.2. Monitorizacin y
revisin de los servicios
contratados
cambios en los
Control:
Se deberan gestionar los cambios en la provisin del servicio, incluyendo mantenimiento y mejoras en las polticas de seguridad de
informacin existentes, en los procedimientos y los controles teniendo en cuenta la importancia de los sistemas y procesos del negocio
involucrados, as como la reevaluacin de los riesgos.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-2-3-Gestin-de-los-cambios-en-los-servicios-contratados.html[28/01/2011 08:24:16 p.m.]

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones 10 3 Planificacin y aceptacin del sistema
Go
Go

ISO 27002
Recursos Humanos
Minimizar el riesgo de fallos en los sistemas.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se requiere una planificacin y preparacin avanzadas para garantizar la adecuada capacidad y recursos
con objeto de mantener la disponibilidad de los sistemas requerida.
operacin
Deberan realizarse proyecciones de los requisitos de capacidad en el futuro para reducir el riesgo de
sobrecarga de los sistemas.
terceros
Se deberan establecer, documentar y probar, antes de su aceptacin, los requisitos operacionales de los
10 3 Planificacin y
nuevos sistemas.
10. 3. 1. Planificacin
de capacidades
Adopte procesos estructurados de planificacin de capacidad TI, desarrollo seguro, pruebas de seguridad,
10. 3. 2. Aceptacin
del sistema
etc., usando estndares aceptados como ISO 20000 (ITIL) donde sea posible.
cdigo mvil
Defina e imponga estndares de seguridad bsica (mnimos aceptables) para todas las plataformas de
sistemas operativos, usando las recomendaciones de seguridad de CIS, NIST, NSA y fabricantes de
sistemas operativos y, por supuesto, sus propias polticas de seguridad de la informacin.
Porcentaje de cambios de riesgo bajo, medio, alto y de emergencia. Nmero y tendencia de cambios
10 7 Utilizacin y
seguridad de los
revertidos y rechazados frente a cambios exitosos.
10 8 Intercambio de
Porcentaje de sistemas (a) que deberan cumplir con estndares de seguridad bsica o similares y (b) cuya
10 9 Servicios de
comercio electrnico
conformidad con dichos estndares ha sido comprobada mediante benchmarking o pruebas.
10 10 Monitorizacin
y Mantenimiento de
de Seguridad de la
Informacin

Post a comment
Attachments (2)

del Negocio
15. Conformidad
RSS of this page
Objetivos
Contacto
Author: aglone
Version: 1.4
Aviso Legal
http://iso27002.wiki.zoho.com/10-3-Planificacin-y-aceptacin-del-sistema.html[28/01/2011 08:24:24 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 3 Planificacin y aceptacin del sistema 10. 3. 1. Planificacin
de capacidades
Go
Go

10 3 Planificacin y
10. 3. 1. Planificacin
de capacidades
10. 3. 2. Aceptacin del
sistema
Control:
Se debera monitorizar el uso de recursos, as como de las proyecciones de los requisitos de las capacidades adecuadas para el futuro con
objeto de asegurar el funcionamiento requerido del sistema.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-3-1-Planificacin-de-capacidades.html[28/01/2011 08:24:38 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 3 Planificacin y aceptacin del sistema 10. 3. 2. Aceptacin
del sistema
Go
Go

10 3 Planificacin y
10. 3. 1. Planificacin de
capacidades
10. 3. 2. Aceptacin
del sistema
Control:
Se deberan establecer criterios de aceptacin para nuevos sistemas de informacin, actualizaciones y versiones nuevas. Se deberan
desarrollar las pruebas adecuadas del sistema durante el desarrollo y antes de su aceptacin.
(consultar 14.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-3-2-Aceptacin-del-sistema.html[28/01/2011 08:24:46 p.m.]

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones 10 4 Proteccin contra software malicioso y cdigo mvil
Go
Go

ISO 27002
Recursos Humanos
Proteger la integridad del software y de la informacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se requieren ciertas precauciones para prevenir y detectar la introduccin de cdigo malicioso y cdigos
mviles no autorizados.
operacin
El software y los recursos de tratamiento de informacin son vulnerables a la introduccin de software

malicioso como virus informticos, gusanos de la red, caballos de troya y bombas lgicas.
terceros
Los usuarios deberan conocer los peligros que puede ocasionar el software malicioso o no autor izado y los
10 3 Planificacin y
administradores deberan introducir controles y medidas especiales para detectar o evitar su introduccin.
cdigo mvil
Combine controles tecnolgicos (p. ej., software antivirus) con medidas no tcnicas (educacin,
concienciacin y formacin).
10. 4. 1. Medidas y
controles contra
software malicioso
No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo e-mails
10. 4. 2. Medidas y
controles contra
cdigo mvil
de remitentes desconocidos o descargando ficheros de sitios no confiables!
Tendencia en el nmero de virus, gusanos, troyanos o spam detectados y bloqueados. Nmero y costes
acumulados de incidentes por software malicioso.
10 7 Utilizacin y
seguridad de los
10 8 Intercambio de

Post a comment
10 9 Servicios de
comercio electrnico
Attachments (2)
10 10 Monitorizacin
y Mantenimiento de
RSS of this page

de Seguridad de la
Informacin
del Negocio
Author: aglone
Version: 1.5
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/10-4-Proteccin-contra-software-malicioso-y-cdigo-mvil.html[28/01/2011 08:24:55 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 4 Proteccin contra software malicioso y cdigo mvil 10.
4. 1. Medidas y controles contra software malicioso
Go
Go

software malicioso y cdigo
mvil
10. 4. 1. Medidas y
controles contra
software malicioso
10. 4. 2. Medidas y
controles contra cdigo
mvil
Control:
Se deberan implantar controles de deteccin, prevencin y recuperacin contra el software malicioso, junto a procedimientos adecuados
para la concienciacin de los usuarios.
(consultar 15.1.2)
(consultar 13.1 y 13.2)
(consultar 14)
Service on-line for malware. Submit your Windows executable and receive an
analysis report telling you what it does. For analyzing Javascript and Flash files
Anubis
try Wepawet
VirusTotal es un servicio de anlisis de archivos sospechosos que permite
detectar virus, gusanos, troyanos, y malware en general. Caractersticas: Servicio
independiente y gratuito, Uso simultneo de mltiples motores antivirus,
VirusTotal
Actualizacin automtica de los motores en tiempo real, Resultados detallados

por cada uno de los antivirus, Estadsticas globales en tiempo real
Especificaciones para el etiquetado de software con el objeto de optimizar su
identificacin y gestin. (ingls)
Microsoft Security Essentials proporciona proteccin en tiempo real contra virus,
spyware y otros tipos de software malintencionado para PCs.
ISO/IEC 19077-2:2009
Microsoft Security
Essentials
NetCop is UTM server with integrated OS.No need to install any software at client
side.NetCop does Content filter,Cache Engine,Spam protection,Hotspot,bandwidth
control. Also protect your network from incoming threats like Virus, SPAM ,
Trojan etc.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-4-1-Medidas-y-controles-contra-software-malicioso.html[28/01/2011 08:25:13 p.m.]
NetCop UTM
http://iso27002.wiki.zoho.com/10-4-1-Medidas-y-controles-contra-software-malicioso.html[28/01/2011 08:25:13 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 4 Proteccin contra software malicioso y cdigo mvil 10.
4. 2. Medidas y controles contra cdigo mvil
Go
Go

software malicioso y cdigo
mvil
10. 4. 1. Medidas y
controles contra software
malicioso
10. 4. 2. Medidas y
controles contra
cdigo mvil
Control:
Cuando se autorica la utilizacin de cdigo mvil, la configuracin debera asegurar que dicho cdigo mvil opera de acuerdo a una poltica
de seguridad definida y se debera evitar la ejecucin de los cdigos mviles no autorizados.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-4-2-Medidas-y-controles-contra-cdigo-mvil.html[28/01/2011 08:25:21 p.m.]

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones 10 5 Gestin interna de soportes y recuperacin
Go
Go

ISO 27002
Recursos Humanos
Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y comunicacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan establecer procedimientos rutinarios para conseguir la estrategia aceptada de respaldo
operacin
(consultar 14.1) para realizar copias de seguridad y probar su puntual recuperacin.
terceros
Implante procedimientos de backup y recuperacin que satisfagan no slo requisitos contractuales sino
tambin requisitos de negocio "internos" de la organizacin.
10 3 Planificacin y
Bsese en la evaluacin de riesgos realizada para determinar cules son los activos de informacin ms
cdigo mvil
importantes y use esta informacin para crear su estrategia de backup y recuperacin.
10 5 Gestin interna
de soportes y
recuperacin
Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicacin de backup, frecuencia
de copia y prueba de soportes.
10. 5. 1. Recuperacin
de la informacin
Encripte copias de seguridad y archivos que contengan datos sensibles o valiosos (en realidad, sern
prcticamente todos porque, si no, para qu hacer copias de seguridad?).
10 7 Utilizacin y
seguridad de los
Porcentaje de operaciones de backup exitosas.
10 8 Intercambio de
Porcentaje de recuperaciones de prueba exitosas.
10 9 Servicios de
comercio electrnico
Tiempo medio transcurrido desde la recogida de los soportes de backup de su almacenamiento fuera de las
10 10 Monitorizacin
instalaciones hasta la recuperacin exitosa de los datos en todas ubicaciones principales.

y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Porcentaje de backups y archivos con datos sensibles o valiosos que estn encriptados.

Post a comment
Attachments (2)
Objetivos
Contacto
Aviso Legal
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/10-5-Gestin-interna-de-soportes-y-recuperacin.html[28/01/2011 08:25:30 p.m.]
http://iso27002.wiki.zoho.com/10-5-Gestin-interna-de-soportes-y-recuperacin.html[28/01/2011 08:25:30 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 5 Gestin interna de soportes y recuperacin 10. 5. 1.
Recuperacin de la informacin
Go
Go

10. 5. 1. Recuperacin
de la informacin
Control:
Se deberan hacer regularmente copias de seguridad de toda la informacin esencial del negocio y del software, de acuerdo con la poltica
acordada de recuperacin.
(consultar 9)
(consultar 14)
(consultar 15.1.3)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-5-1-Recuperacin-de-la-informacin.html[28/01/2011 08:25:43 p.m.]

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones 10 6 Gestin de redes
Go
Go

ISO 27002
Recursos Humanos
Asegurar la proteccin de la informacin en las redes y la proteccin de su infraestructura de apoyo.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
La gestin de la seguridad de las redes, las cuales pueden cruzar las fronteras de la organizacin, exige la
atencin a los flujos de datos, implicaciones legales, monitoreo y la proteccin.
operacin
Podran ser necesarios controles adicionales con el fin de proteger la informacin sensible que pasa por las
redes publicas.
terceros
Prepare e implante estndares, directrices y procedimientos de seguridad tcnicos para redes y
10 3 Planificacin y
herramientas de seguridad de red como IDS/IPS (deteccin y prevencin de intrusiones), gestin de
cdigo mvil
vulnerabilidades, etc.
Nmero de incidentes de seguridad de red identificados en el mes anterior, dividido por categoras de leve /
importante / grave, con anlisis de tendencias y descripcin comentada de todo incidente serio y tendencia
10. 6. 1. Controles de
red
adversa.
10. 6. 2. Seguridad en
los servicios de red
10 7 Utilizacin y
seguridad de los

Post a comment
10 8 Intercambio de
Attachments (2)
10 9 Servicios de
comercio electrnico
10 10 Monitorizacin
y Mantenimiento de
RSS of this page
Author: aglone

de Seguridad de la
Informacin
Version: 1.5

del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/10-6-Gestin-de-redes.html[28/01/2011 08:25:52 p.m.]

Quick Search
Site Home
Go
Go
10. Gestin de Comunicaciones y Operaciones 10 6 Gestin de redes 10. 6. 1. Controles de red

red
Control:
Se deberan mantener y controlar adecuadamente las redes para protegerlas de amenazas y mantener la seguridad en los sistemas y
aplicaciones que utilizan las redes, incluyendo la informacin en trnsito.
(consultar 10.1.3)
(consultar 11.4 y 12.3)
Infomacin adicional:
Se puede encontrar informacin adicional sobre en seguridad de redes en ISO/IEC 18028, Tecnologa de la informacin. Tcnicas de
seguridad. Seguridad de la red de tecnologa de la informacin
Nmap ("Network Mapper") es una utilidad libre y en cdigo abierto de
exploracin de redes o auditora de seguridad. til para inventario de
red, planificacin de actualizaciones y monitorizacin de disponiblidad de
NMAP
servidores o servicios (ingls)

menu-oswa.gif
The OSWA-Assistant is a freely-downloadable, self-contained,

wireless-auditing toolkit for both IT-security professionals and End-users
OSWA
alike.
Kismet identifies networks by passively collecting packets and detecting
standard named networks, detecting (and given time, decloaking)
hidden networks, and infering the presence of nonbeaconing networks
Kismet
via data traffic.

KisMAC is a free, open source wireless stumbling and security tool for
Mac OS X.
Kismac
Freeware employee monitoring. Network-Tools owner sues Microsoft,

Cisco, Comcast and TRUSTe over IP Address Blacklisting. Suit alleges
NetworkTools
eavdropping, privacy policy fraud, breach of contract and defamation.

Free ISO 27001/ISO17799 Wireless LAN Security Summary
Flint examines firewalls, quickly computes the effect of all the
Matasano
configuration rules, and then spots problems
Flint

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-6-1-Controles-de-red.html[28/01/2011 08:26:05 p.m.]
controlscada

http://iso27002.wiki.zoho.com/10-6-1-Controles-de-red.html[28/01/2011 08:26:05 p.m.]

Quick Search
Site Home
Go
Go
10. Gestin de Comunicaciones y Operaciones 10 6 Gestin de redes 10. 6. 2. Seguridad en los servicios de red

red
Control:
Se deberan identificar e incluir, en cualquier acuerdo sobre servicios de red, las caractersticas de seguridad, los niveles de servicio y los
requisitos de gestin de todos los servicios de red, independientemente de que estos servicios sean provistos desde la propia organizacin o
se contratan desde el exterior.
Cisco Router Audit Tool for Windows and Unix. Ability to score Cisco Router
IOS, Ability to score Cisco PIX firewalls and Includes benchmark documents
(PDF) for both Cisco IOS and Cisco ASA, FWSM, and PIX security settings.
RAT Cisco
(ingls)
This guide discusses the Cisco SAFE best practices, designs and configurations,
and provides network and security engineers with the necessary information to
help them succeed in designing, implementing and operating secure network
SAFE Cisco
infrastructures based on Cisco products and technologies. (ingls)

Open Source Tripwire software is a security and data integrity tool useful for
monitoring and alerting on specific file change(s) on a range of systems. The
Tripwire
project is based on code originally contributed by Tripwire, Inc. in 2000.

Advanced Intrusion Detection Environment. Host-based tool.
AIDE
Open-source host-based intrusion detection system (HIDS) provides file

integrity checking and log file monitoring/analysis, as well as rootkit detection,
port monitoring, detection of rogue SUID executables, and hidden processes.
Designed to monitor multiple hosts with potentially different operating systems
(Unix, Linux, Cygwin/Windows).

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-6-2-Seguridad-en-los-servicios-de-red.html[28/01/2011 08:26:14 p.m.]
Samhain

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones 10 7 Utilizacin y seguridad de los soportes de informacin
Go
Go

ISO 27002
Evitar la divulgacin, modificacin, retirada o destruccin de activos no autorizada e interrupciones en las

Recursos Humanos
actividades de la organizacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Los medios deberan ser controlados y fsicamente protegidos.
operacin
Se deberan establecer los procedimientos operativos adecuados para proteger los documentos, medios
terceros
divulgacin, modificacin, retirada o destruccin de activos no autorizadas .
informticos (discos, cintas, etc.), datos de entrada o salida y documentacin del sistema contra la
10 3 Planificacin y
Asegure los soportes y la informacin en trnsito no solo fsico sino electrnico (a travs de las redes).
cdigo mvil
Encripte todos los datos sensibles o valiosos antes de ser transportados.
Porcentaje de soportes de backup o archivo que estn totalmente encriptados.
10 7 Utilizacin y
seguridad de los
10. 7. 1. Gestin de
soportes extrables

Post a comment
10. 7. 2. Eliminacin
de soportes
10. 7. 3.
Procedimientos de
utilizacin de la
informacin
Attachments (2)
10. 7. 4. Seguridad de
la documentacin de
sistemas
RSS of this page
10 8 Intercambio de
10 9 Servicios de
comercio electrnico
Author: aglone
Version: 1.4
10 10 Monitorizacin
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/10-7-Utilizacin-y-seguridad-de-los-soportes-de-informacin.html[28/01/2011 08:26:22 p.m.]
http://iso27002.wiki.zoho.com/10-7-Utilizacin-y-seguridad-de-los-soportes-de-informacin.html[28/01/2011 08:26:22 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 7 Utilizacin y seguridad de los soportes de informacin 10.
7. 1. Gestin de soportes extrables
Go
Go

10 7 Utilizacin y seguridad
de los soportes de
informacin
10. 7. 1. Gestin de
soportes extrables
10. 7. 2. Eliminacin de
soportes
10. 7. 3. Procedimientos
de utilizacin de la
informacin
10. 7. 4. Seguridad de la
documentacin de
sistemas
Control:
Se deberan establecer procedimientos para la gestin de los medios informticos removibles.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-7-1-Gestin-de-soportes-extrables.html[28/01/2011 08:26:36 p.m.]

Quick Search
Site Home
7. 2. Eliminacin de soportes
Go
Go

de los soportes de
informacin
10. 7. 1. Gestin de
soportes extrables
10. 7. 2. Eliminacin
de soportes
Control:
de utilizacin de la
informacin
documentacin de
sistemas
Se deberan eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales.
(consultar 9.2.6)
NAID es la asociacin internacional de empresas que prestan servicios de
destruccin de la informacin. Enlace para localizar sus miembros de los
distintos paises e informacin sobre normas, tica y auditoras de certificacin
naidonline.org
de empresas.
Eraser is an advanced security tool for Windows which allows you to completely
remove sensitive data from your hard drive by overwriting it several times with
carefully selected patterns. Eraser is currently supported under Windows XP
(with Service Pack 3), Windows Server 2003 (with Service Pack 2), Windows
Vista, Windows Server 2008, Windows 7 and Windows Server 2008 R2. Eraser
is Free software and its source code is released under GNU General Public
License..

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-7-2-Eliminacin-de-soportes.html[28/01/2011 08:26:45 p.m.]
Eraser

Quick Search
Site Home
7. 3. Procedimientos de utilizacin de la informacin
Go
Go

de los soportes de
informacin
10. 7. 1. Gestin de
soportes extrables
soportes
Control:
10. 7. 3.
Procedimientos de
utilizacin de la
informacin
Se deberan establecer procedimientos para la manipulacin y almacenamiento de la informacin con el objeto de proteger esta informacin
documentacin de
sistemas
(consultar 7.2)
contra divulgaciones o usos no autorizados o inadecuados.


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-7-3-Procedimientos-de-utilizacin-de-la-informacin.html[28/01/2011 08:26:55 p.m.]

Quick Search
Site Home
7. 4. Seguridad de la documentacin de sistemas
Go
Go

de los soportes de
informacin
10. 7. 1. Gestin de
soportes extrables
soportes
de utilizacin de la
informacin
10. 7. 4. Seguridad de
la documentacin de
sistemas
Control:
Se debera proteger la documentacin de los sistemas contra accesos no autorizados.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-7-4-Seguridad-de-la-documentacin-de-sistemas.html[28/01/2011 08:27:05 p.m.]

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones 10 8 Intercambio de informacin y software
Go
Go

ISO 27002
Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin o con

Recursos Humanos
cualquier entidad externa.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan realizar los intercambios sobre la base de una poltica formal de intercambio, segn los
acuerdos de intercambio y cumplir con la legislacin correspondiente (consultar clusula 15).
operacin
Se deberan establecer procedimientos y normas para proteger la informacin y los medios fsicos que
contienen informacin en trnsito.
terceros
Estudie canales de comunicaciones alternativos y "pre-autorizados", en especial direcciones de e-mail
10 3 Planificacin y
secundarias por si fallan las primarias o el servidor de correo, y comunicaciones offline por si caen las
cdigo mvil
redes.
El verificar canales de comunicacin alternativos reducir el estrs en caso de un incidente real.
Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y (b) implementado
10 7 Utilizacin y
seguridad de los
satisfactoriamente los requisitos de seguridad de la informacin.
10 8 Intercambio de
informacin y
software

Post a comment
10. 8. 1. Polticas y
procedimientos de
intercambio de
informacin
10. 8. 2. Acuerdos de
intercambio
Attachments (2)
10. 8. 3. Soportes
fsicos en trnsito
10. 8. 4. Mensajera
electrnica
RSS of this page
10. 8. 5. Sistemas de
informacin
empresariales
10 9 Servicios de
comercio electrnico
Author: aglone
Version: 1.5
10 10 Monitorizacin
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/10-8-Intercambio-de-informacin-y-software.html[28/01/2011 08:27:14 p.m.]
http://iso27002.wiki.zoho.com/10-8-Intercambio-de-informacin-y-software.html[28/01/2011 08:27:14 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 8 Intercambio de informacin y software 10. 8. 1. Polticas y
procedimientos de intercambio de informacin
Go
Go

10 8 Intercambio de
procedimientos de
intercambio de
informacin
intercambio
Control:
10. 8. 3. Soportes fsicos

en trnsito
Se deberan establecer polticas, procedimientos y controles formales de intercambio con objeto de proteger la informacin mediante el uso
10. 8. 4. Mensajera
electrnica
informacin
empresariales
de todo tipo de servicios de comunicacin.

(consultar 10.4.1)
(consultar 7.1.3)
(consultar 12.3)
(consultar 15)
(consultar 10.3 y 14)
(consultar 11)
Complementos para navegador

relacionados con la Privacidad y seguridad
Anlisis de vulnerabilidades para PBX (voz)
Complementos FireFox
Special Publication NIST 800-24
VAST has been released with UCSniff 3.0

which includes GUI interface, VoIP video
realtime monitoring, TFTP MitM
modification of IP phone features,
VIPERVAST
Gratuitous ARP disablement bypass

support, and support for several
compression codecs
WarVOX is a suite of tools for exploring,
classifying, and auditing telephone
systems.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-8-1-Polticas-y-procedimientos-de-intercambio-de-informacin.html[28/01/2011 08:27:30 p.m.]
WarVOX
http://iso27002.wiki.zoho.com/10-8-1-Polticas-y-procedimientos-de-intercambio-de-informacin.html[28/01/2011 08:27:30 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 8 Intercambio de informacin y software 10. 8. 2. Acuerdos
de intercambio
Go
Go

10 8 Intercambio de
procedimientos de
intercambio
Control:

en trnsito
Se deberan establecer acuerdos para el intercambio de informacin y software entre la organizacin y las partes externas.
10. 8. 4. Mensajera
electrnica
(consultar 15.1.2 y 15.1.4)
informacin
empresariales
(consultar 12.3)
(consultar 10.8.3)
Free Open-Source Disk Encryption Software
http://www.truecrypt.org

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-8-2-Acuerdos-de-intercambio.html[28/01/2011 08:27:39 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 8 Intercambio de informacin y software 10. 8. 3. Soportes
fsicos en trnsito
Go
Go

10 8 Intercambio de
procedimientos de
intercambio
Control:
10. 8. 3. Soportes
fsicos en trnsito
Se deberan proteger los medios que contienen informacin contra acceso no autorizado, mal uso o corrupcin durante el transporte fuera de
10. 8. 4. Mensajera
electrnica
informacin
empresariales
los limites fsicos de la organizacin.

Truecrypt
Rohos Mini Drive es una aplicacin gratuita que permite crear

particiones con cifrado, ocultarlas y protegerlas con contrasea en
cualquier unidad USB flash. Con los datos cifrados puede trabajar en
cualquier ordenador an sin derechos administrativos. El programa crea
una particin protegida con el estndar AES 256 bits accesible slo con
la clave secreta que elijas.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-8-3-Soportes-fsicos-en-trnsito.html[28/01/2011 08:27:49 p.m.]
Rohos

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 8 Intercambio de informacin y software 10. 8. 4. Mensajera
electrnica
Go
Go

10 8 Intercambio de
procedimientos de
intercambio
Control:

en trnsito
Se debera proteger adecudamente la informacin contenida en la mensajera electrnica.
10. 8. 4. Mensajera
electrnica
informacin
empresariales

Herramienta gratuita y genera firmas
codificadas segn el formato PKCS#7 o CMS
AlbaliaFirma.zip
(Cryptographic Message Syntax)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-8-4-Mensajera-electrnica.html[28/01/2011 08:27:58 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 8 Intercambio de informacin y software 10. 8. 5. Sistemas
de informacin empresariales
Go
Go

10 8 Intercambio de
procedimientos de
intercambio
Control:

en trnsito
Se deberan desarrollar e implementar polticas y procedimientos con el fin de proteger la informacin asociada con la interconexin de
10. 8. 4. Mensajera
electrnica
sistemas de informacin del negocio.
informacin
empresariales
(consultar 7.2)
(consultar 6.2)
(consultar 10.5.1)
(consultar 14)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-8-5-Sistemas-de-informacin-empresariales.html[28/01/2011 08:28:09 p.m.]

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones 10 9 Servicios de comercio electrnico
Go
Go

ISO 27002
Recursos Humanos
Asegurar la seguridad de los servicios de comercio electrnico y de su uso seguro.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan considerar las implicaciones de seguridad asociadas con el uso de servicios de comercio
electrnico, incluyendo transacciones en lnea y los requisitos para los controles.
operacin
La integridad y disponibilidad de la informacin electrnica publicada a travs de sistemas disponibles de

publicidad deberan ser tambin consideradas.
terceros
Trabaje estrechamente con las unidades de negocio para desarrollar un eBusiness seguro, incorporando
10 3 Planificacin y
requisitos de seguridad de la informacin en los proyectos, y con ello en los sistemas de eCommerce, desde
cdigo mvil
el principio (tambin en cualquier cambio/actualizacin posterior). Insista en el valor aadido de la

seguridad en la reduccin de riesgos comerciales, legales y operativos asociados al eBusiness. Trabaje los 3
aspectos clave de la seguridad: confidencialidad, integridad y disponibilidad
"Estado de la eSeguridad", es decir, un informe sobre el nivel global de confianza de la direccin, basado
10 7 Utilizacin y
seguridad de los
en el anlisis de los ltimos tests de penetracin, incidentes actuales o recientes, vulnerabilidades actuales
conocidas, cambios planificados, etc..
10 8 Intercambio de
10 9 Servicios de
comercio electrnico
comercio electrnico
transacciones en lnea
10 9 3 Seguridad en
informacin pblica

Post a comment
Attachments (4)
10 10 Monitorizacin
y Mantenimiento de
de Seguridad de la
Informacin
RSS of this page
Author: aglone
Version: 1.4

del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/10-9-Servicios-de-comercio-electrnico.html[28/01/2011 08:28:18 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 9 Servicios de comercio electrnico 10. 9. 1. Seguridad en
comercio electrnico
Go
Go

10 9 Servicios de comercio
electrnico
comercio electrnico
10 9 3 Seguridad en
informacin pblica
Control:
Se debera proteger la informacin involucrada en el comercio electrnico que pasa por redes publicas contra actividades fraudulentas,
disputas por contratos y divulgacin o modificacin no autorizadas.
(consultar 12.3)
(consultar 15.1, 15.1.6)
(consultar 11.4.6)
(consultar 12.3)
Herramienta gratuita y genera firmas codificadas segn el

formato PKCS#7 o CMS (Cryptographic Message Syntax)
AlbaliaFirma.zip
Many European identity cards now contain a smart-card chip,

equipped with functionalities for online authentication. They are
usually called 'electronic identity cards' (eID cards). This report
focuses on authentication using smart cards and compares this
approach with other common means of authentication.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-9-1-Seguridad-en-comercio-electrnico.html[28/01/2011 08:28:33 p.m.]
ENISA report

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 9 Servicios de comercio electrnico 10. 9. 2. Seguridad en
Go
Go

electrnico
comercio electrnico
10 9 3 Seguridad en
informacin pblica
Control:
Se debera proteger la informacin implicada en las transacciones en lnea para prevenir la transmisin incompleta, enrutamiento equivocado,
alteracin, divulgacin, duplicacin o repeticin no autorizada del mensaje.

AlbaliaFirma.zip
Many European identity cards now contain a smart-card chip,

equipped with functionalities for online authentication. They are
usually called 'electronic identity cards' (eID cards). This report
focuses on authentication using smart cards and compares this
approach with other common means of authentication.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-9-2-Seguridad-en-transacciones-en-lnea.html[28/01/2011 08:28:42 p.m.]
ENISA report

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 9 Servicios de comercio electrnico 10 9 3 Seguridad en
informacin pblica
Go
Go

electrnico
comercio electrnico
10 9 3 Seguridad en
informacin pblica
Control:
Se debera proteger la integridad de la informacin que pone a disposicin en un sistema de acceso pblico para prevenir modificaciones no
autorizadas.
(consultar 12.3)
(consultar 15.1.4)
Herramienta gratuita y genera firmas codificadas segn el formato
AlbaliaFirma.zip
PKCS#7 o CMS (Cryptographic Message Syntax)

iScanner is free open source tool lets you detect and remove malicious
codes and web pages viruses from your Linux/Unix server easily and
iScanner
automatically.
MANDIANT Web Historian helps users review the list of websites (URLs)
that are stored in the history files of the most commonly used browsers,
Mandiant WEB Historian
including: Internet Explorer, Firefox and Chrome.

Post a comment
Attachments (1)
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/10-9-3-Seguridad-en-informacin-pblica.html[28/01/2011 08:28:50 p.m.]
10 10 Monitorizacin

Quick Search
Site Home 10. Gestin de Comunicaciones y Operaciones 10 10 Monitorizacin
Go
Go
10 10 Monitorizacin

ISO 27002
Recursos Humanos
Detectar actividades de procesamiento de la informacin no autorizadas.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Los sistemas deberan ser monitoreados y los eventos de la seguridad de informacin registrados. El
registro de los operadores y el registro de fallos debera ser usado para garantizar la identificacin de los
operacin
problemas del sistema de informacin.

La organizacin debera cumplir con todos los requerimientos legales aplicables para el monitoreo y el
terceros
registro de actividades.
10 3 Planificacin y
El monitoreo del sistema debera ser utilizado para verificar la efectividad de los controles adoptados y para
cdigo mvil
verificar la conformidad del modelo de poltica de acceso.

El viejo axioma del aseguramiento de la calidad "no puedes controlar lo que no puedes medir o
monitorizar" es tambin vlido para la seguridad de la informacin.
10 7 Utilizacin y
seguridad de los
La necesidad de implantar procesos de supervisin es ms evidente ahora que la medicin de la eficacia de

los controles se ha convertido en un requisito especfico.
10 8 Intercambio de
Analice la criticidad e importancia de los datos que va a monitorizar y cmo esto afecta a los objetivos
10 9 Servicios de
comercio electrnico
globales de negocio de la organizacin en relacin a la seguridad de la informacin.
10 10 Monitorizacin
Porcentaje de sistemas cuyos logs de seguridad (a) estn adecuadamente configurados, (b) son transferidos
10. 10. 1. Registro de

incidencias
con seguridad a un sistema de gestin centralizada de logs y (c) son monitorizados/revisados/evaluados
10. 10. 2. Supervisin

del uso de los
sistemas
regularmente. Tendencia en el nmero de entradas en los logs de seguridad que (a) han sido registradas,
(b) han sido analizadas y (c) han conducido a actividades de seguimiento.
10. 10. 3. Proteccin

de los registros de
incidencias
10. 10. 4. Diarios de
operacin del
fallos
10. 10. 6.
Sincronizacin del
reloj

Post a comment
Attachments (2)

y Mantenimiento de
de Seguridad de la
Informacin
RSS of this page
Author: aglone
Version: 1.3

del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/10-10-Monitorizacin.html[28/01/2011 08:28:59 p.m.]
10 10 Monitorizacin
http://iso27002.wiki.zoho.com/10-10-Monitorizacin.html[28/01/2011 08:28:59 p.m.]

Quick Search
Site Home
Go
Go
10. Gestin de Comunicaciones y Operaciones 10 10 Monitorizacin 10. 10. 1. Registro de incidencias

10 10 Monitorizacin
incidencias
del uso de los sistemas
10. 10. 3. Proteccin de
los registros de
incidencias
operacin del
Control:
Se deberan producir y mantener durante un periodo establecido los registros de auditoria con la grabacin de las actividades de los usuarios,
excepciones y eventos de la seguridad de informacin, con el fin de facilitar las investigaciones futuras y el monitoreo de los controles de
acceso.

fallos
(consultar 15.1.4)
10. 10. 6. Sincronizacin

del reloj
(consultar 10.1.3)
Solutions from Q1 Labs are quickly becoming the
standard for centralized management of enterprise
Q1labs
network and security information.

Splunk is an IT search and analysis engine. It's software
that lets you index, search, alert and report on live and
historical IT data giving you visibility across your
entire IT infrastructure from one location in real time.
Splunk
Reduce the time to troubleshoot IT problems and

security incidents to minutes or seconds instead of
hours or days.
The Samhain host-based intrusion detection system
(HIDS) provides file integrity checking and log file
monitoring/analysis, as well as rootkit detection, port
monitoring, detection of rogue SUID executables, and
hidden processes. Samhain been designed to monitor
multiple hosts with potentially different operating
systems, providing centralized logging and maintenance,
although it can also be used as standalone application
on a single host.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-10-1-Registro-de-incidencias.html[28/01/2011 08:29:13 p.m.]
Samhain
http://iso27002.wiki.zoho.com/10-10-1-Registro-de-incidencias.html[28/01/2011 08:29:13 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 10 Monitorizacin 10. 10. 2. Supervisin del uso de los
sistemas
Go
Go

10 10 Monitorizacin
incidencias
del uso de los
sistemas
los registros de
incidencias
operacin del
Control:
Se deberan establecer procedimientos para el uso del monitoreo de las instalacin de procesamiento de informacin y revisar regularemente
los resultados de las actividades de monitoreo.

fallos
(Consultar 13.1.1)

del reloj
Uniblue libre y la biblioteca en lnea comprensiva de procesos est para

cada uno que necesite saber la naturaleza y el propsito exactos de
Processlibrary
cada proceso que debe, y no deba, funcionar en su PC
Spiceworks is the complete network management & monitoring,

helpdesk, PC inventory & software reporting solution to manage
Spiceworks
Everything IT in small and medium businesses.

Paglo is on-demand tool. Businesses can discover all their IT information
and get instant answers to their computer, network, and security
Paglo
questions.
Snort is an open source network intrusion prevention and detection
system (IDS/IPS) developed by Sourcefire. Combining the benefits of
signature, protocol and anomaly-based inspection, Snort is the most
Snort
widely deployed IDS/IPS technology worldwide.
Open Source Host-based Intrusion Detection System. It performs log

analysis, file integrity checking, policy monitoring, rootkit detection,
real-time alerting and active response. It runs on most operating
OSSEC
systems, including Linux, MacOS, Solaris, HP-UX, AIX and Windows.

logo.gif


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-10-2-Supervisin-del-uso-de-los-sistemas.html[28/01/2011 08:29:23 p.m.]
ObserveIT Xpress
http://iso27002.wiki.zoho.com/10-10-2-Supervisin-del-uso-de-los-sistemas.html[28/01/2011 08:29:23 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 10 Monitorizacin 10. 10. 3. Proteccin de los registros de
incidencias
Go
Go

10 10 Monitorizacin
incidencias
10. 10. 3. Proteccin
de los registros de
incidencias
Control:
Se deberan proteger los servicios y la informacin de registro de la actividad contra acciones forzosas o accesos no autorizados.

operacin del
(consultar 13.2.3)

fallos
del reloj


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-10-3-Proteccin-de-los-registros-de-incidencias.html[28/01/2011 08:29:33 p.m.]

Quick Search
Site Home
10. Gestin de Comunicaciones y Operaciones 10 10 Monitorizacin 10. 10. 4. Diarios de operacin del
Go
Go

10 10 Monitorizacin
incidencias
los registros de
incidencias
Control:
Se deberan registrar las actividades del administrador y de los operadores del sistema.

operacin del
administrador y
operador

fallos

del reloj
logo.gif


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-10-4-Diarios-de-operacin-del-administrador-y-operador.html[28/01/2011 08:29:42 p.m.]
ObserveIT Xpress

Quick Search
Site Home
Go
Go
10. Gestin de Comunicaciones y Operaciones 10 10 Monitorizacin 10. 10. 5. Registro de fallos

10 10 Monitorizacin
incidencias
los registros de
incidencias
operacin del
Control:
Se deberan registrar, analizar y tomar acciones apropiadas de las averas.

fallos
Splunk is an IT search and analysis engine. It's software that lets

you index, search, alert and report on live and historical IT data

del reloj
giving you visibility across your entire IT infrastructure from one

location in real time. Reduce the time to troubleshoot IT problems
Splunk
and security incidents to minutes or seconds instead of hours or

days.
dradis is an open source framework to enable effective information
sharing. dradis is a self-contained web application that provides a
centralised repository of information to keep track of what has
been done so far, and what is still ahead.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-10-5-Registro-de-fallos.html[28/01/2011 08:29:51 p.m.]
dradis

Quick Search
Site Home
Go
Go
10. Gestin de Comunicaciones y Operaciones 10 10 Monitorizacin 10. 10. 6. Sincronizacin del reloj

10 10 Monitorizacin
incidencias
los registros de
incidencias
operacin del
fallos
Control:
Se deberan sincronizar los relojes de todos los sistemas de procesamiento de informacin dentro de la organizacin o en el dominio de
seguridad, con una fuente acordada y exacta de tiempo.
10. 10. 6.
Sincronizacin del
reloj
Servidores de hora NTP para todo el mundo
Enlace con informacin completa de protocolos y enlaces

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/10-10-6-Sincronizacin-del-reloj.html[28/01/2011 08:30:00 p.m.]
pool.ntp.org
Wikipedia

Quick Search
Site Home 11. Control de Accesos 11 1 Requerimientos de negocio para el control de accesos
Go
Go

ISO 27002
Recursos Humanos
Controlar los accesos a la informacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan controlar los accesos a la informacin, los recursos de tratamiento de la informacin y los
procesos de negocio en base a las necesidades de seguridad y de negocio de la Organizacin.
Las regulaciones para el control de los accesos deberan considerar las polticas de distribucin de la
11 1 Requerimientos
de negocio para el
control de accesos
informacin y de autorizaciones.
11.1.1. Poltica de
control de accesos
Los propietarios de activos de informacin que son responsables ante la direccin de la proteccin "sus"
de usuario
activos deberan tener la capacidad de definir y/o aprobar las reglas de control de acceso y otros controles
del usuario
de seguridad.
en red
Asegrese de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes.
sistema operativo
Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido
identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o encargado- revisiones
las aplicaciones
de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso
tele trabajo
basadas en roles.

y Mantenimiento de
de Seguridad de la
Informacin

Post a comment

del Negocio
Attachments (2)
15. Conformidad
Objetivos
Contacto
Aviso Legal
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/11-1-Requerimientos-de-negocio-para-el-control-de-accesos.html[28/01/2011 08:30:10 p.m.]

Quick Search
Site Home
11. Control de Accesos 11 1 Requerimientos de negocio para el control de accesos 11.1.1. Poltica de control de
accesos
Go
Go

negocio para el control de
accesos
11.1.1. Poltica de
control de accesos
Control:
Se debera establecer, documentar y revisar una poltica de control de accesos en base a las necesidades de seguridad y de negocio de la
Organizacin.
(consultar tambin seccin 9)
(consultar 7.2)
(consultar 15.1)
(consultar 11.2.1)
(consultar 11.2.4)
(consultar 8.3.3)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-1-1-Poltica-de-control-de-accesos.html[28/01/2011 08:30:22 p.m.]

Quick Search
Site Home 11. Control de Accesos 11 2 Gestin de acceso de usuario
Go
Go

ISO 27002
Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de

Recursos Humanos
informacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan establecer procedimientos formales para controlar la asignacin de los permisos de acceso a
los sistemas y servicios de informacin.
Los procedimientos deberan cubrir todas la etapas del ciclo de vida del acceso de los usuarios, desde del
de accesos
registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y
de usuario
servicios de informacin.
11.2.1. Registro de
usuario
Se debera prestar especial atencin, si fuera oportuno, a la necesidad de controlar la asignacin de

permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema.
11.2.2. Gestin de
privilegios
11.2.3. Gestin de
contraseas de
usuario
Cree la funcin diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar
11.2.4. Revisin de los

derechos de acceso de
los usuarios
de la informacin.
las reglas de control de acceso definidas por los propietarios de las aplicaciones y la direccin de seguridad
Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo ms
del usuario
eficientemente posible.
en red
Tiempo medio transcurrido entre la solicitud y la realizacin de peticiones de cambio de accesos y nmero
sistema operativo
de solicitudes de cambio de acceso cursadas en el mes anterior (con anlisis de tendencias y comentarios
las aplicaciones
acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicacin financiera este mes").
tele trabajo
y Mantenimiento de
de Seguridad de la
Informacin

Post a comment
Attachments (2)

del Negocio
15. Conformidad
Objetivos
Contacto
RSS of this page
Aviso Legal
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/11-2-Gestin-de-acceso-de-usuario.html[28/01/2011 08:30:31 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 2 Gestin de acceso de usuario 11.2.1. Registro de usuario

11 2 Gestin de acceso de
usuario
11.2.1. Registro de
usuario
11.2.2. Gestin de
privilegios
Control:
11.2.3. Gestin de
contraseas de usuario
Debera existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y cancelar los accesos a todos los sistemas y servicios

los usuarios
de informacin.
(consultar 11.1)
(consultar 10.1.3)
(consultar 11.2.4)

Documento con modelos y tcnicas de control
de accesos (ingls)
http://shop.osborne.com

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-2-1-Registro-de-usuario.html[28/01/2011 08:30:45 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 2 Gestin de acceso de usuario 11.2.2. Gestin de privilegios

usuario
11.2.1. Registro de
usuario
11.2.2. Gestin de
privilegios
Control:
11.2.3. Gestin de
Se debera restringir y controlar la asignacin y uso de los privilegios.

los usuarios
(consultar 11.1.1)
Solucin web (free trial 30 days) que permite realizar las tareas ms
comunes, como las altas y bajas de usuarios y la aplicacin de polticas
de grupo, a travs de un interfaz intuitivo y fcil de aprender. A travs
Manageengine.com
de sus informes detallados, ofrece visibilidad completa sobre todos los

objetivos en el Directorio Activo.
DB Audit is a complete out-of-the-box database security & auditing
solution for Oracle, Sybase, MySQL, DB2 and MS SQL Server. DB Audit
allows database and system administrators, security administrators,
auditors and operators to track and analyze any database activity
DB Audit
including database access and usage, data creation, change or deletion;

mananage database users; quickly discover uprotected PCI and PII
data; enforce SOX, PCI/CISP, HIPAA, GLBA compliance; and more.
Once it detects one or more SQL injections on the target host, the user
can choose among a variety of options to perform an extensive backend database management system fingerprint, retrieve DBMS session
user and database, enumerate users, password hashes, privileges,
Pangolin audit tool
databases, dump entire or users specific DBMS tables/columns, run his

own SQL statement, read specific files on the file system and more.
UserLock permite proteger el acceso a las redes de Windows,
impidiendo las conexiones simultneas, al dar la posibilidad de limitar
las conexiones de los usuarios y proporcionando a los administradores
el control remoto de las sesiones, de las funcionalidades de alerta, de
informes y anlisis sobre todas las conexiones/desconexiones
efectuadas en sus redes.La versin de evaluacin de UserLock es vlida
durante 180 das. No comporta ninguna limitacin en trminos de
funcionalidades.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-2-2-Gestin-de-privilegios.html[28/01/2011 08:30:54 p.m.]
Userlock
http://iso27002.wiki.zoho.com/11-2-2-Gestin-de-privilegios.html[28/01/2011 08:30:54 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 2 Gestin de acceso de usuario 11.2.3. Gestin de contraseas de usuario

usuario
11.2.1. Registro de
usuario
11.2.2. Gestin de
privilegios
11.2.3. Gestin de
contraseas de
usuario
los usuarios
Control:
Se debera controlar la asignacin de contraseas mediante un proceso de gestin formal.
(consultar 8.1.3)
(consultar 11.3.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-2-3-Gestin-de-contraseas-de-usuario.html[28/01/2011 08:31:03 p.m.]

Quick Search
Site Home
11. Control de Accesos 11 2 Gestin de acceso de usuario 11.2.4. Revisin de los derechos de acceso de los
usuarios
Go
Go

usuario
11.2.1. Registro de
usuario
11.2.2. Gestin de
privilegios
Control:
11.2.3. Gestin de
los usuarios
El rgano de Direccin debera revisar con regularidad los derechos de acceso de los usuarios, siguiendo un procedimiento formal.
(consultar 11.2.1)
(consultar 11.2.2)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-2-4-Revisin-de-los-derechos-de-acceso-de-los-usuarios.html[28/01/2011 08:31:12 p.m.]

Quick Search
Site Home 11. Control de Accesos 11 3 Responsabilidades del usuario
Go
Go

ISO 27002
Impedir el acceso de usuarios no autorizados y el compromiso o robo de informacin y recursos para el

Recursos Humanos
tratamiento de la informacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
La cooperacin de los usuarios autorizados es esencial para una seguridad efectiva.
Los usuarios deberan ser conscientes de sus responsabilidades en el mantenimiento de controles de acceso
de accesos
eficaces, en particular respecto al uso de contraseas y seguridad en los equipos puestos a su disposicin.
Se debera implantar una poltica para mantener mesas de escritorio y monitores libres de cualquier
de usuario
informacin con objeto de reducir el riesgo de accesos no autorizados o el deterioro de documentos, medios
11 3
Responsabilidades del
usuario
y recursos para el tratamiento de la informacin.

Asegrese de que se establecen las responsabilidades de seguridad y que son entendidas por el personal
11.3.1. Uso de
contrasea
afectado.
11.3.2. Equipo
informtico de usuario
desatendido
Una buena estrategia es definir y documentar claramente las responsabilidades relativas a seguridad de la
informacin en las descripciones o perfiles de los puestos de trabajo.
11.3.3. Polticas para

escritorios y monitores
sin informacin
Son imprescindibles las revisiones peridicas para incluir cualquier cambio.
en red
Comunique regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisin anual de
sistema operativo
objetivos), para recordarles sus responsabilidades y recoger cualquier cambio.
las aplicaciones
Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la
tele trabajo
informacin (a) totalmente documentadas y (b) formalmente aceptadas.

y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad

Post a comment
Attachments (2)
Objetivos
Contacto
Aviso Legal
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/11-3-Responsabilidades-del-usuario.html[28/01/2011 08:31:21 p.m.]
http://iso27002.wiki.zoho.com/11-3-Responsabilidades-del-usuario.html[28/01/2011 08:31:21 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 3 Responsabilidades del usuario 11.3.1. Uso de contrasea

11 3 Responsabilidades del
usuario
11.3.1. Uso de
contrasea
11.3.2. Equipo
desatendido
sin informacin
Control:
Se debera exigir a los usuarios el uso de las buenas prcticas de seguridad en la seleccin y uso de las contraseas.
Random Password Generator (freeware) is designed to
help you create secure Random passwords that are
extremely difficult to crack or guess, with a combination
of random lower and upper case letters, numbers and
Password generator
punctuation symbols. And these random generated

passwords will be saved for memo. You can give a mark
to the generated random password for later check.
Generador on-line de contraseas.
Password.es
Ophcrack is a free Windows password cracker based on

rainbow tables. It is a very efficient implementation of
rainbow tables done by the inventors of the method. It
ophcrack
comes with a Graphical User Interface and runs on

multiple platforms.
Cain & Abel is a password recovery tool for Microsoft
Operating Systems. It allows easy recovery of various
kind of passwords by sniffing the network, cracking
encrypted passwords using Dictionary, Brute-Force and
Cryptanalysis attacks, recording VoIP conversations,
Cain & Abel
decoding scrambled passwords, recovering wireless

network keys, revealing password boxes, uncovering
cached passwords and analyzing routing protocols.
John the Ripper is free and Open Source software,
distributed primarily in source code form. If you would
rather use a commercial product tailored for your
specific operating system, please consider John the
Ripper Pro, which is distributed primarily in the form of
"native" packages for the target operating systems and
in general is meant to be easier to install and use while
delivering optimal performance. td>

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-3-1-Uso-de-contrasea.html[28/01/2011 08:31:35 p.m.]
John the Ripper
http://iso27002.wiki.zoho.com/11-3-1-Uso-de-contrasea.html[28/01/2011 08:31:35 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 3 Responsabilidades del usuario 11.3.2. Equipo informtico de usuario desatendido

usuario
11.3.1. Uso de
contrasea
11.3.2. Equipo
desatendido
sin informacin
Control:
Los usuarios deberan garantizar que los equipos desatendidos disponen de la proteccin apropiada.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-3-2-Equipo-informtico-de-usuario-desatendido.html[28/01/2011 08:31:47 p.m.]

Quick Search
Site Home
11. Control de Accesos 11 3 Responsabilidades del usuario 11.3.3. Polticas para escritorios y monitores sin
informacin
Go
Go

usuario
11.3.1. Uso de
contrasea
11.3.2. Equipo
desatendido
Control:

escritorios y
monitores sin
informacin
Polticas para escritorios y monitores limpios de informacin

(consultar 7.2)
(consultar 15.1)
Posters are utilized to efficiently and effectively educate numerous staff

on new security topics each and every month. Our eye-catching,
entertaining, posters will help increase the security awareness level in
your workplace.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-3-3-Polticas-para-escritorios-y-monitores-sin-informacin.html[28/01/2011 08:31:57 p.m.]
OISSG

Quick Search
Site Home 11. Control de Accesos 11 4 Control de acceso en red
Go
Go

ISO 27002
Recursos Humanos
Impedir el acceso no autorizado a los servicios en red.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan controlar los accesos a servicios internos y externos conectados en red.
El acceso de los usuarios a redes y servicios en red no debera comprometer la seguridad de los servicios
de accesos
en red si se garantizan:
a) que existen interfaces adecuadas entre la red de la Organizacin y las redes pblicas o privadas de
de usuario
otras organizaciones;
del usuario
b) que los mecanismos de autenticacin adecuados se aplican a los usuarios y equipos;
en red
c) el cumplimiento del control de los accesos de los usuarios a los servicios de informacin.
11.4.1. Poltica de uso

de los servicios de red
11.4.2. Autenticacin
de usuario para
conexiones externas
Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN), frente a
controles de seguridad en aplicaciones (defensa en profundidad).
de nodos de la red
11.4.4. Proteccin a
puertos de diagnstico
remoto
Estadsticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido
bloqueadas (p. ej., intentos de acceso a pginas web prohibidas; nmero de ataques potenciales de hacking
11.4.5. Segregacin
en las redes
repelidos, clasificados en insignificantes/preocupantes/crticos).
11.4.6. Control de
conexin a las redes
11.4.7. Control de
encaminamiento en la
red
sistema operativo
las aplicaciones

Post a comment
Attachments (2)
tele trabajo
y Mantenimiento de
de Seguridad de la
Informacin
RSS of this page
Author: aglone
Version: 1.3

del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/11-4-Control-de-acceso-en-red.html[28/01/2011 08:32:06 p.m.]
http://iso27002.wiki.zoho.com/11-4-Control-de-acceso-en-red.html[28/01/2011 08:32:06 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 4 Control de acceso en red 11.4.1. Poltica de uso de los servicios de red

11 4 Control de acceso en
red
de los servicios de red
11.4.2. Autenticacin de
usuario para conexiones
externas
nodos de la red
11.4.5. Segregacin en
las redes
11.4.7. Control de
red
Se debera proveer a los usuarios de los accesos a los servicios para los que han sido expresamente autorizados a utilizar.
(consultar 11.1)
11.4.4. Proteccin a
remoto
11.4.6. Control de
conexin a las redes
Control:


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-4-1-Poltica-de-uso-de-los-servicios-de-red.html[28/01/2011 08:32:22 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 4 Control de acceso en red 11.4.2. Autenticacin de usuario para conexiones externas

red
11.4.1. Poltica de uso de
de usuario para
conexiones externas
nodos de la red
11.4.4. Proteccin a
remoto
11.4.7. Control de
red
Se deberan utilizar mtodos de autenticacin adecuados para el control del acceso remoto de los usuarios.
las redes
11.4.6. Control de
conexin a las redes
Control:

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-4-2-Autenticacin-de-usuario-para-conexiones-externas.html[28/01/2011 08:32:32 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 4 Control de acceso en red 11.4.3. Autenticacin de nodos de la red

red
externas
de nodos de la red
11.4.4. Proteccin a
remoto
Control:
Se debera considerar la identificacin automtica de los equipos como un medio de autenticacin de conexiones procedentes de lugares y
equipos especficos.
las redes
11.4.6. Control de
conexin a las redes

11.4.7. Control de
red
Spiceworks
businesses.
logo.png

0 Comments
Show recent to old

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-4-3-Autenticacin-de-nodos-de-la-red.html[28/01/2011 08:32:42 p.m.]
Paglo

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 4 Control de acceso en red 11.4.4. Proteccin a puertos de diagnstico remoto

red
externas
nodos de la red
11.4.4. Proteccin a
remoto
las redes
11.4.6. Control de
conexin a las redes
11.4.7. Control de
red
Control:
Se debera controlar la configuracin y el acceso fsico y lgico a los puertos de diagnstico.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-4-4-Proteccin-a-puertos-de-diagnstico-remoto.html[28/01/2011 08:32:52 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 4 Control de acceso en red 11.4.5. Segregacin en las redes

red
externas
nodos de la red
11.4.4. Proteccin a
remoto
11.4.5. Segregacin
en las redes
11.4.6. Control de
conexin a las redes
11.4.7. Control de
red
Control:
Se deberan segregar los grupos de usuarios, servicios y sistemas de informacin en las redes.
(consultar 11.4.6 y 11.4.7)
(consultar 11.1)
(consultar 10.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-4-5-Segregacin-en-las-redes.html[28/01/2011 08:33:01 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 4 Control de acceso en red 11.4.6. Control de conexin a las redes

red
externas
nodos de la red
11.4.4. Proteccin a
remoto
Control:
En el caso de las redes compartidas, especialmente aquellas que se extienden ms all de los lmites de la propia Organizacin, se deberan
restringir las competencias de los usuarios para conectarse en red segn la poltica de control de accesos y necesidad de uso de las
aplicaciones de negocio.
las redes
(consultar 11.1)
11.4.6. Control de
conexin a las redes
(consultar 11.1.1)
11.4.7. Control de
red


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-4-6-Control-de-conexin-a-las-redes.html[28/01/2011 08:33:10 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 4 Control de acceso en red 11.4.7. Control de encaminamiento en la red

red
externas
nodos de la red
11.4.4. Proteccin a
remoto
Control:
Se deberan establecer controles de enrutamiento en las redes para asegurar que las conexiones de los ordenadores y flujos de informacin
no incumplen la poltica de control de accesos a las aplicaciones de negocio.
(consultar 11.1)
las redes
11.4.6. Control de
conexin a las redes
Freeware employee monitoring. Network-Tools
11.4.7. Control de
red
owner sues Microsoft, Cisco, Comcast and TRUSTe

over IP Address Blacklisting. Suit alleges
NetworkTools
eavdropping, privacy policy fraud, breach of

contract and defamation.
Simply use this list via DNS at
ips.backscatterer.org for scoring or rejecting
bounces and sender callouts from abusive
systems.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-4-7-Control-de-encaminamiento-en-la-red.html[28/01/2011 08:33:20 p.m.]
Backscatterer

Quick Search
Site Home 11. Control de Accesos 11 5 Control de acceso al sistema operativo
Go
Go

ISO 27002
Recursos Humanos
Impedir el acceso no autorizado al sistema operativo de los sistemas.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan utilizar las prestaciones de seguridad del sistema operativo para permitir el acceso exclusivo a
los usuarios autorizados.
Las prestaciones deberan ser capaces de:
de accesos
a) la autenticacin de los usuarios autorizados, de acuerdo a la poltica de control de accesos definida;
de usuario
b) registrar los intentos de autenticacin correctos y fallidos del sistema;
del usuario
en red
c) registrar el uso de privilegios especiales del sistema;
al sistema operativo
d) emitir seales de alarma cuando se violan las polticas de seguridad del sistema;
11.5.1. Procedimientos
de conexin de
terminales
e) disponer los recursos adecuados para la autenticacin;

f) restringir los horarios de conexin de los usuarios cuando sea necesario.
11.5.2. Identificacin y
autenticacin de
usuario
Implante estndares de seguridad bsica para todas las plataformas informticas y de comunicaciones,
11.5.3. Sistema de
gestin de
contraseas
recogiendo las mejores prcticas de CIS, NIST, fabricantes de sistemas, etc.
11.5.4. Uso de los

servicios del sistema
11.5.5. Desconexin
automtica de
terminales
Estadsticas de vulnerabilidad de sistemas y redes, como n de vulnerabilidades conocidas cerradas,

abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categoras
11.5.6. Limitacin del

tiempo de conexin
del fabricante o propias).
las aplicaciones
tele trabajo
y Mantenimiento de

Post a comment
Attachments (2)

de Seguridad de la
Informacin
del Negocio
15. Conformidad
RSS of this page
Objetivos
Contacto
Author: aglone
Version: 1.3
Aviso Legal
http://iso27002.wiki.zoho.com/11-5-Control-de-acceso-al-sistema-operativo.html[28/01/2011 08:33:30 p.m.]
http://iso27002.wiki.zoho.com/11-5-Control-de-acceso-al-sistema-operativo.html[28/01/2011 08:33:30 p.m.]

Quick Search
Site Home
11. Control de Accesos 11 5 Control de acceso al sistema operativo 11.5.1. Procedimientos de conexin de
terminales
Go
Go

sistema operativo
de conexin de
terminales
autenticacin de usuario
Control:
11.5.3. Sistema de
gestin de contraseas
Debera controlarse el acceso al sistema operativo mediante procedimientos seguros de conexin.
11.5.4. Uso de los

11.5.5. Desconexin
automtica de terminales
tiempo de conexin


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-5-1-Procedimientos-de-conexin-de-terminales.html[28/01/2011 08:33:43 p.m.]

Quick Search
Site Home
11. Control de Accesos 11 5 Control de acceso al sistema operativo 11.5.2. Identificacin y autenticacin de
usuario
Go
Go

sistema operativo
de conexin de
terminales
y autenticacin de
usuario
11.5.3. Sistema de
Control:
Todos los usuarios deberan disponer de un nico identificador propio para su uso personal y exclusivo. Se debera elegir una tcnica de
autenticacin adecuada que verifique la identidad reclamada por un usuario.
11.5.4. Uso de los

11.5.5. Desconexin

tiempo de conexin

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-5-2-Identificacin-y-autenticacin-de-usuario.html[28/01/2011 08:33:52 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 5 Control de acceso al sistema operativo 11.5.3. Sistema de gestin de contraseas

sistema operativo
de conexin de
terminales
11.5.3. Sistema de
gestin de
contraseas
Los sistemas de gestin de contraseas deberan ser interactivos y garantizar la calidad de las contraseas.
(consultar 11.3.1)
11.5.4. Uso de los

11.5.5. Desconexin
tiempo de conexin
Control:
(consultar 11.2.3)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-5-3-Sistema-de-gestin-de-contraseas.html[28/01/2011 08:34:02 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 5 Control de acceso al sistema operativo 11.5.4. Uso de los servicios del sistema

sistema operativo
de conexin de
terminales
11.5.3. Sistema de
11.5.4. Uso de los
11.5.5. Desconexin
tiempo de conexin
Control:
Se debera restringir y controlar muy de cerca el uso de programas de utilidad del sistema que pudieran ser capaces de eludir los controles
del propio sistema y de las aplicaciones.
0 Comments
Show recent to old

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-5-4-Uso-de-los-servicios-del-sistema.html[28/01/2011 08:34:11 p.m.]

Quick Search
Site Home
11. Control de Accesos 11 5 Control de acceso al sistema operativo 11.5.5. Desconexin automtica de
terminales
Go
Go

sistema operativo
de conexin de
terminales
Control:
11.5.3. Sistema de
Se deberan desconectar las sesiones tras un determinado periodo de inactividad.
11.5.4. Uso de los

11.5.5. Desconexin
automtica de
terminales


tiempo de conexin

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-5-5-Desconexin-automtica-de-terminales.html[28/01/2011 08:34:21 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 5 Control de acceso al sistema operativo 11.5.6. Limitacin del tiempo de conexin

sistema operativo
de conexin de
terminales
Control:
11.5.3. Sistema de
Se deberan utilizar limitaciones en el tiempo de conexin que proporcionen un nivel de seguridad adicional a las aplicaciones de alto riesgo.
11.5.4. Uso de los

11.5.5. Desconexin

tiempo de conexin

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-5-6-Limitacin-del-tiempo-de-conexin.html[28/01/2011 08:34:29 p.m.]

Quick Search
Site Home 11. Control de Accesos 11 6 Control de acceso a las aplicaciones
Go
Go

ISO 27002
Recursos Humanos
Impedir el acceso no autorizado a la informacin mantenida por los sistemas de las aplicaciones.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y sus
contenidos.
Se debera restringir el acceso lgico a las aplicaciones software y su informacin nicamente a usuarios
de accesos
autorizados.
de usuario
Los sistemas de aplicacin deberan:
del usuario
a) controlar el acceso de los usuarios a la informacin y funciones de los sistemas de aplicaciones, en
en red
relacin a la poltica de control de accesos definida;
sistema operativo
b) proporcionar proteccin contra accesos no autorizados derivados del uso de cualquier utilidad, software
a las aplicaciones
del sistema operativo y software malicioso que puedan traspasar o eludir los controles del sistema o de las
aplicaciones;
11.6.1. Restriccin de
acceso a la
informacin
c) no comprometer otros sistemas con los que se compartan recursos de informacin.
11 6 2 Aislamiento de
sistemas sensibles
tele trabajo
Implante estndares de seguridad bsica para todas las aplicaciones y middleware, recogiendo las mejores
prcticas y checklists de CIS, NIST, fabricantes de software, etc.

y Mantenimiento de
de Seguridad de la
Informacin
Porcentaje de plataformas totalmente conformes con los estndares de seguridad bsica (comprobado
mediante pruebas independientes), con anotaciones sobre los sistemas no conformes (p. ej., "Sistema de

del Negocio
finanzas ser actualizado para ser conforme en cuarto trimestre)".
15. Conformidad
Objetivos
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/11-6-Control-de-acceso-a-las-aplicaciones.html[28/01/2011 08:34:39 p.m.]
http://iso27002.wiki.zoho.com/11-6-Control-de-acceso-a-las-aplicaciones.html[28/01/2011 08:34:39 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 6 Control de acceso a las aplicaciones 11.6.1. Restriccin de acceso a la informacin

las aplicaciones
acceso a la
informacin
sistemas sensibles
Control:
Se debera restringir el acceso de los usuarios y el personal de mantenimiento a la informacin y funciones de los sistemas de aplicaciones,
en relacin a la poltica de control de accesos definida.
(consultar 11.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-6-1-Restriccin-de-acceso-a-la-informacin.html[28/01/2011 08:34:52 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 6 Control de acceso a las aplicaciones 11 6 2 Aislamiento de sistemas sensibles

las aplicaciones
acceso a la informacin
sistemas sensibles
Control:
Los sistemas sensibles deberan disponer de un entorno informtico dedicado (propio).
(consultar 7.1.2)
La biblioteca TechNet Library es un recurso esencial para los

profesionales de TI que usan los productos, herramientas y tecnologa
de Microsoft.

Post a comment
Attachments (1)
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/11-6-2-Aislamiento-de-sistemas-sensibles.html[28/01/2011 08:35:00 p.m.]
technet library

Quick Search
Site Home 11. Control de Accesos 11 7 Informtica mvil y tele trabajo
Go
Go

ISO 27002
Recursos Humanos
Garantizar la seguridad de la informacin en el uso de recursos de informtica mvil y teletrabajo.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
La proteccin exigible debera estar en relacin a los riesgos especficos que ocasionan estas formas
especficas de trabajo. En el uso de la informtica mvil deberan considerarse los riesgos de trabajar en
entornos desprotegidos y aplicar la proteccin conveniente.
de accesos
En el caso del teletrabajo, la Organizacin debera aplicar las medidas de proteccin al lugar remoto y
de usuario
garantizar que las disposiciones adecuadas estn disponibles para esta modalidad de trabajo.
del usuario
Tenga polticas claramente definidas para la proteccin, no slo de los propios equipos informticos
en red
porttiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la informacin almacenada en ellos.
sistema operativo
Por lo general, el valor de la informacin supera con mucho el del hardware.
las aplicaciones
Asegrese de que el nivel de proteccin de los equipos informticos utilizados dentro de las instalaciones de
11 7 Informtica mvil
y tele trabajo
la organizacin tiene su correspondencia en el nivel de proteccin de los equipos porttiles, en aspectos

tales como antivirus, parches, actualizaciones, software cortafuegos, etc.
11 7 1 Informtica
mvil
"Estado de la seguridad en entorno porttil / teletrabajo", es decir, un informe sobre el estado actual de la
seguridad de equipos informticos porttiles (laptops, PDAs, telfonos mviles, etc.), y de teletrabajo (en

y Mantenimiento de
casa de los empleados, fuerza de trabajo mvil), con comentarios sobre incidentes recientes/actuales,
vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier riesgo creciente, despliegue

de Seguridad de la
Informacin
de configuraciones seguras, antivirus, firewalls personales, etc.

del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.5
http://iso27002.wiki.zoho.com/11-7-Informtica-mvil-y-tele-trabajo.html[28/01/2011 08:35:08 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 7 Informtica mvil y tele trabajo 11 7 1 Informtica mvil

tele trabajo
11 7 1 Informtica
mvil
Control:
Se debera establecer una poltica formal y se deberan adoptar las medidas de seguridad adecuadas para la proteccin contra los riesgos
derivados del uso de los recursos de informtica mvil y las telecomunicaciones.
(consultar 12.3)
(consultar 10.4)
(consultar 11.4)
(consultar 9.2.5)
Checklist de revisin de controles para equipos

porttiles, trabajo en movilidad, teletrabajo y
http://tinyurl.com/PortableITchecklist
redes inalmbricas (ingls)

mvil
Gua INTECO

Post a comment
Attachments (1)
RSS of this page
Author: aglone
Version: 1.2
http://iso27002.wiki.zoho.com/11-7-1-Informtica-mvil.html[28/01/2011 08:35:21 p.m.]

Quick Search
Site Home
Go
Go
11. Control de Accesos 11 7 Informtica mvil y tele trabajo 11.7.2. Tele trabajo

tele trabajo
Control:
Se debera desarrollar e implantar una poltica, planes operacionales y procedimientos para las actividades de teletrabajo.
menu-oswa.gif
The OSWA-Assistant is a freely-downloadable, self-contained,

wireless-auditing toolkit for both IT-security professionals and End-users
alike.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/11-7-2-Tele-trabajo.html[28/01/2011 08:35:30 p.m.]
OSWA

Quick Search
Site Home 12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 1 Requisitos de seguridad de los
sistemas
Go
Go

ISO 27002
Recursos Humanos
Garantizar que la seguridad es parte integral de los sistemas de informacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Dentro de los sistemas de informacin se incluyen los sistemas operativos, infraestructuras, aplicaciones de
negocio, aplicaciones estndar o de uso generalizado, servicios y aplicaciones desarrolladas por los

y Mantenimiento de
usuarios.
El diseo e implantacin de los sistemas de informacin que sustentan los procesos de negocio pueden ser
12 1 Requisitos de
seguridad de los
sistemas
cruciales para la seguridad. Los requisitos de seguridad deberan ser identificados y consensuados
previamente al desarrollo y/o implantacin de los sistemas de informacin.
12.1.1. Anlisis y
especificacin de los
Todos los requisitos de seguridad deberan identificarse en la fase de recogida de requisitos de un proyecto
y ser justificados, aceptados y documentados como parte del proceso completo para un sistema de
12 3 Controles
criptogrficos
informacin.
Involucre a los "propietarios de activos de informacin" en evaluaciones de riesgos a alto nivel y consiga su
aprobacin de los requisitos de seguridad que surjan.
soporte
Si son realmente responsables de proteger sus activos, es en inters suyo el hacerlo bien.
12 6 Gestin de las
Est al tanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e

de Seguridad de la
Informacin
implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientacin
sobre la implementacin, como, p. ej., OWASP.

del Negocio
15. Conformidad
Similar a 11.1
Objetivos
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/12-1-Requisitos-de-seguridad-de-los-sistemas.html[28/01/2011 08:35:38 p.m.]
http://iso27002.wiki.zoho.com/12-1-Requisitos-de-seguridad-de-los-sistemas.html[28/01/2011 08:35:38 p.m.]

Quick Search
Site Home
12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 1 Requisitos de seguridad de los
sistemas 12.1.1. Anlisis y especificacin de los requisitos de seguridad
Go
Go

12 1 Requisitos de
seguridad de los sistemas
12.1.1. Anlisis y
especificacin de los
Control:
Las demandas de nuevos sistemas de informacin para el negocio o mejoras de los sistemas ya existentes deberan especificar los
requisitos de los controles de seguridad.
(consultar tambin 7.2)
ISO/IEC 21827 specifies the Systems Security Engineering - Capability Maturity
Model, which describes the characteristics essential to the success of an
organization's security engineering process, and is applicable to all security
engineering organizations including government, commercial, and academic.
ISO/IEC 21827 does not prescribe a particular process or sequence, but captures
practices generally observed in industry

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-1-1-Anlisis-y-especificacin-de-los-requisitos-de-seguridad.html[28/01/2011 08:35:52 p.m.]
ISO/IEC 21827

Quick Search
Site Home 12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 2 Seguridad de las aplicaciones del
sistema
Go
Go

ISO 27002
Recursos Humanos
Evitar errores, prdidas, modificaciones no autorizadas o mal uso de la informacin en las aplicaciones.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan disear controles apropiados en las propias aplicaciones, incluidas las desarrolladas por los
propios usuarios, para asegurar el procesamiento correcto de la informacin. Estos controles deberan

y Mantenimiento de
incluir la validacin de los datos de entrada, el tratamiento interno y los datos de salida.
Podran ser requeridos controles adicionales para los sistemas que procesan o tienen algn efecto en
12 1 Requisitos de
seguridad de los
sistemas
activos de informacin de carcter sensible, valioso o crtico. Dichos controles deberan ser determinados en
funcin de los requisitos de seguridad y la estimacin del riesgo.
aplicaciones del
sistema
Siempre que sea posible, utilice libreras y funciones estndar para necesidades corrientes como validacin
12.2.1. Validacin de
los datos de entrada
de datos de entrada, restricciones de rango y tipo, integridad referencial, etc.
12.2.2. Control del

proceso interno
Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validacin y chequeo
de mensajes
cruzado (p. ej., sumas totalizadas de control).
los datos de salida
Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar

cuestiones habituales como desbordamientos de memoria, inyeccin SQL, etc.
12 3 Controles
criptogrficos
Porcentaje de sistemas para los cuales los controles de validacin de datos se han (a) definido y (b)
soporte
implementado y demostrado eficaces mediante pruebas.
12 6 Gestin de las
de Seguridad de la
Informacin
del Negocio
15. Conformidad

Post a comment
Attachments (2)
Objetivos
Contacto
Aviso Legal
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/12-2-Seguridad-de-las-aplicaciones-del-sistema.html[28/01/2011 08:36:00 p.m.]

Quick Search
Site Home
12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 2 Seguridad de las aplicaciones del
sistema 12.2.1. Validacin de los datos de entrada
Go
Go

los datos de entrada
12.2.2. Control del
proceso interno
mensajes
Control:
12.2.4. Validacin de los

datos de salida
Se deberan validar los datos de entrada utilizados por las aplicaciones para garantizar que estos datos son correctos y apropiados.
(consultar 10.10.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-2-1-Validacin-de-los-datos-de-entrada.html[28/01/2011 08:36:13 p.m.]

Quick Search
Site Home
sistema 12.2.2. Control del proceso interno
Go
Go

datos de entrada
12.2.2. Control del
proceso interno
mensajes
Control:

datos de salida
Se deberan incluir chequeos de validacin en las aplicaciones para la deteccin de una posible corrupcin en la informacin debida a
errores de procesamiento o de acciones deliberadas.
(consultar 12.2.1)
(consultar 10.10.1)
Rough Auditing Tool for Security (RATS) is an automated code review tool,
provided originally by Secure Software Inc, who were acquired by Fortify
Software Inc. It scans C, C++, Perl, PHP and Python source code and flags
common security related programming errors such as buffer overflows and
RATS
TOCTOU (Time Of Check, Time Of Use) race conditions. The tool performs a
rough analysis of the source code.
Graudit is a simple script and signature sets that allows you to find potential
security flaws in source code using the GNU utility grep. It's comparable to
other static analysis applications like RATS, SWAAT and flaw-finder while
keeping the technical requirements to a minimum and being very flexible.
GRAudit
Graudit supports scanning code written in several languages; asp, jsp, perl, php
and python.
Code Analysis Tool .NET is a binary code analysis tool that helps identify
common variants of certain prevailing vulnerabilities that can give rise to
common attack vectors such as Cross-Site Scripting (XSS), SQL Injection and
Microsoft CAT .NET
XPath Injection.
The 2010 CWE/SANS Top 25 Most Dangerous Programming Errors is a list of
the most widespread and critical programming errors that can lead to serious
software vulnerabilities.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-2-2-Control-del-proceso-interno.html[28/01/2011 08:36:21 p.m.]
CWE
http://iso27002.wiki.zoho.com/12-2-2-Control-del-proceso-interno.html[28/01/2011 08:36:21 p.m.]

Quick Search
Site Home
sistema 12.2.3. Autenticacin de mensajes
Go
Go

datos de entrada
12.2.2. Control del
proceso interno
de mensajes
Control:

datos de salida
Se deberan identificar los requisitos para asegurar la autenticidad y proteccin de la integridad del contenido de los mensajes en las
aplicaciones, e identificar e implantar los controles apropiados.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-2-3-Autenticacin-de-mensajes.html[28/01/2011 08:36:30 p.m.]

Quick Search
Site Home
sistema 12.2.4. Validacin de los datos de salida
Go
Go

datos de entrada
12.2.2. Control del
proceso interno
mensajes
Control:
los datos de salida
Se deberan validar los datos de salida de las aplicaciones para garantizar que el procesamiento de la informacin almacenada es correcto y
apropiado a las circunstancias.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-2-4-Validacin-de-los-datos-de-salida.html[28/01/2011 08:36:39 p.m.]

Quick Search
Site Home 12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 3 Controles criptogrficos
Go
Go

ISO 27002
Proteger la confidencialidad, autenticidad o integridad de la informacin con la ayuda de tcnicas

Recursos Humanos
criptogrficas.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se debera desarrollar una poltica de uso de controles criptogrficos.
Se debera establecer una gestin de claves que de soporte al uso de de tcnicas criptogrficas.

y Mantenimiento de
12 1 Requisitos de
seguridad de los
sistemas
Utilice estndares formales actuales tales como AES, en lugar de algoritmos de cosecha propia.
La implementacin es crucial!
12 3 Controles
criptogrficos
Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado

de los controles
criptogrficos
totalmente controles criptogrficos apropiados (periodo de reporte de 3 a 12 meses).
12.3.2. Cifrado
soporte
12 6 Gestin de las
de Seguridad de la
Informacin

Post a comment
Attachments (2)

del Negocio
15. Conformidad
RSS of this page
Objetivos
Contacto
Author: aglone
Version: 1.3
Aviso Legal
http://iso27002.wiki.zoho.com/12-3-Controles-criptogrficos.html[28/01/2011 08:36:48 p.m.]

Quick Search
Site Home
12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 3 Controles criptogrficos 12.3.1.
Poltica de uso de los controles criptogrficos
Go
Go

12 3 Controles
criptogrficos
de los controles
criptogrficos
12.3.2. Cifrado
Control:
Se debera desarrollar e implantar una poltica de uso de controles criptogrficos para la proteccin de la informacin.
Guas:
Modelo de poltica de encriptacin (ingls)
truecrypt
Sans
Low cost, easy to use and highly secure encryption and

digital signature solutions for every one from big companies
MXC
to individual users
Albalia
Implementation of the OpenPGP standard as defined by

RFC4880 . GnuPG allows to encrypt and sign your data and
communication, features a versatile key managment system
as well as access modules for all kind of public key
GNU project
directories. Version 2 of GnuPG also provides support for

S/MIME.
Tabla resumen descriptiva de productos y sus funcionalidades
de cifrado.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-3-1-Poltica-de-uso-de-los-controles-criptogrficos.html[28/01/2011 08:37:00 p.m.]
Northwestern
http://iso27002.wiki.zoho.com/12-3-1-Poltica-de-uso-de-los-controles-criptogrficos.html[28/01/2011 08:37:00 p.m.]
12.3.2. Cifrado

Quick Search
Site Home
12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 3 Controles criptogrficos 12.3.2.
Cifrado
Go
Go
12.3.2. Cifrado
12 3 Controles
criptogrficos
los controles
criptogrficos
12.3.2. Cifrado
Control:
Se debera establecer una gestin de las claves que respalde el uso de las tcnicas criptogrficas en la Organizacin.
(consultar 6.2.3)
http://www.truecrypt.org
Herramienta gratuita y genera firmas

codificadas segn el formato PKCS#7 o CMS
AlbaliaFirma.zip
(Cryptographic Message Syntax)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-3-2-Cifrado.html[28/01/2011 08:37:09 p.m.]

Quick Search
Site Home 12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 4 Seguridad de los ficheros del sistema
Go
Go

ISO 27002
Recursos Humanos
Garantizar la seguridad de los sistemas de ficheros.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se debera controlar el acceso a los sistemas de ficheros y cdigo fuente de los programas.
Los proyectos TI y las actividades de soporte deberan ser dirigidos de un modo seguro.

y Mantenimiento de
Se debera evitar la exposicin de datos sensibles en entornos de prueba.
12 1 Requisitos de
seguridad de los
sistemas
Aplique consistentemente estndares de seguridad bsica, asegurando que se siguen las recomendaciones
de CIS, NIST, fabricantes de sistemas, etc.
12 3 Controles
criptogrficos
Porcentaje de sistemas evaluados de forma independiente como totalmente conformes con los estndares
de seguridad bsica aprobados, respecto a aquellos que no han sido evaluados, no son conformes o para
12.4.1. Control del

software en
explotacin
los que no se han aprobado dichos estndares.
12.4.2. Proteccin de
los datos de prueba
del sistema
12.4.3. Control de
acceso a la librera de
programas fuente
soporte

Post a comment
Attachments (2)
12 6 Gestin de las
de Seguridad de la
Informacin
RSS of this page

del Negocio
Author: aglone
Version: 1.3
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/12-4-Seguridad-de-los-ficheros-del-sistema.html[28/01/2011 08:37:17 p.m.]

Quick Search
Site Home
12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 4 Seguridad de los ficheros del
sistema 12.4.1. Control del software en explotacin
Go
Go

12.4.1. Control del
software en
explotacin
12.4.2. Proteccin de los
datos de prueba del
sistema
12.4.3. Control de
programas fuente
Control:
Se deberan establecer procedimientos con objeto de controlar la instalacin de software en sistemas que estn operativos.
(consultar 12.4.3)
(consultar 10.1.4)
This document is a guide to patch management, defined as the process
of controlling the deployment and maintenance of interim software
CPNI
releases into operational environments.

This document provides guidance on creating a security patch and
vulnerability management program and testing the effectiveness of that
program.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-4-1-Control-del-software-en-explotacin.html[28/01/2011 08:37:30 p.m.]
NIST

Quick Search
Site Home
sistema 12.4.2. Proteccin de los datos de prueba del sistema
Go
Go

12.4.1. Control del
software en explotacin
los datos de prueba
del sistema
12.4.3. Control de
programas fuente
Control:
Se deberan seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas.
Guidelines for the Use of Personal Data in System

Testing (Second Edition)
http://shop.bsigroup.com

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-4-2-Proteccin-de-los-datos-de-prueba-del-sistema.html[28/01/2011 08:37:38 p.m.]

Quick Search
Site Home
sistema 12.4.3. Control de acceso a la librera de programas fuente
Go
Go

12.4.1. Control del
software en explotacin
12.4.2. Proteccin de los
datos de prueba del
sistema
12.4.3. Control de
programas fuente
Control:
Se debera restringir el acceso al cdigo fuente de los programas.
(consultar tambin 11)
(consultar 10.7.4)
(consultar 12.5.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-4-3-Control-de-acceso-a-la-librera-de-programas-fuente.html[28/01/2011 08:37:46 p.m.]

Quick Search
Site Home 12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 5 Seguridad en los procesos de
Go
Go

ISO 27002
Recursos Humanos
Mantener la seguridad del software del sistema de aplicaciones y la informacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan controlar estrictamente los entornos de desarrollo de proyectos y de soporte.
Los directivos responsables de los sistemas de aplicaciones deberan ser tambin responsables de la

y Mantenimiento de
seguridad del proyecto o del entorno de soporte. Ellos deberan garantizar que todas las propuestas de
cambio en los sistemas son revisadas para verificar que no comprometen la seguridad del sistema o del
12 1 Requisitos de
seguridad de los
sistemas
entorno operativo.
Incorpore la seguridad de la informacin al ciclo de vida de desarrollo de sistemas en todas sus fases,
12 3 Controles
criptogrficos
desde la concepcin hasta la desaparicin de un sistema, por medio de la inclusin de "recordatorios" sobre
seguridad en los procedimientos y mtodos de desarrollo, operaciones y gestin de cambios.
Trate el desarrollo e implementacin de software como un proceso de cambio. Integre las mejoras de
procesos de desarrollo
y soporte
seguridad en las actividades de gestin de cambios (p. ej., documentacin y formacin procedimental para
usuarios y administradores).
de control de cambios
12.5.2. Revisin
tcnica de los cambios
en el sistema operativo
"Estado de la seguridad en sistemas en desarrollo", es decir, un informe sobre el estado actual de la
12.5.3. Restricciones
en los cambios a los
vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier riesgo creciente, etc.
12.5.4. Canales
encubiertos y cdigo
Troyano
12.5.5. Desarrollo
externalizado del
software
12 6 Gestin de las
seguridad en los procesos de desarrollo de software, con comentarios sobre incidentes recientes/actuales,

Post a comment
Attachments (2)

de Seguridad de la
Informacin
del Negocio
RSS of this page
15. Conformidad
Objetivos
Author: aglone
Version: 1.3
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/12-5-Seguridad-en-los-procesos-de-desarrollo-y-soporte.html[28/01/2011 08:37:55 p.m.]

Quick Search
Site Home
12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 5 Seguridad en los procesos de
desarrollo y soporte 12.5.1. Procedimientos de control de cambios
Go
Go

soporte
12.5.2. Revisin tcnica
de los cambios en el
sistema operativo
12.5.3. Restricciones en
los cambios a los
12.5.4. Canales
encubiertos y cdigo
Troyano
12.5.5. Desarrollo
externalizado del
software
Control:
Se debera controlar la implantacin de cambios mediante la aplicacin de procedimientos formales de control de cambios.
(consultar 10.1.2)
(consultar 10.1.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-5-1-Procedimientos-de-control-de-cambios.html[28/01/2011 08:38:08 p.m.]

Quick Search
Site Home
desarrollo y soporte 12.5.2. Revisin tcnica de los cambios en el sistema operativo
Go
Go

soporte
12.5.2. Revisin
tcnica de los cambios
en el sistema operativo
los cambios a los
12.5.4. Canales
encubiertos y cdigo
Troyano
12.5.5. Desarrollo
externalizado del
software
Control:
Se deberan revisar y probar las aplicaciones crticas de negocio cuando se realicen cambios en el sistema operativo, con objeto de
garantizar que no existen impactos adversos para las actividades o seguridad de la Organizacin
(consultar clusula 14)
(consultar 12.6)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-5-2-Revisin-tcnica-de-los-cambios-en-el-sistema-operativo.html[28/01/2011 08:38:17 p.m.]

Quick Search
Site Home
desarrollo y soporte 12.5.3. Restricciones en los cambios a los paquetes de software
Go
Go

soporte
sistema operativo
12.5.3. Restricciones
en los cambios a los
12.5.4. Canales
encubiertos y cdigo
Troyano
12.5.5. Desarrollo
externalizado del
software
Control:
Se debera desaconsejar la modificacin de los paquetes de software, restringindose a lo imprescindible y todos los cambios deberan ser
estrictamente controlados.
(consultar 12.6)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-5-3-Restricciones-en-los-cambios-a-los-paquetes-de-software.html[28/01/2011 08:38:26 p.m.]

Quick Search
Site Home
desarrollo y soporte 12.5.4. Canales encubiertos y cdigo Troyano
Go
Go

soporte
sistema operativo
los cambios a los
12.5.4. Canales
encubiertos y cdigo
Troyano
12.5.5. Desarrollo
externalizado del
software
Control:
Se debera prevenir las posibilidades de fuga de informacin.
(consultar ISO/IEC 15408)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-5-4-Canales-encubiertos-y-cdigo-Troyano.html[28/01/2011 08:38:34 p.m.]

Quick Search
Site Home
desarrollo y soporte 12.5.5. Desarrollo externalizado del software
Go
Go

soporte
sistema operativo
los cambios a los
12.5.4. Canales
encubiertos y cdigo
Troyano
12.5.5. Desarrollo
externalizado del
software
Control:
Se debera supervisar y monitorizar el desarrollo del software subcontratado por la Organizacin.
(consultar 15.1.2)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-5-5-Desarrollo-externalizado-del-software.html[28/01/2011 08:38:44 p.m.]

Quick Search
Site Home 12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 6 Gestin de las vulnerabilidades
tcnicas
Go
Go

ISO 27002
Recursos Humanos
Reducir los riesgos originados por la explotacin de vulnerabilidades tcnicas publicadas.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se debera implantar una gestin de la vulnerabilidad tcnica siguiendo un mtodo efectivo, sistemtico y
cclico, con la toma de medidas que confirmen su efectividad.

y Mantenimiento de
Se deberan considerar sistemas operativos, as como todas las aplicaciones que se encuentren en uso.
12 1 Requisitos de
seguridad de los
sistemas
Haga un seguimiento constante de parches de seguridad mediante herramientas de gestin de

vulnerabilidades y/o actualizacin automtica siempre que sea posible (p. ej., Microsoft Update o Secunia
Software Inspector).
12 3 Controles
criptogrficos
Evale la relevancia y criticidad o urgencia de los parches en su entorno tecnolgico.
Pruebe y aplique los parches crticos, o tome otras medidas de proteccin, tan rpida y extensamente como
soporte
sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estn siendo explotadas
fuera activamente.
12 6 Gestin de las
vulnerabilidades
tcnicas
Evite quedarse tan atrs en la rutina de actualizacin de versiones que sus sistemas queden fuera de
soporte por el fabricante.
12.6.1. Control de las

vulnerabilidades
tcnicas
Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los sistemas

de Seguridad de la
Informacin
vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como
porttiles fuera de la empresa o almacenados-).

del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/12-6-Gestin-de-las-vulnerabilidades-tcnicas.html[28/01/2011 08:38:53 p.m.]

Quick Search
Site Home
Go
Go
12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12 6 Gestin de las vulnerabilidades
tcnicas 12.6.1. Control de las vulnerabilidades tcnicas

12 6 Gestin de las
12.6.1. Control de las
vulnerabilidades
tcnicas
Control:
Se debera obtener informacin oportuna sobre la vulnerabilidad tcnica de los sistemas de informacin que se estn utilizando, evaluar la
exposicin de la organizacin ante tal vulnerabilidad y tomar las medidas adecuadas para hacer frente a los riesgos asociados.
(consultar 7.1)
(consultar 7.1.1)
(consultar 12.5.1)
(consultar 13.2)
(consultar 11.4.5)
This is a VA / PT report for a fictitious bank called eClipse Bank PLC carried out by
Vulnerability Assessment &
another fictitious company Cynergi Solutions Inc. All names, URLs, IPs, etc are
Penetration Test Report
fictitious
template
SQLmap is an open source automatic SQL injection tool. It is able to detect and
exploit SQL injections and allows the user to enumerate data from the database,
execute commands on the operating system, establish an out-of-band connection and
SQL Map
much more.
OpenVAS stands for Open Vulnerability Assessment System and is a network security
scanner with associated tools like a graphical user front-end. The core component is
a server with a set of network vulnerability tests (NVTs) to detect security problems
OpenVAS
in remote systems and applications. OpenVAS products are Free Software under GNU
GPL.
The Open Web Application Security Project (OWASP) is a not-for-profit worldwide
charitable organization focused on improving the security of application software.
OWASP
NeXpose Community Edition enables security professionals to start implementing a

formalized vulnerability management program, prove the value of their security
Nexpose
testing efforts and protect business data in critical infrastructure assets.

Fully featured security distribution consisting of a bunch of powerful, open source and
free tools that can be used for various purposes including, but not limited to,
penetration testing, ethical hacking, system and network administration, cyber
Matriux
forensics investigations, security testing, vulnerability analysis, and much more.

A fully automated, active web application security reconnaissance tool.
Google Code Skipfish
This document is a sample of a vulnerability testing process for a fictitious company,

Company X. It outlines Company Xs technical security testing process. The key
deliverable is to take a risk base approach to identifying and validating system
Testing Process
vulnerabilities.
Cuando se completa un anlisis de red, las capacidades de Gestin de Actualizaciones
de GFI LANguard le proporcionan lo que necesita para instalar y administrar
eficazmente las actualizaciones en todos los equipos a travs de diferentes
plataformas de sistemas operativos y productos Microsoft en 38 idiomas. No slo
puede descargar automticamente las actualizaciones de seguridad de Microsoft que
falten, tambin puede implantar automticamente las actualizaciones o service packs
de Microsoft que falten en toda la red al final de los anlisis programados.

Post a comment
RSS of this page
http://iso27002.wiki.zoho.com/12-6-1-Control-de-las-vulnerabilidades-tcnicas.html[28/01/2011 08:39:05 p.m.]
GFI LANguard

Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/12-6-1-Control-de-las-vulnerabilidades-tcnicas.html[28/01/2011 08:39:05 p.m.]

Quick Search
Site Home 13. Gestin de Incidentes de Seguridad de la Informacin 13 1 Comunicacin de eventos y debilidades en la seguridad
de la informacin
Go
Go

ISO 27002
Recursos Humanos
Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de informacin se

Entorno
comuniquen de modo que se puedan realizar acciones correctivas oportunas.
10. Gestin de
Comunicaciones y
Operaciones
Debera establecerse el informe formal de los eventos y de los procedimientos de escalada.
Todos los empleados, contratistas y terceros deberan estar al tanto de los procedimientos para informar de

y Mantenimiento de
los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos
organizacionales.

de Seguridad de la
Informacin
Se les debera exigir que informen de cualquier evento o debilidad en la seguridad de informacin lo ms
13 1 Comunicacin de
eventos y debilidades
en la seguridad de la
informacin
rpido posible y al punto de contacto designado.
Establezca y d a conocer una hotline (generalmente, el helpdesk habitual de TI) para que la gente pueda
13 1 1 Comunicacin
de eventos en
seguridad
informar de incidentes, eventos y problemas de seguridad.
13.1.2. Comunicacin
de debilidades en
seguridad
Estadsticas del helpdesk de TI, con anlisis sobre el nmero y tipos de llamadas relativas a seguridad de la
13 2 Gestin de
incidentes y mejoras en
la seguridad de la
informacin
informacin (p. ej., cambios de contrasea; porcentaje de preguntas acerca de riesgos y controles de
seguridad de la informacin respecto al total de preguntas).

del Negocio
A partir de las estadsticas, cree y publique una tabla de clasificacin por departamentos (ajustada segn el
15. Conformidad
nmero de empleados por departamento), mostrando aquellos que estn claramente concienciados con la
Objetivos
seguridad, frente a los que no lo estn.
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/13-1-Comunicacin-de-eventos-y-debilidades-en-la-seguridad-de-la-informacin.html[28/01/2011 08:39:13 p.m.]

Quick Search
Site Home
13. Gestin de Incidentes de Seguridad de la Informacin 13 1 Comunicacin de eventos y debilidades en la
seguridad de la informacin 13 1 1 Comunicacin de eventos en seguridad
Go
Go

13 1 Comunicacin de
eventos y debilidades en la
13 1 1 Comunicacin
de eventos en
seguridad
13.1.2. Comunicacin de
debilidades en seguridad
Control:
Se deberian comunicar los eventos en la seguridad de informacin lo ms rpido posible mediante canales de gestin apropiados.
(consultar 8.2.2)
(consultar 13.2.3)
Para mayor informacin sobre el reporte de eventos y la gestin de incidentes en la seguridad de informacin se puede consultar la norma
ISO/IEC TR 18044.
Modelos para la comunicacin y gestin de incidentes
(ingls)
Sans.org

Spiceworks
businesses.
Paglo

GMF is a free software project distributed under the GPL
(GNU Public License). It provides a general framework to
manage contents going a step further of traditional CMS
which are built thinking about content publishing.

Post a comment
Attachments (1)
RSS of this page
Author: aglone
Version: 1.5
http://iso27002.wiki.zoho.com/13-1-1-Comunicacin-de-eventos-en-seguridad.html[28/01/2011 08:39:25 p.m.]
GMF - GenosOrg

Quick Search
Site Home
13. Gestin de Incidentes de Seguridad de la Informacin 13 1 Comunicacin de eventos y debilidades en la
seguridad de la informacin 13.1.2. Comunicacin de debilidades en seguridad
Go
Go

13 1 Comunicacin de
eventos y debilidades en la
13 1 1 Comunicacin de
eventos en seguridad
13.1.2. Comunicacin
de debilidades en
seguridad
Control:
Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de informacin deberan anotar y comunicar
cualquier debilidad observada o sospechada en la seguridad de los mismos.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/13-1-2-Comunicacin-de-debilidades-en-seguridad.html[28/01/2011 08:39:33 p.m.]

Quick Search
Site Home 13. Gestin de Incidentes de Seguridad de la Informacin 13 2 Gestin de incidentes y mejoras en la seguridad de la
informacin
Go
Go

ISO 27002
Recursos Humanos
Garantizar que se aplica un enfoque consistente y eficaz para la gestin de los incidentes en la seguridad

Entorno
de informacin.
10. Gestin de
Comunicaciones y
Operaciones
Deberan establecerse las responsabilidades y procedimientos para manejar los eventos y debilidades en la
seguridad de informacin de una manera efectiva y una vez que hayan sido comunicados.

y Mantenimiento de
Se debera aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y gestionar en su
totalidad los incidentes en la seguridad de informacin.

de Seguridad de la
Informacin
Cuando se requieran evidencias, stas deben ser recogidas para asegurar el cumplimiento de los requisitos
13 1 Comunicacin de
eventos y debilidades en
la seguridad de la
informacin
legales.
Las revisiones post-incidente y los casos de estudio para incidentes serios, tales como fraudes, ilustran los
13 2 Gestin de
incidentes y mejoras
en la seguridad de la
informacin
puntos dbiles de control, identifican oportunidades de mejora y conforman por s mismos un mecanismo
eficaz de concienciacin en seguridad.
de responsabilidades y
procedimientos
Nmero y gravedad de incidentes; evaluaciones de los costes de analizar, detener y reparar los incidentes y
cualquier prdida tangible o intangible producida.
13.2.2. Evaluacin de
incidentes en
seguridad
Porcentaje de incidentes de seguridad que han causado costes por encima de umbrales aceptables definidos
13.2.3. Recogida de
pruebas
por la direccin.

del Negocio
15. Conformidad
Objetivos
Contacto

Post a comment
Aviso Legal
Attachments (2)
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/13-2-Gestin-de-incidentes-y-mejoras-en-la-seguridad-de-la-informacin.html[28/01/2011 08:39:42 p.m.]

Quick Search
Site Home
13. Gestin de Incidentes de Seguridad de la Informacin 13 2 Gestin de incidentes y mejoras en la seguridad
de la informacin 13.2.1. Identificacin de responsabilidades y procedimientos
Go
Go

13 2 Gestin de incidentes
y mejoras en la seguridad
de la informacin
de responsabilidades y
procedimientos
incidentes en seguridad
Control:
13.2.3. Recogida de
pruebas
Se deberan establecer las responsabilidades y procedimientos de gestin para asegurar una respuesta rpida, efectiva y ordenada a los
incidentes en la seguridad de informacin.
(consultar 13.1)
(consultar 10.10.2)
(consultar 10.4.1)
(consultar 14.1.3)
(consultar 13.2.2)
(consultar 13.2.3)
(consultar tambin 6.2 para acceso externo)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/13-2-1-Identificacin-de-responsabilidades-y-procedimientos.html[28/01/2011 08:39:54 p.m.]

Quick Search
Site Home
de la informacin 13.2.2. Evaluacin de incidentes en seguridad
Go
Go

de la informacin
responsabilidades y
procedimientos
incidentes en
seguridad
13.2.3. Recogida de
pruebas
Control:
Debera existir un mecanismo que permitan cuantificar y monitorear los tipos, volmenes y costes de los incidentes en la seguridad de
informacin.
(consultar 5.1.2)
Gua de respuesta a incidentes del GovCertUK, organismo responsable
del soporte a los departamentos gubernamentales del Reino Unido en
Incident Response Guidelines
los incidentes de seguridad.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/13-2-2-Evaluacin-de-incidentes-en-seguridad.html[28/01/2011 08:40:03 p.m.]

Quick Search
Site Home
de la informacin 13.2.3. Recogida de pruebas
Go
Go

de la informacin
responsabilidades y
procedimientos
incidentes en seguridad
Control:
13.2.3. Recogida de
pruebas
Cuando una accin de seguimiento contra una persona u organizacin, despus de un incidente en la seguridad de informacin, implique
accin legal (civil o criminal), la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas
en la jurisdiccin relevante.
Closed circuit television (CCTV). Management and operation. Code of
practice
http://shop.bsigroup.com
CAINE (Computer Aided INvestigative Environment) is an Italian

GNU/Linux live distribution created as a project of Digital Forensics.
CAINE offers a complete forensic environment that is organized to
Caine
integrate existing software tools as software modules and to provide a

friendly graphical interface.
Fully featured security distribution consisting of a bunch of powerful,
open source and free tools that can be used for various purposes
including, but not limited to, penetration testing, ethical hacking,
Matriux
system and network administration, cyber forensics investigations,

security testing, vulnerability analysis, and much more.
AVG Rescue CD es un poderoso juego de herramientas indispensable

para rescatar y reparar equipos infectados.
AVG CD rescate
The SANS SIFT Workstation is a VMware Appliance that is preconfigured with all the necessary tools to perform a detailed digital
forensic examination. It is compatible with Expert Witness Format
(E01), Advanced Forensic Format (AFF), and raw (dd) evidence formats.
The brand new version has been completely rebuilt on an Ubuntu base
with many additional tools and capabilities that can match any modern
forensic tool suite.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/13-2-3-Recogida-de-pruebas.html[28/01/2011 08:40:11 p.m.]
SANS
http://iso27002.wiki.zoho.com/13-2-3-Recogida-de-pruebas.html[28/01/2011 08:40:11 p.m.]

Quick Search
Site Home 14. Gestin de Continuidad del Negocio 14 1 Aspectos de la gestin de continuidad del negocio
Go
Go

ISO 27002
Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente a desastres o

Recursos Humanos
grandes fallos de los sistemas de informacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se debera implantar un proceso de gestin de continuidad del negocio para reducir, a niveles aceptables,
la interrupcin causada por los desastres y fallos de seguridad (que, por ejemplo, puedan resultar de
desastres naturales, accidentes, fallas de equipos o acciones deliberadas) mediante una combinacin de

y Mantenimiento de
controles preventivos y de recuperacin.

Este proceso debera identificar los procesos crticos de negocio e integrar los requisitos de gestin de la

de Seguridad de la
Informacin
seguridad de informacin para la continuidad del negocio con otros requisitos de continuidad relacionados

del Negocio
con dichos aspectos como operaciones, proveedores de personal, materiales, transporte e instalaciones.
14 1 Aspectos de la
del negocio
Se deberan analizar las consecuencias de los desastres, fallas de seguridad, prdidas de servicio y la
disponibilidad del servicio y desarrollar e implantar planes de contingencia para asegurar que los procesos
del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales.
14.1.1. Proceso de la
del negocio
La seguridad de informacin debera ser una parte integral del plan general de continuidad del negocio y de
14.1.2. Continuidad
del negocio y anlisis
de impactos
los dems procesos de gestin dentro de la organizacin.
14.1.3. Redaccin e
implantacin de planes
de continuidad
La gestin de la continuidad del negocio debera incluir adicionalmente al proceso de evaluacin, controles
14.1.4. Marco de
planificacin para la
reanudacin a tiempo de las operaciones esenciales.
para la identificacin y reduccin de riesgos, limitar las consecuencias de incidencias dainas y asegurar la
Considere la gestin de continuidad de negocio como un proceso con entradas procedentes de diversas
14.1.5. Prueba,
mantenimiento y
reevaluacin de planes
de continuidad
funciones (alta direccin, TI, operaciones, RRHH, etc.) y actividades (evaluacin de riesgos, etc.).
Asegure la coherencia y concienciacin mediante personas y unidades organizativas relevantes en los planes
15. Conformidad
de continuidad de negocio.
Objetivos
Contacto
Deberan llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros, pruebas
Aviso Legal
de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la confianza de la direccin en
los planes y (c) familiarizar a los empleados relevantes con sus funciones y responsabilidades bajo
condiciones de desastre.
Obtenga consejos de implantacin en BS 25999 - Gestin de la Continuidad de Negocio.
Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida (requerido /
especificado / documentado / probado).
Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido adecuadamente
(a) documentados y (b) probados mediante tests apropiados en los ltimos 12 meses.

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/14-1-Aspectos-de-la-gestin-de-continuidad-del-negocio.html[28/01/2011 08:40:20 p.m.]
http://iso27002.wiki.zoho.com/14-1-Aspectos-de-la-gestin-de-continuidad-del-negocio.html[28/01/2011 08:40:20 p.m.]

Quick Search
Site Home
Go
Go
14. Gestin de Continuidad del Negocio 14 1 Aspectos de la gestin de continuidad del negocio 14.1.1.
Proceso de la gestin de continuidad del negocio

14 1 Aspectos de la gestin
de continuidad del negocio
del negocio
14.1.2. Continuidad del
negocio y anlisis de
impactos
14.1.3. Redaccin e
de continuidad
14.1.4. Marco de
14.1.5. Prueba,
mantenimiento y
reevaluacin de planes de
continuidad
Control:
Se debera desarrollar y mantener un proceso de gestin de la continuidad del negocio en la organizacin que trate los requerimientos de
seguridad de la informacin necesarios para la continuidad del negocio.
(consultar 14.1.2)
(consultar 7.1.1)
(consultar 14.1.3)
(consultar 14.1.5)
(consultar 6.1.1)
INTECO
Gua prctica para pymes en espaol de cmo implantar un plan de
Gua pymes continuidad de
continuidad de negocio, editada por Inteco y Deloitte.
negocio
Gua en ingls de buenas prcticas de continuidad de negocio del

Business Continuity Institute.
Estndar NIST SP 800-34 sobre planificacin de contingencias para
sistemas de informacin (en ingls).
Buenas prcticas de gestin de continuidad de negocio del Disaster
Recovery Institute International - DRII (en ingls).
Gua de continuidad de negocio de ASIS International (en ingls).
BS 25999-1: Norma de BSI en ingls que recoge un cdigo de buenas
prcticas para la gestin de la continuidad de negocio.
Traduccin al espaol de la norma BS 25999-1:2006.
UNE 71599-1: Norma espaola de buenas prcticas en gestin de
contiuidad de negocio, basada en BS 25999-1:2006.
BS 25999-2: Norma de BSI en ingls que establece los requisitos para
un sistema de gestin de continuidad de negocio.
Traduccin al espaol de la norma BS 25999-2:2007.
BCI Good Practices
NIST SP 800-34
DRII Professional Practices
ASIS Business Continuity Guideline
BS 25999-1:2006 en ingls
BS 25999-1:2006 en espaol
UNE 71599-1:2010
BS 25999-2:2007 en ingls
BS 25999-2:2007 en espaol
UNE 71599-2: Norma espaola que establece los requisitos para un

sistema de gestin de continuidad de negocio, basada en BS 25999-
UNE 71599-2:2010
2:2007.
GTAG 10, Gua de gestin de continuidad de negocio del Institute of
GTAG 10 - Business Continuity
Internal Auditors (en ingls).
Management
Gua de planificacin de continuidad de negocio, en ingls, del Federal

Financial Institutions Examination Council. La acompaa una lista de
verificacin -checklist-, til para auditar el proceso.
FIST Conference
Presentacin en espaol de Manuel Ballester, de introduccin a la

continuidad de negocio, realizada en las Conferencias FIST.
BS 25777:2008: Norma, en ingls, de BSI de buenas prcticas de
gestin de continuidad de las TIC.
ISO/IEC 24762: Directrices para servicios de recuperacin de desastres
TIC (en ingls).
Gua de gestin de continuidad de negocio publicada por el gobierno de
la provincia canadiense de Saskatchewan (en ingls).
1 Comments
Show recent to old
Guest, 7 - days ago
Otra presentacin de Manuel Ballester sobre continuidad de negocio:
http://iso27002.wiki.zoho.com/14-1-1-Proceso-de-la-gestin-de-continuidad-del-negocio.html[28/01/2011 08:40:33 p.m.]
FFIEC BCP
FFIEC Audit of BC workprogram
FISTconference.org
BS 25777:2008
ISO/IEC 24762
BCM Planning Guidelines

http://www.slideshare.net/slides_eoi/continuidad-de-negocio-usando-software-libre
Post a comment
RSS of this page
Author: aglone
Version: 1.6
http://iso27002.wiki.zoho.com/14-1-1-Proceso-de-la-gestin-de-continuidad-del-negocio.html[28/01/2011 08:40:33 p.m.]

Quick Search
Site Home
Continuidad del negocio y anlisis de impactos
Go
Go

del negocio
14.1.2. Continuidad
del negocio y anlisis
de impactos
Control:
14.1.3. Redaccin e
de continuidad
Se deberan identificar los eventos que puedan causar interrupciones a los procesos de negocio junto con la probabilidad e impacto de dichas interrupciones y sus
14.1.4. Marco de
consecuencias para la seguridad de informacin.
Solutions from Q1 Labs are quickly becoming the standard for
14.1.5. Prueba,
mantenimiento y
continuidad
centralized management of enterprise network and security
Qradar
information.
Basic tools to help you get your BCM programme underway.
They are all free and can be adapted for most types of
Talking Business Continuity
organisation (except maybe the very large).
Here you will find information for businesses and voluntary

organisations about business continuity management (BCM).
direct.gov.uk
Business continuity management can ensure your organisation

can handle an emergency, continue to function, and can recover
effectively afterwards.
"Business Continuity Planning Workbook" del gobierno de la

provincia canadiense de Saskatchewan, con especial incidencia
BC Planning Workbook
en el anlisis de impactos. En ingls.
Consejos para la realizacin de un Business Impact Analysis

(BIA), en ingls.
SANS Institute Reading Room

Post a comment
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/14-1-2-Continuidad-del-negocio-y-anlisis-de-impactos.html[28/01/2011 08:40:43 p.m.]

Quick Search
Site Home
Go
Go
Redaccin e implantacin de planes de continuidad

del negocio
impactos
14.1.3. Redaccin e
implantacin de
planes de continuidad
14.1.4. Marco de
14.1.5. Prueba,
mantenimiento y
continuidad
Control:
Se deberan desarrollar e implantar planes de mantenimiento o recuperacin de las operaciones del negocio para asegurar la disponibilidad
de la informacin en el grado y en las escalas de tiempo requeridos, tras la interrupcin o fallo de los procesos crticos de negocio.
(consultar 14.1.3 f)
PD 25111: documento en ingls de BSI que da directrices sobre
aspectos de continuidad de negocio relativos a las personas.
PD 25111:2010
Documento del Business Continuity Institute, en ingls,

describiendo las competencias y tareas de los responsables de
BCI-Professional Competence
continuidad de negocio.
Gua Prctica para el Desarrollo de Planes de Contingencia de
Sistemas de Informacin del Gobierno de Per.
Gua contingencia INEI

IBM System Storage Business
IBM System Storage Business Continuity: Part 1 Planning Guide.
Continuity: Part 1 Planning

Guide
IBM System Storage Business
IBM System Storage Business Continuity: Part 2 Solutions Guide.
Continuity: Part 2 Solutions

Guide
Checklist de continuidad de negocio para pequeas empresas, en

ingls.
Canadian Centre for Emergency
small business owners

Crisis Management: Advanced
Continuity Central.
resources
Repositorio de artculos sobre continuidad TI, en ingls, de
IT Continuity: Advanced
Continuity Central.
resources
Documento en ingls que propone una estructura y tareas para
Emergency Management Team

Set Up
Preparedness
un equipo de gestin de emergencias.

Plantilla en ingls de estrategia de continuidad para un
Preparedness
determinado escenario de impacto.
Documento en ingls con directrices y ejemplos para la
Preparedness
preparacin de un plan de comunicacin de crisis.
Plantilla en ingls de plan de continuidad de negocio y ejemplo
Preparedness
correspondiente.

Post a comment
RSS of this page
Version: 1.5
disaster recovery checklist for
Repositorio de artculos sobre gestin de crisis, en ingls, de
Author: aglone
Business continuity and
http://iso27002.wiki.zoho.com/14-1-3-Redaccin-e-implantacin-de-planes-de-continuidad.html[28/01/2011 08:40:52 p.m.]
Strategy Worksheet
Crisis communication plan

BCP Template
Sample
http://iso27002.wiki.zoho.com/14-1-3-Redaccin-e-implantacin-de-planes-de-continuidad.html[28/01/2011 08:40:52 p.m.]

Quick Search
Site Home
14. Gestin de Continuidad del Negocio 14 1 Aspectos de la gestin de continuidad del negocio 14.1.4. Marco
de planificacin para la continuidad del negocio
Go
Go

del negocio
impactos
14.1.3. Redaccin e
de continuidad
Control:
Se debera mantener un esquema nico de planes de continuidad del negocio para garantizar que dichos planes son consistentes, para tratar
los requisitos de seguridad y para identificar las prioridades de prueba y mantenimiento.
14.1.4. Marco de
14.1.5. Prueba,
mantenimiento y
continuidad


Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/14-1-4-Marco-de-planificacin-para-la-continuidad-del-negocio.html[28/01/2011 08:41:02 p.m.]

Quick Search
Site Home
Prueba, mantenimiento y reevaluacin de planes de continuidad
Go
Go

del negocio
impactos
14.1.3. Redaccin e
de continuidad
14.1.4. Marco de
Control:
Se deberan probar regularmente los planes de continuidad del negocio para garantizar su actualizacin y eficacia.
Documento en ingls que establece pautas para la realizacin de
14.1.5. Prueba,
mantenimiento y
reevaluacin de planes
de continuidad
Disaster Recovery Journal
"pruebas de escritorio" (o sobre el papel, sin simulacro real) para
Disaster Recovery Journal
verificacin de planes de continuidad de negocio.

PD 25666:2010 es una gua en ingls publicada por BSI, que establece
BSI Shop
buenas prcticas para la realizacin de pruebas de planes de continuidad
PD 25666:2010
de negocio.
Diversos artculos en ingls de Continuity Central acerca de la prueba de
Continuity Central
planes de continuidad de negocio.

Presentacin de la empresa colombiana SISTESEG sobre auditora de
SISTESEG
planes de continuidad de negocio y recuperacin de desastres (en
Presentacin de SISTESEG
entorno TI).
Canadian Centre for Emergency Documento en ingls con checklists y consejos para el diseo, gestin y
Preparedness
evaluacin de pruebas de planes de continuidad de negocio.
Ejemplo en ingls de plantilla de evaluacin del desarrollo de pruebas
Preparedness
de planes de continuidad de negocio.
EPCB Exercise/Test Methodology
Exercise Evaluation Form

Post a comment
RSS of this page
Author: aglone
Version: 2.1
http://iso27002.wiki.zoho.com/14-1-5-Prueba-mantenimiento-y-reevaluacin-de-planes-de-continuidad.html[28/01/2011 08:41:10 p.m.]

Quick Search
Site Home 15. Conformidad 15 1 Conformidad con los requisitos legales
Go
Go

ISO 27002
Evitar incumplimientos de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier

Recursos Humanos
requisito de seguridad.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
El diseo, operacin, uso y gestin de los sistemas de informacin pueden ser objeto de requisitos
estatutarios, reguladores y de seguridad contractuales.
Los requisitos legales especficos deberan ser advertidos por los asesores legales de la organizacin o por

y Mantenimiento de
profesionales adec uadamente cualificados.

de Seguridad de la
Informacin
Los requisitos que marca la legislacin cambian de un pas a otro y pueden variar para la informacin que
se genera en un pas y se transmite a otro pas distinto (por ej., flujos de datos entre fronteras).

del Negocio
15. Conformidad
Obtenga asesoramiento legal competente, especialmente si la organizacin opera o tiene clientes en
15 1 Conformidad con
los requisitos legales
mltiples jurisdicciones.
de la legislacin
aplicable
Nmero de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas por su estado
15.1.2. Derechos de
propiedad intelectual
(IPR)
(cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de otra forma admisible, han
15.1.3. Salvaguarda
de los registros de la
Organizacin
datos de carcter
personal y de la
intimidad de las
personas
15.1.5. Evitar mal uso
de los dispositivos de
tratamiento de la
informacin
sido considerados conformes.

Post a comment
Attachments (2)
15.1.6.
Reglamentacin de los
controles de cifrados
sistemas
RSS of this page
Author: aglone
Version: 1.3
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/15-1-Conformidad-con-los-requisitos-legales.html[28/01/2011 08:41:19 p.m.]

Quick Search
Site Home
Go
Go
15. Conformidad 15 1 Conformidad con los requisitos legales 15.1.1. Identificacin de la legislacin aplicable

requisitos legales
de la legislacin
aplicable
15.1.2. Derechos de
(IPR)
Control:
Todos los requisitos estatutarios, de regulacin u obligaciones contractuales relevantes, as como las acciones de la Organizacin para
15.1.3. Salvaguarda de
los registros de la
Organizacin
datos de carcter
personal y de la intimidad
de las personas
15.1.5. Evitar mal uso de
los dispositivos de
tratamiento de la
informacin
cumplir con estos requisitos, deberan ser explcitamente definidos, documentados y actualizados para cada uno de los sistemas de
informacin y la Organizacin.
integracin.JPG
15.1.6. Reglamentacin
de los controles de
cifrados
Enlace a una lista de leyes internacionales de privacidad por pas

y regin. (ingls)
informationshield
Free Vulnerability Assessment Tools and Checklists. This simple

checklist could be used to help every company perform their
own assessment for the IT environment and infrastructure. This
controlscada
checklist based on ISO17799/ISO27001 and can be used for PCI

DSS, SOX or HIPAA compliances.
En este captulo se hace un breve repaso por el estado de los
sistemas legales del mundo, en el marco legal de Europa y en el
de Espaa. Se comentan los aspectos legales relacionados con
dgonzalez.net
delitos informticos, y ms concretamente, los relacionados con

los Sistemas de Deteccin de Intrusiones.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15-1-1-Identificacin-de-la-legislacin-aplicable.html[28/01/2011 08:41:32 p.m.]

Quick Search
Site Home
Go
Go
15. Conformidad 15 1 Conformidad con los requisitos legales 15.1.2. Derechos de propiedad intelectual (IPR)

requisitos legales
la legislacin aplicable
15.1.2. Derechos de
(IPR)
los registros de la
Organizacin
datos de carcter
de las personas
Control:
Se deberan implantar procedimientos adecuados que garanticen el cumplimento de la legislacin, regulaciones y requisitos contractuales
para el uso de material con posibles derechos de propiedad intelectual asociados y para el uso de productos software propietario.
Modelos para la comunicacin y gestin de

los dispositivos de
tratamiento de la
informacin
incidentes contra la propiedad intelectual
http://www.sans.org
(ingls)
Especificaciones para el etiquetado de software
de los controles de
cifrados
con el objeto de optimizar su identificacin y
Estndar ISO/IEC 19770-2:2009
gestin. (ingls)
Modificacin de la Ley Orgnica 10/1995, de 23
de noviembre, del Cdigo Penal.
Ley Orgnica 5/2010, de 22 de junio

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15-1-2-Derechos-de-propiedad-intelectual-IPR.html[28/01/2011 08:41:41 p.m.]

Quick Search
Site Home
15. Conformidad 15 1 Conformidad con los requisitos legales 15.1.3. Salvaguarda de los registros de la
Organizacin
Go
Go

requisitos legales
15.1.2. Derechos de
(IPR)
Control:
los registros de la
Organizacin
datos de carcter
de las personas
los dispositivos de
tratamiento de la
informacin
Los registros importantes se deberan proteger de la prdida, destruccin y falsificacin, de acuerdo a los requisitos estatutarios, regulaciones,
contractuales y de negocio.
(consultar 12.3)
de los controles de
cifrados

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15-1-3-Salvaguarda-de-los-registros-de-la-Organizacin.html[28/01/2011 08:41:50 p.m.]

Quick Search
Site Home
15. Conformidad 15 1 Conformidad con los requisitos legales 15.1.4. Proteccin de datos de carcter personal y
de la intimidad de las personas
Go
Go

requisitos legales
15.1.2. Derechos de
(IPR)
Control:
los registros de la
Organizacin
Se debera garantizar la proteccin y privacidad de los datos y segn requiera la legislacin, regulaciones y, si fueran aplicables, las
datos de carcter
personal y de la
intimidad de las
personas
clusulas relevantes contractuales.
Herramienta de diagnstico basado en un autotest basado en preguntas

los dispositivos de
tratamiento de la
informacin
con respuesta mltiple. Al final, la Agencia Espaola de Proteccin de

Datos, le facilita un informe con indicaciones y recursos que le orienten,
Agencia Espaola de Proteccin de Datos
en su caso, para cumplir con lo dispuesto en la LOPD.
de los controles de
cifrados

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15-1-4-Proteccin-de-datos-de-carcter-personal-y-de-la-intimidad-de-las-personas.html[28/01/2011 08:41:59 p.m.]

Quick Search
Site Home
15. Conformidad 15 1 Conformidad con los requisitos legales 15.1.5. Evitar mal uso de los dispositivos de
tratamiento de la informacin
Go
Go

requisitos legales
15.1.2. Derechos de
(IPR)
Control:
los registros de la
Organizacin
datos de carcter
de las personas
15.1.5. Evitar mal uso
de los dispositivos de
tratamiento de la
informacin
de los controles de
cifrados
Se debera disuadir a los usuarios del uso de los recursos dedicados al tratamiento de la informacin para propsitos no autorizados.
(consultar 6.1.4)
(consultar 11.5.1)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15-1-5-Evitar-mal-uso-de-los-dispositivos-de-tratamiento-de-la-informacin.html[28/01/2011 08:42:08 p.m.]

Quick Search
Site Home
Go
Go
15. Conformidad 15 1 Conformidad con los requisitos legales 15.1.6. Reglamentacin de los controles de cifrados

requisitos legales
15.1.2. Derechos de
(IPR)
Control:
los registros de la
Organizacin
datos de carcter
de las personas
Se deberan utilizar controles cifrados en conformidad con todos acuerdos, leyes y regulaciones pertinentes.
La situacin legal de los programas criptolgicos vara segn los pases, y las leyes
que rigen el uso y comercio de estos programas evolucionan con rapidez. Wikitel es un

los dispositivos de
tratamiento de la
informacin
15.1.6.
Reglamentacin de los
controles de cifrados
proyecto promovido por la Comisin del Mercado de las Telecomunicaciones (CMT).

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15-1-6-Reglamentacin-de-los-controles-de-cifrados.html[28/01/2011 08:42:17 p.m.]
Wikitel

Quick Search
Site Home 15. Conformidad 15 2 Revisiones de la poltica de seguridad y de la conformidad tcnica
Go
Go

ISO 27002
Recursos Humanos
Garantizar la conformidad de los sistemas con las polticas y estndares de seguridad de la Organizacin.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Se deberan realizar revisiones regulares de la seguridad de los sistemas de informacin.

Las revisiones se deberan realizar segn las polticas de seguridad apropiadas y las plataformas tcnicas y
sistemas de informacin deberan ser auditados para el cumplimiento de los estndares adecuados de

y Mantenimiento de
implantacin de la seguridad y controles de seguridad documentados.

de Seguridad de la
Informacin
Alinee los procesos de auto-evaluacin de controles de seguridad con las auto-evaluaciones de gobierno
corporativo, cumplimiento legal y regulador, etc., complementados por revisiones de la direccin y

del Negocio
verificaciones externas de buen funcionamiento.
15. Conformidad
requisitos legales
Nmero de cuestiones o recomendaciones de poltica interna y otros aspectos de cumplimiento, agrupadas y

analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto,
de la conformidad
tcnica
medio o bajo).
Porcentaje de revisiones de cumplimiento de seguridad de la informacin sin incumplimientos sustanciales.
15.2.1. Conformidad
con la poltica de
seguridad
15.2.2. Comprobacin
de la conformidad
tcnica
sistemas
Objetivos

Post a comment
Attachments (2)
Contacto
Aviso Legal
RSS of this page
Author: aglone
Version: 1.3
http://iso27002.wiki.zoho.com/15-2-Revisiones-de-la-poltica-de-seguridad-y-de-la-conformidad-tcnica.html[28/01/2011 08:42:26 p.m.]

Quick Search
Site Home
15. Conformidad 15 2 Revisiones de la poltica de seguridad y de la conformidad tcnica 15.2.1. Conformidad
con la poltica de seguridad
Go
Go

poltica de seguridad y de
la conformidad tcnica
15.2.1. Conformidad
con la poltica de
seguridad
15.2.2. Comprobacin de
Control:
Los directivos se deberan asegurar que todos los procedimientos de seguridad dentro de su rea de responsabilidad se realizan
correctamente y cumplen con los estndares y polticas de seguridad.
(consultar 6.1.8)

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15-2-1-Conformidad-con-la-poltica-de-seguridad.html[28/01/2011 08:42:37 p.m.]

Quick Search
Site Home
15. Conformidad 15 2 Revisiones de la poltica de seguridad y de la conformidad tcnica 15.2.2. Comprobacin
Go
Go

poltica de seguridad y de
15.2.1. Conformidad con
la poltica de seguridad
15.2.2. Comprobacin
de la conformidad
tcnica
Control:
Se debera comprobar regularmente la conformidad de los sistemas de informacin con los estndares de implantacin de la seguridad.
CIS offers a variety of audit tools for assessing compliance with CIS
Benchmarks.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15-2-2-Comprobacin-de-la-conformidad-tcnica.html[28/01/2011 08:42:45 p.m.]
CIS Benchmarks

Quick Search
Site Home 15. Conformidad 15 3 Consideraciones sobre la auditora de sistemas
Go
Go

ISO 27002
Maximizar la efectividad del proceso de auditora de los sistemas de informacin y minimizar las

Recursos Humanos
intromisiones a/desde ste proceso.

Entorno
10. Gestin de
Comunicaciones y
Operaciones
Deberan existir controles para proteger los sistemas en activo y las herramientas de auditora durante el
desarrollo de las auditoras de los sistemas de informacin.
Tambin se requiere la proteccin para salvaguardar la integridad y prevenir el mal uso de las

y Mantenimiento de
herramientas de auditora.

de Seguridad de la
Informacin
Invierta en auditora TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estndares y mtodos de
buenas prcticas similares como referencias de comparacin.

del Negocio
Examine ISO 19011 "Directrices para la auditora de los sistemas de gestin de la calidad y/o ambiental"
15. Conformidad
como fuente valiosa para la realizacin de auditoras internas del SGSI.

requisitos legales
ISO 19011 proporciona un marco excelente para crear un programa de auditoras internas y contiene
asimismo las cualificaciones del equipo de auditora interna.
sistemas
Nmero de cuestiones o recomendaciones de auditora, agrupadas y analizadas por su estado (cerradas,

abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
15.3.1. Controles de
Porcentaje de hallazgos de auditora relativos a seguridad de la informacin que han sido resueltos y
las herramientas de
cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de resolucin/cierre de
recomendaciones, respecto a los plazos acordados por la direccin al final de las auditoras.
Objetivos
Contacto
Aviso Legal

Post a comment
Attachments (2)
RSS of this page
Author: aglone
Version: 1.4
http://iso27002.wiki.zoho.com/15-3-Consideraciones-sobre-la-auditora-de-sistemas.html[28/01/2011 08:42:54 p.m.]

Quick Search
Site Home
Go
Go
15. Conformidad 15 3 Consideraciones sobre la auditora de sistemas 15.3.1. Controles de auditoria de sistemas

15 3 Consideraciones sobre
la auditora de sistemas
15.3.2. Proteccin de las
herramientas de
Control:
Se deberan planificar y acordar cuidadosamente los requisitos y actividades de auditora que impliquen comprobaciones en los sistemas en
activo con objeto de minimizar el riesgo de interrupciones de los procesos de negocio.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15-3-1-Controles-de-auditoria-de-sistemas.html[28/01/2011 08:43:05 p.m.]

Quick Search
Site Home
Go
Go
15. Conformidad 15 3 Consideraciones sobre la auditora de sistemas 15.3.2. Proteccin de las herramientas de

15 3 Consideraciones sobre
la auditora de sistemas
las herramientas de
Control:
Se deberan proteger los accesos a las herramientas de auditora de los sistemas de informacin con objeto de prevenir cualquier posible mal
uso o compromiso.
This is a VA / PT report for a fictitious bank called eClipse Bank PLC carried out by
another fictitious company Cynergi Solutions Inc. All names, URLs, IPs, etc are
fictitious
Vulnerability
Assessment &
Penetration Test
Report template
Open Source Security Information Management: Coleccin de herramientas bajo la

licencia BSD, diseadas para ayudar a los administradores de red en la seguridad de
OSSIM
las computadoras, deteccin de intrusos y prevencin.

Collection of tools for network auditing and penetration testing. dsniff, filesnarf,
mailsnarf, msgsnarf, urlsnarf, and webspy passively monitor a network for interesting
data (passwords, e-mail, files, etc.). arpspoof, dnsspoof, and macof facilitate the
interception of network traffic normally unavailable to an attacker (e.g, due to layer-
Dsniff
2 switching). sshmitm and webmitm implement active monkey-in-the-middle attacks

against redirected SSH and HTTPS sessions by exploiting weak bindings in ad-hoc
PKI.
Password auditing and recovery. 15 days trial.
l0phtcrack
BackTrack is intended for all audiences from the most savvy security professionals to
early newcomers to the information security field. BackTrack promotes a quick and
BackTrack
easy way to find and update the largest database of security tool collection to-date.
Fully featured security distribution consisting of a bunch of powerful, open source and
free tools that can be used for various purposes including, but not limited to,
penetration testing, ethical hacking, system and network administration, cyber
Matriux
forensics investigations, security testing, vulnerability analysis, and much more.

The SANS SIFT Workstation is a VMware Appliance that is pre-configured with all the
necessary tools to perform a detailed digital forensic examination. It is compatible
with Expert Witness Format (E01), Advanced Forensic Format (AFF), and raw (dd)
evidence formats. The brand new version has been completely rebuilt on an Ubuntu
SANS
base with many additional tools and capabilities that can match any modern forensic
tool suite.
IDA Pro is a Windows or Linux hosted multi-processor disassembler and debugger
that offers so many features it is hard to describe them all.

Post a comment
RSS of this page
Author: aglone
Version: 1.1
http://iso27002.wiki.zoho.com/15-3-2-Proteccin-de-las-herramientas-de-auditoria-de-sistemas.html[28/01/2011 08:43:14 p.m.]
IDA Pro
http://iso27002.wiki.zoho.com/15-3-2-Proteccin-de-las-herramientas-de-auditoria-de-sistemas.html[28/01/2011 08:43:14 p.m.]

Quick Search
Site Home 10 9 3 Seguridad en informaci n pblica
You do not have permission to create page in this
Go
Go
wiki.
ISO 27002
Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/10-9-3-Seguridad-en-informacin-pblica.html[28/01/2011 08:43:27 p.m.]
10 10 6 Sincronizacin del reloj

Quick Search
Site Home 10 10 6 Sincronizaci n del reloj
Go
Go
wiki.
ISO 27002
Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/10-10-6-Sincronizacin-del-reloj.html[28/01/2011 08:43:38 p.m.]

Quick Search
Wiki Index
Go
Go
ISO 27002
Aviso Legal

Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/siteindex.zhtml?show=A[28/01/2011 08:43:53 p.m.]

Quick Search
Wiki Index
Go
Go
ISO 27002
Contacto

Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/siteindex.zhtml?show=C[28/01/2011 08:44:03 p.m.]

Quick Search
Wiki Index
Go
Go
ISO 27002
ISO 27002

Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/siteindex.zhtml?show=I[28/01/2011 08:44:13 p.m.]

Quick Search
Wiki Index
Go
Go
ISO 27002
Objetivos

Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/siteindex.zhtml?show=O[28/01/2011 08:44:26 p.m.]
15 1 1 Identificacin de la legislacin aplicable

Quick Search
Site Home 15 1 1 Identificaci n de la legislaci n aplicable
Go
Go
wiki.
ISO 27002
Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal
http://iso27002.wiki.zoho.com/15-1-1-Identificacin-de-la-legislacin-aplicable.html[28/01/2011 08:44:41 p.m.]

Quick Search
Wiki Index
Go
Go
ISO 27002
Recursos Humanos
Entorno
10. Gestin de
Comunicaciones y
Operaciones
y Mantenimiento de
de Seguridad de la
Informacin
del Negocio
15. Conformidad
Objetivos
Contacto
Aviso Legal

08. Seguridad ligada a los Recursos
Humanos
06. Organizacin de la Seguridad de

Informacin
10 1 Procedimientos y responsabilidades de 10. 10. 1. Registro de incidencias

operacin

10.1.1. Documentacin de procedimientos
operativos
10.1.4. Separacin de los recursos para
10. 10. 2. Supervisin del uso de los
sistemas
10. 10. 3. Proteccin de los registros de

incidencias
10. 10. 4. Diarios de operacin del


10.2.2. Monitorizacin y revisin de los
10 10 Monitorizacin
10.2.3. Gestin de los cambios en los

10. 4. 1. Medidas y controles contra
software malicioso

10. 4. 2. Medidas y controles contra cdigo 10 4 Proteccin contra software malicioso y
mvil
cdigo mvil

10 5 Gestin interna de soportes y

recuperacin

10 2 Supervisin de los servicios

10. 7. 3. Procedimientos de utilizacin de la 10. 7. 4. Seguridad de la documentacin de

informacin
sistemas
10 7 Utilizacin y seguridad de los soportes 10. 8. 1. Polticas y procedimientos de
de informacin
10. 8. 5. Sistemas de informacin
empresariales
10 8 Intercambio de informacin y software 10. 9. 1. Seguridad en comercio electrnico 10. 9. 2. Seguridad en transacciones en
lnea
10. Gestin de Comunicaciones y
Operaciones
11 1 Requerimientos de negocio para el
control de accesos
11.2.4. Revisin de los derechos de acceso
de los usuarios
11.3.2. Equipo informtico de usuario
desatendido
11.3.3. Polticas para escritorios y
11.4.1. Poltica de uso de los servicios de
monitores sin informacin
red
11.4.2. Autenticacin de usuario para
11.4.4. Proteccin a puertos de diagnstico
conexiones externas
remoto
11.4.7. Control de encaminamiento en la
red
11.5.1. Procedimientos de conexin de
11.5.2. Identificacin y autenticacin de
terminales
usuario
11.5.5. Desconexin automtica de
terminales
11 5 Control de acceso al sistema operativo 11.6.1. Restriccin de acceso a la
informacin
12.1.1. Anlisis y especificacin de los

12 1 Requisitos de seguridad de los
sistemas


12 2 Seguridad de las aplicaciones del
sistema

12.3.1. Poltica de uso de los controles
criptogrficos

12.3.2. Cifrado
12.4.3. Control de acceso a la librera de
programas fuente
12.5.2. Revisin tcnica de los cambios en
el sistema operativo
12.5.5. Desarrollo externalizado del
software
12 6 Gestin de las vulnerabilidades
tcnicas
13.1.2. Comunicacin de debilidades en
seguridad

12.5.3. Restricciones en los cambios a los
12 5 Seguridad en los procesos de
12. Adquisicin, Desarrollo y
Mantenimiento de Sistemas de Informacin
13 1 Comunicacin de eventos y
debilidades en la seguridad de la
informacin
13.2.2. Evaluacin de incidentes en

seguridad
13. Gestin de Incidentes de Seguridad de
14.1.1. Proceso de la gestin de
la Informacin
14.1.3. Redaccin e implantacin de planes 14.1.4. Marco de planificacin para la
de continuidad
12.4.2. Proteccin de los datos de prueba

del sistema
12.5.1. Procedimientos de control de
cambios
12.5.4. Canales encubiertos y cdigo
Troyano
12.6.1. Control de las vulnerabilidades
tcnicas
13 1 1 Comunicacin de eventos en
seguridad
13.2.1. Identificacin de responsabilidades
y procedimientos
13 2 Gestin de incidentes y mejoras en la
14.1.2. Continuidad del negocio y anlisis
de impactos
14.1.5. Prueba, mantenimiento y
reevaluacin de planes de continuidad
14 1 Aspectos de la gestin de continuidad 14. Gestin de Continuidad del Negocio

15.1.1. Identificacin de la legislacin
del negocio
aplicable
15.1.2. Derechos de propiedad intelectual
15.1.3. Salvaguarda de los registros de la
15.1.4. Proteccin de datos de carcter
(IPR)
Organizacin
personal y de la intimidad de las personas
15.1.5. Evitar mal uso de los dispositivos
15.1.6. Reglamentacin de los controles de 15 1 Conformidad con los requisitos legales
de tratamiento de la informacin
cifrados
15.2.1. Conformidad con la poltica de
15.2.2. Comprobacin de la conformidad
15 2 Revisiones de la poltica de seguridad
seguridad
tcnica
y de la conformidad tcnica
http://iso27002.wiki.zoho.com/siteindex.zhtml?show=All[28/01/2011 08:46:26 p.m.]

15. Conformidad
6.2.3. Tratamiento de la seguridad en
8.1.1. Inclusin de la seguridad en las
8 1 Seguridad en la definicin del trabajo y
los recursos
9.1.4. Proteccin contra amenazas
9 1 reas seguras
15.3.2. Proteccin de las herramientas de

5.1.1 Documento de poltica de seguridad
de la informacin
6.1.1. Compromiso de la Direccin con la

6.1.2. Coordinacin de la Seguridad de la
Informacin
6.1.4. Proceso de Autorizacin de Recursos 6.1.5. Acuerdos de Confidencialidad
para el Tratamiento de la Informacin
6.1.7. Contacto con Grupos de Inters
6.1.8. Revisin Independiente de la
Especial
6.2.1. Identificacin de los riesgos
6.2.2. Tratamiento de la seguridad en la
derivados del acceso de terceros
6 2 Terceros
7 1 3 Acuerdos sobre el uso adecuado de
los activos
7.2.2 Marcado y tratamiento de la
informacin
8 2 Seguridad en el desempeo de las

8.1.3. Trminos y condiciones de la
relacin laboral
8.2.2. Formacin y capacitacin en
8 3 Finalizacin o cambio del puesto de
trabajo
9.1.3. Seguridad de oficinas, despachos y
recursos
9.2.6. Seguridad en la reutilizacin o

Aviso Legal
Objetivos
15 3 Consideraciones sobre la auditora de

sistemas
5.1.2 Revisin de la poltica de seguridad
de la informacin

Contacto
9 2 5 Seguridad de equipos fuera de los

ISO 27002
http://iso27002.wiki.zoho.com/siteindex.zhtml?show=All[28/01/2011 08:46:26 p.m.]

Anexo Iso 27001

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Anexo Iso 27001

Hochgeladen von

Copyright:

Verfügbare Formate

ISO 27002

iso27002.es - El Anexo de ISO 27001 en espaol

Site Home ISO 27002

13. Gestin de Incidentes

Los dominios de control ISO 27002:2005 son:

14. Gestin de Continuidad

12.Adquisicin, desarrollo y mantenimiento de sistemas

Las clusulas de ISO 27002:2005 son:

http://iso27002.wiki.zoho.com/[28/01/2011 08:07:18 p.m.]

La norma est disponible para su adquisicin en diversos enlaces:

0 Comments Show recent to old

RSS of this page

Last Edited By: aglone3

Modified: 14 - days ago

http://iso27002.wiki.zoho.com/[28/01/2011 08:07:18 p.m.]

http://iso27002.wiki.zoho.com/[28/01/2011 08:07:18 p.m.]

iso27002.es - El Anexo de ISO 27001 en espaol

iso27002.es - El Anexo de ISO 27001 en espaol

Navigate pages | Site Map

6.2.1. Identificacin de los riesgos derivados del acceso de terceros

6.2.2. Tratamiento de la seguridad en la relacin con los clientes

6.2.3. Tratamiento de la seguridad en contratos con terceros

http://iso27002.wiki.zoho.com/sitemap.zhtml[28/01/2011 08:07:37 p.m.]

iso27002.es - El Anexo de ISO 27001 en espaol

http://iso27002.wiki.zoho.com/sitemap.zhtml[28/01/2011 08:07:37 p.m.]

iso27002.es - El Anexo de ISO 27001 en espaol

http://iso27002.wiki.zoho.com/sitemap.zhtml[28/01/2011 08:07:37 p.m.]

iso27002.es - El Anexo de ISO 27001 en espaol

http://iso27002.wiki.zoho.com/sitemap.zhtml[28/01/2011 08:07:37 p.m.]

iso27002.es - El Anexo de ISO 27001 en espaol

Site Home ISO 27002

12. Adquisicin, Desarrollo

13. Gestin de Incidentes

Los dominios de control ISO 27002:2005 son:

14. Gestin de Continuidad

12.Adquisicin, desarrollo y mantenimiento de sistemas

Las clusulas de ISO 27002:2005 son:

http://iso27002.wiki.zoho.com/ISO-27002.html[28/01/2011 08:08:25 p.m.]

La norma est disponible para su adquisicin en diversos enlaces:

0 Comments Show recent to old

RSS of this page

Last Edited By: aglone3

Modified: 14 - days ago

http://iso27002.wiki.zoho.com/ISO-27002.html[28/01/2011 08:08:25 p.m.]

http://iso27002.wiki.zoho.com/ISO-27002.html[28/01/2011 08:08:25 p.m.]

05. Poltica de Seguridad

iso27002.es - El Anexo de ISO 27001 en espaol

Site Home 05. Poltica de Seguridad

05. Poltica de Seguridad

Navigate pages | Site Map

5.1. Poltica de seguridad de la informacin

07. Gestin de Activos

5.1.1. Documento de poltica de seguridad de la informacin

09. Seguridad Fsica y del

5.1.2. Revisin de la poltica de seguridad de la informacin

0 Comments Show recent to old

11. Control de Accesos

RSS of this page

Last Edited By: javier_ruiz

Modified: 10 - days ago

http://iso27002.wiki.zoho.com/05Politica.html[28/01/2011 08:08:37 p.m.]

06. Organizacin de la Seguridad de Informacin

iso27002.es - El Anexo de ISO 27001 en espaol

Site Home 06. Organizacin de la Seguridad de Informacin