Inventario de Activos

ACTIVO CANTIDAD Detalle
Servidores de aplicacin 3
*1 Windows Server 2012 con
IIS V8, virtualizado en 3 HP
PROLIANT 380P GEN8
IIS V6, fsico, Dell PE2950
*1 Servidor Windows 2008 R2,
con IIS V7, fsico en Dell PE510
Servidores de BD 2
SQL Server 2012 Standard,
virtualizado en 3 HP PROLIANT
380P GEN8
*1 Windows Server 2003, con
SQL Server 2005 Fsico, Dell
PE2950
Servidores de controlador de dominio 2
*2 Windows Server 2012
Virutalizados en 3 HP
PROLIANT 380P GEN8
*1 Windows Server 2003
Fsico, Dell PE2950
Servidores de DHCP 1
*1 Servidor Linux Untangle,
fsico en Dell R200
INFORMACIN ACTIVOS
SAN - Unidades de
almacenamiento 1
*1 HP SFF P2000, con 18
discos duros de 900GB c/u
Firewalls - proxy 1
*1 Servidor Linux Untangle,
fsico en Dell R200
Servidor de Datos sigeca 1
*1 Servidor Windows 2008 R2,
fsico en Dell PE510
Switch de red 2
SWITCH HP 8/8 BASE (0) e-
PORT SAN
Switch de red 2
SWITH HP 24 PUERTOS 10 100
1000 4PORTS SFP 2 SLOTS EXP
CAPA 234
Switch de red 1
SWITCH HP NETWORKING
1910-24 PTOS 10/100/1000
Switch de red 1
SWITCH HP V 1910-48G 48
PUERTOS 10/100/1000 + 4SFP
LAYER 2.3
Acces Point 1 Cisco Aironet 1200
CATEGORIA DESCRIPCIN ACTIVO RESPONSABLE ACTIVO
Hadware
Servidores donde se aloja las
aplicaciones del core del
negocio
Cristian Toro - Coordinador de
Sistemas
Hadware
Servidores donde se aloja las
bases de datos de las las
aplicaciones core del negocio
Sistemas
Hadware
Servidor el cual permite crear
las politicas y reglas de acceso
a a infraestructura tecnologica
de la compaa.
Sistemas
Hadware
Servidor el cual permite
administrar las politicas y
reglas de la red de la
compaa
Sistemas
INFORMACIN ACTIVOS
Soporte de infraestructura
tecnolgica
Unidad de almacenamiento
donde se encuentra
centralizados los servicios de
software
Sistemas
Soporte de infraestructura
tecnolgica Seguridad de la red
Sistemas
Soporte de infraestructura tecnolgica Servidor donde se alojan archivos de uso diario los usuarios Cristian Toro - Coordinador de Sistemas
Hadware
Switch de comunicacin entre
unidad SAN y Servidores
virtualizados
Sistemas
Hadware
servidores virtualizados
Sistemas
Hadware
servidores y equipos cliente
Sistemas
Hadware
servidores y equipos cliente
Sistemas
Hadware
Acces Point para ingreso a la
red de equipos inalmbricos
Sistemas
PROCESO POLITICA NOMENCLATURA INTEGRIDAD CONFIABILIDAD
TECNOLOGIA DE LA
INFORMACIN
Politica de
acceso al
centro de
computo. TI-PR01 ALTA ALTA
TECNOLOGIA DE LA
INFORMACIN
Politica de
acceso al
centro de
TECNOLOGIA DE LA
INFORMACIN
Politica de
acceso al
centro de
computo.
Poltica de
grupo
(pgina
inicio,
unidades de
red) TI-PR01 ALTA ALTA
TECNOLOGIA DE LA
INFORMACIN
Politica de
acceso al
centro de
CRITERIOS DE EVALUACIN DE ACTIVO INFORMACIN ACTIVOS
TECNOLOGIA DE LA
INFORMACIN
Politica de
acceso al
centro de
TECNOLOGIA DE LA
INFORMACIN
Politica de
uso
adecuado de
los servicios
de acceso al
internet y
descargas de
contenido TI-PR02 MEDIO ALTA
TECNOLOGIA DE LA
INFORMACIN
Politica de
acceso al
centro de
TECNOLOGIA DE LA
INFORMACIN
Politicas de
Fail Over
para
garantizar
conectividad
de la
plataforma
virtualizada TI-PR03 BAJO MEDIA
TECNOLOGIA DE LA
INFORMACIN
Politicas de
Fail Over
para
garantizar
conectividad
de la
plataforma
TECNOLOGIA DE LA
INFORMACIN
Politicas de
Fail Over
para
garantizar
conectividad
de la
plataforma
TECNOLOGIA DE LA
INFORMACIN
Politicas de
Fail Over
para
garantizar
conectividad
de la
plataforma
TECNOLOGIA DE LA
INFORMACIN
Segmentaci
n de red a
travs de
VLAN TI-PR03 BAJO MEDIA
DISPONIBILIDAD AMANEZA VULNEABILIDAD JUICIOSO DE EXPERTO
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
centro de computo. ALTA
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
CRITERIOS DE EVALUACIN DE ACTIVO RESULTADO
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
MEDIO
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
centro de computo. MEDIA
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
ALTA
PERSONAL
NO
AUTORIZADO
E L CENTRO
COMPUTO
Bajos controles de
acceso de fisico a
Riesgo
Acceso de usuarios no
autorizados a zonas
sensibles de la entidad,
lo cual podria generar
daos en equipos de la
infraestructura o
interrupciones en las
operaciones diarias de
las entidad.
autorizados a zonas
infraestructura o
las entidad.
autorizados a zonas
infraestructura o
las entidad.
autorizados a zonas
infraestructura o
las entidad.
RESULTADO
autorizados a zonas
infraestructura o
las entidad.
autorizados a zonas
infraestructura o
las entidad.
autorizados a zonas
infraestructura o
las entidad.
autorizados a zonas
infraestructura o
las entidad.
autorizados a zonas
infraestructura o
las entidad.
autorizados a zonas
infraestructura o
las entidad.
autorizados a zonas
infraestructura o
las entidad.
autorizados a zonas
infraestructura o
las entidad.
Objetivo de control: Proporcionar direccin gerencial y apoyo a la seguridad de la informacin en
concordancia con los requerimientos comerciales y leyes y regulaciones relevantes
Tabla A.1 Objetivos de control y controles
A.5 Poltica de seguridad
A.5.1 Poltica de seguridad de informacin
A.6.1.6 Contacto con
autoridades
Control
Se debe mantener los contactos apropiados con las
autoridades relevantes.
A.6.1.7 Contacto con grupos de
inters especial
Control
Se deben mantener contactos apropiados con los grupos de inters
especial u otros foros de seguridad especializados y asociaciones
profesionales.
A.5.1.1 Documentar poltica
de
seguridad de
informacin
Control
La gerencia debe aprobar un documento de poltica,
este se debe publicar y comunicar a todos los empleados y entidades
externas relevantes.
A.6.1.4 Proceso de autorizacin
para los medios de
procesamiento de
informacin
Control
Se debe definir e implementar un proceso de autorizacin gerencial
para los nuevos medios de procesamiento de informacin
A.6.1.5 Acuerdos de
confidencialidad
Control
Se deben identificar y revisar regularmente los requerimientos de
confidencialidad o los acuerdos de no-divulgacin reflejando las
necesidades de la organizacin para la proteccin de la informacin.
A.6.1.2 Coordinacin de la
seguridad de
informacin
Control
Las actividades de seguridad de la informacin deben ser
coordinadas por representantes de las diferentes partes de la
organizacin con las funciones y roles laborales relevantes.
A.6.1.3 Asignacin de
responsabilidades de la
seguridad de la
Control
Se deben definir claramente las responsabilidades
de la seguridad de la informacin.
A.5.1.2 Revisin de la poltica
de seguridad de la
informacin
Control
La poltica de seguridad de la informacin debe ser revisada
regularmente a intervalos planeados o si ocurren cambios
significativos para asegurar la continua idoneidad, eficiencia y
efectividad.
A.6 Organizacin de la seguridad de la informacin
A.6.1 Organizacin interna
Objetivo: Manejar la seguridad de la informacin dentro de la organizacin.
A.6.1.1 Compromiso de la
gerencia con la
seguridad de la
informacin
Control
La gerencia debe apoyar activamente la seguridad dentro de la
organizacin a travs de una direccin clara, compromiso
demostrado, asignacin explcita y reconocimiento de las
responsabilidades de la seguridad de la informacin.
A.7.1.3 Uso aceptable de los
activos
Control
Se deben identificar, documentar e implementar las reglas para el uso
aceptable de la informacin y los activos asociados con los medios de
procesamiento de la informacin.
A.7.2 Clasificacin de la informacin
Objetivo: Asegurar que a informacin reciba un nivel de proteccin apropiado.
A.7.1.2 Propiedad de los
activos
Control
Toda la informacin y los activos asociados con los medios de
procesamiento de la informacin deben ser propiedad3 de una parte
designada de a organizacin.
A.6.2.2 Tratamiento de la
seguridad cuando
se
trabaja con clientes
Control
Se deben tratar todos los requerimientos de
seguridad identificados antes de otorgar a los clientes acceso a la
informacin o activos de la organizacin.
A.6.2.3 Tratamiento de la
seguridad en
contratos con
terceras personas
Control
Los acuerdos que involucran acceso, procesamiento, comunicacin o
manejo por parte de terceras personas a la informacin o los medios
de procesamiento de informacin de la organizacin; agregar
productos o servicios a los medios de procesamiento de la informacin
deben abarcar los requerimientos de seguridad necesarios relevantes.
A.7 Gestin de activos
A.7.1 Responsabilidad por los activos
Objetivo: Lograr y mantener la proteccin apropiada de los activos organizacionales.
A.7.1.1 Inventarios de
activos
Control
Todos los activos deben estar claramente identificados; y se debe
elaborar y mantener un inventario de todos los activos importantes.
A.6.1.8 Revisin independiente
de la seguridad de la
informacin
Control
El enfoque de la organizacin para manejar la seguridad de la
informacin y su implementacin (es decir; objetivos de control,
controles, polticas, procesos y procedimientos para la seguridad de
la informacin) se debe revisar independientemente a intervalos
planeados, o cuando ocurran cambios significativos para la
implementacin de la seguridad.
A.6.2 Entidades externas
Objetivo: Mantener la seguridad de la informacin de la organizacin y los medios de procesamiento de
informacin a los cuales entidades externas tienen acceso y procesan; o son comunicados a o manejados
por entidades externas.
A.6.2.1 Identificacin de
riesgos relacionados
con entidades
externas
Control
Se deben identificar los riesgos que corren la informacin y los medios
de procesamiento de informacin de la organizacin y se deben
implementar los controles apropiados antes de otorgar acceso.
A.8.2 Durante el empleo
Objetivo: Asegurar que todos los empleados, contratistas y terceros estn al tanto de las amenazas y
inquietudes sobre la seguridad de informacin, sus responsabilidades y obligaciones, y que estn equipados
para apoyar la poltica de seguridad organizacional en el curso de su trabajo normal, y reducir los riesgos de
error humano.
A.8.2.1 Gestin de
responsabilidades
Control
La gerencia debe requerir que los empleados, contratistas y terceros
apliquen la seguridad en concordancia con las polticas y
procedimientos establecidos de la organizacin.
A.8.1.2 Seleccin Control
Se deben llevar a cabo chequeos de verificacin de antecedentes de
todos los candidatos a empleados, contratistas y terceros en
concordancia con las leyes, regulaciones y tica relevante, y deben
ser proporcionales a los requerimientos comerciales, la clasificacin
de la informacin a la cual se va a tener acceso y los riesgos
percibidos.
A.8.1.3 Trminos y
condiciones de empleo
Control
Como parte de su obligacin contractual; los empleados,
contratistas y terceros deben aceptar y firmar los trminos y
condiciones de su contrato de empleo, el cual debe establecer sus
responsabilidades y las de la organizacin para la seguridad de la
informacin.
A.7.2.2 Etiquetado y manejo
de la informacin
Control
Se debe desarrollar e implementar un apropiado conjunto de
procedimientos para etiquetar y manejar la informacin en
concordancia con el esquema de clasificacin adoptado por la
organizacin.
A.8 Seguridad de los recursos humanos
A.8.1 Antes del empleo4
Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean
adecuados para los roles para los cuales se les considera; y reducir el riesgo de robo, fraude o mal uso de los
medios.
A.8.1.1 Roles y
responsabilidades
Control
Se deben definir y documentar los roles y responsabilidades de
seguridad de los empleados, contratistas y terceros en concordancia
con la poltica de la seguridad de informacin de la organizacin.
A.7.2.1 Lineamientos de
clasificacin
Control
La informacin debe ser clasificada en trminos de
su valor, requerimientos legales, confidencialidad y grado crtico para
la organizacin.
A.9.1.3 Seguridad de oficinas,
habitaciones y medios
Control
Se debe disear y aplicar seguridad fsica en las
oficinas, habitaciones y medios.
A.9 Seguridad fsica y ambiental
A.7.1 reas seguras
Objetivo: Evitar el acceso fsico no autorizado, dao e interferencia al local y la informacin de la
organizacin.
A.9.1.1 Permetro de
seguridad fsica
Control
Se debe utilizar permetros de seguridad (barreras tales como
paredes y puertas de ingreso controlado o recepcionistas) para
proteger reas que contienen informacin y medios de
procesamiento de informacin.
A.9.1.2 Controles de entrada
fsicos
Control
Se deben proteger las reas seguras mediante controles de entrada
apropiados para asegurar que slo se permita acceso al personal
autorizado.
A.8.3.2 Devolucin de activos Control
Todos los empleados, contratistas y terceros
deben devolver todos los activos de la organizacin que estn en su
posesin a la terminacin de su empleo, contrato o acuerdo.
A.8.3.3 Eliminacin de
derechos de acceso
Control
Los derechos de acceso de todos los empleados, contratistas y
terceros a la informacin y medios de procesamiento de la
informacin deben ser eliminados a la terminacin de su empleo,
contrato o acuerdo, o se deben ajustar al cambio.
A.8.2.3 Proceso disciplinario Control
Debe existir un proceso disciplinario formal para los empleados que
han cometido una violacin en la seguridad.
A.8.3 Terminacin o cambio del empleo
Objetivo: Asegurar que los empleados, contratistas y terceros salgan de una organizacin o cambien de
empleo de una manera ordenada.
A.8.3.1 Responsabilidades de
terminacin
Control
Se deben definir y asignar claramente las responsabilidades para
realizar la terminacin o cambio del empleo.
A.8.2.2 Capacitacin y
educacin en seguridad
de la informacin
Control
Todos los empleados de la organizacin y, cuando sea relevante, los
contratistas y terceros, deben recibir el apropiado conocimiento,
capacitacin y actualizaciones regulares de las polticas y
procedimientos organizacionales, conforme sean relevantes para su
funcin laboral.
A.9.2.7 Traslado de
Propiedad
Control
Equipos, informacin o software no deben ser sacados fuera de la
propiedad sin previa autorizacin.
A.9.2.5 Seguridad del equipo
fuera-del- local
Control
Se debe aplicar seguridad al equipo fuera-del- local tomando en
cuenta los diferentes riesgos de trabajar fuera del local de la
organizacin.
A.9.2.6 Eliminacin seguro o re-
uso del equipo
Control
Todos los tems de equipo que contengan medios de almacenaje
deben ser chequeados para asegurar que se haya removido o sobre-
escrito de manera segura cualquier data confidencial y software con
licencia antes de su eliminacin.
A.9.2.3 Control
El cableado de la energa y las
telecomunicaciones que llevan data o sostienen los servicios de
informacin deben ser protegidos de la intercepcin o dao.
A.9.2.4 Control
El equipo debe ser mantenido correctamente para permitir su
continua disponibilidad e integridad.
Seguridad en el
cableado
Mantenimiento de
equipo
A.9.2 Seguridad del equipo
Objetivo: Evitar la prdida, dao, robo o compromiso de los activos y la interrupcin de las actividades de la
organizacin.
A.9.2.1 Ubicacin y
proteccin del equipo
Control
El equipo debe estar ubicado o protegido para reducir los riesgos de
las amenazas y peligros ambientales, y las oportunidades para el
acceso no autorizado.
A.9.2.2 Servicios pblicos Control
El equipo debe ser protegido de fallas de energa y otras
interrupciones causadas por fallas en los servicios pblicos.
A.9.1.5 Trabajo en reas seguras Control
Se debe disear y aplicar proteccin fsica y
lineamientos para trabajar en reas seguras.
A.9.1.6 reas de acceso pblico,
entrega y carga
Control
Se deben controlar los puntos de acceso como las reas de entrega y
descarga y otros puntos donde personas no-autorizadas pueden
ingresar a los locales, y cuando fuese posible, se deben aislar de los
medios de procesamiento de la informacin para evitar un acceso
no autorizado.
A.9.1.4 Proteccin contra
amenazas externas y
ambientales
Control
Se debe disear y aplicar proteccin fsica contra dao por fuego,
inundacin, terremoto, explosin, disturbios civiles y otras formas
de desastre natural o creado por el hombre.
A.10.3 Planeacin y aceptacin del sistema
Objetivo: Minimizar el riesgo de fallas en los sistemas.
A.10.1.4 Separacin de los
medios de
desarrollo y
operacionales
Control
Se deben separar los medios de desarrollo, prueba
y operacionales para reducir los riesgos de accesos no-autorizados o
cambios en el sistema de operacin.
A.10.2 Gestin de la entrega del servicio de terceros
Objetivo: Implementar y mantener el nivel apropiado de seguridad de la informacin y entrega del servicio
en lnea con los contratos de entrega del servicio de terceros.
A.10.2.1 Control
Se debe asegurar que los terceros implementen, operen y
mantengan los controles de seguridad, definiciones de servicio y
niveles de entrega incluidos en el contrato de entrega del servicio de
terceros.
A.10.2.2 Control
Los servicios, reportes y registros provistos por
terceros deben ser monitoreados y revisados regularmente, y las
auditoras se deben llevar a cabo regularmente.
A.10.2.3 Control
Se deben manejar los cambios en la provisin de
servicios, incluyendo el mantenimiento y mejoramiento de las
polticas, procedimientos y controles de seguridad existentes,
tomando en cuenta el grado crtico de los sistemas y procesos
comerciales involucrados y la re- evaluacin de los riesgos.
A.10.1.2 Gestin de cambio Control
Se deben controlar los cambios en los medios y sistemas de
A.10.1.3 Segregacin de
deberes
Control
Se deben segregar los deberes y reas de responsabilidad para
reducir las oportunidades de una modificacin no-autorizada o no-
intencionada o un mal uso de los activos de la organizacin.
A.10 Gestin de las comunicaciones y operaciones
A.10.1 Procedimientos y responsabilidades operacionales
Objetivo: Asegurar la operacin correcta y segura de los medios de procesamiento de la informacin
A.10.1.1 Control
Se deben documentar y mantener los procedimientos de operacin,
y se deben poner a disposicin de todos los usuarios que los
necesiten.
Procedimientos de
operacin
documentados
Entrega servicio
Monitoreo y revisin de
los servicios a terceros
Manejar cambios
servicios terceros
A.10.6.1 Controles de red Control
Las redes deben ser adecuadamente manejadas y controladas para
poderlas proteger de amenazas, y para mantener la seguridad de los
sistemas y aplicaciones utilizando la red, incluyendo la informacin
en trnsito.
A.10.6.2 Seguridad de los
servicios de red
Control
Se deben identificar los dispositivos de seguridad, niveles de servicio
y los requerimientos e incluirlos en cualquier contrato de servicio de
red, ya sea que estos servicios sean provistos en-casa o sean
abastecidos externamente.
A.10.5 Respaldo (back-up)
Objetivo: Mantener la integridad y disponibilidad de los servicios de procesamiento de informacin y
comunicaciones.
A.10.5.1 Control
Se deben realizar copias de back-up o respaldo de la informacin
comercial y software esencial y se deben probar regularmente de
acuerdo a la poltica.
A.10.6 Gestin de seguridad de redes
Objetivo: Asegurar la proteccin de la informacin en redes y la proteccin de la infraestructura de soporte.
Back-up o la respaldo
de informacin
A.10.4 Proteccin contra software malicioso y cdigo mvil
Objetivo: Proteger la integridad del software y la informacin.
A.10.4.1 Control
Se deben implementar controles de deteccin, prevencin y
recuperacin para protegerse de cdigos malicioso y se deben
implementar procedimientos de conciencia apropiados.
A.10.4.2 Controles contra
cdigos mviles
Control
Cuando se autoriza el uso de un cdigo mvil, a configuracin debe
asegurar que el cdigo mvil autorizado opere de acuerdo a una
poltica de seguridad claramente definida, y se debe evitar que se
ejecute un cdigo mvil no-autorizado.
A.10.3.1 Control
Se deben monitorear, afinar y realizar proyecciones del uso de los
recursos para asegurar el desempeo del sistema requerido.
A.10.3.2 Control
Se deben establecer los criterios de aceptacin para los sistemas de
informacin nuevos, actualizaciones y versiones nuevas y se deben
llevar a cabo pruebas adecuadas del(los) sistema(s) durante su
desarrollo y antes de su aceptacin.
Gestin de capacidad
Aceptacin del sistema
Controles contra
software malicioso
A.10.7 Gestin de medios
A.10.8.5 Sistemas de
informacin comercial
Control
Se deben desarrollar e implementar polticas y
procedimientos para proteger la informacin asociada con la
interconexin de los sistemas de informacin comercial.
A.10.9 Servicios de comercio electrnico
Objetivo: Asegurar la seguridad de los servicios de comercio electrnico y su uso seguro
A.10.8.3 Medios fsicos en
trnsito
Control
Los medios que contienen informacin deben ser
protegidos contra un acceso no-autorizado, mal uso o corrupcin
durante el transporte ms all de los lmites fsicos de una
organizacin.
A.10.8.4 Mensajes electrnicos Control
Se debe proteger adecuadamente los mensajes electrnicos.
A.10.8 Intercambio de informacin
Objetivo: Mantener la seguridad de la informacin y software intercambiados dentro de una organizacin y
con cualquier entidad externa.
A.10.8.1 Procedimientos y
polticas de
informacin y
software
Control
Se deben establecer poltica, procedimientos y
controles de intercambio formales para proteger el intercambio de
informacin a travs del uso de todos los tipos de medios de
comunicacin.
A.10.8.2 Acuerdos de
intercambio
Control
Se deben establecer acuerdos para el intercambio de informacin y
software entre la organizacin y entidades externas.
A.10.7.3 Procedimientos de
manejo de la
informacin
Control
Se deben establecer los procedimientos para el manejo y
almacenaje de la informacin para proteger dicha informacin de
una divulgacin no autorizada o un mal uso.
A.10.7.4 Seguridad de
documentacin del
sistema
Control
Se debe proteger la documentacin de un acceso no autorizado.
Objetivo: Evitar la divulgacin, modificacin, eliminacin o destruccin no- autorizada de los activos; y la
interrupcin de las actividades comerciales.
A.10.7.1 Gestin de los medios
removibles
Control
Deben existir procedimientos para la gestin de
medios removibles.
A.10.7.2 Eliminacin de medios Control
Los medios deben ser eliminados utilizando procedimientos
formales y de una manera segura cuando ya no se les requiere.
A.10.10.2 Uso del sistema de
monitoreo
A.10.10.3 Proteccin de la
informacin del registro
A.10.10.1 Registro de auditoria
A.10.10.6 Sincronizacin de relojes
A.10.10.4 Registros del
administrador y operador
A.10.10.5 Registro de fallas
A.11.1 Requerimiento comercial para el control del acceso
Objetivo: Controlar acceso a la informacin
A.10.9.2 Transacciones en- lnea Control
Se debe proteger la informacin involucrada en las transacciones en-
lnea para evitar la transmisin incompleta, rutas equivocadas,
alteracin no-autorizada del mensaje, divulgacin no-autorizada, y
duplicacin o re-envo no- autorizado del mensaje.
A.10.9.3 Informacin disponible
pblicamente
Control
Se debe proteger la integridad de la informacin disponible
pblicamente para evitar la modificacin no autorizada.
A.10.9.1 Comercio electrnico Control
Se debe proteger la informacin involucrada en el comercio
electrnico que se trasmite a travs de redes pblicas de cualquier
actividad fraudulenta, disputa contractual y divulgacin y
modificacin no autorizada.
A.10.10 Monitoreo
Objetivo: Detectar actividades de procesamiento de informacin no autorizadas.
Control
Se deben producir registros de la actividades de auditoria,
excepciones y eventos de seguridad de la informacin y se deben
mantener durante un perodo acordado para ayudar en
investigaciones futuras y monitorear el control de acceso.
Control
Se deben establecer procedimientos para monitorear el uso de
los medios de procesamiento de informacin y el resultado de
las actividades de monitoreo se debe revisar regularmente.
Control
Se deben proteger los medios de registro y la informacin del
registro contra alteraciones y acceso no-autorizado.
Control
Se deben registrar las actividades del administrador y
operador del sistema.
Control
Las fallas se deben registrar, analizar y se debe tomar la accin
apropiada.
Control
Los relojes de los sistemas de procesamiento de informacin
relevantes de una organizacin o dominio de seguridad deben
estar sincronizados con una fuente de tiempo exacta acordada.
A.10.10.6
A.11.4.2 Autenticacin del usuario
para conexiones externas
Control
Se debe utilizar mtodos de autenticacin para controlar el
acceso de usuarios remotos.
A.11.3.3 Poltica de
pantalla y escritorio
limpio
A.11.4.1 Poltica sobre el uso de
servicios en red
A.11.3.1 Uso de clave
A.11.3.2 Equipo de usuario
desatendido
A.11.3 Responsabilidades del usuario
Objetivo: Evitar el acceso de usuarios no autorizados, y el compromiso o robo de la informacin y los
medios de procesamiento de la informacin.
Control
Se debe requerir que los usuarios sigan buenas
prcticas de seguridad en la seleccin y uso de claves.
Control
Se debe requerir que los usuarios se aseguren de dar la
proteccin apropiada al equipo desatendido
Control
Se debe adoptar una poltica de escritorio limpio para los
documentos y medios de almacenaje removibles y una poltica
de pantalla limpia para los medios de procesamiento de la
informacin.
A.11.4 Control de acceso a redes
Objetivo: Evitar el acceso no-autorizado a los servicios en red.
Control
Los usuarios slo deben tener acceso a los servicios para los
cuales han sido especficamente autorizados a usar.
A.11.2.3 Gestin de la clave del
usuario
A.11.2.4 Revisin de los derechos
de
acceso del usuario
A.11.2.1 Inscripcin del usuario
A.11.2.2 Gestin de privilegios
A.11.2 Gestin del acceso del usuario
Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no- autorizado a los sistemas de
informacin.
Control
Debe existir un procedimiento formal para la
inscripcin y des-inscripcin para otorgar acceso a todos los
sistemas y servicios de informacin.
Control
Se debe restringir y controlar la asignacin y uso de los
privilegios.
Control
La asignacin de claves se debe controlar a travs de un proceso
de gestin formal.
Control
La gerencia debe revisar los derechos de acceso
de los usuarios a intervalos regulares utilizando un proceso
formal.
A.11.1.1 Poltica de control de
acceso
Control
Se debe establecer, documentar y revisar la poltica de control de
acceso en base a los requerimientos de seguridad y comerciales.
registro en el terminal
A.11.5.2 Identificacin y
autenticacin del usuario
A.11.4.6 Control de conexin
de redes
A.11.4.7 Control de
routing de
redes
Control
Se debe restringir la capacidad de conexin de los usuarios en las
redes compartidas, especialmente aquellas que se extienden a
travs de los lmites organizaciones, en concordancia con la
poltica de control de acceso y los requerimientos de las
aflicciones comerciales (ver 11.1).
Control
Se deben implementar controles routing para las
redes para asegurar que las conexiones de cmputo y los flujos
de informacin no infrinjan la poltica de control de acceso de las
aplicaciones comerciales.
A.11.5 Control de acceso al sistema de operacin
Objetivo: Evitar acceso no autorizado a los sistemas operativos.
Control
Se debe controlar el acceso los servicios operativos mediante un
procedimiento de registro seguro.
Control
Todos los usuarios deben tener un identificador singular (ID de
usuario) para su uso personal y exclusivo, se debe elegir una
tcnica de autenticacin adecuada para verificar la identidad
del usuario.
A.11.4.4 Proteccin del
puerto de
diagnstico remoto
A.11.4.5 Segregacin en redes
A.11.4.3 Identificacin del equipo
en red
Control
Se debe considerar la identificacin automtica del equipo como
un medio para autenticar las conexiones desde equipos y
ubicaciones especficas.
Control
Se debe controlar el acceso fsico y lgico a los
puertos de diagnstico y configuracin.
Control
Los servicios de informacin, usuarios y sistemas de informacin
se deben segregar en las redes.
Control
Los sistemas de manejo de claves deben ser interactivos y deben
asegurar la calidad de las claves.
Control
Se debe restringir y controlar estrictamente el uso de los
programas de utilidad que podran superar al sistema y los
controles de aplicacin.
Control
Las sesiones inactivas deben cerrarse despus de un perodo de
inactividad definido.
A.11.5.5 Sesin inactiva
A.11.5.3 Sistema de gestin de
claves
A.11.5.4 Uso de utilidades del
sistema
A.12.1.1 Anlisis y
especificacin de los
requerimientos de
seguridad
A.12 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
A.12.1 Requerimientos de seguridad de los sistemas
Objetivo: Asegurar que la seguridad sea una parte integral de los sistemas de informacin.
Control
Los enunciados de los requerimientos comerciales para sistemas
nuevos, o mejorar los sistemas existentes deben especificar los
requerimientos de los controles de seguridad.
A.12.2 Procesamiento correcto en las aplicaciones
Objetivo: Evitar errores, prdida, modificacin no-autorizada o mal uso de la informacin en las
aplicaciones.
Control
El Insumo de data en las aplicaciones debe ser
validado para asegurar que esta data sea correcta y apropiada.
A.11.7.2 Tele-trabajo
A.11.6.1 Restriccin al
acceso a la
informacin
A.11.6.2 Aislamiento del sistema
sensible
Control
Se deben desarrollar e implementar polticas, planes
operacionales y procedimientos para actividades de tele-trabajo.
A.12.2.1 Validacin de data de
Insumo
Control
Se debe utilizar restricciones sobre los tiempos
de conexin para proporcionar seguridad adicional a las
aplicaciones de alto riesgo.
A.11.6 Control de acceso a la aplicacin e informacin
Objetivo: Evitar el acceso no autorizado a la informacin mantenida en los sistemas de aplicacin.
Control
Se debe restringir el acceso de los usuarios y personal de soporte
al sistema de informacin y aplicacin en concordancia con la
poltica de control de acceso definida.
Control
Los sistemas sensibles deben tener un ambiente de cmputo
dedicado (aislado).
A.11.7 Computacin mvil y tele-trabajo
Objetivo: Asegurar la seguridad de la informacin cuando se utilice medios computacin mvil y tele-
trabajo.
Control
Se debe establecer una poltica formal y adoptar las medidas de
seguridad apropiadas para proteger contra los riesgos de utilizar
medios de computacin y comunicacin mviles.
A.11.5.6 Limitacin de
tiempo de
conexin
A.11.7.1 Computacin mvil y
comunicaciones
A.12.4 Seguridad de los archivos del sistema
Objetivo: Garantizar la seguridad de los archivos del sistema
A.12.3.1 Poltica sobre el uso de
controles criptogrficos
A.12.3.2 Gestin clave
A.12.2.3 Integridad del mensaje
A.12.2.4 Validacin de data de
output
Control
Se deben identificar los requerimientos para asegurar la
autenticidad y proteccin de la integridad de mensaje en las
aplicaciones, y se deben identificar e implementar los controles
apropiados.
Control
Se debe validar el output de data de una aplicacin para asegurar
que el procesamiento de la informacin almacenada sea correcto
y apropiado para las circunstancias.
A.12.3 Controles criptogrficos
Objetivo: Proteger la confidencialidad, autenticidad o integridad de la informacin a travs de medios
criptogrficos.
Control
Se debe desarrollar e implementar una poltica sobre el uso de
controles criptogrficos para la proteccin de la informacin.
Control
Se debe utilizar una gestin clave para dar
soporte al uso de las tcnicas de criptografa en la organizacin.
A.12.2.2 Control de
procesamiento interno
Control
Se deben incorporar chequeos de validacin en las aplicaciones
para detectar cualquier corrupcin de la informacin a travs
de errores de procesamiento o actos deliberados.
Control
La implementacin de cambios se debe controlar mediante el
uso de procedimientos formales de control de cambios.
A.12.5 Seguridad en los procesos de desarrollo y soporte
Objetivo: Mantener la seguridad del software e informacin del sistema de aplicacin
Control
Se debe restringir el acceso al cdigo fuente del programa.
Control
Se debe seleccionar cuidadosamente, proteger y
controlar la data de prueba
Control
Se debe contar con procedimientos para controlar la instalacin
de software en los sistemas operacionales.
A.12.4.3 Control de acceso al
cdigo fuente del
programa
control de cambio
A.12.4.1 Control de software
operacional
A.12.4.2 Proteccin de la data de
prueba del sistema
A.13.2.1 Responsabilidades y
procedimientos
Control
Se deben establecer las responsabilidades y
procedimientos gerenciales para asegurar una respuesta rpida,
efectiva y ordenada a los incidentes de seguridad de la
informacin.
A.12.5.4 Filtracin de
informacin
A.12.5.5 Desarrollo de
outsourced software
A.12.5.2 Revisin tcnica de
las
aplicaciones despus
de cambios en el
sistema operativo
A.12.5.3 Restricciones sobre los
cambios en los paquetes
de software
A.13.2 Gestin de incidentes y mejoras en la seguridad de la informacin
Objetivo: Asegurar que se aplique un enfoque consistente y efectivo a la gestin de la seguridad de la
informacin.
Control
Se debe requerir que todos los empleados, contratistas y
terceros usuarios de los sistemas y servicios de informacin
tomen nota y reporten cualquier debilidad observada o
sospechada en la seguridad de los sistemas o servicios.
Reporte de debilidades
en la seguridad
Reporte eventos de
seguridad de
informacin
Control
Los eventos de seguridad de la informacin deben reportarse a
travs de los canales gerenciales apropiados lo ms rpidamente
posible.
A.13.1 Reporte de eventos y debilidades en la seguridad de la informacin
Objetivo: Asegurar que la informacin de los eventos y debilidades en la seguridad de la informacin
asociados con los sistemas de informacin sea comunicada de una manera que permita tomar una accin
correctiva oportuna.
A. 13 Gestin de incidentes en la seguridad de la informacin
Control
Se debe obtener informacin oportuna sobre las
vulnerabilidades tcnicas de los sistemas de informacin en uso;
se debe evaluar la exposicin de la organizacin ante esas
vulnerabilidades; y se deben tomar las medidas apropiadas para
tratar el riesgo asociado.
A.12.6 Gestin de vulnerabilidad tcnica
Objetivo: Reducir los riesgos resultantes de la explotacin de vulnerabilidades tcnicas publicadas.
A.13.1.1
A.13.1.2
A.12.6.1 Control de
vulnerabilidades tcnicas
Control
El desarrollo de software que ha sido outsourced
debe ser supervisado y monitoreado por la organizacin.
Control
Se deben evitar las oportunidades de filtraciones en la
informacin.
Control
No se deben fomentar las modificaciones a los paquetes de
software, se deben limitar a los cambios necesarios y todos los
cambios deben ser controlados estrictamente.
Control
Cuando se cambian los sistemas operativos, se deben revisar y
probar las aplicaciones crticas del negocio para asegurar que no
exista un impacto adverso en las operaciones o seguridad
organizacional.
A.14.1.5 Prueba, mantenimiento
y re-evaluacin de planes
de
continuidad comerciales
A.14.1.3
A.14.1.4 Marco referencial para
la
planeacin de la
continuidad comercial
A.14.1.2 Continuidad comercial y
evaluacin riesgo
A.13.2.3 Recoleccin de
evidencia
A.14.1.1 Incluir seguridad de la
informacin en el
proceso de gestin de
A.13.2.2 Aprendizaje de los
incidentes en la seguridad
de la informacin
Control
Cuando la accin de seguimiento contra una persona u
organizacin despus de un incidente en la seguridad de la
informacin involucra una accin legal (sea civil o criminal), se
debe recolectar, mantener y presentar evidencia para cumplir las
reglas de evidencia establecidas en la(s) jurisdiccin(es)
relevantes.
Control
Deben existir mecanismos para permitir cuantificar y monitorear
los tipos, volmenes y costos de los incidetes en la seguridad de
la informacin.
A.15 Cumplimiento
Control
Los planes de continuidad comercial se deben probar y actualizar
regularmente para asegurar que estn actualizados y sean
efectivos.
Control
Se debe mantener un solo marco referencial de planes de
continuidad comercial para asegurar que todos los planes sean
consistentes y para tratar consistentemente los requerimientos
de la seguridad de la informacin e identificar las prioridades de
pruebas y mantenimiento.
Control
Se deben desarrollar e implementar planes para
mantener o restaurar las operaciones y asegurar la disponibilidad
de la informacin en el nivel requerido y en las escalas de tiempo
requeridas despus de la interrupcin o falla en los procesos
comerciales crticos.
Control
Se deben identificar los eventos que causan interrupciones en los
procesos comerciales, junto con la probabilidad e impacto de
dichas interrupciones y sus consecuencias para la seguridad de la
informacin.
Control
Se debe desarrollar y mantener un proceso gerencial para la
continuidad del negocio a travs de toda la organizacin para
tratar los requerimientos de seguridad de la informacin
necesarios para la continuidad comercial de la organizacin.
Requerimientos de seguridad de la informacin necesarios para
A.14.1 Aspectos de la seguridad de la informacin de la gestin de la
Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos
comerciales crticos de los efectos de fallas o desastres importantes o desastres en los sistemas de
informacin y asegurar su reanudacin oportuna.
A.14 Gestin de la continuidad comercial
Desarrollar e
implementar planes
de
continuidad incluyendo
seguridad de la
informacin
A.15.1.2 Derechos de
propiedad intelectual
(IPR)
A.15.1.3 Proteccin los registros
organizacionales
A.15.1.1 Identificacin de
legislacin aplicable
A.15.1.6 Regulacin de
controles criptogrficos
A.15.2.1 Cumplimiento con las
polticas y estndares de
seguridad
A.15.1.4 Proteccin de data y
privacidad de
informacin personal
A.15.1.5 Prevencin de mal uso de
medios de procesamiento
de informacin
A.15.2.2 Chequeo de
cumplimiento tcnico
Control
Los sistemas de informacin deben chequearse
regularmente para el cumplimiento con los estndares de
Control
Los gerentes deben asegurar que todos los procedimientos de
seguridad dentro de su rea de responsabilidad sean realizados
correctamente en cumplimiento con las polticas y estndares de
seguridad.
A.15.2 Cumplimiento con las polticas y estndares de seguridad, y el
cumplimiento tcnico
Objetivo: Asegurar el cumplimiento de los sistemas con las polticas y estndares de seguridad
organizacional.
Control
Se deben utilizar controles en cumplimiento con los acuerdos,
leyes y regulaciones relevantes.
Control
Se debe desanimar a los usuarios de utilizar los
medios de procesamiento de la informacin para propsitos no-
autorizados.
Control
Se deben asegurar la proteccin y privacidad tal como se
requiere en la legislacin relevante, las regulaciones y, si fuese
aplicable, las clusulas contractuales.
Control
Se deben proteger los registros importantes de una organizacin
de prdida, destruccin y falsificacin, en concordancia con los
requerimientos estatutarios, reguladores, contractuales y
comerciales.
Control
Se deben implementar los procedimientos apropiados para
asegurar el cumplimiento de los requerimientos legislativos,
reguladores y contractuales sobre el uso de material con
respecto a los derechos de propiedad intelectual y sobre el uso
de los productos de software patentados.
Control
Se deben definir explcitamente, documentar y actualizar todos
los requerimientos estatutarios, reguladores y contractuales y el
enfoque de la organizacin relevante para cada sistema de
informacin y la organizacin.
A.15.1 Cumplimiento con requerimientos legales
Objetivo: Evitar violaciones de cualquier ley, obligacin reguladora o contractual y de cualquier
requerimiento de seguridad
A.15.3.2 Proteccin de las
herramientas de
auditoria de los sistemas
de informacin
A.15.3.1 Controles de
auditoria de
sistemas de
informacin
Control
Se deben planear cuidadosamente los requerimientos y
actividades de las auditorias que involucran chequeo de los
sistemas operacionales y se debe acordar minimizar el riesgo de
interrupciones en los procesos comerciales.
Se debe proteger el acceso a las herramientas de auditora de los
sistemas de informacin para evitar cualquier mal uso o
compromiso posible.
A.15.3 Consideraciones de auditoria de los sistema de informacin
Objetivo: Maximizar la efectividad de y minimizar la interferencia de/desde el proceso de auditoria de los
sistema de informacin.
Objetivo de control: Proporcionar direccin gerencial y apoyo a la seguridad de la informacin en
concordancia con los requerimientos comerciales y leyes y regulaciones relevantes
Tabla A.1 Objetivos de control y controles
Evaluacin
Evaluacin
A.5 Poltica de seguridad
A.5.1 Poltica de seguridad de informacin
Control
Se debe mantener los contactos apropiados con las
autoridades relevantes.
Control
Se deben mantener contactos apropiados con los grupos de inters
especial u otros foros de seguridad especializados y asociaciones
profesionales.
Control
La gerencia debe aprobar un documento de poltica,
este se debe publicar y comunicar a todos los empleados y entidades
externas relevantes.
Control
Se debe definir e implementar un proceso de autorizacin gerencial
para los nuevos medios de procesamiento de informacin
Control
Se deben identificar y revisar regularmente los requerimientos de
confidencialidad o los acuerdos de no-divulgacin reflejando las
necesidades de la organizacin para la proteccin de la informacin.
Control
Las actividades de seguridad de la informacin deben ser
coordinadas por representantes de las diferentes partes de la
organizacin con las funciones y roles laborales relevantes.
Control
Se deben definir claramente las responsabilidades
de la seguridad de la informacin.
Control
La poltica de seguridad de la informacin debe ser revisada
regularmente a intervalos planeados o si ocurren cambios
significativos para asegurar la continua idoneidad, eficiencia y
efectividad.
A.6 Organizacin de la seguridad de la informacin
A.6.1 Organizacin interna
Objetivo: Manejar la seguridad de la informacin dentro de la organizacin.
Control
La gerencia debe apoyar activamente la seguridad dentro de la
organizacin a travs de una direccin clara, compromiso
demostrado, asignacin explcita y reconocimiento de las
responsabilidades de la seguridad de la informacin.
Observacin
Observacin
Evaluacin
Observacin
Evaluacin
Evaluacin
Control
Se deben identificar, documentar e implementar las reglas para el uso
aceptable de la informacin y los activos asociados con los medios de
A.7.2 Clasificacin de la informacin
Objetivo: Asegurar que a informacin reciba un nivel de proteccin apropiado.
Control
Toda la informacin y los activos asociados con los medios de
procesamiento de la informacin deben ser propiedad3 de una parte
designada de a organizacin.
Control
Se deben tratar todos los requerimientos de
seguridad identificados antes de otorgar a los clientes acceso a la
informacin o activos de la organizacin.
Control
Los acuerdos que involucran acceso, procesamiento, comunicacin o
manejo por parte de terceras personas a la informacin o los medios
de procesamiento de informacin de la organizacin; agregar
productos o servicios a los medios de procesamiento de la informacin
deben abarcar los requerimientos de seguridad necesarios relevantes.
A.7 Gestin de activos
A.7.1 Responsabilidad por los activos
Objetivo: Lograr y mantener la proteccin apropiada de los activos organizacionales.
Control
Todos los activos deben estar claramente identificados; y se debe
elaborar y mantener un inventario de todos los activos importantes.
Control
El enfoque de la organizacin para manejar la seguridad de la
informacin y su implementacin (es decir; objetivos de control,
controles, polticas, procesos y procedimientos para la seguridad de
la informacin) se debe revisar independientemente a intervalos
planeados, o cuando ocurran cambios significativos para la
A.6.2 Entidades externas
Objetivo: Mantener la seguridad de la informacin de la organizacin y los medios de procesamiento de
informacin a los cuales entidades externas tienen acceso y procesan; o son comunicados a o manejados
por entidades externas.
Control
Se deben identificar los riesgos que corren la informacin y los medios
de procesamiento de informacin de la organizacin y se deben
implementar los controles apropiados antes de otorgar acceso.
Observacin
Observacin
Evaluacin
Observacin
Evaluacin
A.8.2 Durante el empleo
Objetivo: Asegurar que todos los empleados, contratistas y terceros estn al tanto de las amenazas y
inquietudes sobre la seguridad de informacin, sus responsabilidades y obligaciones, y que estn equipados
para apoyar la poltica de seguridad organizacional en el curso de su trabajo normal, y reducir los riesgos de
error humano.
Control
La gerencia debe requerir que los empleados, contratistas y terceros
apliquen la seguridad en concordancia con las polticas y
procedimientos establecidos de la organizacin.
Control
Se deben llevar a cabo chequeos de verificacin de antecedentes de
todos los candidatos a empleados, contratistas y terceros en
concordancia con las leyes, regulaciones y tica relevante, y deben
ser proporcionales a los requerimientos comerciales, la clasificacin
de la informacin a la cual se va a tener acceso y los riesgos
percibidos.
Control
Como parte de su obligacin contractual; los empleados,
contratistas y terceros deben aceptar y firmar los trminos y
condiciones de su contrato de empleo, el cual debe establecer sus
responsabilidades y las de la organizacin para la seguridad de la
informacin.
Control
Se debe desarrollar e implementar un apropiado conjunto de
procedimientos para etiquetar y manejar la informacin en
concordancia con el esquema de clasificacin adoptado por la
organizacin.
A.8 Seguridad de los recursos humanos
A.8.1 Antes del empleo4
Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean
adecuados para los roles para los cuales se les considera; y reducir el riesgo de robo, fraude o mal uso de los
medios.
Control
Se deben definir y documentar los roles y responsabilidades de
seguridad de los empleados, contratistas y terceros en concordancia
con la poltica de la seguridad de informacin de la organizacin.
Control
La informacin debe ser clasificada en trminos de
su valor, requerimientos legales, confidencialidad y grado crtico para
la organizacin.
Observacin
Evaluacin
Observacin
Evaluacin
Control
Se debe disear y aplicar seguridad fsica en las
oficinas, habitaciones y medios.
A.9 Seguridad fsica y ambiental
A.7.1 reas seguras
Objetivo: Evitar el acceso fsico no autorizado, dao e interferencia al local y la informacin de la
organizacin.
Control
Se debe utilizar permetros de seguridad (barreras tales como
paredes y puertas de ingreso controlado o recepcionistas) para
proteger reas que contienen informacin y medios de
procesamiento de informacin.
Control
Se deben proteger las reas seguras mediante controles de entrada
apropiados para asegurar que slo se permita acceso al personal
autorizado.
Control
Todos los empleados, contratistas y terceros
deben devolver todos los activos de la organizacin que estn en su
posesin a la terminacin de su empleo, contrato o acuerdo.
Control
Los derechos de acceso de todos los empleados, contratistas y
terceros a la informacin y medios de procesamiento de la
informacin deben ser eliminados a la terminacin de su empleo,
contrato o acuerdo, o se deben ajustar al cambio.
Control
Debe existir un proceso disciplinario formal para los empleados que
han cometido una violacin en la seguridad.
A.8.3 Terminacin o cambio del empleo
Objetivo: Asegurar que los empleados, contratistas y terceros salgan de una organizacin o cambien de
empleo de una manera ordenada.
Control
Se deben definir y asignar claramente las responsabilidades para
realizar la terminacin o cambio del empleo.
Control
Todos los empleados de la organizacin y, cuando sea relevante, los
contratistas y terceros, deben recibir el apropiado conocimiento,
capacitacin y actualizaciones regulares de las polticas y
procedimientos organizacionales, conforme sean relevantes para su
funcin laboral.
Observacin
Evaluacin
Observacin
Control
Equipos, informacin o software no deben ser sacados fuera de la
propiedad sin previa autorizacin.
Control
Se debe aplicar seguridad al equipo fuera-del- local tomando en
cuenta los diferentes riesgos de trabajar fuera del local de la
organizacin.
Control
Todos los tems de equipo que contengan medios de almacenaje
deben ser chequeados para asegurar que se haya removido o sobre-
escrito de manera segura cualquier data confidencial y software con
licencia antes de su eliminacin.
Control
El cableado de la energa y las
telecomunicaciones que llevan data o sostienen los servicios de
informacin deben ser protegidos de la intercepcin o dao.
Control
El equipo debe ser mantenido correctamente para permitir su
continua disponibilidad e integridad.
A.9.2 Seguridad del equipo
Objetivo: Evitar la prdida, dao, robo o compromiso de los activos y la interrupcin de las actividades de la
organizacin.
Control
El equipo debe estar ubicado o protegido para reducir los riesgos de
las amenazas y peligros ambientales, y las oportunidades para el
acceso no autorizado.
Control
El equipo debe ser protegido de fallas de energa y otras
interrupciones causadas por fallas en los servicios pblicos.
Control
Se debe disear y aplicar proteccin fsica y
lineamientos para trabajar en reas seguras.
Control
Se deben controlar los puntos de acceso como las reas de entrega y
descarga y otros puntos donde personas no-autorizadas pueden
ingresar a los locales, y cuando fuese posible, se deben aislar de los
medios de procesamiento de la informacin para evitar un acceso
no autorizado.
Control
Se debe disear y aplicar proteccin fsica contra dao por fuego,
inundacin, terremoto, explosin, disturbios civiles y otras formas
de desastre natural o creado por el hombre.
Evaluacin
Observacin
Evaluacin
Observacin
A.10.3 Planeacin y aceptacin del sistema
Objetivo: Minimizar el riesgo de fallas en los sistemas.
Control
Se deben separar los medios de desarrollo, prueba
y operacionales para reducir los riesgos de accesos no-autorizados o
cambios en el sistema de operacin.
A.10.2 Gestin de la entrega del servicio de terceros
Objetivo: Implementar y mantener el nivel apropiado de seguridad de la informacin y entrega del servicio
en lnea con los contratos de entrega del servicio de terceros.
Control
Se debe asegurar que los terceros implementen, operen y
mantengan los controles de seguridad, definiciones de servicio y
niveles de entrega incluidos en el contrato de entrega del servicio de
terceros.
Control
Los servicios, reportes y registros provistos por
terceros deben ser monitoreados y revisados regularmente, y las
auditoras se deben llevar a cabo regularmente.
Control
Se deben manejar los cambios en la provisin de
servicios, incluyendo el mantenimiento y mejoramiento de las
polticas, procedimientos y controles de seguridad existentes,
tomando en cuenta el grado crtico de los sistemas y procesos
comerciales involucrados y la re- evaluacin de los riesgos.
Control
Se deben controlar los cambios en los medios y sistemas de
Control
Se deben segregar los deberes y reas de responsabilidad para
reducir las oportunidades de una modificacin no-autorizada o no-
intencionada o un mal uso de los activos de la organizacin.
A.10 Gestin de las comunicaciones y operaciones
A.10.1 Procedimientos y responsabilidades operacionales
Objetivo: Asegurar la operacin correcta y segura de los medios de procesamiento de la informacin
Control
Se deben documentar y mantener los procedimientos de operacin,
y se deben poner a disposicin de todos los usuarios que los
necesiten.
Evaluacin
Observacin
Evaluacin
Observacin
Evaluacin
Observacin
Evaluacin
Observacin
Control
Las redes deben ser adecuadamente manejadas y controladas para
poderlas proteger de amenazas, y para mantener la seguridad de los
sistemas y aplicaciones utilizando la red, incluyendo la informacin
en trnsito.
Control
Se deben identificar los dispositivos de seguridad, niveles de servicio
y los requerimientos e incluirlos en cualquier contrato de servicio de
red, ya sea que estos servicios sean provistos en-casa o sean
abastecidos externamente.
A.10.5 Respaldo (back-up)
Objetivo: Mantener la integridad y disponibilidad de los servicios de procesamiento de informacin y
comunicaciones.
Control
Se deben realizar copias de back-up o respaldo de la informacin
comercial y software esencial y se deben probar regularmente de
acuerdo a la poltica.
A.10.6 Gestin de seguridad de redes
Objetivo: Asegurar la proteccin de la informacin en redes y la proteccin de la infraestructura de soporte.
A.10.4 Proteccin contra software malicioso y cdigo mvil
Objetivo: Proteger la integridad del software y la informacin.
Control
Se deben implementar controles de deteccin, prevencin y
recuperacin para protegerse de cdigos malicioso y se deben
implementar procedimientos de conciencia apropiados.
Control
Cuando se autoriza el uso de un cdigo mvil, a configuracin debe
asegurar que el cdigo mvil autorizado opere de acuerdo a una
poltica de seguridad claramente definida, y se debe evitar que se
ejecute un cdigo mvil no-autorizado.
Control
Se deben monitorear, afinar y realizar proyecciones del uso de los
recursos para asegurar el desempeo del sistema requerido.
Control
Se deben establecer los criterios de aceptacin para los sistemas de
informacin nuevos, actualizaciones y versiones nuevas y se deben
llevar a cabo pruebas adecuadas del(los) sistema(s) durante su
desarrollo y antes de su aceptacin.
Evaluacin A.10.7 Gestin de medios
Observacin
Evaluacin
Observacin
Evaluacin
Observacin
Control
Se deben desarrollar e implementar polticas y
procedimientos para proteger la informacin asociada con la
interconexin de los sistemas de informacin comercial.
A.10.9 Servicios de comercio electrnico
Objetivo: Asegurar la seguridad de los servicios de comercio electrnico y su uso seguro
Control
Los medios que contienen informacin deben ser
protegidos contra un acceso no-autorizado, mal uso o corrupcin
durante el transporte ms all de los lmites fsicos de una
organizacin.
Control
Se debe proteger adecuadamente los mensajes electrnicos.
A.10.8 Intercambio de informacin
Objetivo: Mantener la seguridad de la informacin y software intercambiados dentro de una organizacin y
con cualquier entidad externa.
Control
Se deben establecer poltica, procedimientos y
controles de intercambio formales para proteger el intercambio de
informacin a travs del uso de todos los tipos de medios de
comunicacin.
Control
Se deben establecer acuerdos para el intercambio de informacin y
software entre la organizacin y entidades externas.
Evaluacin
Control
Se deben establecer los procedimientos para el manejo y
almacenaje de la informacin para proteger dicha informacin de
una divulgacin no autorizada o un mal uso.
Control
Se debe proteger la documentacin de un acceso no autorizado.
Objetivo: Evitar la divulgacin, modificacin, eliminacin o destruccin no- autorizada de los activos; y la
interrupcin de las actividades comerciales.
Control
Deben existir procedimientos para la gestin de
medios removibles.
Control
Los medios deben ser eliminados utilizando procedimientos
formales y de una manera segura cuando ya no se les requiere.
Observacin
Evaluacin
Observacin
A.11.1 Requerimiento comercial para el control del acceso
Objetivo: Controlar acceso a la informacin
Control
Se debe proteger la informacin involucrada en las transacciones en-
lnea para evitar la transmisin incompleta, rutas equivocadas,
alteracin no-autorizada del mensaje, divulgacin no-autorizada, y
duplicacin o re-envo no- autorizado del mensaje.
Control
Se debe proteger la integridad de la informacin disponible
pblicamente para evitar la modificacin no autorizada.
Control
Se debe proteger la informacin involucrada en el comercio
electrnico que se trasmite a travs de redes pblicas de cualquier
actividad fraudulenta, disputa contractual y divulgacin y
modificacin no autorizada.
A.10.10 Monitoreo
Objetivo: Detectar actividades de procesamiento de informacin no autorizadas.
Control
Se deben producir registros de la actividades de auditoria,
excepciones y eventos de seguridad de la informacin y se deben
mantener durante un perodo acordado para ayudar en
investigaciones futuras y monitorear el control de acceso.
Control
Se deben establecer procedimientos para monitorear el uso de
los medios de procesamiento de informacin y el resultado de
las actividades de monitoreo se debe revisar regularmente.
Control
Se deben proteger los medios de registro y la informacin del
registro contra alteraciones y acceso no-autorizado.
Control
Se deben registrar las actividades del administrador y
operador del sistema.
Control
Las fallas se deben registrar, analizar y se debe tomar la accin
apropiada.
Control
Los relojes de los sistemas de procesamiento de informacin
relevantes de una organizacin o dominio de seguridad deben
estar sincronizados con una fuente de tiempo exacta acordada.
A.10.10.6 Evaluacin
Observacin
Evaluacin
Observacin
Evaluacin
Observacin
Evaluacin
Observacin
Control
Se debe utilizar mtodos de autenticacin para controlar el
acceso de usuarios remotos.
A.11.3 Responsabilidades del usuario
Objetivo: Evitar el acceso de usuarios no autorizados, y el compromiso o robo de la informacin y los
medios de procesamiento de la informacin.
Control
Se debe requerir que los usuarios sigan buenas
prcticas de seguridad en la seleccin y uso de claves.
Control
Se debe requerir que los usuarios se aseguren de dar la
proteccin apropiada al equipo desatendido
Control
Se debe adoptar una poltica de escritorio limpio para los
documentos y medios de almacenaje removibles y una poltica
de pantalla limpia para los medios de procesamiento de la
informacin.
A.11.4 Control de acceso a redes
Objetivo: Evitar el acceso no-autorizado a los servicios en red.
Control
Los usuarios slo deben tener acceso a los servicios para los
cuales han sido especficamente autorizados a usar.
A.11.2 Gestin del acceso del usuario
Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no- autorizado a los sistemas de
informacin.
Control
Debe existir un procedimiento formal para la
inscripcin y des-inscripcin para otorgar acceso a todos los
sistemas y servicios de informacin.
Control
Se debe restringir y controlar la asignacin y uso de los
privilegios.
Control
La asignacin de claves se debe controlar a travs de un proceso
de gestin formal.
Control
La gerencia debe revisar los derechos de acceso
de los usuarios a intervalos regulares utilizando un proceso
formal.
Control
Se debe establecer, documentar y revisar la poltica de control de
acceso en base a los requerimientos de seguridad y comerciales.
Evaluacin
Observacin
Control
Se debe restringir la capacidad de conexin de los usuarios en las
redes compartidas, especialmente aquellas que se extienden a
travs de los lmites organizaciones, en concordancia con la
poltica de control de acceso y los requerimientos de las
aflicciones comerciales (ver 11.1).
Control
Se deben implementar controles routing para las
redes para asegurar que las conexiones de cmputo y los flujos
de informacin no infrinjan la poltica de control de acceso de las
aplicaciones comerciales.
A.11.5 Control de acceso al sistema de operacin
Objetivo: Evitar acceso no autorizado a los sistemas operativos.
Control
Se debe controlar el acceso los servicios operativos mediante un
procedimiento de registro seguro.
Control
Todos los usuarios deben tener un identificador singular (ID de
usuario) para su uso personal y exclusivo, se debe elegir una
tcnica de autenticacin adecuada para verificar la identidad
del usuario.
Control
Se debe considerar la identificacin automtica del equipo como
un medio para autenticar las conexiones desde equipos y
ubicaciones especficas.
Control
Se debe controlar el acceso fsico y lgico a los
puertos de diagnstico y configuracin.
Control
Los servicios de informacin, usuarios y sistemas de informacin
se deben segregar en las redes.
Control
Los sistemas de manejo de claves deben ser interactivos y deben
asegurar la calidad de las claves.
Control
Se debe restringir y controlar estrictamente el uso de los
programas de utilidad que podran superar al sistema y los
controles de aplicacin.
Control
Las sesiones inactivas deben cerrarse despus de un perodo de
inactividad definido.
Evaluacin
Observacin
Evaluacin
Observacin
Evaluacin
Observacin
A.12 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin Evaluacin
A.12.1 Requerimientos de seguridad de los sistemas
Objetivo: Asegurar que la seguridad sea una parte integral de los sistemas de informacin.
Control
Los enunciados de los requerimientos comerciales para sistemas
nuevos, o mejorar los sistemas existentes deben especificar los
requerimientos de los controles de seguridad.
A.12.2 Procesamiento correcto en las aplicaciones
Objetivo: Evitar errores, prdida, modificacin no-autorizada o mal uso de la informacin en las
aplicaciones.
Control
El Insumo de data en las aplicaciones debe ser
validado para asegurar que esta data sea correcta y apropiada.
Control
Se deben desarrollar e implementar polticas, planes
operacionales y procedimientos para actividades de tele-trabajo.
Control
Se debe utilizar restricciones sobre los tiempos
de conexin para proporcionar seguridad adicional a las
aplicaciones de alto riesgo.
A.11.6 Control de acceso a la aplicacin e informacin
Objetivo: Evitar el acceso no autorizado a la informacin mantenida en los sistemas de aplicacin.
Control
Se debe restringir el acceso de los usuarios y personal de soporte
al sistema de informacin y aplicacin en concordancia con la
poltica de control de acceso definida.
Control
Los sistemas sensibles deben tener un ambiente de cmputo
dedicado (aislado).
A.11.7 Computacin mvil y tele-trabajo
Objetivo: Asegurar la seguridad de la informacin cuando se utilice medios computacin mvil y tele-
trabajo.
Control
Se debe establecer una poltica formal y adoptar las medidas de
seguridad apropiadas para proteger contra los riesgos de utilizar
medios de computacin y comunicacin mviles.
Observacin
Evaluacin
Observacin
Evaluacin
Observacin
Evaluacin
Observacin
A.12.4 Seguridad de los archivos del sistema
Objetivo: Garantizar la seguridad de los archivos del sistema
Control
Se deben identificar los requerimientos para asegurar la
autenticidad y proteccin de la integridad de mensaje en las
aplicaciones, y se deben identificar e implementar los controles
apropiados.
Control
Se debe validar el output de data de una aplicacin para asegurar
que el procesamiento de la informacin almacenada sea correcto
y apropiado para las circunstancias.
A.12.3 Controles criptogrficos
Objetivo: Proteger la confidencialidad, autenticidad o integridad de la informacin a travs de medios
criptogrficos.
Control
Se debe desarrollar e implementar una poltica sobre el uso de
controles criptogrficos para la proteccin de la informacin.
Control
Se debe utilizar una gestin clave para dar
soporte al uso de las tcnicas de criptografa en la organizacin.
Control
Se deben incorporar chequeos de validacin en las aplicaciones
para detectar cualquier corrupcin de la informacin a travs
de errores de procesamiento o actos deliberados.
Control
La implementacin de cambios se debe controlar mediante el
uso de procedimientos formales de control de cambios.
A.12.5 Seguridad en los procesos de desarrollo y soporte
Objetivo: Mantener la seguridad del software e informacin del sistema de aplicacin
Control
Se debe restringir el acceso al cdigo fuente del programa.
Control
Se debe seleccionar cuidadosamente, proteger y
controlar la data de prueba
Control
Se debe contar con procedimientos para controlar la instalacin
de software en los sistemas operacionales.
Evaluacin
Observacin
Evaluacin
Observacin
Evaluacin
Control
Se deben establecer las responsabilidades y
procedimientos gerenciales para asegurar una respuesta rpida,
efectiva y ordenada a los incidentes de seguridad de la
informacin.
A.13.2 Gestin de incidentes y mejoras en la seguridad de la informacin
Objetivo: Asegurar que se aplique un enfoque consistente y efectivo a la gestin de la seguridad de la
informacin.
Control
Se debe requerir que todos los empleados, contratistas y
terceros usuarios de los sistemas y servicios de informacin
tomen nota y reporten cualquier debilidad observada o
sospechada en la seguridad de los sistemas o servicios.
Control
Los eventos de seguridad de la informacin deben reportarse a
travs de los canales gerenciales apropiados lo ms rpidamente
posible.
A.13.1 Reporte de eventos y debilidades en la seguridad de la informacin
Objetivo: Asegurar que la informacin de los eventos y debilidades en la seguridad de la informacin
asociados con los sistemas de informacin sea comunicada de una manera que permita tomar una accin
correctiva oportuna.
A. 13 Gestin de incidentes en la seguridad de la informacin
Control
Se debe obtener informacin oportuna sobre las
vulnerabilidades tcnicas de los sistemas de informacin en uso;
se debe evaluar la exposicin de la organizacin ante esas
vulnerabilidades; y se deben tomar las medidas apropiadas para
tratar el riesgo asociado.
A.12.6 Gestin de vulnerabilidad tcnica
Objetivo: Reducir los riesgos resultantes de la explotacin de vulnerabilidades tcnicas publicadas.
Control
El desarrollo de software que ha sido outsourced
debe ser supervisado y monitoreado por la organizacin.
Control
Se deben evitar las oportunidades de filtraciones en la
informacin.
Control
No se deben fomentar las modificaciones a los paquetes de
software, se deben limitar a los cambios necesarios y todos los
cambios deben ser controlados estrictamente.
Control
Cuando se cambian los sistemas operativos, se deben revisar y
probar las aplicaciones crticas del negocio para asegurar que no
exista un impacto adverso en las operaciones o seguridad
organizacional.
Observacin
Evaluacin
Control
Cuando la accin de seguimiento contra una persona u
organizacin despus de un incidente en la seguridad de la
informacin involucra una accin legal (sea civil o criminal), se
debe recolectar, mantener y presentar evidencia para cumplir las
reglas de evidencia establecidas en la(s) jurisdiccin(es)
relevantes.
Control
Deben existir mecanismos para permitir cuantificar y monitorear
los tipos, volmenes y costos de los incidetes en la seguridad de
la informacin.
Evaluacin A.15 Cumplimiento
Control
Los planes de continuidad comercial se deben probar y actualizar
regularmente para asegurar que estn actualizados y sean
efectivos.
Control
Se debe mantener un solo marco referencial de planes de
continuidad comercial para asegurar que todos los planes sean
consistentes y para tratar consistentemente los requerimientos
de la seguridad de la informacin e identificar las prioridades de
pruebas y mantenimiento.
Control
Se deben desarrollar e implementar planes para
mantener o restaurar las operaciones y asegurar la disponibilidad
de la informacin en el nivel requerido y en las escalas de tiempo
requeridas despus de la interrupcin o falla en los procesos
comerciales crticos.
Control
Se deben identificar los eventos que causan interrupciones en los
procesos comerciales, junto con la probabilidad e impacto de
dichas interrupciones y sus consecuencias para la seguridad de la
informacin.
Control
Se debe desarrollar y mantener un proceso gerencial para la
continuidad del negocio a travs de toda la organizacin para
tratar los requerimientos de seguridad de la informacin
necesarios para la continuidad comercial de la organizacin.
Requerimientos de seguridad de la informacin necesarios para
A.14.1 Aspectos de la seguridad de la informacin de la gestin de la
Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos
comerciales crticos de los efectos de fallas o desastres importantes o desastres en los sistemas de
informacin y asegurar su reanudacin oportuna.
A.14 Gestin de la continuidad comercial
Observacin
Observacin
Evaluacin
Observacin
Evaluacin
Control
Los sistemas de informacin deben chequearse
regularmente para el cumplimiento con los estndares de
Control
Los gerentes deben asegurar que todos los procedimientos de
seguridad dentro de su rea de responsabilidad sean realizados
correctamente en cumplimiento con las polticas y estndares de
seguridad.
A.15.2 Cumplimiento con las polticas y estndares de seguridad, y el
cumplimiento tcnico
Objetivo: Asegurar el cumplimiento de los sistemas con las polticas y estndares de seguridad
organizacional.
Control
Se deben utilizar controles en cumplimiento con los acuerdos,
leyes y regulaciones relevantes.
Control
Se debe desanimar a los usuarios de utilizar los
medios de procesamiento de la informacin para propsitos no-
autorizados.
Control
Se deben asegurar la proteccin y privacidad tal como se
requiere en la legislacin relevante, las regulaciones y, si fuese
aplicable, las clusulas contractuales.
Control
Se deben proteger los registros importantes de una organizacin
de prdida, destruccin y falsificacin, en concordancia con los
requerimientos estatutarios, reguladores, contractuales y
comerciales.
Control
Se deben implementar los procedimientos apropiados para
asegurar el cumplimiento de los requerimientos legislativos,
reguladores y contractuales sobre el uso de material con
respecto a los derechos de propiedad intelectual y sobre el uso
de los productos de software patentados.
Control
Se deben definir explcitamente, documentar y actualizar todos
los requerimientos estatutarios, reguladores y contractuales y el
enfoque de la organizacin relevante para cada sistema de
informacin y la organizacin.
A.15.1 Cumplimiento con requerimientos legales
Objetivo: Evitar violaciones de cualquier ley, obligacin reguladora o contractual y de cualquier
requerimiento de seguridad
Observacin
Evaluacin
Observacin
Control
Se deben planear cuidadosamente los requerimientos y
actividades de las auditorias que involucran chequeo de los
sistemas operacionales y se debe acordar minimizar el riesgo de
interrupciones en los procesos comerciales.
Se debe proteger el acceso a las herramientas de auditora de los
sistemas de informacin para evitar cualquier mal uso o
compromiso posible.
A.15.3 Consideraciones de auditoria de los sistema de informacin
Objetivo: Maximizar la efectividad de y minimizar la interferencia de/desde el proceso de auditoria de los
sistema de informacin.

Inventario de Activos

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Inventario de Activos

Hochgeladen von

Copyright:

Verfügbare Formate

ACTIVO CANTIDAD Detalle

Das könnte Ihnen auch gefallen