1. UniversidadCientíficadel Perú
1
Contenido
RESUMEN INTEGRAL DE LA NORMA ISO 27001............................................................................... 5
1. POLÍTICAS DE SEGURIDAD..................................................................................................5
1.1. Directrices de la Dirección en seguridad de la información............................................... 5
1.1.1. Conjunto de políticas para la seguridad de lainformación............................................. 5
1.1.2. Revisión de las políticas para la seguridad de la información.........................................5
2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION...................................5
2.1.1. Organizacióninterna. .................................................................................................5
2.1.2. Asignación de responsabilidades para la segur. De la información................................. 6
2.1.3. Segregación de tareas................................................................................................. 6
2.1.4. Contacto con las autoridades...................................................................................... 6
2.1.5. Contacto con grupos de interés especial......................................................................6
2.1.6. Seguridad de lainformación en la gestión de proyectos................................................ 6
2.1.7. Dispositivos para movilidad y teletrabajo.....................................................................7
2.1.8. Política de uso de dispositivos para movilidad.............................................................. 7
2.1.9. Teletrabajo. ............................................................................................................... 7
3. GESTIÓN DE ACTIVOS.........................................................................................................8
3.1. Responsabilidad sobre los activos................................................................................... 8
3.1.1. Inventario de activos. .................................................................................................8
3.1.2. Propiedad de los activos. ............................................................................................ 8
3.1.3. Uso aceptable de los activos. ...................................................................................... 8
3.1.4. Devolución de activos................................................................................................. 8
3.2. Clasificación de la información........................................................................................ 8
4. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS................................................................ 8
4.1.1. Antes de la contratación............................................................................................. 8
4.1.2. Investigación de antecedentes.................................................................................... 9
4.1.3. Términos y condiciones de contratación......................................................................9
4.2. Durante la contratación..................................................................................................9
4.2.1. Responsabilidades de gestión...................................................................................... 9
4.2.2. Concienciación, educación y capacitación en seguridad de la información. .................. 10
4.2.3. Proceso disciplinario................................................................................................. 10
4.3. Cese o cambio de puesto de trabajo.............................................................................. 10
4.3.1. Cese o cambio de puesto de trabajo.......................................................................... 10
5. CONTROL DE ACCESOS..................................................................................................... 11
2. UniversidadCientíficadel Perú
2
5.1. Requisitos de negocio para el control de accesos........................................................... 11
5.1.1. Política de control de accesos.................................................................................... 11
5.1.2. Control de acceso a las redes y servicios asociados..................................................... 11
5.2. Gestión de acceso de usuario. ...................................................................................... 11
5.2.1. Gestión de altas/bajas enel registro de usuarios........................................................ 11
5.2.2. Gestión de los derechos de acceso asignados a usuarios............................................. 11
5.2.3. Gestión de los derechos de acceso con privilegios especiales...................................... 11
5.2.4. Gestión de información confidencial de autenticación de usuarios.............................. 11
5.2.5. Revisión de los derechos de acceso de los usuarios. ................................................... 11
5.2.6. Retirada o adaptación de los derechos de acceso....................................................... 11
5.3. Responsabilidades del usuario...................................................................................... 12
5.3.1. Uso de información confidencial para la autenticación. .............................................. 12
5.4. Control de acceso a sistemas y aplicaciones................................................................... 12
5.4.1. Restricción del acceso a la información...................................................................... 12
5.4.2. Procedimientos seguros de inicio de sesión................................................................ 12
5.4.3. Gestión de contraseñas de usuario............................................................................ 12
5.4.4. Uso de herramientas de administración de sistemas. ................................................. 12
5.4.5. Control de acceso al código fuente de los programas.................................................. 12
6. CIFRADO. ........................................................................................................................ 12
6.1. Controles criptográficos. .............................................................................................. 12
6.1.1. Política de uso de los controles criptográficos............................................................ 12
6.1.2. Gestión de claves. .................................................................................................... 12
7. SEGURIDAD FÍSICA Y AMBIENTAL...................................................................................... 12
7.1. Áreas seguras. ............................................................................................................. 12
7.1.1. Perímetro de seguridad física.................................................................................... 12
7.1.2. Controles físicos de entrada...................................................................................... 13
7.1.3. Seguridad de oficinas, despachos y recursos. ............................................................. 13
7.1.4. El trabajo en áreas seguras........................................................................................ 13
7.1.5. Áreas de acceso público, carga y descarga. ................................................................ 13
7.2. Seguridad de los equipos.............................................................................................. 13
7.2.1. Emplazamiento y protección de equipos.................................................................... 13
7.2.2. Instalaciones de suministro....................................................................................... 13
7.2.3. Seguridad del cableado............................................................................................. 13
7.2.4. Mantenimiento de losequipos.................................................................................. 13
7.2.5. Salida de activosfuera de las dependencias de la empresa. ........................................ 13
7.2.6. Seguridad de los equipos y activosfuera de las instalaciones...................................... 13
3. UniversidadCientíficadel Perú
3
7.2.7. Reutilización o retirada segura de dispositivos de almacenamiento............................. 13
7.2.8. Equipo informático de usuario desatendido............................................................... 13
7.2.9. Política de puesto de trabajo despejado y bloqueo de pantalla. .................................. 13
8. SEGURIDAD EN LA OPERATIVA.......................................................................................... 14
8.1. Responsabilidades y procedimientos de operación. ....................................................... 14
8.1.1. Documentación de procedimientos de operación....................................................... 14
8.1.2. Gestión de cambios.................................................................................................. 14
8.1.3. Gestión de capacidades. ........................................................................................... 14
8.1.4. Separación de entornos de desarrollo, prueba y producción....................................... 14
8.2. Protección contra código malicioso............................................................................... 14
8.2.1. Controles contra el código malicioso. ........................................................................ 14
8.3. Copias de seguridad..................................................................................................... 14
8.3.1. Copias de seguridad de lainformación....................................................................... 14
8.4. Registro de actividad y supervisión. .............................................................................. 14
8.4.1. Registro y gestión de eventos de actividad................................................................. 14
8.4.2. Protección de los registros de información................................................................. 14
8.4.3. Registros de actividad del administrador y operador del sistema................................. 14
8.4.4. Sincronización de relojes........................................................................................... 14
8.5. Control del software enexplotación.............................................................................. 14
8.5.1. Instalación del software en sistemasen producción. .................................................. 14
8.6. Gestión de la vulnerabilidad técnica.............................................................................. 15
8.6.1. Gestión de las vulnerabilidades técnicas.................................................................... 15
8.6.2. Restricciones en lainstalación de software. ............................................................... 15
8.7. Consideraciones de las auditorías de los sistemas de información................................... 15
8.7.1. Controles de auditoría de los sistemas de información. .............................................. 15
9. SEGURIDAD EN LAS TELECOMUNICACIONES...................................................................... 15
9.1. Gestión de la seguridad en las redes. ............................................................................ 15
9.1.1. Controles de red....................................................................................................... 15
9.1.2. Mecanismos de seguridad asociados a servicios en redes. .......................................... 15
9.1.3. Segregación de redes................................................................................................ 15
9.2. Intercambio de información con partes externas........................................................... 15
10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DELOS SISTEMAS DE INFORMACION. ... 15
10.1. Requisitos de seguridad de los sistemas de información............................................. 15
10.2. Seguridad en los procesos de desarrollo y soporte. .................................................... 15
10.3. Datos de prueba....................................................................................................... 15
11. RELACIONES CON SUMINISTRADORES........................................................................... 15
4. UniversidadCientíficadel Perú
4
11.1. Seguridad de lainformación en las relaciones con suministradores............................. 15
11.2. Gestión de la prestación del servicio por suministradores........................................... 15
12. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LAINFORMACIÓN. ................................. 15
12.1. Gestión de incidentes de seguridad de la información y mejoras................................. 15
13. ASPECTOSDE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE
LA CONTINUIDAD DEL NEGOCIO.............................................................................................. 16
13.1. Continuidad de la seguridad de lainformación........................................................... 16
13.2. Redundancias........................................................................................................... 16
14. CUMPLIMIENTO........................................................................................................... 16
14.1. Cumplimiento de los requisitos legales y contractuales............................................... 16
14.2. Revisiones de la seguridad de la información. ............................................................ 16
5. UniversidadCientíficadel Perú
5
RESUMEN INTEGRAL DE
LA NORMA ISO 27001.
1. POLÍTICAS DE SEGURIDAD
1.1. Directrices de la Dirección en seguridad de la información.
Las directrices se elaboran de acuerdo a las necesidades de la organización.
1.1.1. Conjunto de políticas para la seguridad de la información.
El Objetivo del conjunto de políticas es dirigir y dar soporte a la gestión de la seguridad
de en concordancia con los requerimientos del negocio, las leyes y las regulaciones.
La Gerencia debería establecer de forma clara las líneas de la política de actuación y
manifestar su apoyo y compromiso a la seguridad de la información, publicando y
manteniendo una política de seguridad en toda la organización.
Existen Controles y Guías para establecer las políticas de información, dentro de los
controles sugiere que la Gerencia debería aprobar, publicar y comunicar a todos los
empleados en la forma adecuada, un documento de política de seguridad de
información. Además la Gerencia debería establecer un compromiso y el enfoque de
la organización para Gestionar la seguridad de la información.
1.1.2. Revisión de las políticas para la seguridad de la información.
Control. La Política de seguridad debe ser revisada en intervalos planificados o
si cambios significantes ocurren con el fin de asegurar su uso contínuo
adecuación y efectividad.
Guia de Implementación. La política debería tener un responsable del
desarrollo, revisión y evaluación de la política de seguridad.
La revisión debe incluir oportunidades de evaluación para mejorar la política de
seguridad de información de la organización y un acercamiento a la gestión de
seguridad de información en respuesta a los cambios del ambiente
organizacional, circunstancias del negocio, condiciones legales o cambios en el
ambiente técnico.
2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION
2.1.1. Organización interna.
El objetivo principal es Gestionar la seguridad dela información dentro de la
organización y menciona que debería establecerse una estructura de gestión
para iniciar y controlar la implantación de la seguridad de la información dentro
de la organización.
Sugiere organizar foros de gestión adecuados con las gerencias para aprobar la
política de seguridad de la información, asignar roles de seguridad y coordinar
la implantación de la seguridad en toda la organización.
Si la necesidad amerita, debería facilitarse el acceso dentro de la organización
a un equipo de consultores especializados en seguridad de la información.
También deberían desarrollarse contactos con especialistas externos en
6. UniversidadCientíficadel Perú
6
seguridad para mantenerse al día en las tendencias de la industria, la evolución
de las normas y los métodos de evaluación, así como tener un punto de enlace
para tratar las incidencias de seguridad. Debería fomentarse un enfoque
multidisciplinario de la seguridad de la información.
2.1.2. Asignación de responsabilidades para la segur. De la información.
Se definen claramente las responsabilidades.
2.1.3. Segregación de tareas.
Se deberían segregar las tareas y las áreas de responsabilidad con el fin de
reducir lasoportunidades de una modificaciónno autorizada o no intencionada,
o el de un mal uso de los activos de la organización. Es un método muy eficaz
para reducir el riesgode mal uso accidental odeliberado de un sistema. Se debe
tener cuidado de cualquier persona puede acceder, modificar o utilizar los
activos sin autorización. La posibilidad de confabulación debe ser considerada
en el diseño de los controles.
Las organizacionespequeñas pueden considerar que este método de control es
difícil de lograr, pero el principio debería aplicarse en la medida en que sea
posible y practicable. Cuando la segregación sea difícil, se considerarán otros
controles como la monitorización de las actividades, las pistas de auditoria y la
supervisión de la gestión. Es importante que la auditoria de seguridad
permanezca independiente.
2.1.4. Contacto con las autoridades.
Deben tener contactos apropiados con autoridades relevantes Las
Organizaciones deben tener procedimientos instalados que especifiquen
cuando y porque autoridades deben ser contactados y como los incidentes
identificados en la seguridad de información deben ser reportados de una
manera oportuna si se sospecha que las leyes han sido rotas.
2.1.5. Contacto con grupos de interés especial.
Deben ser considerados debido a que:
a) Mejoran el conocimiento sobre mejores prácticas.
b) Asegurar que el entendimiento del ambiente de seguridad de
información es actual y completo.
c) Recibir alertas de detección temprana, advertencias y parches que
detengan los ataques y las vulnerabilidades.
d) Ganar acceso a consejos especializados de seguridad de información
e) Compartir e intercambiar e información sobre nuevas tecnologías,
productos, amenazas o vulnerabilidades.
f) Proveer puntos de enlaces convenientes cuando se trata con
información de incidentes de seguridad.
2.1.6. Seguridad de la información en la gestión de proyectos.
Lograr y mantener una apropiada protección de los activos organizacionales.
Todos los activos debieran ser inventariados y contar con un propietario
7. UniversidadCientíficadel Perú
7
nombrado. Los propietarios debieran identificar todos los activos y se debiera
asignar la responsabilidad por el mantenimiento de los controles apropiados.
La implementación de controles específicos puede ser delegada por el
propietario conforme sea apropiado, pero el propietario sigue siendo
responsable por la protección apropiada de los activos.
2.1.7. Dispositivos para movilidad y teletrabajo.
El Objetivo es Garantizar la seguridad de la información cuando se usa
dispositivos móviles y teletrabajo. La protección requerida debería ser
proporcional a los riesgos que causan estas formas específicas de trabajo. Se
deberían considerar los riesgos de trabajar en un entorno desprotegido cuando
se usa informática móvil y aplicar la protección adecuada. En el caso del
teletrabajo menciona que la organización debería implantar protección en el
lugar de trabajo y asegurar que existen los acuerdos adecuados para este tipo
de trabajo.
Tambiénse deberíanproteger físicamentelos dispositivos de informática móvil,
así como concienciar al personal que use dispositivos de informática móvil con
objeto de aumentar su percepción de los riesgos adicionales que produce esta
forma de trabajo y de las medidas y controles a implantar.
2.1.8. Política de uso de dispositivos para movilidad.
Se debería adoptar una política formal y medidas de seguridad apropiadas con
el fin de protegernos contra los riesgos cuando se usan dispositivos de
informática. Se debería tener un especial cuidado para asegurar que la
información de negocio no se comprometa cuando se usan dispositivos de
informática móvil, como portátiles, agendas, calculadoras y teléfonos móviles,
móviles. Dicha política debería incluir los requisitos de protección física,
controles de acceso, técnicas criptográficas, respaldos y protección antivirus.
2.1.9. Teletrabajo.
Se deberían desarrollar e implementar una política, planes operacionales y
procedimientos para las actividades de teletrabajo. Las organizaciones solo
deberían autorizar las actividades de teletrabajo si se han satisfecho las
disposiciones y controles de seguridad apropiados y se cumple la política de
seguridad de la organización. Se debería proteger debidamente el lugar de
teletrabajocontra,por ejemplo el robo de equipo o información.La distribución
no autorizada de información, el acceso remoto no autorizado a los sistemas
internos de la organización o el mal uso de los dispositivos. Es importante, que
el trabajo se autorice y controle por la gerencia, y que existan los acuerdos
adecuados para este tipo de trabajo.
Considerar los siguientes puntos:
a) Seguridad Física Real del Teletrabajo.
b) Entorno de teletrabajo propuesto.
c) Requisitos de Seguridad de las comunicaciones.
d) Amenaza de acceso no autorizado a información y recursos del
ambiente del teletrabajo
e) Políticas y procedimientos para prevenir disputas concernientes a
propiedad intelectual desarrolladas en equipos privados.
8. UniversidadCientíficadel Perú
8
f) Los acuerdos de licencias de software que hará que las organizaciones
se vuelvan más confiables para el licenciamiento de clientes en las
estaciones de trabajo.
3. GESTIÓN DE ACTIVOS.
3.1. Responsabilidad sobre los activos.
3.1.1. Inventario de activos.
Se debieran identificar todos los activos y se debiera elaborar y mantener un
inventario de todos los activos importantes. Una organización debiera
identificar todos los activos y documentar la importancia de estos activos. El
inventario de los activos debiera incluir toda la información necesaria para
poder recuperarse de un desastre; incluyendo el tipo de activo, formato,
ubicación, información de respaldo, información de licencias y un valor
comercial. El inventario no debiera duplicar innecesariamente otros
inventarios, pero se debiera asegurar que el contenido esté alineado. Además,
se debiera acordar y documentar la propiedad y la clasificación de la propiedad
para cada uno de los activos. Basados en la importancia del activo, su valor
comercial y su clasificación de seguridad, se debieran identificar los niveles de
protección que se conmensuran con la importancia de los activos (se puede
encontrar más información sobre cómo valorar los activos para representar su
importancia en ISO/IEC TR 13335-3).
3.1.2. Propiedad de los activos.
Toda la información y los activos asociados con los medios de procesamiento de
información debieran ser propiedad2 de una parte designada de la organización.
3.1.3. Uso aceptable de los activos.
Se debieran identificar, documentar e implementar reglas para el uso aceptable de la
información y los activos asociados con los medios del procesamiento de la
información.
3.1.4. Devolución de activos.
Todos los usuarios empleados, contratistas y terceras personas debieran devolver
todos los activos de la organización que tengan en su posesión a la terminación de su
empleo, contrato o acuerdo. El proceso de terminación debiera ser formalizado para
incluir la devolución de todo el software, documentos corporativos y equipo entregado
previamente. También se debieran devolver otros activos organizacionales como
dispositivos de cómputo móviles, tarjetas de crédito, tarjetas de acceso, software,
manuales e información almacenada en medios electrónicos. En los casos donde el
usuario empleado, contratista o tercera persona compra el equipo de la organización
o utiliza su propio equipo, se debieran seguir procedimientos para asegurar que toda
la información relevante sea transferida a la organización y sea adecuadamente
borrada del equipo.
3.2. Clasificación de la información
Se debendeterminarel nivel importancia,criticidad,sensibilidad,etcde losactivosde información
para dar una adecuadaclasificaciónenfunciónde su valoryrequisitoslegales.
4. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
4.1.1. Antes de la contratación.
Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades y que sean adecuados para los roles para que han sido
9. UniversidadCientíficadel Perú
9
considerados, reduciendo el riesgo de hurto, fraude o mal uso de las
instalaciones.
4.1.2. Investigación de antecedentes.
Se deben considerar listas de verificaciones anteriores de todos los candidatos
para empleo, contratistas y terceros en concordancia con leyes, regulaciones y
la ética, al igual que proporcionalmente a los requerimientos del negocio, la
clasificación de la información a ser accesada y los riesgos percibidos.
4.1.3. Términos y condiciones de contratación.
Como parte de su obligación contractual; los usuarios empleados, contratistas
y terceros debieran aceptar y firmar un contrato con los términos y condiciones
de su empleo, el cual debiera establecer sus responsabilidades y las de la
organización para la seguridad de la información.
4.2. Durante la contratación.
Asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto
de las amenazas e inquietudes de la seguridad de la información, sus
responsabilidades y obligaciones, y estén equipadas para apoyar la política de
seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error
humano. Se debieran definir las responsabilidades de la gerencia para asegurar que se
aplique la seguridad a lo largo de todo el tiempo del empleo de la persona dentro de
la organización.
4.2.1. Responsabilidades de gestión.
La gerencia debiera requerir a los usuarios empleados, contratistas y terceras
personas que apliquen la seguridad en concordancia con políticas y
procedimientos bien establecidos por la organización.
Las responsabilidades de la gerencia debieran incluir asegurar que los usuarios
empleados, contratistas y terceras personas:
a) Estén apropiadamente informados sobre sus roles y responsabilidades
de seguridad antes de otorgarles acceso a información confidencial o a
los sistemas de información;
b) Reciban lineamientos para establecer las expectativas de seguridad de
su rol dentro de la organización;
c) Estén motivados para cumplir con las políticas de seguridad de la
organización;
d) Lograr un nivel de conciencia sobre seguridad relevante para sus roles y
responsabilidades dentro de la organización;
e) Cumplan con los términos y condiciones de empleo, los cuales incluyen
la política de seguridad de la información de la organización y los
métodos de trabajo apropiados;
f) Continúen teniendo las capacidades y calificaciones apropiadas.
10. UniversidadCientíficadel Perú
10
4.2.2. Concienciación, educación y capacitación en seguridad de la
información.
Todos los empleadosde la organizacióny,cuando sea relevante,loscontratistas
y terceras personas debieran recibir una adecuada capacitación en seguridad y
actualizaciones regulares sobre las políticas y procedimientos organizacionales
conforme sea relevante para su función laboral. La capacitación y el
conocimiento debierancomenzar con un proceso de inducción formal diseñado
para introducir las políticasy expectativasde seguridadde la organizaciónantes
de otorgar acceso a la información o servicios. La capacitación constante
debiera incluir los requerimientos de seguridad, responsabilidades legales y
controles comerciales,así comola capacitaciónenel uso correctode los medios
de procesamiento de información; por ejemplo, procedimiento de registro, uso
de paquetes de software e información sobre los procesos disciplinarios
4.2.3. Proceso disciplinario.
Debiera existir un proceso disciplinario para los empleados que han cometido
un incumplimiento de la seguridad. El proceso disciplinario no debiera iniciarse
sin una verificación previa de la ocurrencia del incumplimiento de la seguridad.
El proceso disciplinario formal debiera asegurar el tratamiento correcto y justo
para los empleados sospechosos de cometer incumplimientos de la seguridad.
El proceso disciplinario debiera proporcionar una respuesta equilibrada que
tome en consideración factores como la naturaleza y gravedad del
incumplimiento y su impacto en el negocio, si esta es la primera ofensa, si el
culpable fue apropiadamente capacitado, la legislación relevante, contratos
comercialesyotros factoresque sepuedan requerir.Enlos casos serios de dolo,
el proceso debiera permitir la remoción inmediata de los derechos de acceso y
privilegios, y si fueses necesario, acompañar inmediatamente a la personas
fuera del local.
4.3. Cese o cambio de puesto de trabajo.
Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la
organización o cambien de empleo de una manera ordenada. Se debieran establecer
las responsabilidades para asegurar que la salida de la organización del usuario
empleado, contratista o tercera persona sea manejada y se complete la devolución de
todo el equipo y se eliminen todos los derechos de acceso. Los cambios en las
responsabilidades y empleos dentro de la organización se pueden manejar como la
terminación de la responsabilidad o empleo respectivo en concordancia con esta
sección, y cualquier empleo nuevo debiera ser manejado.
4.3.1. Cese o cambio de puesto de trabajo.
Se debieran definir y asignar claramente las responsabilidades de realizar la
terminación del empleo o el cambio de empleo. La comunicación de las
responsabilidades de terminacióndebieranincluir requerimientosde seguridad
constantes y responsabilidades legales y, cuando sea apropiado, las
responsabilidades contenidas dentro de cualquier acuerdo de confidencialidad
y los términos y condiciones de empleo (ver 8.1.3) continuando durante un
período después de terminado el empleo del usuario empleado, contratista o
tercera persona.
11. UniversidadCientíficadel Perú
11
Las responsabilidades y debierares aún válidos después de la terminación del
empleo debieran estar contenidos en los contratos del empleado, contratista
o tercera persona. Los cambios en la responsabilidad o empleo debieran ser
manejados como la terminación de la responsabilidad o empleo respectivo, y
la responsabilidad o empleo nuevo debiera ser controlado tal como se
describe en la cláusula
5. CONTROL DE ACCESOS.
5.1. Requisitos de negocio para el control de accesos.
5.1.1. Política de control de accesos.
Debe ser establecida, documentada y revisada basado en los requerimientos
de la seguridad del negocio. En este punto se limitan accesos a personal o
usuarios no autorizados.
5.1.2. Control de acceso a las redes y servicios asociados.
Los controles y políticas establecidas deberían regular eluso de los recursos de
red, así como el acceso a medios y servicios no autorizados a las personas
específicas en horarios específicos.
5.2. Gestión de acceso de usuario.
5.2.1. Gestión de altas/bajas en el registro de usuarios.
Se establecen los procedimientos formales para el permitir acceso al usuario y
denegar los permisos al cese de sus funciones.
5.2.2. Gestión de los derechos de acceso asignados a usuarios.
Menciona acerca de la revisión continua de los permisos asignados a cada
usuario para asegurar que los procedimientos formales se lleven tal como
fueron designados.
5.2.3. Gestión de los derechos de acceso con privilegios especiales.
Se deberían restringir y controlar la asignación y uso de los privilegios
especiales como el bloqueo de inicio de sesiónsimultaneo. O permitir que solo
ciertos usuarios ingresen a ciertos medios y servicios.
5.2.4. Gestión de información confidencial de autenticación de usuarios.
Todos los usuarios tienen un identificado único (ID Usuario), permitir,
mantener, cambiar el uso de claves secretas para la autenticación de Usuarios.
5.2.5. Revisión de los derechos de acceso de los usuarios.
El órgano de Dirección debería revisar con regularidad los derechos de acceso
de los usuarios, siguiendo un procedimiento formal. Para asegurar el acceso
correcto a los usuarios que corresponden.
5.2.6. Retirada o adaptación de los derechos de acceso
Se retiran los derechos de acceso al término del contrato de un usuario, o se
adapta los derechos si el usuario cambia de puesto o le son asignados nuevas
tareas.
12. UniversidadCientíficadel Perú
12
5.3. Responsabilidades del usuario.
5.3.1. Uso de información confidencial para la autenticación.
Se deberían utilizar métodos de autenticación adecuados para el control del
acceso remoto de los usuarios que preserve y haga cumplir la
confidencialidad de la información.
5.4. Control de acceso a sistemas y aplicaciones.
5.4.1. Restricción del acceso a la información.
El acceso a la información debe estar protegida para el acceso no autorizado,
permitiendo solo a personas con derechos asignados, especialmente cuando
son manejados por sistemas de aplicaciones.
5.4.2. Procedimientos seguros de inicio de sesión.
Los procedimientos seguros de inicio de sesión son reglas creadas para los
usuarios para que la conexión sea confiable entre el terminal o estación y los
activos de información. Por ejemplo creando claves robustas, cierre de sesión
después de un periodo de tiempo, conexiones seguras SSL, entre otros.
5.4.3. Gestión de contraseñas de usuario.
Se deberá exigir al usuario el uso de buenas prácticas en la creación de sus
contraseñas, las contraseñas son de uso exclusivo personal e intransferible.
5.4.4. Uso de herramientas de administración de sistemas.
Estas herramientas también proveen una seriede reglas y procedimientos para
restricción de usuarios al acceso no autorizados, al uso de recursos y ayudan a
aumentar el nivel de seguridad.
5.4.5. Control de acceso al código fuente de los programas.
Los sistemas desarrollados deberían ser ejecutados solo aquellos que pasaron
estándares y calidades. También se deberían establecer reglas al usuario al
momento de la contratación para restringir el acceso al código fuente.
6. CIFRADO.
6.1. Controles criptográficos.
6.1.1. Política de uso de los controles criptográficos.
Es importante que lo controles criptográficos se cumplan con todos los
acuerdos y leyes relevantes.
6.1.2. Gestión de claves.
Este punto apoya las técnicas criptográficas en la organización Generar claves
para distintos sistemas criptográficos y distintas aplicaciones. Asesorar a los
usuarios ausar las claves,cambiar y actualizar las claves donde, cuando y como
hacerlas.
7. SEGURIDAD FÍSICA Y AMBIENTAL.
7.1. Áreas seguras.
7.1.1. Perímetro de seguridad física.
El perímetro de seguridad física es una estructura que protege del ambiente
externo a equipos que contengan y manejen activos de información. Los muros
deben ser sólidos, solo personal autorizado debe tener acceso.
13. UniversidadCientíficadel Perú
13
7.1.2. Controles físicos de entrada.
Establecereglas para personas que ingresan específicamente a realizar labores
específicas. El personal debe llevar identificaciones dentro de las instalaciones
de la organización, así como de ser posibles tarjetas de ingreso a las puertas
principales, y otras medidas posibles para restringir el acceso no autorizado.
7.1.3. Seguridad de oficinas, despachos y recursos.
Aquí debe ser asignada y aplicada, considerar regulaciones y estándares de
salud y seguridad. Las edificaciones deben ser discretas sin signos obvios que
expongan la seguridad de los ambientes.
7.1.4. El trabajo en áreas seguras.
Dar a conocer a todo el personal áreas seguras si lo necesita su trabajo.
Deben ser visibles, controladas periódicamente.
7.1.5. Áreas de acceso público, carga y descarga.
Se deben establecer reglas para el acceso a estas áreas. Registrar todo el
material entrante y coincidir con los documente.
7.2. Seguridad de los equipos.
7.2.1. Emplazamiento y protección de equipos.
Los equipos tecnológicos deberían estar donde se minimicen los accesos
innecesarios.
7.2.2. Instalaciones de suministro.
Todas las instalaciones de agua, desagüe, electricidad, calefacción/ventilación
deberían ser inspeccionados periódicamente, es importante contar con UPS.
7.2.3. Seguridad del cableado.
Deben estar protegidos contra interceptaciones o daños en el cableado de
energía.
7.2.4. Mantenimiento de los equipos.
El mantenimiento de los equipos asegura la continuidad de los servicios en la
organización, previniendo futuros inconvenientes. Debe existir un plan de
mantenimiento programado.
7.2.5. Salida de activos fuera de las dependencias de la empresa.
Equipos que contengan información confidencial que salgan de las
instalaciones no deberían quedar desatendidos en lugares públicos. Las salidas
deben estar registradas adecuadamente y asignadas al personal designado
para las tareas específicas.
7.2.6. Seguridad de los equipos y activos fuera de las instalaciones.
Los Equipos que están en modalidad de teletrabajo deben determinarse
mediante una evaluación de los riesgos.
7.2.7. Reutilización o retirada segura de dispositivos de almacenamiento.
Los dispositivos usados para almacenar información deben ser rotulados, y
guardados adecuadamente, al ser usados en reiteradas oportunidades
asegurarse de que no contengan información sensible.
7.2.8. Equipo informático de usuario desatendido.
Los usuarios deben cancelar o cerrar todas las sesiones activas antes de
marcharse, y dar a conocer al personal los requisitos de seguridad para los
equipos desatendidos.
7.2.9. Política de puesto de trabajo despejado y bloqueo de pantalla.
14. UniversidadCientíficadel Perú
14
Se debe adoptar y difundir una Política de escritorio limpio para papeles y
medios removibles de almacenamiento.
8. SEGURIDAD EN LA OPERATIVA.
8.1. Responsabilidades y procedimientos de operación.
8.1.1. Documentación de procedimientos de operación.
Se debe registrar y establecer procedimientos ante cualquier cambio, desastre
de los activos de información.
8.1.2. Gestión de cambios.
Trata de cualquier cambio que se realice en la organización, debe ser
registrada, analizada,cuantificada, y evaluada para asegurar la continuidad del
negocio, y comunicar a los detalles de cambios a las personas involucradas.
8.1.3. Gestión de capacidades.
Administra la monitorización de recursos asi como las proyecciones de los
requisitos de las capacidades adecuadas para el futuro con el objeto de
asegurar el funcionamiento requerido del sistema.
8.1.4. Separación de entornos de desarrollo, prueba y producción.
Este punto reduce los riesgos de acceso no autorizado o de cambios al sistema
operacional.
8.2. Protección contra código malicioso.
8.2.1. Controles contra el código malicioso.
Estos controles detectan códigos maliciosos juntos procedimientos adecuados
para concientizar a los usuarios.
8.3. Copias de seguridad.
8.3.1. Copias de seguridad de la información.
Las copias de seguridad mantienen, la integridad, disponibilidad de la
información ante cualquier pérdida. Estas copias deben estar guardadas en un
lugar seguro, por personas autorizadas.
8.4. Registro de actividad y supervisión.
8.4.1. Registro y gestión de eventos de actividad.
Se deben registrar todas las actividades de los administradores y operadores
de sistemas.
8.4.2. Protección de los registros de información.
Establece reglas y políticas de acciones forzosas y accesos no autorizados.
8.4.3. Registros de actividad del administrador y operador del sistema.
Es importante para ver y comparar registros futuros ante cualquier
eventualidad.
8.4.4. Sincronización de relojes.
Todos los relojes de los equipos dentro de la organización deben estar
sincronizados.
8.5. Control del software en explotación.
8.5.1. Instalación del software en sistemas en producción.
Garantizar la seguridad de los sistemas de archivos por medio de software
adecuado.
15. UniversidadCientíficadel Perú
15
8.6. Gestión de la vulnerabilidad técnica.
8.6.1. Gestión de las vulnerabilidades técnicas.
Se debería tener información oportuna de las vulnerabilidades de los sistemas
que se están utilizando para subsanar con las correcciones adecuadas.
8.6.2. Restricciones en la instalación de software.
Todos los cambios como instalación deben ser controlados por los
responsables designados.
8.7. Consideraciones de las auditorías de los sistemas de información.
8.7.1. Controles de auditoría de los sistemas de información.
Se deberían planificar y acordar cuidadosamente los requisitos y actividades
de auditoría que impliquen comprobaciones en los sistemas en activo con
objeto de minimizar el riesgo de interrupciones de los procesos de negocio.
9. SEGURIDAD EN LAS TELECOMUNICACIONES.
9.1. Gestión de la seguridad en las redes.
9.1.1. Controles de red.
Asegurar que los controles funciones para proteger de ataques a la red y
mantener la seguridad en los sistemas y aplicaciones.
9.1.2. Mecanismos de seguridad asociados a servicios en redes.
Se deberían establecer en los contratos las características, niveles y requisitos
de seguridad a terceros o internos de la organización.
9.1.3. Segregación de redes.
Es importante segregar grupos de usuarios, servicios y sistemas de información en
las redes para la seguridad, minimizando los riesgos de exposición.
9.2. Intercambio de información con partes externas.
Se deberían establecer políticas, procedimientos y controles formales de intercambio
con objeto de proteger la información mediante el uso de todo tipo de servicios de
comunicación.
10.ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DELOS SISTEMAS DE INFORMACI
ON.
10.1. Requisitos de seguridad de los sistemas de información.
Este punto garantiza que la seguridad es parte integral de los sistemas de información.
10.2. Seguridad en los procesos de desarrollo y soporte.
Mantienen la seguridad del software del sistema de aplicaciones y la información.
10.3. Datos de prueba.
Son seleccionar, proteger y controlar cuidadosamente los datos utilizados para las
pruebas con las reglas y procedimientos establecidos.
11.RELACIONES CON SUMINISTRADORES.
11.1. Seguridad de la información en las relaciones con suministradores.
No se debe divulgar información sensible que afecte la seguridad de los sistemas y/o
activos de información.
11.2. Gestión de la prestación del servicio por suministradores.
La prestación de servicios deben ser documentados y establecer las políticas en el
contrato.
12. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LAINFORMACIÓN.
12.1. Gestión de incidentes de seguridad de la información y mejoras.
Se debe comunicar los eventos y debilidades en la seguridad de la información para
realizar mejora.
16. UniversidadCientíficadel Perú
16
13.ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE
LA CONTINUIDAD DEL NEGOCIO.
13.1. Continuidad de la seguridad de la información.
Desarrollan y mantienen un proceso de gestión en la continuidad del negocio que trate
los requerimientos de seguridad de la información necesarios.
13.2. Redundancias.
Se debe revisar y corregir las redundancias que afecten el rendimiento de la
continuidad del negocio.
14.CUMPLIMIENTO.
14.1. Cumplimiento de los requisitos legales y contractuales.
Evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual;
y cualquier requerimiento de seguridad. El diseño, operación, uso y gestión de los
sistemas de información pueden estar sujetos a requerimientos de seguridad
estatutarios, reguladores y contractuales
14.2. Revisiones de la seguridad de la información.
Es necesario revisar la seguridad de la información porque el cambio del ambiente es
constante, existen nuevas amenazas y nuevas vulnerabilidades.