-
NORMA TCNICA SALVADOREA
NTS ISO/IEC 27002:2013*
Tecnologa de la informacin. Cdigo de prcticas para la gestin de
la seguridad de la informacin
CORRESPONDENCIA: Esta es una adopcin idntica (IDT) de la Norma
ISO/IEC 27002:2013 Information technology. Security techniques.
Code of practice for information security controls. *Incluye los
cambios de ISO IEC 27002 2013 Cor. 1 2014 Publicado por el
Organismo Salvadoreo de Normalizacin (OSN), Direccin 1 Calle
Poniente, Final 41 Avenida Norte, #18, Colonia Flor Blanca, San
Salvador, El Salvador. Telfono: 2590-5300 Sitio Web:
http://www.osn.gob.sv Correo electrnico: [email protected]
ICS 35.040
NTS 35.68.06:15
Derechos Reservados
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 i
NDICE Pgina
PRLOGO
.........................................................................................................................................
iii
INTRODUCCIN
................................................................................................................................
iv
1 ALCANCE
.................................................................................................................................
1
2 REFERENCIAS
NORMATIVAS.................................................................................................
1
3 TRMINOS Y DEFINICIONES
..................................................................................................
1
4 ESTRUCTURA DE ESTA NORMA
............................................................................................
1
4.1 Apartados
.................................................................................................................................
1
4.2 Categoras de control
................................................................................................................
2
5 POLTICAS DE SEGURIDAD DE LA INFORMACIN
...............................................................
2
5.1 Gestin de la direccin para la seguridad de la informacin
...................................................... 2
6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
................................................. 5
6.1 Organizacin interna
.................................................................................................................
5
6.2 Dispositivos mviles y trabajo remoto
........................................................................................
9
7 SEGURIDAD DE LOS RECURSOS HUMANOS
.....................................................................
13
7.1 Antes del empleo
....................................................................................................................
13
7.2 Durante el empleo
...................................................................................................................
15
7.3 Terminacin y cambio del empleo
...........................................................................................
19
8 GESTIN DE
ACTIVOS..........................................................................................................
20
8.1 Responsabilidad sobre los activos
...........................................................................................
20
8.2 Clasificacin de la informacin
................................................................................................
22
8.3 Manejo de Medios
...................................................................................................................
25
9 CONTROL DE ACCESO
.........................................................................................................
29
9.1 Requerimiento del negocio del control de acceso
....................................................................
29
9.2 Gestin del acceso de usuarios
...............................................................................................
31
9.3 Responsabilidades del usuario
................................................................................................
37
9.4 Control de acceso a sistema y
aplicaciones.............................................................................
38
10 CRIPTOGRAFA
.....................................................................................................................
43
10.1 Controles criptogrficos
...........................................................................................................
43
11 LA SEGURIDAD FSICA Y AMBIENTAL
.................................................................................
46
11.1 reas seguras
.........................................................................................................................
46
11.2 Equipo
....................................................................................................................................
51
12 SEGURIDAD DE LAS OPERACIONES
...................................................................................
58
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ii ISO/IEC 27002:2013/Cor.1:2014
12.1 Procedimientos y responsabilidades operacionales
.................................................................
58
12.2 Proteccin contra software malicioso
.......................................................................................
62
12.4 Copias de seguridad
...............................................................................................................
64
12.5 Registro y monitoreo
...............................................................................................................
66
12.6 Control de software operacional
..............................................................................................
69
12.7 Gestin de la vulnerabilidad tcnica
........................................................................................
70
12.8 Consideraciones en la auditoria de sistemas de informacin
................................................... 73
13 SEGURIDAD DE LAS COMUNICACIONES
............................................................................
74
13.1 Gestin de seguridad de red
...................................................................................................
74
13.2 Transferencia de informacin
..................................................................................................
77
14 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
..................................... 81
14.1 Requisitos de seguridad de los sistemas de informacin.
........................................................ 81
14.2 Seguridad en los procesos de desarrollo y soporte
..................................................................
86
14.3 Datos de prueba
.....................................................................................................................
93
15 RELACIONES CON PROVEEDORES
....................................................................................
94
15.1 Seguridad de la informacin en relaciones con proveedores.
.................................................. 94
15.2 Gestin del servicio de entrega del proveedor.
........................................................................
99
16 GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
.................................. 101
16.1 Gestin de incidentes de seguridad de la informacin y
mejoras ........................................... 101
17 ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE LA
CONTINUIDAD DEL NEGOCIO
...............................................................................................................................
108
17.1 Continuidad de la seguridad de la informacin
......................................................................
108
17.2 Redundancias
.......................................................................................................................
111
18
CUMPLIMIENTO...................................................................................................................
111
18.1 Cumplimiento con requerimientos legales y contractuales
..................................................... 111
18.2 Revisiones de seguridad de la informacin
............................................................................
116
BIBLIOGRAFA
...............................................................................................................................
120
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 iii
PRLOGO ISO (la Organizacin Internacional para la Estandarizacin)
e IEC (la Comisin Electrotcnica Internacional) forman el sistema
especializado para la estandarizacin universal. Los organismos
nacionales miembros de ISO o IEC participan en el desarrollo de
Normas internacionales a travs de comits tcnicos establecidos por
la organizacin respectiva para lidiar con campos particulares de la
actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en
campos de inters mutuo. Otras organizaciones internacionales,
gubernamentales y no gubernamentales junto con ISO e IEC, tambin
toman parte en el trabajo. En el campo de la tecnologa de la
informacin, ISO e IEC han establecido un comit tcnico conjunto,
ISO/IEC JTC 1. Las Normas internacionales son desarrolladas en
concordancia con las reglas dadas en las Directivas ISO/IEC, Parte
2. ISO/IEC 27002 fue preparada por el Comit Tcnico conjunto ISO/IEC
JTC 1, Tecnologa de la informacin, Subcomit SC 27, Tcnicas de
Seguridad TI. Se debe prestar atencin a la posibilidad que algunos
elementos de estos documentos estn sujetos a derechos de patente.
ISO no deben ser responsables de la identificacin de algn o todos
los derechos de patentes. Esta segunda edicin, anula y reemplaza la
primera edicin (ISO/IEC 27002:2005), la cual ha sido revisada
estructural y tcnicamente.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
iv ISO/IEC 27002:2013/Cor.1:2014
INTRODUCCIN 0.1 Antecedentes y contexto Esta Norma Tcnica
Salvadorea est diseada para organizaciones que utilizan como
referencia para la seleccin de los controles dentro del proceso de
implementacin de un Sistema de Gestin de Seguridad de la Informacin
(SGSI) basado en ISO/IEC 27001[10] o como un documento gua para las
organizaciones implementando controles de seguridad de la
informacin comnmente aceptados. Esta Norma tambin tiene como
propsito ser utilizada en el desarrollo de directrices de gestin de
seguridad de la informacin especficas para la industria y
organizacin, considerando su ambiente especfico de riesgos de
seguridad de informacin. Organizaciones de todos los tipos y tamaos
(incluyendo sector pblico y privado, comercial y sin fines de
lucro) recopilan, procesan, almacenan y transmiten informacin de
muchas formas, incluyendo electrnica, fsica y verbal (p. ej.,
conversaciones y presentaciones). El valor de la informacin va ms
all de las palabras escritas, nmeros e imgenes: conocimiento,
conceptos, ideas y marcas son ejemplos de formas intangibles de
informacin. En un mundo interconectado, la informacin y procesos
relacionados, sistemas, redes y personal involucrados en su
operacin, manejo y proteccin son activos que, al igual que otros
activos importantes del negocio, son valiosos para una organizacin
y en consecuencia, merecen o requieren proteccin contra diversas
amenazas. Los activos estn sujetos a amenazas deliberadas o
accidentales, mientras que los procesos relacionados, sistemas,
redes y personas tienen vulnerabilidades inherentes. Cambios en los
procesos y sistemas de negocios u otros cambios externos (tales
como nuevas leyes y regulaciones) pueden crear nuevos riesgos de
seguridad de la informacin. Por lo tanto, dada la multitud de
formas en que las amenazas podran aprovecharse de las
vulnerabilidades para daar la organizacin, los riesgos de seguridad
de la informacin siempre estn presentes. Una efectiva seguridad de
la informacin reduce esos riesgos mediante la proteccin de la
organizacin en contra de amenazas y vulnerabilidades, y por lo
tanto reduce el impacto en sus activos. La seguridad de la
informacin se logra mediante la implementacin de un conjunto
adecuado de controles, incluyendo polticas, procesos,
procedimientos, estructuras organizacionales y funciones de
software y hardware. Estos controles deben ser establecidos,
aplicados, monitoreados, revisados y mejorados, cuando sea
necesario, para asegurar que los objetivos especficos de seguridad
y del negocio de la organizacin sean cumplidos. Un SGSI como el que
se especifica en ISO/IEC 27001[10] tiene una visin integral y
coordinada de los riesgos de seguridad de la informacin de la
organizacin para implementar un conjunto amplio de controles de
seguridad de la informacin en el marco general de un sistema de
gestin coherente. Muchos sistemas de informacin no han sido
diseados para ser seguros en el sentido de la Norma ISO/IEC
27001[10] y esta Norma. La seguridad que se puede lograr a travs de
medios tcnicos es limitada y debe ser apoyado por la administracin
y los procedimientos apropiados. Identificar cuales controles deben
estar en funcionamiento requiere una cuidadosa planificacin y
atencin a los detalles. Un exitoso SGSI requiere el apoyo de todos
los empleados en la organizacin. Tambin se
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 v
puede requerir la participacin de los accionistas, proveedores u
otras partes externas. Adems puede ser necesario asesoramiento
especializado de partes externas. En un sentido ms general, una
efectiva seguridad de la informacin tambin asegura a la
administracin y otras partes interesadas que los activos de la
organizacin estn razonablemente seguros y protegidos contra daos,
lo cual acta como un facilitador de negocios. 0.2 Requisitos de
seguridad de la informacin Es esencial que una organizacin
identifique sus requisitos de seguridad. Hay tres fuentes
principales de requisitos de seguridad: a) la evaluacin de los
riesgos para la organizacin, considerando la estrategia y objetivos
de
negocio de la organizacin. A travs de una evaluacin de riesgos,
se identifican las amenazas a los activos, la vulnerabilidad y la
probabilidad de ocurrencia es evaluada y el impacto potencial es
estimado;
b) los requisitos legales, estatutarios, reglamentarios y
contractuales que una organizacin, sus
socios comerciales, contratistas y proveedores de servicios
tienen que satisfacer, as como su entorno socio-cultural;
c) el conjunto de principios, objetivos y requisitos de negocio
para el manejo, procesamiento,
almacenamiento, comunicacin y el archivado de informacin, que
una organizacin ha desarrollado para apoyar sus operaciones.
Los recursos empleados en la implementacin de controles deben
estar balanceados contra el probable dao del negocio resultante de
los incidentes de seguridad en la ausencia de esos controles. Los
resultados de una evaluacin de riesgos ayudaran a guiar y
determinar las acciones administrativas y prioridades apropiadas
para la gestin de riesgos de seguridad de la informacin y para la
implementacin de los controles seleccionados para protegerse contra
estos riesgos. ISO/IEC 27005[11] proporciona orientacin sobre la
gestin de riesgos de seguridad de la informacin, incluido el
asesoramiento sobre evaluacin, tratamiento, aceptacin, comunicacin,
monitoreo y revisin del riesgo. 0.3 Seleccin de controles Los
controles pueden ser seleccionados de esta Norma o de otros
conjuntos de control, o nuevos controles pueden ser diseados para
satisfacer necesidades especficas, segn corresponda. La seleccin de
los controles depende de decisiones de la organizacin basadas en
los criterios de aceptacin del riesgo, opciones de tratamiento del
riesgo y el enfoque general de gestin de riesgos aplicado a la
organizacin, y tambin deben estar sujetas a todas las leyes y
regulaciones nacionales e internacionales pertinentes. La seleccin
de controles tambin depende de la manera en que los controles
interactan para proporcionar defensa a profundidad.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
vi ISO/IEC 27002:2013/Cor.1:2014
Algunos de los controles en esta Norma se pueden considerar como
principios guas para la gestin de seguridad de la informacin y
aplicables a la mayora de las organizaciones. Los controles son
explicados en ms detalle a continuacin junto con una Gua para la
implementacin. Ms informacin sobre la seleccin de los controles y
otras opciones de tratamientos de riesgo se pueden encontrar en la
Norma ISO/IEC 27005[11]. 0.4 Desarrollando sus propias directrices
Esta Norma Tcnica Salvadorea puede considerarse como un punto de
partida para el desarrollo de directrices especficas de la
organizacin. No todos los controles y guas en este cdigo de
prcticas pueden aplicarse. Adems, se pueden requerir controles
adicionales y directrices no incluidas en esta Norma. Cuando los
documentos son desarrollados incluyendo controles y guas
adicionales, puede ser til incluir referencias cruzadas a apartados
en esta Norma donde aplique, para facilitar la revisin de
conformidad por auditores y socios de negocios. 0.5 Consideraciones
del ciclo de vida La informacin tiene un ciclo de vida natural,
desde la creacin y emisin hasta su almacenamiento, procesamiento,
uso y transmisin a su eventual destruccin o deterioro. El valor de
los activos y sus riesgos puede variar durante su ciclo de vida (p.
ej., divulgacin no autorizada o robo de las cuentas financieras de
la compaa es mucho menos significativa despus que han sido
publicadas formalmente) pero la seguridad de la informacin sigue
siendo importante hasta cierto punto en todos los escenarios. Los
sistemas de informacin tienen ciclos de vida dentro de los cuales
son concebidos, especificados, diseados, desarrollados, probados,
implementados, usados, mantenidos y finalmente retirados del
servicio y desechados. La seguridad de la informacin debe ser
considerada en todas las etapas. Desarrollo de nuevos sistemas y
cambios a sistemas existentes presentan oportunidades a las
organizaciones para actualizar y mejorar los controles de
seguridad, tomando en cuenta incidentes y riesgos de seguridad de
la informacin actuales y proyectados. 0.6 Normas relacionadas
Aunque esta Norma ofrece orientacin sobre una amplia gama de
controles de seguridad de la informacin que son comnmente aplicados
en muchas organizaciones diferentes, las Normas restantes de la
familia ISO/IEC 27000 proporcionan asesoramiento o requerimientos
complementarios sobre otros aspectos del proceso global de la
gestin de seguridad de la informacin. Consulte ISO/IEC 27000 para
una introduccin general tanto al SGSI como a la familia de Normas.
ISO/IEC 27000 proporciona un glosario, que define formalmente la
mayor parte de los trminos utilizados en toda la familia de Normas
ISO/IEC 27000, y describe el alcance y los objetivos para cada
miembro de la familia.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 1
1 ALCANCE Esta Norma Tcnica Salvadorea proporciona directrices
para las Normas de seguridad de informacin de la organizacin y
prcticas de gestin de seguridad de la informacin, incluida la
seleccin, implementacin y gestin de controles, teniendo en cuenta
el medio ambiente de riesgos de seguridad de informacin de la
organizacin. Esta Norma Tcnica Salvadorea est diseada para ser
utilizada por las organizaciones que pretenden: a) seleccionar los
controles dentro del proceso de implantacin de un Sistema de Gestin
de
Seguridad de la Informacin basado en la Norma NTS ISO/IEC 27001;
b) efectuar controles de seguridad de la informacin generalmente
aceptadas; c) desarrollar sus propias directrices de gestin de
seguridad de la informacin. 2 REFERENCIAS NORMATIVAS Los siguientes
documentos, en su totalidad o en parte, estn Normativamente
referenciados en este documento y son indispensables para su
aplicacin. Para las referencias fechadas slo aplica la edicin
citada. Para referencias sin fecha, aplica la ltima edicin del
documento de referencia (incluyendo cualquier modificacin). ISO/IEC
27000, Information technology Security techniques Information
security management systems Overview and vocabulary 3 TRMINOS Y
DEFINICIONES Para los propsitos de este documento, aplican los
trminos y definiciones dados en ISO/IEC 27000. 4 ESTRUCTURA DE ESTA
NORMA Esta Norma incluye 14 apartados de control de seguridad que
contienen en conjunto un total de 35 categoras principales de
seguridad y 114 controles. 4.1 Apartados Cada apartado que define
los controles de seguridad contiene una o ms categoras principales
de seguridad.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
2 ISO/IEC 27002:2013/Cor.1:2014
El orden de los apartados contenidos en esta Norma no implica su
importancia. Dependiendo de las circunstancias, los controles de
seguridad de cualquiera o todos los apartados podran ser
importantes, por lo tanto, cada organizacin implementando esta
Norma debe identificar los controles aplicables, qu tan importantes
son y su aplicacin a los procesos de negocio individuales. Adems,
las listas de esta Norma no estn en orden de prioridad. 4.2
Categoras de control Cada categora principal de control de
seguridad contiene: a) un objetivo de control que indica lo que se
quiere lograr; b) uno o ms controles que se pueden aplicar para
alcanzar el objetivo de control. Las descripciones de los controles
estn estructuradas de la siguiente manera: Control Define la
declaracin de control especfico, para satisfacer el objetivo de
control. Gua para la implementacin Proporciona informacin ms
detallada para apoyar la implementacin de los controles y el
cumplimiento del objetivo de control. La gua puede no ser del todo
adecuada o suficiente en todas las situaciones y puede no cumplir
con los requerimientos especficos de control de la organizacin.
Otra informacin Proporciona otra informacin que pueda ser necesaria
a considerar, por ejemplo, consideraciones legales y referencias a
otras Normas. Si no hay otra informacin que proporcionar no se
muestra esta seccin. 5 POLTICAS DE SEGURIDAD DE LA INFORMACIN 5.1
Gestin de la direccin para la seguridad de la informacin
Objetivo: Proporcionar directrices y apoyo para la seguridad de
la informacin en concordancia con los requerimientos del negocio,
leyes y regulaciones pertinentes.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 3
Polticas de seguridad de la informacin 5.1.1 Control Un conjunto
de polticas de seguridad de la informacin debe ser definido y
aprobado por la Direccin, publicarlo y comunicarlo a todos los
empleados y entidades externas pertinentes. Gua para la
implementacin Las organizaciones deben definir, al ms alto nivel,
una "poltica de seguridad de la informacin", que es aprobada por la
Direccin y que debe establecer el enfoque de la organizacin para la
gestin de sus objetivos de seguridad de la informacin. Las polticas
de seguridad de la informacin deben abordar los requerimientos
creados por: a) la estrategia de negocios; b) reglamentos,
legislacin y contratos; c) amenazas ambientales actuales y
proyectadas a la seguridad de la informacin. La poltica de
seguridad de la informacin debe contener declaraciones relativas a:
a) definicin de la seguridad de la informacin, los objetivos y
principios para guiar todas las
actividades relativas a la seguridad de la informacin; b)
asignacin de responsabilidades generales y especficas para la
gestin de seguridad de la
informacin a roles definidos; c) procesos de manejo de las
desviaciones y excepciones. En un nivel inferior, la poltica de
seguridad de la informacin debe ser apoyada por polticas sobre
temas especficos, las cuales exigen ms que la implementacin de
controles de seguridad de la informacin y estn tpicamente
estructuradas para abordar las necesidades de determinados grupos
dentro de una organizacin o para cubrir ciertos temas. Ejemplos de
tales temas de polticas incluyen: a) Control de acceso (Ver
apartado 9); b) clasificacin de la informacin (y manejo) (Ver 8.2);
c) seguridad fsica y ambiental (Ver apartado 11);
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
4 ISO/IEC 27002:2013/Cor.1:2014
d) temas de usuario final tales como: 1) uso aceptable de los
activos (Ver 8.1.3); 2) escritorio y pantalla limpia (Ver 11.2.9);
3) transferencia de informacin (Ver 13.2.1); 4) dispositivos mviles
y trabajo remoto (Ver 6.2); 5) restricciones a instalaciones de
software y su uso (Ver 12.6.2); e) copias de seguridad (Ver 12.3);
f) transferencia de informacin (Ver 13.2); g) proteccin contra
software malicioso (Ver 12.2); h) gestin de vulnerabilidades
tcnicas (Ver 12.6.1); i) controles criptogrficos (Ver apartado 10);
j) seguridad de las comunicaciones (Ver apartado 13); k) privacidad
y proteccin de informacin identificada como personal (Ver 18.1.4);
l) relaciones con proveedores (Ver apartado 15). Estas polticas
deben ser comunicadas a empleados y entidades externas pertinentes,
en una forma que sea adecuada, accesible y comprensible para el
lector previsto, p. ej., en el contexto de un "programa de
entrenamiento y educacin para concientizacin de seguridad de la
informacin (Ver 7.2.2). Otra informacin La necesidad de polticas
internas de seguridad de la informacin vara en las organizaciones.
Polticas internas son especialmente tiles en organizaciones ms
grandes y ms complejas, en donde aquellos que definen y aprueban
los niveles esperados de control estn separados de aquellos que
implementan los controles, o en situaciones donde una poltica
aplica a muchas personas o funciones diferentes en la organizacin.
Polticas de seguridad de la informacin pueden ser emitidas en un
solo documento "poltica de seguridad de la informacin" o como un
conjunto de documentos individuales relacionados. Si alguna de las
polticas de seguridad de la informacin es distribuida fuera de la
organizacin, se debe tener cuidado de no revelar informacin
confidencial.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 5
Algunas organizaciones utilizan otros trminos para estos
documentos de poltica, tales como "Normas", "Directivas" o
"Reglas".
Revisin de las polticas para la seguridad de la informacin 5.1.2
Control Las polticas para la seguridad de la informacin deben
revisarse a perodos planificados o siempre que se produzcan cambios
significativos, para asegurar que se mantenga su continuidad,
idoneidad, adecuacin y efectividad. Gua para la implementacin Cada
poltica debe tener un dueo que haya aprobado la responsabilidad de
gestin para el desarrollo, revisin y evaluacin de las polticas. La
revisin debe incluir la evaluacin de oportunidades de mejora de las
polticas de la organizacin y el enfoque para la gestin de seguridad
de la informacin en respuesta a los cambios en el entorno de la
organizacin, circunstancias del negocio, condiciones legales o
entorno tcnico. La revisin de las polticas de seguridad de la
informacin debe tener en cuenta los resultados de las revisiones
por la direccin. Se debe obtener aprobacin de la direccin para la
poltica revisada. 6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
6.1 Organizacin interna Objetivo: Establecer un marco de gestin
para iniciar y controlar la implementacin y operacin de la
seguridad de la informacin dentro de la organizacin.
Roles y responsabilidades de seguridad de la informacin
6.1.1
Control Todas las responsabilidades de la seguridad de la
informacin deben estar definidas y asignadas. Gua para la
implementacin La asignacin de las responsabilidades de seguridad de
la informacin debe hacerse de acuerdo con las polticas de seguridad
de la informacin (Ver 5.1.1). Las responsabilidades para la
proteccin de los activos individuales, y para llevar a cabo
procesos de seguridad de la informacin especficas deben ser
identificadas. Las responsabilidades para las actividades de gestin
de seguridad de la
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
6 ISO/IEC 27002:2013/Cor.1:2014
informacin y, en particular, para la aceptacin de riesgos
residuales deben ser definidas. Estas responsabilidades deben ir
acompaadas, donde sea necesario, con una gua ms detallada para
sitios especficos e instalaciones de procesamiento de informacin.
Responsabilidades locales para la proteccin de los activos y de
llevar a cabo procesos especficos de seguridad deben ser definidas.
Las personas con responsabilidades de seguridad de la informacin
asignadas podrn delegar tareas de seguridad a otros. No obstante
siguen siendo responsables y deben determinar que cualesquiera
tareas delegadas han sido correctamente ejecutadas. Deben
establecerse reas para las cuales las personas son responsables. En
particular, lo siguiente debe tomarse en cuenta: a) los activos y
los procesos de seguridad de la informacin deben ser identificados
y definidos; b) la entidad responsable para cada activo o proceso
de seguridad de la informacin debe ser
asignado y los detalles de su responsabilidad deben estar
documentados (Ver 8.1.2); c) los niveles de autorizacin deben ser
definidos y documentados; d) para ser capaz de cumplir con sus
responsabilidades en el rea de seguridad de la informacin, la
persona designada debe ser competente en el rea y brindarle
oportunidades para mantenerse actualizado con los desarrollos;
e) coordinacin y supervisin de aspectos de seguridad de
informacin de las relaciones con
proveedores deben ser identificadas y documentadas. Otra
informacin Muchas organizaciones designan a un administrador de
seguridad de la informacin para tomar la responsabilidad completa
del desarrollo e implementacin de seguridad de la informacin y para
apoyar la identificacin de controles. Sin embargo, la
responsabilidad de la dotacin de recursos y la implementacin de los
controles a menudo se mantendr con los gerentes individuales. Una
prctica comn es nombrar a un dueo por cada activo que luego se
convierte en el responsable para su proteccin en el da a da.
Segregacin de funciones 6.1.2 Control Las funciones conflictivas
y las reas de responsabilidad deben ser segregadas para reducir las
oportunidades de modificaciones o uso no autorizado o mal
intencionado de los activos de la organizacin.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 7
Gua para la implementacin Se debe tener cuidado de que ninguna
persona pueda acceder, modificar o utilizar los activos sin
autorizacin o deteccin. El inicio de un evento debe ser separado de
su autorizacin. La posibilidad de colusin debe ser considerada en
el diseo de los controles. Organizaciones pequeas pueden considerar
la segregacin de funciones como difcil de alcanzar, pero el
principio debe ser aplicado en la medida de lo posible y
practicable. Siempre que fuese difcil de separar, otros controles
tales como el monitoreo de las actividades, pistas de auditora y
supervisin de la administracin deben ser considerados. Otra
informacin La segregacin de funciones es un mtodo para reducir el
riesgo de mal uso, ya sea accidental o deliberado, de los activos
de una organizacin.
Contacto con autoridades 6.1.3 Control Deben mantenerse los
contactos adecuados con las autoridades pertinentes. Gua para la
implementacin Las organizaciones deben contar con procedimientos
que especifiquen cundo y a que autoridades (p. ej., la polica,
organismos reguladores, autoridades de supervisin) debe contactarse
y cmo identificar los incidentes de seguridad de la informacin que
deben ser reportados de manera oportuna (p. ej., si se sospecha que
la ley pueda haber sido quebrantada). Otra informacin
Organizaciones bajo ataque a travs de Internet pueden necesitar que
las autoridades tomen medidas contra el origen del ataque. Mantener
este tipo de contactos puede ser un requerimiento para apoyar la
gestin de incidentes de seguridad de informacin (Ver Apartado 16),
o la continuidad del negocio y el proceso de planificacin de
contingencia (Ver Apartado 17). Contactos con organismos
reguladores tambin son tiles para anticipar y prepararse para los
prximos cambios en las leyes o reglamentos, que deben ser
implementados por la organizacin. Contactos con otras autoridades
incluyen servicios pblicos, servicios de emergencia, proveedores de
electricidad, salud y seguridad, p. ej., el cuerpo de bomberos (en
conexin con la continuidad del negocio), proveedores de
telecomunicaciones (en relacin con ruteo de lnea y disponibilidad)
y proveedores de agua (en relacin con las instalaciones de
refrigeracin para equipos).
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
8 ISO/IEC 27002:2013/Cor.1:2014
Contacto con grupos de especial inters 6.1.4 Control Se deben
mantener contactos apropiados con los grupos de especial inters u
otros foros y asociaciones profesionales especializadas en
seguridad. Gua para la implementacin La pertenencia a grupos de
especial inters o foros debe ser considerada como un medio para: a)
mejorar el conocimiento acerca de buenas prcticas y estar al da con
la informacin de seguridad
pertinente; b) asegurar que la comprensin del entorno de
seguridad de la informacin est actualizado y
completo; c) recibir alertas tempranas, asesoras y parches
relacionados con ataques y vulnerabilidades; d) obtener acceso a
consejos de seguridad de informacin especializada; e) comunicar e
intercambiar informacin acerca de nuevas tecnologas, productos,
amenazas o
vulnerabilidades; f) proporcionar puntos de enlace adecuados
cuando se trata de incidentes de seguridad de la
informacin (Ver Apartado 16). Otra informacin Acuerdos para
compartir informacin pueden ser establecidos para mejorar la
cooperacin y la coordinacin de los temas de seguridad. Tales
acuerdos deben determinar las necesidades en materia de proteccin
de la informacin confidencial.
Seguridad de la informacin en la gestin de proyectos 6.1.5
Control La seguridad de la informacin debe ser tratada en la gestin
de proyectos, independientemente del tipo de proyecto. Gua para la
implementacin La Seguridad de la informacin debe integrarse en el
mtodo de gestin de proyectos de la organizacin para asegurar que
los riesgos de seguridad de la informacin se identifican y se
abordan como parte de un proyecto. Esto se aplica generalmente a
cualquier proyecto, independientemente de
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 9
su carcter, p. ej., un proyecto para un proceso prioritario de
negocio, TI, la gestin de instalaciones y otro apoyo a los
procesos. Los mtodos de gestin de proyectos en uso deben exigir
que: a) los objetivos de seguridad de la informacin se incluyan en
los objetivos del proyecto; b) una evaluacin de riesgos de
seguridad de la informacin se lleva a cabo en una fase temprana
del proyecto para identificar controles necesarios; c) la
seguridad de la informacin es parte de todas las fases de la
metodologa aplicada al proyecto. Las Implicaciones de seguridad de
informacin deben ser abordadas y revisadas con regularidad en todos
los proyectos. Las responsabilidades de la seguridad de la
informacin deben ser definidas y asignadas a los roles especficos
definidos en los mtodos de gestin de proyectos. 6.2 Dispositivos
mviles y trabajo remoto Objetivo: Asegurar la seguridad del trabajo
remoto y el uso de dispositivos mviles.
Poltica de dispositivos mviles 6.2.1
Control Una poltica y medidas de soporte de seguridad deben ser
adoptadas para gestionar los riesgos introducidos por el uso de
dispositivos mviles. Gua para la implementacin Al utilizar los
dispositivos mviles, se debe tener especial cuidado para asegurar
que la informacin del negocio no es comprometida. La poltica de
dispositivos mviles debe tener en cuenta los riesgos de trabajar
con los dispositivos en entornos desprotegidos. La poltica de
dispositivos mviles debe tener en cuenta: a) el registro de los
dispositivos mviles; b) los requerimientos de proteccin fsica; c)
limitacin de la instalacin de software; d) los requerimientos de
las versiones de software de dispositivos mviles y la aplicacin de
parches; e) la restriccin de la conexin a los servicios de
informacin; f) los controles de acceso;
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
10 ISO/IEC 27002:2013/Cor.1:2014
g) tcnicas criptogrficas; h) proteccin contra software
malicioso; i) la desactivacin remota, eliminacin o bloqueo; j) las
copias de seguridad; k) el uso de los servicios web y aplicaciones
web.
Se debe tener cuidado al usar dispositivos mviles en lugares
pblicos, salas de reuniones y otras reas sin proteccin. La
proteccin debe estar funcionando para evitar el acceso no
autorizado o la divulgacin de la informacin almacenada y procesada
por estos dispositivos, por ejemplo, utilizando tcnicas
criptogrficas (Ver Apartado 10) y la obligacin de uso de informacin
secreta de autenticacin (Ver 9.2.4). Los dispositivos mviles tambin
deben ser protegidos fsicamente contra el robo, especialmente en,
p. ej., automviles y otras formas de transporte, habitaciones de
hotel, centros de congresos y lugares de reunin. Debe ser
establecido un procedimiento especfico que tome en cuenta la ley,
seguros y otros requerimientos de seguridad de la organizacin para
casos de robo o prdida de dispositivos mviles. Los dispositivos que
transportan informacin del negocio de carcter importante, sensible
o crtica, no deben ser dejados desatendidos y, cuando sea posible,
deben ser fsicamente resguardados bajo llave, o se deben utilizar
cerraduras especiales para asegurar los dispositivos.
Capacitaciones deben organizarse para incrementar la conciencia de
los empleados sobre riesgos adicionales resultantes del uso de
dispositivos mviles como medio de trabajo y los controles que se
deben implementar. Cuando la poltica de dispositivos mviles permita
el uso de dispositivos mviles de propiedad privada, la poltica y
medidas relacionadas de seguridad tambin deben considerar: a)
separacin de uso privado y profesional de los dispositivos,
incluyendo el uso de software para
apoyar tal separacin y proteger los datos empresariales en un
dispositivo privado; b) facilitar el acceso a la informacin del
negocio slo despus que los usuarios han firmado un
acuerdo de usuario final que reconoce sus obligaciones
(proteccin fsica, actualizacin de software, etc.), y que contenga
la renuncia a la propiedad de datos del negocio, lo que permitir la
limpieza remota por parte de la organizacin de los datos en caso de
robo o prdida del dispositivo o cuando ya no estn autorizados a
utilizar el servicio. Esta poltica debe tener en cuenta la
legislacin de privacidad.
Otra informacin Las conexiones inalmbricas del dispositivo mvil
son similares a otros tipos de conexin de red, pero tienen
importantes diferencias que se deben considerar en la identificacin
de controles. Diferencias tpicas son:
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 11
a) algunos protocolos de seguridad inalmbrica son inmaduros y
tienen debilidades conocidas; b) la informacin almacenada en los
dispositivos mviles, no puede ser respaldada en marcha por la
limitacin del ancho de banda de la red o porque los dispositivos
mviles no se pueden conectar cuando se programan las copias de
seguridad.
Los dispositivos mviles en general, comparten funciones comunes
con los dispositivos de uso fijo, por ejemplo, la creacin de redes,
acceso a internet, correo electrnico y la manipulacin de archivos.
Los controles de seguridad de la informacin para los dispositivos
mviles generalmente consisten de los adoptados en los dispositivos
de uso fijo y aquellos que enfrentan amenazas por ser utilizados
fuera de las instalaciones de la organizacin.
Trabajo remoto 6.2.2 Control Una poltica y medidas de soporte de
seguridad deben ser implementadas para proteger la informacin
accedida, procesada o almacenada en sitios de trabajo remoto. Gua
para la implementacin Las Organizaciones que permiten las
actividades de trabajo remoto deben emitir una poltica que defina
las condiciones y restricciones para el uso del trabajo remoto.
Cuando se considere aplicable y permitido por la ley, se debe de
considerar lo siguiente: a) la seguridad fsica existente en el
sitio de trabajo remoto, teniendo en cuenta la seguridad fsica
de
las instalaciones y ambiente local; b) el entorno fsico de
trabajo remoto propuesto; c) los requisitos de seguridad de las
comunicaciones, teniendo en cuenta la necesidad de acceso
remoto a los sistemas internos de la organizacin, la criticidad
de la informacin que se acceder y se transmitir sobre el enlace de
comunicacin y la criticidad del sistema interno;
d) la provisin de acceso de escritorio virtual que previene el
procesamiento y almacenamiento de
informacin sobre propiedad privada del equipo; e) la amenaza de
acceso no autorizado a informacin o recursos por parte de otras
personas por
ejemplo, la familia y los amigos; f) el uso de las redes
domsticas y los requerimientos o restricciones a la configuracin de
la
tecnologa inalmbrica de los servicios de red;
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
12 ISO/IEC 27002:2013/Cor.1:2014
g) las polticas y procedimientos para prevenir las disputas
relativas a los derechos de propiedad intelectual desarrollada en
equipo de propiedad privada;
h) el acceso a los equipos de propiedad privada (para verificar
la seguridad de la mquina o durante
una investigacin), puede verse limitado por la legislacin; i)
acuerdos de licenciamiento de software tales que permiten a las
organizaciones conceder
licenciamiento para software cliente en estaciones de trabajo de
propiedad privada de empleados o usuarios de entidades
externas;
j) proteccin de software malicioso y requerimientos de corta
fuegos. Las directrices y disposiciones a considerar deben incluir:
a) el suministro de equipo adecuado y el mobiliario de
almacenamiento para las actividades de
trabajo remoto, en el que no se permite la utilizacin de equipos
de propiedad privada que no estn bajo el control de la
organizacin;
b) una definicin del trabajo permitido, las horas de trabajo, la
clasificacin de la informacin que
puede ser utilizada y, los sistemas y servicios internos que el
trabajador remoto est autorizado a acceder;
c) el suministro de equipos de comunicacin adecuados, incluidos
los mtodos para asegurar el
acceso remoto; d) la seguridad fsica; e) las Normas y
directrices sobre el acceso por parte de la familia y visitantes a
los equipos y la
informacin; f) el servicio de soporte y mantenimiento de
hardware y software; g) la provisin de seguros; h) los
procedimientos de copia de seguridad y la continuidad del negocio;
i) auditoria y monitoreo de la seguridad; j) la revocacin de los
privilegios de acceso y autoridad, y la devolucin de los equipos
cuando las
actividades del trabajo remoto finalicen. Otra informacin El
trabajo remoto se refiere a todas las formas de trabajo fuera de la
oficina, incluyendo entornos de trabajo no tradicionales, tales
como los que se refiere a "trabajo a distancia", "lugar de trabajo
flexible", teletrabajo" y "trabajo virtual".
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 13
7 SEGURIDAD DE LOS RECURSOS HUMANOS 7.1 Antes del empleo
Objetivo: Asegurar que los empleados y contratistas entiendan sus
responsabilidades, y sean idneos para los roles para los cuales se
les considera.
Seleccin de personal 7.1.1
Control Los controles de verificacin de los antecedentes de
todos los candidatos para el empleo deben llevarse a cabo en
concordancia con las leyes, regulaciones y Normas de tica
pertinentes y, deben ser proporcionales al requerimiento del
negocio, la clasificacin de la informacin a ser accedida y los
riesgos percibidos. Gua para la implementacin La verificacin debe
tener en cuenta toda la privacidad relevante a la persona, la
proteccin de la informacin personal identificable y la legislacin
laboral y debe, cuando sea permitido, incluir lo siguiente: a) la
disponibilidad de referencias de carcter satisfactorio, por
ejemplo, laborales y personales; b) una verificacin (completa y
precisa) del currculo vitae del solicitante; c) la confirmacin de
las calificaciones acadmicas y profesionales declaradas; d) la
verificacin de identidad (DUI, Pasaporte o documento similar); e)
verificaciones ms detalladas, como la verificacin de estado
crediticio o la revisin de
antecedentes penales. Cuando una persona es contratada para un
rol de seguridad de la informacin especfica, las organizaciones
deben asegurarse que el candidato: a) tiene la competencia
necesaria para desempear el rol de seguridad; b) puede confirsele
el rol, especialmente si el rol es crtico para la organizacin.
Cuando un puesto de trabajo, ya sea en la primera cita o en la
promocin, involucra a la persona que tenga acceso a instalaciones
de procesamiento de la informacin, y, en particular, si stos estn
manejando informacin confidencial, por ejemplo, informacin
financiera o informacin altamente confidencial, la organizacin
tambin debe considerar verificaciones ms detalladas.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
14 ISO/IEC 27002:2013/Cor.1:2014
Los procedimientos deben definir criterios y limitaciones para
la revisin de verificacin, por ejemplo, quin es elegible para la
seleccin de personal y cmo, cundo y por qu las verificaciones se
llevan a cabo. Un proceso de seleccin tambin debe ser asegurado
para los contratistas. En estos casos, el acuerdo entre la
organizacin y el contratista debe especificar las responsabilidades
para llevar a cabo la seleccin y el procedimiento de notificacin
que se debe seguir en caso de que la seleccin no sea completada o
si los resultados causan un motivo de duda o preocupacin. La
informacin sobre todos los candidatos que estn siendo considerados
para los puestos dentro de la organizacin, debe recopilarse y
manejarse de conformidad con cualquier legislacin existente en la
jurisdiccin correspondiente. Dependiendo de la legislacin
aplicable, los candidatos deben ser informados de antemano sobre
las actividades de seleccin.
Trminos y condiciones de empleo 7.1.2 Control Los acuerdos
contractuales con empleados y contratistas deben establecer sus
responsabilidades y las responsabilidades de la organizacin para la
seguridad de la informacin. Gua para la implementacin Las
obligaciones contractuales de los empleados o contratistas deben
reflejar las polticas de la organizacin para seguridad de la
informacin, adems de aclarar y establecer: a) que todos los
empleados y contratistas que se les d acceso a la informacin
confidencial deben
firmar un acuerdo de confidencialidad o de no divulgacin antes
de que puedan tener acceso a las instalaciones de procesamiento de
la informacin (Ver 13.2.4);
b) responsabilidades legales y derechos de los empleados o
contratistas, por ejemplo en relacin
con las leyes de derechos de autor o la legislacin de proteccin
de datos (Ver 18.1.2 y 18.1.4); c) las responsabilidades para la
clasificacin de la informacin y la gestin de otros activos de
la
organizacin asociados a la informacin, instalaciones de
procesamiento de informacin y servicios de informacin que maneja el
empleado o contratista (Ver Apartado 8);
d) las responsabilidades del empleado o contratista para el
manejo de la informacin recibida de
otras empresas o entidades externas; e) las acciones a ser
tomadas si el empleado o contratista hace caso omiso a los
requerimientos de
seguridad de la organizacin (Ver 7.2.3). Los roles y
responsabilidades de seguridad de la informacin deben ser
comunicados a los candidatos durante el proceso de induccin.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 15
La organizacin debe asegurar que los empleados y contratistas
estn de acuerdo con los trminos y condiciones concernientes a la
apropiada seguridad de la informacin para la naturaleza y el grado
de acceso que tendrn a los activos de la organizacin relacionados
con los sistemas de informacin y servicios. Donde sea apropiado,
las responsabilidades contenidas dentro de los trminos y
condiciones de empleo deben continuar por un perodo definido despus
del final de la contratacin (Ver 7.3). Otra informacin Un cdigo de
conducta puede ser utilizado para indicar las responsabilidades de
seguridad de la informacin del empleado o contratista respecto a la
confidencialidad, proteccin de datos, la tica, el uso apropiado de
los equipos e instalaciones de la organizacin, as como las prcticas
de buena reputacin esperados por la organizacin. Una entidad
externa, con el cual un contratista est asociado, puede ser
obligada a entrar en arreglos contractuales en nombre de la persona
contratada. 7.2 Durante el empleo Objetivo: Asegurar que todos los
empleados y contratistas estn conscientes de cumplir con sus
responsabilidades de la seguridad de la informacin.
Responsabilidades de la Direccin 7.2.1
Control La Direccin debe requerir que los empleados y
contratistas apliquen la seguridad de la informacin en concordancia
con las polticas y procedimientos establecidos por la organizacin.
Gua para la implementacin Las responsabilidades de la Direccin
deben incluir el aseguramiento de que los empleados y contratistas:
a) se les informa adecuadamente sobre sus roles y responsabilidades
de seguridad de la
informacin antes de ser concedido el acceso a sistemas de
informacin o informacin confidencial;
b) estn provistos con las directrices que establecen las
expectativas de seguridad de la informacin
para su rol dentro de la organizacin;
c) estn motivados para cumplir con las polticas de seguridad de
la informacin de la organizacin; d) alcanzar un nivel de conciencia
sobre seguridad de la informacin pertinente a sus roles y
responsabilidades dentro de la organizacin (Ver 7.2.2);
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
16 ISO/IEC 27002:2013/Cor.1:2014
e) cumplir con los trminos y condiciones de empleo, que incluye
la poltica de seguridad de la informacin de la organizacin y los
mtodos adecuados de trabajo;
f) continan teniendo las habilidades y cualificaciones
apropiadas y son capacitados
peridicamente; g) son provistos con un canal de denuncia annima
para reportar violaciones a las polticas o
procedimientos de seguridad de la informacin ("denuncia de
irregularidades"). La Direccin debe demostrar el apoyo de las
polticas de seguridad de la informacin, los procedimientos y los
controles, y actuar como un modelo a seguir. Otra informacin Si los
empleados y contratistas no estn conscientes de sus
responsabilidades de seguridad de la informacin, pueden causar un
dao considerable a la organizacin. Un personal motivado es probable
que sea ms confiable y cause menos incidentes de seguridad de la
informacin. Una pobre gestin puede provocar que el personal no se
sienta valorado, resultando en un impacto negativo en la seguridad
de la informacin de la organizacin. Por ejemplo, una pobre gestin
puede llevar a que se descuide la seguridad de la informacin o se
potencie el mal uso de los activos de la organizacin.
Capacitacin, educacin y concientizacin sobre la seguridad de la
informacin 7.2.2 Control Todos los empleados de la organizacin y,
cuando sea pertinente, los contratistas, deben recibir una
apropiada concientizacin, capacitacin y actualizacin peridica de
las polticas y procedimientos organizacionales, que sean relevantes
a su funcin laboral. Gua para la implementacin Un programa de
sensibilizacin sobre la seguridad de informacin debe tener como
objetivo hacer que los empleados y, en su caso, los contratistas
sean conscientes de sus responsabilidades en materia de seguridad
de la informacin y de los medios por los que esas responsabilidades
sean dadas de alta. Un programa de concientizacin sobre seguridad
de la informacin debe establecerse de acuerdo con las polticas de
seguridad de la informacin de la organizacin y los procedimientos
pertinentes, teniendo en cuenta la informacin de la organizacin
para ser protegidos y los controles que se han implementado para
proteger la informacin. El programa de concientizacin debe incluir
una serie de actividades de concientizacin, como campaas de (por
ejemplo, un "da de la seguridad de la informacin") y la emisin de
folletos o boletines.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 17
El programa de concientizacin debe planificarse teniendo en
cuenta los roles de los trabajadores en la organizacin y, donde sea
pertinente, las expectativas de la organizacin de la concientizacin
de los contratistas. Las actividades en el programa de
concientizacin deben ser calendarizadas, preferiblemente en forma
peridica, de manera que las actividades se repitan y consideren a
los nuevos empleados y contratistas. El programa de concientizacin
tambin debe actualizarse regularmente para que se mantenga alineado
con las polticas y procedimientos de la organizacin, y debe
construirse con lecciones aprendidas de los incidentes de seguridad
de la informacin. La concientizacin se debe realizar segn sea
requerido por el programa de concientizacin de seguridad de
informacin de la organizacin. La concientizacin puede utilizar
diferentes medios de difusin, incluyendo sesiones presenciales,
aprendizaje a distancia, basado en la web, autodidacta u otros.
Educacin y formacin en seguridad de la informacin tambin deben
cubrir aspectos generales como: a) afirmacin del compromiso de la
Direccin con la seguridad de la informacin en toda la
organizacin; b) la necesidad de familiarizarse y cumplir con las
directrices y obligaciones de seguridad de la
informacin aplicables, segn se define en las polticas, Normas,
leyes, reglamentos, contratos y acuerdos;
c) la responsabilidad personal de los propios actos y omisiones,
y las responsabilidades generales
para asegurar o proteger la informacin que pertenece a la
organizacin y entidades externas; d) los procedimientos bsicos de
seguridad de la informacin (como informes de incidentes de
seguridad de informacin) y los controles de lnea base (como la
seguridad de las contraseas, los controles de software malicioso y
escritorios limpios);
e) recursos y puntos de contacto para otra informacin y consejos
sobre temas de seguridad de la
informacin, incluyendo educacin y materiales de capacitacin
complementarios sobre seguridad de la informacin.
La educacin y formacin en seguridad de la informacin debe
realizarse en forma peridica. La educacin y formacin inicial aplica
a aquellos que se transfieren a nuevas posiciones o roles con
requisitos sustancialmente diferentes de seguridad de la
informacin, no slo a las nuevas contrataciones y debe realizarse
antes que inicie funciones. La organizacin debe desarrollar el
programa de educacin y formacin con el fin de llevar a cabo la
educacin y formacin con eficacia. El programa debe estar alineado
con las polticas de seguridad de la informacin de la organizacin y
los procedimientos pertinentes, teniendo en cuenta la informacin de
la organizacin a ser protegida y los controles que han sido
implementados para proteger la
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
18 ISO/IEC 27002:2013/Cor.1:2014
informacin. El programa debe considerar las diferentes formas de
educacin y formacin, por ejemplo, conferencias o auto estudio. Otra
informacin Al redactar un programa de concientizacin, es importante
no slo enfocarse en el "qu" y "cmo", sino tambin el "por qu". Es
importante que los empleados entiendan el propsito de seguridad de
la informacin y el impacto potencial, positivo y negativo, de su
propio comportamiento en la organizacin. Concientizacin, educacin y
capacitacin pueden ser parte de, o llevados a cabo en colaboracin
con, otras actividades de capacitacin, por ejemplo generalidades de
TI o de entrenamiento en seguridad general. Actividades de
sensibilizacin, educacin y formacin deben ser adecuadas y
pertinentes a las funciones, responsabilidades y habilidades del
individuo. Una evaluacin de la comprensin de los empleados podra
llevarse a cabo, al final de un curso de concientizacin, educacin y
capacitacin, para probar la transferencia de conocimientos.
Proceso disciplinario 7.2.3 Control Debe existir un proceso
disciplinario formal y comunicado de forma que se tomen acciones en
contra de empleados que han cometido una violacin en la seguridad
de la informacin. Gua para la implementacin El proceso
disciplinario no debe iniciarse sin previa verificacin de que se ha
producido una violacin de la seguridad de la informacin (Ver
16.1.7). El proceso disciplinario formal debera garantizar un trato
correcto y justo para los empleados que son sospechosos de haber
cometido violaciones de la seguridad de la informacin. El proceso
disciplinario formal debera proveer una respuesta gradual que toma
en consideracin factores tales como la legislacin pertinente,
contratos de negocios, naturaleza y gravedad de la violacin y su
impacto en el negocio, si es una primera infraccin o una
reincidencia, si el infractor fue debidamente capacitado y otros
factores que se requieran. El proceso disciplinario debera tambin
ser utilizado como un elemento de disuasin para evitar que los
empleados violen las polticas y procedimientos de seguridad de la
informacin de la organizacin y cualquier otra violacin de la
seguridad de la informacin. Infracciones deliberadas pueden
requerir acciones inmediatas. Otra informacin El proceso
disciplinario puede tambin convertirse en una motivacin o un
incentivo, si sanciones positivas se definen para un comportamiento
notable con respecto a la seguridad de la informacin.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 19
7.3 Terminacin y cambio del empleo Objetivo: Proteger los
intereses de la organizacin como parte de un proceso de terminacin
o cambio de empleo.
Responsabilidades de terminacin o cambio de empleo 7.3.1
Control Deben ser definidas las responsabilidades y funciones de
la seguridad de la informacin que permanezcan validas despus de una
terminacin o cambio de empleo, comunicadas y remarcadas al empleado
o contratista. Gua para la implementacin La comunicacin de las
responsabilidades de terminacin debera incluir requisitos vigentes
de seguridad de informacin y responsabilidades legales y, en su
caso, las responsabilidades contenidas dentro de cualquier acuerdo
de confidencialidad (Ver 13.2.4) y los trminos y condiciones de
empleo (Ver 7.1.2) que continan por un perodo definido despus de la
finalizacin del contrato del empleado o contratista.
Responsabilidades y deberes todava vlidos despus de la terminacin
del empleo deben estar contenidos en los trminos y condiciones del
empleo del empleado o contratista (Ver 7.1.2). Los cambios de la
responsabilidad o de empleo deben gestionarse como la terminacin de
la responsabilidad o el empleo actual, combinado con el inicio de
la nueva responsabilidad o empleo. Otra informacin La funcin de
recursos humanos es generalmente responsable del proceso global de
la terminacin y trabaja en conjunto con el supervisor de la persona
que se retira, para gestionar los aspectos de seguridad de la
informacin de los procedimientos correspondientes. En el caso de un
contratista provisto a travs de una entidad externa, este proceso
de terminacin es realizado por la parte externa de conformidad con
el contrato entre la organizacin y la parte externa. Puede que sea
necesario informar a los empleados, clientes o contratistas de
cambios de personal y arreglos operativos.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
20 ISO/IEC 27002:2013/Cor.1:2014
8 GESTIN DE ACTIVOS 8.1 Responsabilidad sobre los activos
Objetivo: Identificar los activos organizacionales y definir las
apropiadas responsabilidades de proteccin.
Inventario de activos 8.1.1
Control Informacin, otros activos asociados con informacin e
instalaciones de procesamiento de la informacin deben ser
identificados y un inventario de estos activos debe ser levantado y
mantenido. Gua para la implementacin Una organizacin debe
identificar los activos relevantes en el ciclo de vida de la
informacin y documentar su importancia. El ciclo de vida de la
informacin debe incluir la creacin, procesamiento, almacenamiento,
transmisin, eliminacin y destruccin. La documentacin debe ser
mantenida en los inventarios dedicados o existentes, segn
corresponda. El inventario de activos debe ser exacto, actualizado,
consistente y alineado con otros inventarios. Para cada uno de los
activos identificados, la propiedad del activo debe ser asignado
(Ver 8.1.2) y la clasificacin se debe identificar (Ver 8.2). Otra
informacin Los inventarios de activos ayudan a asegurar que la
proteccin efectiva se lleva a cabo, y tambin puede ser necesaria
para otros fines, tales como razones de salud y seguridad,
financieras y de seguro (gestin de activos). ISO/IEC 27005[11]
proporciona ejemplos de activos que pueden ser considerados por la
organizacin en la identificacin de sus activos. El proceso de
compilacin de un inventario de los activos es un requisito
importante de la gestin de riesgos (vase tambin la Norma NTS
ISO/IEC 27000 e ISO/IEC 27005[11]).
Propiedad de los activos 8.1.2 Control Los activos recopilados
en el inventario deben ser asignados.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 21
Gua para la implementacin Individuos, as como otras entidades
que han aprobado la responsabilidad de gestin del ciclo de vida de
activos califican para ser asignados como propietarios de activos.
Un proceso para garantizar la asignacin oportuna de propiedad de
los activos es usualmente implementado. La propiedad se debe
asignar cuando se crean los activos o cuando los activos se
transfieren a la organizacin. El propietario de los activos debe
ser responsable de la correcta gestin de un activo durante todo el
ciclo de vida de los activos. El propietario de los activos debe:
a) asegurar que los activos son inventariados; b) asegurar que los
activos estn debidamente clasificados y protegidos; c) definir y
revisar peridicamente las restricciones de acceso y las
clasificaciones de los activos
importantes, teniendo en cuenta las polticas de control de
acceso aplicables; d) garantizar el manejo adecuado cuando el
activo se elimina o destruye. Otra informacin El propietario
identificado puede ser un individuo o una entidad que tiene
aprobada la responsabilidad de gestin para el control de todo el
ciclo de vida de un activo. El propietario identificado no
necesariamente tiene ningn derecho de propiedad sobre el activo.
Las tareas de rutina pueden ser delegadas, por ejemplo, a un
custodio el cuidado de los activos diariamente, pero la
responsabilidad sigue siendo del propietario. En los sistemas de
informacin complejos, puede ser til designar grupos de activos que
actan en conjunto para proporcionar un servicio en particular. En
este caso, el dueo de este servicio es responsable de la prestacin
del servicio, incluyendo la operacin de sus activos.
Uso aceptable de los activos 8.1.3 Control Se deben identificar,
documentar e implementar las reglas para el uso aceptable de la
informacin, los activos asociados y las instalaciones para
procesamiento de la informacin.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
22 ISO/IEC 27002:2013/Cor.1:2014
Gua para la implementacin Los empleados y usuarios de la parte
externa que utilicen o tengan acceso a los activos de la
organizacin deben ser conscientes de los requisitos de seguridad de
la informacin de la organizacin, otros activos relacionados con la
informacin y las instalaciones y recursos de procesamiento de
informacin. Ellos deben ser responsables del uso de los recursos de
procesamiento de la informacin y cualquier uso llevado a cabo bajo
su responsabilidad.
Devolucin de los activos 8.1.4 Control Todos los empleados y
usuarios externos deben devolver todos los activos de la
organizacin que se encuentran en su posesin una vez dada la
terminacin de su empleo, contrato o acuerdo. Gua para la
implementacin El proceso de terminacin debe ser formalizado para
incluir la devolucin de todos los activos fsicos y electrnicos
anteriormente emitidos, asignados o encomendados por la
organizacin. En los casos donde un empleado o usuario de una parte
externa comprara equipos de la organizacin o utilizara su propio
equipo personal, se deben seguir los procedimientos para garantizar
que toda la informacin pertinente se transfiera a la organizacin y
se borra de manera segura del equipo (Ver 11.2.7). En los casos
donde un empleado o usuario externo tiene conocimiento que la
informacin es importante para las operaciones en curso, esta debe
ser documentada y transferida a la organizacin. Durante el perodo
de aviso de terminacin, la organizacin debe controlar la copia no
autorizada de informacin relevante (por ejemplo la propiedad
intelectual) por los empleados y contratistas terminados. 8.2
Clasificacin de la informacin Objetivo: Asegurar que la informacin
reciba un nivel apropiado de proteccin en concordancia con su
importancia para la organizacin.
Clasificacin de la informacin 8.2.1
Control La informacin debe ser clasificada en trminos de su
valor, requerimientos legales, sensibilidad y criticidad a
modificaciones o divulgacin no autorizada.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 23
Gua para la implementacin Clasificaciones y controles de
proteccin correspondientes a la informacin deben tener en cuenta
las necesidades de la organizacin para el intercambio o la
restriccin de la informacin, as como los requisitos legales. Los
activos que no sean informacin tambin pueden clasificarse de
conformidad con el tipo de informacin que almacena, procesa, o de
otra manera manipula o protege. Los propietarios de los activos de
informacin deben ser responsables de su clasificacin. El esquema de
clasificacin debe incluir las convenciones para la clasificacin y
los criterios para la revisin de la clasificacin en el transcurso
del tiempo. El nivel de proteccin en el esquema debe ser evaluado
mediante el anlisis de la confidencialidad, integridad y
disponibilidad, y cualquier otro requisito para la informacin
considerada. El esquema debe estar alineado con la poltica de
control de acceso (Ver 9.1.1). A cada nivel se le debe dar un
nombre que tenga sentido en el contexto de la aplicacin del esquema
de clasificacin. El esquema debe ser consistente a travs de toda la
organizacin para que todos clasifiquen la informacin y los activos
relacionados de la misma manera, tengan un entendimiento comn de
los requisitos de proteccin y apliquen la proteccin adecuada. La
clasificacin debe ser incluida en los procesos de la organizacin, y
ser consistente y coherente en toda la organizacin. Los resultados
de la clasificacin deben indicar valor de los activos en funcin de
su sensibilidad y criticidad a la organizacin, por ejemplo, en
trminos de confidencialidad, integridad y disponibilidad. Los
resultados de la clasificacin deben ser actualizados de acuerdo con
los cambios de su valor, sensibilidad y criticidad a travs de su
ciclo de vida. Otra informacin La clasificacin proporciona a las
personas que se ocupan de la informacin con una indicacin concisa
de cmo manejarla y protegerla. Esto se facilita por la creacin de
grupos de informacin con las necesidades de proteccin similares y
especificar los procedimientos de seguridad de la informacin que se
aplican a toda la informacin de cada grupo. Este enfoque reduce la
necesidad de una evaluacin de riesgos caso por caso y el diseo a la
medida de los controles. La informacin puede dejar de ser sensible
o crtica despus de un cierto perodo de tiempo, por ejemplo, cuando
la informacin se ha hecho pblica. Estos aspectos deben ser tomados
en cuenta, as como el exceso de la clasificacin puede dar lugar a
la aplicacin de los controles innecesarios que resultan en gastos
adicionales, por el contrario la infra clasificacin puede poner en
peligro la consecucin de los objetivos de negocio. Un ejemplo de
esquema de clasificacin de confidencialidad de la informacin podra
basarse en cuatro niveles de la siguiente manera:
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
24 ISO/IEC 27002:2013/Cor.1:2014
a) la divulgacin no causa ningn dao; b) la divulgacin causa
vergenza menor o inconveniencia operativa menor; c) la divulgacin
tiene un impacto significativo a corto plazo sobre las operaciones
o los objetivos
tcticos; d) la divulgacin tiene un grave impacto sobre los
objetivos estratgicos a largo plazo o pone a la
supervivencia de la organizacin en riesgo.
Etiquetado de la informacin 8.2.2 Control Se debe desarrollar e
implementar un apropiado conjunto de procedimientos para etiquetar
la informacin en concordancia con el esquema de clasificacin de
informacin adoptado por la organizacin. Gua para la implementacin
Los procedimientos para el etiquetado de informacin necesitan
considerar la informacin y sus activos relacionados en formatos
fsicos y electrnicos. El etiquetado debe reflejar el esquema de
clasificacin establecido en 8.2.1. Las etiquetas deben ser
fcilmente reconocibles. Los procedimientos deben orientar sobre
dnde y cmo las etiquetas se adjuntan considerando cmo la informacin
es consultada o como se gestionan los activos en funcin de los
tipos de medios. Los procedimientos pueden definir los casos en que
se omite el etiquetado, por ejemplo, el etiquetado de la informacin
no confidencial para reducir las cargas de trabajo. Los empleados y
los contratistas deben estar al tanto de los procedimientos de
etiquetado. La salida de los sistemas que contienen informacin que
es clasificada como sensible o crtica debe llevar una etiqueta de
clasificacin apropiada. Otra informacin El etiquetado de la
informacin clasificada es un requisito clave para los acuerdos de
intercambio de informacin. Etiquetas fsicas y metadatos son una
forma comn de etiquetado. El etiquetado de la informacin y sus
activos relacionados a veces puede tener efectos negativos. Los
activos clasificados son ms fciles de identificar y en consecuencia
ser sujetos de robo por atacantes internos o externos.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 25
Manejo de los activos 8.2.3 Control Se debe desarrollar e
implementar procedimientos para manejo de activos en concordancia
con el esquema de clasificacin de informacin adoptado por la
organizacin. Gua para la implementacin Los procedimientos deben
elaborarse para el manejo, procesamiento, almacenamiento y
comunicacin de la informacin de acuerdo con su clasificacin (Ver
8.2.1). Los siguientes elementos deben ser considerados: a)
restricciones de acceso compatibles con los requisitos de proteccin
para cada nivel de
clasificacin; b) el mantenimiento de un registro formal de los
receptores autorizados de los activos; c) proteccin de las copias
temporales o permanentes de informacin a un nivel compatible con
la
proteccin de la informacin original; d) almacenamiento de los
activos de TI de acuerdo con las especificaciones de los
fabricantes; e) borrar el marcado de todas las copias de los medios
para la atencin del destinatario autorizado. El esquema de
clasificacin utilizado dentro de la organizacin puede no ser
equivalente a los sistemas utilizados por otras organizaciones,
incluso si los nombres de los niveles son similares; Adems, la
informacin que se mueve entre organizaciones puede variar en su
clasificacin en funcin de su contexto en cada organizacin, incluso
si sus sistemas de clasificacin son idnticos. Acuerdos con otras
organizaciones que incluyen el intercambio de informacin deben
incluir procedimientos para identificar la clasificacin de dicha
informacin y para interpretar las etiquetas de clasificacin de
otras organizaciones. 8.3 Manejo de Medios Objetivo: Prevenir la
divulgacin, modificacin, eliminacin o destruccin no autorizada de
informacin almacenada en medios.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
26 ISO/IEC 27002:2013/Cor.1:2014
Gestin de los medios removibles 8.3.1 Control Se deben
implementar procedimientos para la gestin de medios removibles en
concordancia con el esquema de clasificacin adoptado por la
organizacin. Gua para la implementacin Las siguientes directrices
para la gestin de los medios removibles deben de considerar: a) si
ya no es necesario, los contenidos de los medios re-utilizables que
deben ser retirados de la
organizacin deben ser irrecuperables; b) cuando sea necesario y
prctico, deber exigirse una autorizacin para remover los medios de
la
organizacin y un registro de dichos movimientos debe conservarse
a fin de mantener una evidencia de auditora;
c) todos los medios deben ser almacenados en un ambiente seguro,
de acuerdo con las
especificaciones de los fabricantes; d) si la confidencialidad o
integridad de los datos son consideraciones importantes, deben
utilizarse
tcnicas criptogrficas para proteger los datos en medios
removibles; e) para mitigar el riesgo de degradacin de los medios,
mientras que todava se necesitan los datos
almacenados, los datos deben ser transferidos a un medio nuevo
antes de convertirse en ilegibles;
f) mltiples copias de datos importantes deben almacenarse en
medios separados para reducir an
ms el riesgo de daos o prdida en los datos coincidentes; g) el
registro de los medios removibles debe considerar limitar la
posibilidad de la prdida de datos; h) las unidades de medios
removibles slo deben habilitarse si hay una razn organizacional
para
hacerlo;
i) donde haya una necesidad de utilizar medios removibles la
transferencia de informacin a tales medios debe ser
monitoreada.
Los procedimientos y niveles de autorizacin deben ser
documentados.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 27
Eliminacin de medios 8.3.2 Control Se deben eliminar los medios
de manera segura cuando ya no son requeridos utilizando
procedimientos formales. Gua para la implementacin Se deben
establecer procedimientos formales para la eliminacin segura de los
medios con el objetivo de minimizar el riesgo de fugas de
informacin confidencial a personas no autorizadas. Los
procedimientos para la eliminacin segura de los medios que
contienen informacin confidencial deben ser proporcionales a la
criticidad de esa informacin. Los siguientes elementos deben ser
considerados: a) los medios que contengan informacin confidencial
deben almacenarse y eliminarse de forma
segura, como por incineracin o trituracin, o el borrado de los
datos para su uso por otra aplicacin dentro de la organizacin;
b) procedimientos deben estar implementados para identificar los
elementos que podran requerir la
eliminacin segura; c) puede ser ms fcil organizar todos los
tipos de medios para su recoleccin y eliminacin segura,
en lugar de tratar de separar los medios sensibles; d) muchas
organizaciones ofrecen servicios de recoleccin y disposicin de
medios; se debe tener
cuidado en la seleccin de una parte externa con los controles y
la experiencia adecuadas; e) se debe registrar la eliminacin de los
medios sensibles con el fin de mantener una evidencia de
auditora. Cuando se acumulan los medios para su eliminacin, se
debe tener en cuenta el efecto de agregacin, que puede causar que
una gran cantidad de informacin no sensible se vuelva sensible.
Otra informacin Dispositivos daados que contienen datos sensibles
pueden requerir una evaluacin de riesgos para determinar si los
elementos deben ser destruidos fsicamente en lugar de enviarse para
su reparacin o ser descartados (Ver 11.2.7).
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
28 ISO/IEC 27002:2013/Cor.1:2014
Transferencia de medios fsicos 8.3.3 Control Medios que
contengan informacin deben ser protegidos contra acceso no
autorizado, mal uso o corrupcin durante su transporte. Gua para la
implementacin Las siguientes directrices deben ser consideradas
para proteger los medios que contengan la informacin a ser
transportados: a) deben utilizarse transporte o mensajeros
confiables; b) debe ser acordada con la administracin una lista de
mensajeros autorizados; c) deben ser desarrollados procedimientos
para verificar la identidad de los mensajeros; d) el embalaje deber
ser suficiente para proteger el contenido de cualquier dao fsico
que pueda
producirse durante el trnsito y que est acorde con las
especificaciones del fabricante, por ejemplo, la proteccin contra
factores medioambientales que pueden reducir la eficacia de la
restauracin de los medios, tales como la exposicin al calor, la
humedad o los campos electromagnticos;
e) deben mantenerse registros, identificando el contenido de los
medios, la proteccin aplicada, as
como el registro de los tiempos de traslado de los custodios de
trnsito y recepcin en el destino. Otra informacin La informacin
puede ser vulnerable al acceso no autorizado, mal uso o corrupcin
durante el transporte fsico, por ejemplo, durante el envo de los
medios a travs del correo nacional o mensajera privada. En este
control, los medios incluyen documentos en papel. Cuando la
informacin confidencial sobre los medios no est cifrada, debe ser
considerada proteccin fsica adicional de los medios.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 29
9 CONTROL DE ACCESO
Requerimiento del negocio del control de acceso 9.1 Objetivo:
Limitar el acceso a la informacin y a instalaciones de
procesamiento de la informacin.
Poltica del control de acceso 9.1.1
Control Se debe establecer, documentar y revisar una poltica de
control de acceso basada en los requerimientos de seguridad de la
informacin y del negocio. Gua para la implementacin Los
propietarios de activos deben determinar las reglas de control de
acceso apropiadas, derechos de acceso y restricciones para roles de
usuario especficas para con sus activos, con el nivel de detalle y
el rigor de los controles reflejando los riesgos de seguridad de la
informacin asociada. Los controles de acceso son a la vez lgicos y
fsicos (Ver apartado 11) y estos deben ser considerados en
conjunto. Los usuarios y los proveedores de servicios deben tener
una declaracin clara de los requerimientos del negocio que deben
cumplir en base a los controles de acceso.
La poltica debe tener en cuenta lo siguiente:
a) los requisitos de seguridad de las aplicaciones de
negocio;
b) las polticas para la difusin de informacin y autorizacin, por
ejemplo, el principio de necesidad de conocer, los niveles de
seguridad de informacin y clasificacin de la informacin (Ver
8.2);
c) la consistencia entre los derechos de acceso y polticas de
clasificacin de la informacin de los sistemas y redes;
d) la legislacin pertinente y las obligaciones contractuales
relativas a la limitacin de acceso a los
datos o servicios (Ver 18.1); e) la gestin de los derechos de
acceso en un entorno distribuido y en red que reconoce todo tipo
de
conexiones disponibles; f) la segregacin de las funciones de
control de acceso, por ejemplo, solicitud de acceso,
autorizacin de acceso, administracin de acceso; g) los
requisitos para la autorizacin formal de las solicitudes de acceso
(Ver 9.2.1 y 9.2.2);
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
30 ISO/IEC 27002:2013/Cor.1:2014
h) los requisitos para la revisin peridica de los derechos de
acceso (Ver 9.2.5); i) la eliminacin de los derechos de acceso (Ver
9.2.6); j) el archivo de los expedientes de todos los
acontecimientos importantes en relacin con el uso y la
gestin de identidades de usuario y la informacin secreta de
autenticacin; k) los roles con acceso privilegiado (Ver 9.2.3).
Otra informacin
Se debe tener cuidado al especificar reglas de control de acceso
considerando: a) el establecimiento de reglas basadas en la premisa
"Todo est generalmente prohibido a menos
que est expresamente permitido" en lugar de la regla ms dbil
"Todo est generalmente permitido a menos que este expresamente
prohibido";
b) los cambios en las etiquetas de informacin (Ver 8.2.2) que se
inician automticamente por las
instalaciones de procesamiento de informacin y aquellos
iniciados a criterio de un usuario; c) los cambios en los permisos
del usuario que se inician automticamente por el sistema de
informacin y aquellos iniciados por un administrador; d) las
reglas que requieren aprobacin especfica antes de su promulgacin y
aquellas que no. Reglas de control de acceso deben ser apoyadas por
procedimientos formales (Ver 9.2, 9.3, 9.4) y definir
responsabilidades (Ver 6.1.1, 9.3). Control de acceso basado en
roles es un enfoque utilizado con xito por muchas organizaciones
para vincular los derechos de acceso con las funciones de negocio.
Dos de los principios frecuentes que dirigen la poltica de control
de acceso son: a) necesidad de saber: slo se le concede acceso a la
informacin que necesita para realizar sus
tareas(diferentes tareas/roles significan diferente necesidad de
conocer y por lo tanto perfiles de acceso diferente);
b) necesidad de usar: slo se le concede acceso a las
instalaciones de procesamiento de
informacin (equipos informticos, aplicaciones, los
procedimientos, las habitaciones) que necesitan para realizar su
tarea/trabajo/rol.
Acceso a redes y servicios de red 9.1.2
Control Se debe proveer a los usuarios nicamente con acceso a la
red y servicios de red que hayan sido especficamente
autorizados.
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 31
Gua para la implementacin Una poltica debe formularse en relacin
con el uso de redes y servicios de red. Esta poltica debe cubrir:
a) las redes y los servicios de red que estn autorizados a
acceder;
b) los procedimientos de autorizacin para determinar quin puede
acceder a qu redes y servicios
en red; c) los controles y procedimientos para proteger el
acceso a las conexiones de red y servicios de red
de gestin; d) los medios utilizados para acceder a las redes y
servicios de red (por ejemplo, el uso de VPN o
red inalmbrica); e) los requisitos de autenticacin de usuario
para acceder a varios servicios de red; f) el seguimiento de la
utilizacin de los servicios de red.
La poltica sobre el uso de servicios de red debe ser consistente
con la poltica de control de acceso de la organizacin (Ver 9.1.1).
Otra informacin Conexiones no autorizadas e inseguras a los
servicios de red pueden afectar a toda la organizacin. Este control
es particularmente importante para las conexiones de red a las
aplicaciones de negocio sensibles o crticas o para los usuarios en
lugares de alto riesgo, por ejemplo, reas pblicas o externas que
estn fuera de la gestin de seguridad de informacin y control de la
organizacin.
Gestin del acceso de usuarios 9.2 Objetivo: Asegurar el acceso
autorizado a los usuarios y prevenir el acceso no autorizado a los
sistemas y servicios.
Registro y anulacin de usuarios 9.2.1
Control
Para habilitar la asignacin de derechos de acceso se debe
implementar un procedimiento formal para la creacin y anulacin de
usuarios.
Gua para la Implementacin
El proceso de gestin de los ID de usuario debe incluir:
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
32 ISO/IEC 27002:2013/Cor.1:2014
a) utilizando los ID de usuario nicos para que los usuarios
puedan estar vinculados y sean responsables de sus acciones; el uso
de IDs compartidas slo se permitir cuando sean necesarias por
razones de negocios o de funcionamiento y debe ser aprobado y
documentado;
b) inmediatamente desactivar o quitar los IDs de usuario de los
usuarios que han abandonado la organizacin (Ver 9.2.6);
c) la identificacin y eliminacin o desactivacin peridica de IDs
de usuario redundantes;
d) asegurar que los IDs de usuario redundantes no se emiten a
otros usuarios.
Otra informacin
Proporcionar o revocar el acceso a la informacin o a las
instalaciones de procesamiento de informacin es por lo general un
procedimiento de dos pasos:
a) asignar y permitir, o revocar, un ID de usuario;
b) proporcionar o revocar, derechos de acceso a ese ID de
usuario (Ver 9.2.2).
Provisin de accesos de usuario 9.2.2 Control Se debe implementar
un proceso formal de provisin de accesos de usuario para asignar o
revocar derechos de acceso para todos los tipos de usuario a todos
los sistemas y servicios. Gua para la Implementacin El proceso de
aprovisionamiento para asignar o revocar los derechos de acceso
concedidos a los IDs de usuario debe incluir: a) obtener la
autorizacin del propietario del sistema de informacin o servicio
para el uso del
sistema de informacin o servicio (Ver 8.1.2); aprobacin por
separado de derechos de acceso de la direccin tambin puede ser
apropiado;
b) verificar que el nivel de acceso otorgado es adecuado a las
polticas de acceso (Ver 9.1) y es
consistente con otros requisitos, como la segregacin de
funciones (Ver 6.1.2); c) garantizar que los derechos de acceso no
estn activados (por ejemplo por proveedores de
servicios) antes de que se completen los procedimientos de
autorizacin; d) el mantenimiento de un registro central de los
derechos de acceso concedidos a un ID de usuario
para acceder a los sistemas y servicios de informacin;
-
NORMA TCNICA SALVADOREA NTS 35.68.06:15
ISO/IEC 27002:2013/Cor.1:2014 33
e) adaptar los derechos de acceso de los usuarios que han
cambiado de roles o puestos de trabajo y eliminar o bloquear
inmediatamente los derechos de acceso de los usuarios que han
abandonado la organizacin;
f) la revisin peridica de los derechos de acceso con los
propietarios de los sistemas o servicios de
informacin (Ver 9.2.5). Otra informacin Se debe considerar la
posibilidad de establecer los roles de acceso de usuarios basados
en los requerimientos del negocio que resumen una serie de derechos
de acceso en perfiles tpicos de acceso de usuario. Las solicitudes
de acceso y revisiones (Ver 9.2.4) se gestionan ms fcil a nivel de
esos roles que en el mbito de los derechos particulares. Se debe
considerar la posibilidad de incluir apartados en los contratos de
personal y los contratos de servicio que especifiquen sanciones en
caso de intentos de acceso no autorizado por personal o
contratistas (Ver 7.1.2, 7.2.3, 13.2.4, 15.1.2).
Gestin de privilegios de derechos de acceso 9.2.3 Control Se
debe restringir y controlar la asignacin y uso de los privilegios
de derechos de acceso. Gua para la Implementacin La asignacin de
derechos de acceso privilegiado debe ser controlada a travs de un
proceso de autorizacin formal de acuerdo con la poltica de control
de acceso correspondiente (Ver 9.1.1). Los pasos siguientes deben
ser considerados: a) los derechos de acceso privilegiados asociados
a cada sistema o proceso, por ejemplo, del
sistema operativo, sistema de gestin de base de datos y cada
aplicacin y los usuarios a quienes necesitan ser asignados deben
ser identificados;
b) derechos de acceso privilegiados deben ser asignados a los
usuarios en base a la necesidad de
uso y eventos de uso en lnea con la poltica de control de acceso
(Ver 9.1.1), p. ej., basado en el requisito mnimo para sus roles
funcionales;
c) debe mantenerse un proceso de autorizacin y regis