Diagmomstico Iso 27001

 

Análisis del cumplimiento cumplimiento de lo loss requisitos de de la Norma ISO 27001 - 2013: Sistema de G Gesón esón de seguridad seguridad d No

Requi Re quisit sitos os norm norma avo vo NT NTC: C: ISO ISO 27001 27001 - 2013 2013

4 4. 4.1 1

CONT CONTEX EXTTO DE LA ORGA ORGANI NIZA ZACI CIÓN ÓN Co Cono noci cimi mien entto de de la org organ aniz izac ació ión n y de de ssu u ccon onte text xto o

Análisis 0%

Se determinan las cuesones externas e internas que son pernentes para su propósito y que afectan su capacidad para lograr los resultados revistos de su sistema de gesón de la seguridad de la información? información? 4.2

Compr Comprens ensión ión de las necesi necesidad dades es y expe expecta ctav vas as de las parte partess iint nter eresa esadas das Se determinan las partes interesadas que son pernentes al sistema de gesón de la seguridad de la información?

Se determinar los requisitos de estas partes interesadas pernentes a seguridad de la información.? información.? 4.3 Determ Determina inació ción n de dell alcan alcance ce del del sis siste tema ma de de ges gesó ón n de la segu segurid ridad ad d de e la inform informaci ación ón Se determinar los límites y la aplicabilidad del sistema de gesón de la seguridad de la información para establecer su alcance? Al determinar el alcance se consideran las cuesones externas e internas referidas en el numeral 4.1? Se consideran los requisitos referidos en el numeral 4.2? Se consideran las interfaces y dependencias entre las acvidades realizadas por la organización, y las que realizan otras organizaciones? * 4.4 4.4

Es Estta di disp spon oniibl blee ccom omo o iin nformac rmaciión docu ocumen mentad ada? a? Si Sist stem emaa de ges gesón ón de la segu seguri rida dad d de la in info form rmac ació ión n Se establecen, implementan, manenen y mejoran connuamente el SGSI, de acuerdo con los requisitos de esta norma?

5 5.1

LIDERAZGO Liderazgo y compromiso La alta dirección de muestra liderazgo y compromiso con respecto al SGSI a través de: Asegura que se establezca una políca de SGSI, objevos de seguridad de la información y su compabilidad con el direccionamiento estratégico de la organización?

Asegura de la integración de los requisitos del SGSI con los procesos de la organización?

Asegura de que los recursos necesarios para el SGSI están disponibles? Comunica la importancia de una gesón de seguridad de la información ecaz y de la conformidad con los requisitos del SGSI?

25%

 

Asegura que el SGSI logre los objevos propuestos? Dirige y apoya a las personas para contribuir a la ecacia del SGSI? Promueve la mejora connua? Apoya a otros roles pernentes de la dirección, para demostrar su liderazgo aplicado a sus áreas de responsabilidad? 5.2

Políca LA alta dirección establece una políca de seguridad de la información que cumpla con los siguientes requisitos: Es adecuada al propósito de la organización? Incluye los objevos de seguridad de la información o proporciona el marco de referencia para el establecimiento de los objevos de seguridad de la información? Incluye el compromiso de cumplir los requisitos aplicables relacionados con la seguridad de la información? información? Incluye el compromiso con la mejora connua del SGSI?

*

La pollita de seguridad establecida: Es Estta di disp spon oniibl blee ccom omo o iin nformac rmaciión docu ocumen mentad ada? a? Se comunica dentro de la organización? Esta disponible para las partes interesadas según sea apropiado

5.3 5.3

Ro Role les, s, re resp spon onsa sabi bili lida dade dess y aut autor orid idad ades es en la la orga organi niza zaci ción ón La alta dirección se asegura de que las responsabilidades y autoridades para los roles pernentes pernentes a la seguridad de la información se asignen y comuniquen? Se asignan responsabilidades y autoridades para: Se aseguraren de que el sistema de gesón de la seguridad de la información información sea conforme con los requisitos de esta Norma Se Informe a la alta dirección sobre el desempeño del sistema de gesón de la seguridad de la información información

6 PLANIFICACIÓN 6. 6.1 1 Acci Accion ones es par para ttrrat atar ar ri ries esggos y opo oport rtun unid idad ades es 6,1,1 Generalidades Al planicar el SGSI la organización considera las cuesones referidas en el numeral 4.1 y los requisitos a que se hace refer referencia encia en el numeral 4.2, y determina los riesgos y oportunidades que es necesario tratar? Con lo anterior se logra: Asegurar que el SGSI pueda lograr sus resultados previstos? previstos?

 

Se previene o reducen los efectos indeseados? Se logra la mejora connua? La organización organización planica: Las acciones para tratar los riesgos y oportunidades?

La manera de integrar e implementar esas acciones en sus procesos del SGSI? La forma de evaluar la ecacia de estas acciones? 6,1,2 6,1 ,2

Valora aloració ción nd de e rie riesg sgos os de la seguri seguridad dad de la in info forma rmació ción n La Organización cuenta con un proceso de gesón de riesgos? Este proceso establece establece y manene criterios de riesgo de seguridad de la información informaci ón para la aceptación de los riesgos? Este proceso establece establece y manene criterios de riesgo de seguridad de la información para la valoración de los riesgos? Se aseguran que las valoraciones repedas repedas de los riesgos de seguridad de la información produzcan resultados consistente, validos y comparables? Se idencan idencan los riesgos de seguridad seguridad de la información? información? Se aplica un proceso de valoración a los riesgos de seguridad de la información información para idencar los riesgos asociados con la perdida de condencialidad de información dentro del alcance del SGSI? Se aplica un proceso de valoración a los riesgos de seguridad de la información información para idencar los riesgos asociados con la perdida de integridad de información dentro del alcance del SGSI? Se aplica un proceso de valoración a los riesgos de seguridad de la información información para idencar los riesgos asociados con la perdida de disponibilidad de información dentro del alcance del SGSI? Se idencan los dueños de los riesgos? Se realiza un análisis a los riesgos idencados? Se valoran las consecuencias potenciales, que resultaran si se materializaran los riesgos idencados? idencados? Se valora la probabilidad realista de que ocurran los riesgos idencados? Se determinan el nivel de cada riesgo? Se realiza una evaluación a los riesgos de la información? información? Se realiza una comparación de los resultados del análisis de los riesgos con los criterios establecidos? Los riesgos analizados son priorizados para establecer su tratamient tratamiento? o?

Se conserva la información documentada acerca del proceso de valoración de los * riesgos de seguridad de la información? 6,1,3 6,1 ,3 Tra rata tamie mient nto o de de ries riesgo goss de de la la segu segurid ridad ad de la inform informaci ación ón

 

Se cuenta con un proceso denido y aplicado para el tratamiento de los riesgos de seguridad de la información? información? Las opciones de tratamiento seleccionadas, seleccionadas, están basadas en los resultados de la valoración previa? Se determinan los controles necesarios para la implementación de las acciones escogidas para el tratamiento de los riesgos? Se hace una validación de los controles implementados Vs. El Anexo A de la norma ISO 27001? (con el n de que no sean omidos controles controles necesarios) Se cuenta con una declaración de aplicabilidad que contenga los controles necesarios, inclusiones y exclusiones, junto con su juscación? Se cuenta con un plan de tratamiento los riesgos de seguridad de la información? Los Dueños de los riesgos han aprobado el plan de tratamiento tratamiento de seguridad de la información? Los Dueños de los riesgos han aceptado los riesgos residuale residualess de seguridad de la información? * 6.2

Se conserva la información documentada acerca del proceso de tratamiento de los riesgos de seguridad de la información?   lanes lan es ar araa lo ra rarlo rloss Se cuentan con objevos de seguridad de la información en las funciones y niveles pernentes? Los objevos de seguridad de la información son?: Son coherente con la políca de seguridad de la información? Son medibles? Se tuvieron en cuenta los requisitos de seguridad de la información los resultados de la valoración y del tratamiento de los riesgos? Son comunicados estos objevos en los niveles pernentes? Son actualizados según sea apropiado?

*

Se conse conserva rva inf inform ormaci ación ón docum documen entad tadaa sobre sobre estos estos obje objev vos? os? Se determinan los siguientes ítems, al momento de realizar la planicación para lograr los objevos de seguridad de la información? Se dene de forma clara lo que se va a hacer? Se denen los recursos necesarios para lograr los objevos? Se denen el o los responsables del cumplimiento de estos objevos? Se establece la fecha limite para su cumplimiento (cuando nalizará)?

7 7.1

Se cuenta con metodología del como se evaluaran los resultados? SOPORTE Recursos Se determinan y proporcionan los recursos necesarios para: establecer, implementar, mantener y mejorar connuamente el SGSI?

7.2

Competencia

 

Se determina la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecte el desempeño de la seguridad de la información? Las personas contratadas cuentan con la educación, formación o experiencia establecidas? Se toman acciones para adquirir la competencia competencia necesaria y evaluar la ecacia de las acciones tomadas? * 7.3

Se conservar la información documentada apropiada, como evidencia de la competencia? Toma de conciencia Los colaboradores son consientes consientes de la importancia de la políca de seguridad de la información informaci ón y toman conciencia de esta? Los colaboradores son consientes de su efecto y contribución a la ecacia del SGSI? Los colaboradores son consientes de su contribución a la mejora del desempeño del SGSI?

7.4

Los colaboradores son consientes consientes de las implicaciones implicaciones de la no conformidad con los requisitos del SGSI? Comunicación Se determinan las necesidades de comunicación internas y externas del SGSI? Se cuenta con una metodología para la idencación idencación de la información información a comunicar? Se dene cuando se debe comunicar? Se dene a quienes se debe comunicar? Se denen el o los responsables de realizar estos comunicados? Se cuenta con un proceso para llevar a cabo estas comunicaciones?

7.5 7,5,1

Información documentada Generalidades El SGSI conene la información documentada documentada requerida por la Norma ISO 27001 2013? El SGSI conene la información documentada que se haya determinado que es necesaria para garanzar la ecacia del SGSI? La información documentada es acorde al po de organización?

7,5,1

Creación y ac actualización La información documentada al ser creada y/o actualizada, es idencada y cuenta con una descripción? Se cuenta con un formato establecido según el po de información documentada? Se denen los medios de soporte (sico, magnéco) para la información documentada?

7,5, 7,5,1 1

Co Con ntr trol ol de de la inf infor orma maci ción ón doc docum umen enta tada da La información documentada esta esta disponible y es adecuada para su uso, donde y cuando se necesite?

 

La información documentada es protegida adecuadamente (por ejemplo, contra pérdida de la condencialidad, uso inadecuado, o pérdida de integridad)? integridad)? Se aplican los siguientes controles controles cuando es aplicable? Distribución, acceso, recuperación recuperación y uso Almacenamiento Almacenamient o y preservación, preservación, incluida la preservación preservación de la legibilidad Control de cambios (por ejemplo, control de versión); y Retención Retenci ón y disposición. La información documentada de origen necesaria para la planeación y operación del SGSI es idencada y controlada? 8 8. 8.1 1

OPERACIÓN Pl Plan ani iccació ación n y contr tro ol op oper erac acio iona nall Se planican, implementan y controlan los procesos necesarios para cumplir con los requisitos requisit os de seguridad de la información? Se planican, implementan y controlan los procesos necesarios para implementar las acciones para tratar los riesgos y oportunidades? Se implementan planes para lograr los objevos de seguridad de la información establecidos?

*

Se conserva información documentada documentada como evidencia de que los procesos se han ejecutado según lo planicado? Son controlados los cambios planicados? Se revisan las consecuencias de los cambios no previstos? Se toman acciones para migar los efectos efectos adversos, cuando sea necesario?. Se controlan los procesos contratados externamente?

8.2 8.2

Valor alorac ació ión n de de rrie iesg sgos os de la segu seguri rida dad d de de llaa inf infor orma maci ción ón Se llevan a cabo valoraciones de riesgos de la seguridad de la información a intervalos planicados o cuando se propongan u ocurran cambios signicavos?

* 8.3 8.3

9 9. 9.1 1

Se conserva información documentada de los resultados de las valoraciones valorac iones de riesgos de la seguridad de la información? Trata ratami mien ento to de ri ries esggos de la segu seguri rida dad d de de la la inf infor orma maci ción ón Se implementan planes para el tratamiento tratamiento de los riesgos de la seguridad de la información? Se conserva información documentada de los resultados del tratamiento de los riesgos de seguridad de la información? EVAL ALU UACIÓN CIÓN DEL DEL DES DESEMPE EMPEÑ ÑO Se Segu guim imie ien nto, to, med medic ició ión, n, an anál ális isis is y ev eval alua uaci ción ón Se evalúa el desempeño de la seguridad de la información información y la ecacia del SGSI? Se determinan a que es necesario realizar seguimiento, que es necesario medir, incluidos los procesos y controles de la seguridad de la información? información?

 

Se cuentan con métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar resultados válidos? Los métodos establecidos producen resultados comparables y reproducibles? Se enen establecidos los periodos para llevar a cabo el seguimiento y la medición? Se ene denido quién debe llevar a cabo el seguimiento y la medición? Se establece cuándo se deben analizar y evaluar los resultados del seguimiento y de la medición? Se ene denido quién debe analizar y evaluar estos resultados? * 9.2

Se conserva información documentada apropiada como evidencia de los resultados de monitoreo y de la medición? Auditoría iin nterna Se realizan auditorias internas al SGSI a intervalos intervalos planicados? Las auditorias realizadas validan la conformidad con los requisitos propios de la organización para el SGSI? Las auditorias evalúan la conformidad conformidad con los requisitos de la ISO 27001 - 2013? Se verica que el SGSI, esté implementado y mantenido ecazmente? Se planican, establecen, implementan implementan y manenen uno o varios programas de auditoria? Estos programas de auditoria incluyen: Frecuencia, métodos, responsabilidades, requisitos de planicación y elaboración de informes? El programa de auditoria considera la importancia de los procesos involucrados y los resultados de auditorias previas? Se denen previamente los criterios y el alcance de cada auditoria? Los auditores seleccionados son ajenos al proceso a auditar? Los resultados de las auditorias son informados a la dirección pernente?

* 9.3

Se conserva información documentada como evidencia de la implementación del programa de auditorias y los resultados de esta? Revisión por la dirección La alta dirección realiza revisiones al SGSI a intervalos planicados? A través de estas revisiones la alta dirección se asegura de su conveniencia, adecuación ecacia connuas? La revisión por la dirección incluye lo siguiente: El estado de las acciones, derivadas de las revisiones previas? Cambio en cuesones internas y externas que afecten el SGSI? Retroalimentacioness sobre el desempeño de la seguridad de la información Retroalimentacione información incluido lo siguiente? Retroalimentación sobre el estado y gesón de las no conformidades y acciones correcvas? Retroalimentación sobre los seguimientos y resultados de las mediciones?

 

El resultado de las auditorias realizadas? El cumplimiento de los objevos de la seguridad de la información? información? Se incluye en el informe la retroalimentación proporcionada por las partes interesadas? Se incluyen los resultados de la valoración de riesgos y el estado del plan de tratamiento de riesgos? Se incluyen consideraciones sobre oportunidades de mejora? Los resultados de las revisiones incluye las decisiones relacionadas con las oportunidades de mejora y necesidades de cambio del SGSI? Se conserva información documentada como evidencia de los resultados de las revisiones por la dirección? 10 MEJORA 10.1 10.1 No conf confor ormi mida dade dess y acc accio ione ness ccor orrrec ecv vas as Se cuenta con una metodología establecida para el tratamiento de no conformidades? Se reacciona ante una no conformidad, conformidad, según se aplicable? Se toman las acciones pernentes para controlarla y corregirla? Se hace frente a las consecuencias? Se evalúan la necesidad de las acciones para eliminar las causas de las no conformidades, a través de? Una revisión de la no conformidad Determinar las causas de la no conformidad Determinar si existen no conformidades similares, o que potencialmente pudieran ocurrir Se implementan las acciones necesarias? Se realiza revisión de la ecacia de las acciones correcvas tomadas? De ser necesario se realizan los cambios en el SGSI? Las acciones correcvas son apropiadas a los efectos de las no conformidades encontradas? *

Se conserva información documentada como evidencia de la naturaleza de las no conformidades conformi dades y cualquier acción posterior?

*

Se conserva información información documentada documentada de los resultados de la gesón de las acción correcva?

10.2

Mejora cco onnua Se mejora connuamente la conveniencia adecuación y ecacia del SGSI?

 

 

la información  de cumplimiento 50%

75%

100%

RECOMENDACIONES

 

ANEXO A (Normavo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA

Los objevos de control y controles enumerados en la Tabla A.1 se obenen directamente de la ISO/IEC 27002:2013[1], numerales 5 a 18 y están alineados con ella, y se deben usar en contexto contexto con el numeral 6.1.3. Tabla A.1. Objevos de control y controles A. A.5 POLÍTICAS DE LA SEGURIDAD SEGURIDAD DE LA INFORMACIÓN INFORMACIÓN A.5.1 Orientación de la dirección para la gesón de la seguridad de la información Objevo: Brindar orientación y soporte, por parte de la dirección, para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y reglamentos pernentes.

A.5.1.1

Polícas para la seguridad de la información

Control Se debe denir un conjunto de polícas para la seguridad de la información, aprobada por la dirección, publicada y comunicada a los empleados y a las partes externas pernentes. pernentes.

A.5.1.2

Revisión de las polícas para la seguridad de la información

Control Las polícas para la seguridad de la información se deben revisar a intervalos planicados, o si ocurren cambios signicavos, para asegurar su conveniencia, adecuación y ecacia connúas.

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN A.6.1 Organización interna Objevo: Establecer un marco de referencia de gesón para iniciar y controlar la implementación y la operación de la seguridad de la información dentro de la organización. Roles y responsabilidades para la seguridad de la información

Control Se deben denir y asignar todas las responsabilidades de la seguridad de la información. información.

A.6.1.2

Separación de de de deberes

Control Los deberes y áreas de responsabilidad en conicto se deben separar para reducir las posibilidades de modicación no autorizada o no intencional, o el uso indebido de los acvos de la organización.

A.6.1.3

Contacto co con las au autoridades

Control Se deben mantener contactos contactos apropiados con las autoridades pernentes.

A.6.1.4

Contacto con grupos de interés especial

Control Se deben mantener contactos apropiados con grupos de interés especial u otros foros y asociaciones profesionales especializadas en seguridad.

A.6.1.5

Seguridad de la información información en la gesón de proyectos

Control La seguridad de la información se debe tratar en la gesón de proyectos, independientemente del po de proyecto.

A.6.1.1

A.6.2 Disposivos móviles y teletrabajo

 

Objevo: Garanzar la seguridad del teletrabajo y el uso de disposivos móviles. A.6.2.1

A.6.2.2

Políca para disposivos móviles

Control Se deben adoptar una políca y unas medidas de seguridad de soporte, para gesonar los riesgos introducidos por el uso de disposivos móviles.

Teletrabajo

Control Se deben implementar una políca y unas medidas de seguridad de soporte, para proteger la información a la que se ene acceso, que es procesada o almacenada en los lugares en los que se realiza teletrabajo.

A.7 SEGURIDAD DE LOS RECURSOS HUMANOS A.7.1 Antes de asumir el empleo Objevo: Asegurar que los empleados y contrastas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran.

A.7.1.1

Selección

Control Las vericaciones de los antecedentes de todos los candidatos a un empleo se deben llevar a cabo de acuerdo con las leyes, reglamentaciones y éca pernentes, y deben ser proporcionales a los requisitos de negocio, a la clasicación de la información a que se va a tener acceso, y a los riesgos percibidos.

A.7.1.2

Términos y condiciones del empleo

Control Los acuerdos contractuales con empleados y contrastas deben establecerr sus responsabilidades establece responsabilidades y las de la organización en cuanto a la seguridad de la información.

A.7.2 Durante la ejecución del empleo Objevo: Asegurarse Asegurarse de que los empleados y contrastas tomen conciencia de sus responsabilidades responsabilidades de seguridad de la información y las cumplan. Control La dirección debe exigir a todos los empleados y contrastas la aplicación de la seguridad de la información de acuerdo con las polícas y procedimientos establecidos por la organización.

A.7.2.1

Responsabilidades de la Responsabilidades dirección

A.7.2.2

Control Todos los empleados de la organización, y en donde sea Toma de conciencia, educación y pernente, los contrastas, deben recibir la educación y la formación en la formación en toma de conciencia apropiada, y actualizaciones seguridad de la información regulares sobre las polícas y procedimientos de la organización pernentes para su cargo.

A.7.2.3

Control Se debe contar con un proceso formal, el cual debe ser comunicado, para emprender acciones contra empleados que hayan comedo una violación a la seguridad de la información. información.

Proceso disciplinario

A.7.3 Terminación y cambio de empleo Objevo: Proteger los intereses de la organización como parte del proceso de cambio o terminación de empleo.

 

A.7.3.1

Terminación o cambio de responsabilidades responsabili dades de empleo

Control Las responsabilidades y los deberes de seguridad de la información que permanecen válidos después de la terminación o cambio de empleo se deben denir, comunicar al empleado o contrasta y se deben hacer cumplir.

A.8 GESTIÓN DE ACTIVOS A.8.1 Responsabilidad por los acvos Objevo: Idencar los acvos organizacionales y denir las responsabilidades de protección apropiadas A.8.1.1

Inventario de acvos

Control Se deben idencar los acvos asociados con información e instalaciones de procesamiento de información, y se debe elaborar y mantener un inventario de estos acvos.

A.8.1.2

Propiedad de los acvos

Control Los acvos mantenidos en el inventario deben tener un propietario.

Uso aceptable de los acvos

Control Se deben idencar, documentar e implementar reglas para el uso aceptable de información y de acvos asociados con información e instalaciones de procesamiento de información.

Devolución de acvos

Control Todos los empleados y usuarios de partes externas deben devolver todos los acvos de la organización que se encuentren a su cargo, al terminar su empleo, contrato o acuerdo.

A.8.1.3

A.8.1.4

A.8.2 Clasicación de la información O je jev vo: o: As Aseg egur urar ar qu quee a in orma ormaci ci n reci reci e un ni nive ve aprop apropia ia o e prot protec ecci ci n, e ac acue uerr o con con su impo import rtan anci ciaa para la organización. A.8.2 8.2.1

A.8.2.2

A.8.2.3

Clasicación de la información

Control La información se debe clasicar en función de los requisitos legales, valor, cricidad y suscepbilidad a divulgación o a modicación no autorizada.

Equetado de la información

Control Se debe desarrollar e implementar un conjunto adecuado de procedimientos para el equetado de la información, de acuerdo con el esquema de clasicación de información adoptado por la organización

Manejo de acvos

Control Se deben desarrollar e implementar procedimientos para el manejo de acvos, de acuerdo con el esquema de clasicación de información adoptado por la organización.

A.8.3 Manejo de medios O jevo: vo: Evit vitar a ivu gaci aci n, a mo i caci aci n, e re rero ro o a estru trucci cci n no aut autori oriza os e in orm ormac acii n almacenada en los medios. Control Se deben implementar procedimientos para la gesón de medios A.8.3.1 Gesón de medios removibles removibles, de acuerdo con el esquema de clasicación adoptado por la organización.

 

A.8.3.2

A.8.3 8.3.3

Disposición de los medios

Control Se debe disponer en forma segura de los medios cuando ya no se requieran, ulizando procedimientos formales.

Transferencia de medios sicos

Control Los medios que conenen información se deben proteger contra acceso no autorizado, uso indebido o corrupción durante el transporte.

A.9 CONTROL DE ACCESO A.9.1 Requisitos del negocio para control de acceso Objevo: Limitar el acceso a información y a instalaciones de procesamiento de información. Control Se debe establecer, documentar y revisar una políca de control A.9.1.1 Políca de control de acceso de acceso con base en los requisitos del negocio y de seguridad de la informació información. n.

A.9.1.2

Acceso a redes y a servicios en red

Control Solo se debe permir acceso de los usuarios a la red y a los servicios de red para los que hayan sido autorizados especícamente.

A.9.2 Gesón de acceso de usuarios Objevo: Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.

A.9.2.1

Registro y cancelación del registro de usuarios

Control Se debe implementar un proceso formal de registro y de cancelación de registro de usuarios, para posibilitar la asignación de los derechos de acceso.

A.9.2.2

Suministro de acceso de Suministro usuarios

Control Se debe implementar un proceso de suministro de acceso formal de usuarios para asignar o revocar los derechos de acceso para todo po de usuarios para todos los sistemas y servicios.

A.9.2.3

Gesón de derechos de acceso privilegiado

Control Se debe restringir y controlar la asignación y uso de derechos de acceso privilegiado.

A.9.2.4

Gesón de información de autencación secreta de usuarios

Control La asignación de información de autencación secreta se debe controlar por medio de un proceso de gesón formal.

A.9.2.5

Revisión de los derechos de acceso de usuarios

Control Los propietarios de los acvos deben revisar los derechos de acceso de los usuarios, a intervalos regulares.

Rero o ajuste de los derechos de acceso

Control Los derechos de acceso de todos los empleados y de usuarios externos a la información y a las instalaciones de procesamiento de información se deben rerar al terminar su empleo, contrato o acuerdo, o se deben ajustar cuando se hagan cambios.

A.9.2.6

A.9.3 Responsabilidades de los usuarios Objevo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información de autencación. autencación.

 

A.9.3.1

Uso de información de autencación secreta

Control Se debe exigir a los usuarios que cumplan las práccas de la organización para el uso de información de autencación secreta

A.9.4 Control de acceso a sistemas y aplicaciones Objevo: Evitar el acceso no autorizado a sistemas y aplicaciones. Control El acceso a la información y a las funciones de los sistemas de las aplicaciones se debe restringir de acuerdo con la políca de control de acceso.

A.9.4.1

Restricción Restricci ón de acceso a la información

A.9.4 9.4.2

Control lo requiere la políca de control de acceso, el acceso a Procedimiento de ingr greeso segu gurro Cuando sistemas y aplicaciones se debe controlar mediante un proceso de ingreso seguro.

A.9.4.3

Sistema de gesón de contraseñas

Control Los sistemas de gesón de contraseñas deben ser interacvos y deben asegurar la calidad de las contraseñas.

A.9.4.4

Uso de programas ulitarios privilegiados

Control Se debe restringir y controlar estrictamente el uso de programas ulitarios que odrían tener capacidad de anular el sistema y los controless de las aplicaciones. controle

A.9.4.5

Control de acceso a códigos fuente de programas

Control Se debe restringir el acceso a los códigos fuente de los programas.

A.10 CRIPTOGRAFÍA CRIPTOGRAFÍA A.10.1 Controles criptográcos O jevo: Asegurar e uso apropia o y e caz e a criptogra a para proteger a con la integridad de la información.

encia i a , a autenci a y o

A.10.1.1

Políca sobre el uso de controles criptográcos

Control Se debe desarrollar e implementar una políca sobre el uso de controles criptográcos para la protección de la información.

A.10.1.2

Gesón de llaves

Control Se debe desarrollar e implementar una políca sobre el uso, protección y empo de vida de las llaves criptográcas, durante todo su ciclo de vida.

A.11 SEGURIDAD FÍSICA Y DEL ENTORNO A.11.1 Áreas seguras Objevo: Prevenir el acceso sico no autorizado, el daño y la interferencia a la información y a las instalaciones de procesamiento de información de la organización.

A.11.1.1

Perímetro de seguridad Perímetro sica

Control Se deben denir y usar perímetros de seguridad, y usarlos para proteger áreas que contengan información condencial o críca, e instalaciones instalacio nes de manejo de información.

A.11.1.2

Controles de acceso sicos

Control Las áreas seguras se deben proteger mediante control controles es de acceso apropiados para asegurar que solo se permite el acceso a personal autorizado.

 

A.11.1.3

Seguridad de ocinas, recintos e Control Se debe diseñar y aplicar seguridad sica a ocinas, recintos e instalaciones instalaciones.

A.11.1.4

Protección contra amenazas externas y ambientales

Control Se debe diseñar y aplicar protección sica contra desastres naturales, ataques maliciosos o accidentes.

A.11.1.5

Trabajo en áreas seguras

Control Se deben diseñar y aplicar procedimientos para trabajo en áreas seguras.

Áreas de despacho y carga

Control Se deben controlar los puntos de acceso tales como áreas de despacho y de carga y otros puntos en donde pueden entrar personas no autorizadas, y si es posible, aislarlos de las instalaciones de procesamiento de información para evitar el acceso no autorizado.

A.11.1.6

A.11.2 Equipos Objevo: Prevenir la pérdida, daño, robo o compromiso de acvos, y la interrupción de las operaciones de la organización.

A.11.2.1

Ubicación y protección de los equipos

Control Los equipos deben estar ubicados y protegidos para reducir los riesgos de amenazas y peligros del entorno, y las posibilidades de acceso no autorizado.

Servi rvicios de suministro

Control Los equipos se deben proteger contra fallas de energía y otras interrupciones interrupci ones causadas por fallas en los servicios de suministro. suministro.

A.11.2.3

Seguridad de del ca cableado

Control El cableado de energía eléctrica y de telecomunicaciones que porta datos o brinda soporte a los servicios de información se debe proteger contra interceptación, interferencia o daño

A.11 11..2.4 2.4

Mantenimiento de de eq equipos

Control Los equipos se deben mantener correctamente para asegurar su disponibilidad e integridad connuas.

A.11.2.5

Rero de acvos

Control Los equipos, información o soware no se deben rerar de su sio sin autorización previa.

A.11.2.6

Seguridad de equipos y acvos fuera de las instalaciones

Control Se deben aplicar medidas de seguridad a los acvos que se encuentran fuera de las instalaciones de la organización, teniendo en cuenta los diferentes riesgos de trabajar fuera de dichas instalaciones.

A.11.2.7

Control Se deben vericar todos los elementos de equipos que contengan Disposición reulización medios de almacenamiento para asegurar que cualquier dato de equipos segura o reulización condencial o soware licenciado haya sido rerado o sobreescrito en forma segura antes de su disposición o reuso.

A.11 11..2.2 2.2

 

A.11 A.11..2. 2.8 8

Control Equi quipos pos d dee us usuari uario o de desat saten end did ido o Los usuarios deben asegurarse de que a los equipos desatendidos se les da protección protección apropiada.

A.11.2.9

Control Se debe adoptar una políca de escritorio limpio para los papeles y medios de almacenamiento removibles, y una políca de pantalla limpia en las instalaciones de procesamiento de información.

Políca de escritorio limpio y pantalla limpia

A.12 SEGURIDAD DE LAS OPERACIONES OPERACIONES A.12.1 Procedimientos Procedimientos operacionales y responsabilidades responsabilidades Objevo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de información. Procedimientos de operación documentados

Control Los procedimientos de operación se deben documentar y poner a disposición de todos los usuarios que los necesitan.

Gesón de cambios

Control Se deben controlar los cambios en la organización, en los procesos de negocio, en las instalaciones y en los sistemas de procesamiento de información que afectan la seguridad de la información.

A.12.1.3

Gesón de capacidad

Control Se debe hacer seguimiento al uso de recursos, hacer los ajustes, y hacer proyecciones de los requisitos de capacidad futura, para asegurar el desempeño requerido del sistema.

A.12.1.4

Control ambientes de desarrollo, desarrollo, prueba y operación, Separación de los ambientes de Se deben separar los ambientes desarrollo,, pruebas, y operación para reducir los riesgos de acceso o cambios no autorizados al desarrollo ambiente de operación.

A.12.1.1

A.12.1.2

A.12.2 Protección contra códigos maliciosos Objevo: Asegurarse de que la información y las instalaciones de procesamiento de información estén protegidas contra códigos maliciosos.

A.12.2.1

Controles contra códigos maliciosos

Control Se deben implementar controles de detección, de prevención y de recuperación, recuper ación, combinados con la toma de conciencia apropiada de los usuarios, para proteger contra códigos maliciosos.

A.12.3 Copias de respaldo Objevo: Proteger contra la pérdida de datos.

A.12 12..3.1 3.1

Respaldo de de la la in información

Control Se deben hacer copias de respaldo de la información, soware e imágenes de los sistemas, y ponerlas a prueba regularmente de acuerdo con una políca de copias de respaldo acordadas

A.12.4 Registro y seguimiento Objevo: Registrar eventos y generar evidencia. A.12.4.1

Registro de eventos

Control Se deben elaborar, conservar y revisar regularmente los registros acerca de acvidades del usuario, excepciones, fallas y eventos de seguridad de la información. información.

 

A.12.4.2

Protección de la información de Control Las instalaciones y la información de registro se deben proteger registro contra alteración y acceso no autorizado.

A.12.4.3

Control Registros del administrador y del Las acvidades del administrador y del operador del sistema se operador deben registrar, y los registros se deben proteger y revisar con regularidad.

A.12 12..4.4 4.4

Sincronización de de re relojes

Control Los relojes de todos los sistemas de procesamiento de información pernentes dentro de una organización o ámbito de seguridad se deben sincronizar con una única fuente de referencia de empo.

A.12.5 Control de soware operacional Objevo: Asegurarse de la integridad de los sistemas operacionales Control Instalación de soware en Se deben implementar procedimientos para controlar la A.12.5.1 sistemas operavos instalación de soware en sistemas operavos. A.12.6 Gesón de la vulnerabilidad técnica Objevo: Prevenir el aprovechamiento de las vulnerabilidades técnicas. Control A.12.6.1

Gesón de las vulnerabilidades técnicas

Se debe obtener vulnerabilidades técnicas oportunamente de los sistemas información de información acerca que de las se usen; evaluar la exposición de la organización a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo asociado.

A.12.6.2

Restricciones sobre la instalación Control Se debe establecer e implementar las reglas para la instalación de de soware soware por parte de los usuarios.

A.12.7 Consideraciones sobre auditorías de sistemas de información Objevo: Minimizar el impacto de las acvidades de auditoría sobre los sistemas operavos.

A.12.7

Controles de auditorías de sistemas de información

Control Los requisitos y acvidades de auditoría que involucran la vericación de los sistemas operavos se deben planicar y acordar cuidadosamente para minimizar las interrupciones en los procesos del negocio.

A.13 SEGURIDAD DE LAS COMUNICACIONES A.13.1 Gesón de la seguridad de las redes O je jev vo: o: Asegur Asegurar ar a pr prote otecci cci n e a in ormaci ormaci n en as re es, y sus ins insta ta aci acione oness e proce procesam samien iento to e información de so so ort orte. Control Las redes se deben gesonar y controlar para proteger la A.13.1.1 Controles de de re redes información en sistemas y aplicaciones.

A.13 A.13..1. 1.2 2

Control Se deben idencar los mecanismos de seguridad, los niveles de Se Segu guri rida dad d de de lo loss sser ervi vici cios os de red servicio y los requisitos de gesón de todos los servicios de red, e incluirlos en los acuerdos de servicio de red, ya sea que los servicios se presten internamente o se contraten externamente.

 

A.13 13..1.3 1.3

Separación en las redes

Control Los grupos de servicios de información, usuarios y sistemas de información se deben separar en las redes.

A.13.2 Transferencia de información Objevo: Mantener la seguridad de la información transferida dentro de una organización y con cualquier endad externa.

A.13.2.1

Polícas y procedimientos de transferencia de información

Control Se debe contar con polícas, procedimientos y controles de transferencia formales para proteger la transferencia de información mediante el uso de todo po de instalaciones de comunicaciones.

A.13.2.2

Acuerdos sobre transferencia de Control Los acuerdos deben tratar la transferencia segura de información información del negocio entre la organización y las partes externas.

A.13 13..2.3 2.3

Mensajería electrónica

A.13.2.4

Acuerdos de condencialidad o de no divulgación

Control Se debe proteger adecuadamente la información incluida en la mensajería electrónica. electrónica. Control Se deben idencar, revisar regularmente y documentar los requisitos para los acuerdos de condencialidad o no divulgación que las necesidades de la organización para la protección de lareejen información.

A.14 Adquisición, desarrollo y mantenimiento de sistemas A.14.1 Requisitos de seguridad de los sistemas de información   durante todo el ciclo de vida. Esto incluye también los requisitos para sistemas de información que prestan servicios sobre   Control Análisis y especicación de Los requisitos relacionados con seguridad de la información se A.14.1.1 requisitoss de seguridad de la requisito deben incluir en los requisitos para nuevos sistemas de información información o para mejoras a los sistemas de información existentes.

A.14.1.2

A.14.1.3

Seguridad de servicios de las aplicaciones en redes públicas

Control La información involucrada en los servicios de las aplicaciones que pasan sobre redes públicas se debe proteger de acvidades fraudulentas, disputas contractuales y divulgación y modicación no autorizadas.

Protección de transacciones de los servicios de las aplicaciones

Control La información involucrada involucrada en las transacciones de los servicios de las aplicaciones se debe proteger para evitar la transmisión incompleta, el enrutamiento errado, la alteración no autorizada de mensajes, la divulgación no autorizada, y la duplicación o reproducción de mensajes no autorizada.

A.14.2 Seguridad en los procesos de desarrollo y de soporte Objevo: Asegurar que la seguridad de la información esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información.

 

A.14 A.14..2. 2.1 1

Polí olíca ca de desa desarr rrol ollo lo seg egur uro o

Control Se deben establecer y aplicar reglas para el desarrollo de soware y de sistemas, a los desarrollos dentro de la organización. organización.

A.14.2.2

Procedimientos de control de cambios en sistemas

Control Los cambios a los sistemas dentro dentro del ciclo de vida de desarrollo se deben controlar mediante el uso de procedimientos formales de control de cambios.

A.14.2.3

Control Revisión técnica de las Cuando se cambian las plataformas de operación, se deben revisar aplicaciones después de cambios las aplicaciones crícas del negocio, y someter a prueba para en la plataforma de operación asegurar que no haya impacto adverso en las operaciones o seguridad de la organización.

A.14.2.4

Restricciones en los cambios a Restricciones los paquetes de soware

A.14.2.5

Control Principios de construcción de los Se deben establecer, documentar y mantener principios para la sistemas seguros construcción de sistemas seguros, y aplicarlos a cualquier acvidad de implementación de sistemas de información.

A.14 A.14..2. 2.6 6

Ambi Ambieente de desar esarrrol olllo segu segurro

Control Las organizaciones deben establecer y proteger adecuadamente los ambientes de desarrollo seguros para las acvidades de desarrollo e integración de sistemas que comprendan todo el ciclo de vida de desarrollo de sistemas.

A.14.2.7

Desarrollo contratado externamente

Control La organización debe supervisar y hacer seguimiento de la acvidad de desarrollo de sistemas contratados externamente.

A.14 A.14..2. 2.8 8

Control Prue Prueba bass d dee sseegu guri rid dad de sis sistemas masDurante el desarrollo se deben llevar a cabo pruebas de funcionalidad de la seguridad.

A.14.2.9

Control Para los sistemas de información nuevos, actualizaciones y nuevas versiones, se deben establecer programas de prueba para aceptación y criterios de aceptación relacionados. relacionados.

Prueba de aceptación de sistemas

Control Se deben desalentar las modicaciones a los paquetes de soware, los cuales se deben limitar a los cambios necesarios, y todos los cambios se deben controlar estrictamente.

A.14.3 Datos de prueba Objevo: Asegurar la protección de los datos usados para pruebas. A.14 A.14..3. 3.1 1

Prot Proteecc cció ión n de dat datos de pr pru ueb ebaa

Control Los datos de prueba se deben seleccionar, proteger y controlar

cuidadosamente. A.15 RELACIONES CON LOS PROVEEDORES A.15.1 Seguridad de la información en las relaciones con los proveedores Objevo: Asegurar la protección de los acvos de la organización que sean accesibles a los proveedores.

 

Políca de seguridad de la información para las relaciones con proveedores

Control Los requisitos de seguridad de la información para migar los riesgos asociados con el acceso de proveedores a los acvos de la organización se deben acordar con éstos y se deben documentar.

A.15.1.2

Tratamiento de la seguridad dentro de los acuerdos con proveedores

Control Se deben establecer y acordar todos los requisitos requisitos de seguridad de la información pernentes con cada proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para la información de la organización.

A.15.1.3

Cadena de suministro de tecnología de información y comunicación

Control Los acuerdos con proveedores deben incluir requisitos para tratar los riesgos de seguridad de la información asociados con la cadena de suministro de productos y servicios de tecnología de información y comunicación.

A.15.1.1

A.15.2 Gesón de la prestación de servicios de proveedores Mantener el nivel acordado de seguridad de la información y de prestación del servicio en línea con los acuerdos con   A.15.2.1

A.15.2.2

Seguimiento y revisión de los servicios de los proveedores

Gesón de cambios en los servicios de los proveedores

Control Las organizaciones debende hacer seguimiento, seguimien revisarores. y auditar con regularidad la prestación servicios de losto, proveedores. proveed

Control Se deben gesonar los cambios en el suministro de servicios por parte de los proveedores, incluido el mantenimiento y la mejora de las polícas, procedimientos y controles de seguridad de la información existentes, teniendo en cuenta la cricidad de la información, sistemas y procesos del negocio involucrados, y la reevaluación de los riesgos.

A.16 Gesón de incidentes de seguridad de la información A.16.1 Gesón de incidentes y mejoras en la seguridad de la información Objevo: Asegurar un enfoque coherente y ecaz para la gesón de incidentes de seguridad de la información, incluida la comunicación sobre eventos de seguridad y debilidades. Control Se deben establecer las responsabilidades y procedimientos de gesón para asegurar una respuesta rápida, ecaz y ordenada a los incidentes incident es de seguridad de la información.

A.16.1.1

Responsabilidades y Responsabilidades procedimientos

A.16 A.16..1. 1.2 2

Control eventos de seguridad de la información se deben informar a Report portee de de ev eventos de segu seguri rid dad Los través de los canales de gesón apropiados, tan pronto como sea posible.

 

A.16.1.3

Reporte de debilidades de seguridad de la información

Control Se debe exigir a todos los empleados y contrastas que usan los servicios y sistemas de información de la organización, que observen y reporten cualquier debilidad de seguridad de la información observada observada o sospechada en los sistemas o servicios.

A.16.1.4

Evaluación de eventos de seguridad de la información y decisiones sobre ellos.

Control Los eventos de seguridad de la información se deben evaluar y se debe decidir si se van a clasicar como incidentes de seguridad de la informació información. n.

A.16.1.5

Respuesta a incidentes de seguridad de la información

Control Se debe dar respuesta a los incidentes de seguridad de la información de acuerdo con procedimientos documentados.

A.16.1.6

Aprendizaje obtenido de los incidentes incident es de seguridad de la información

Control El conocimiento adquirido al analizar y resolver incidentes de seguridad de la información se debe usar para reducir la posibilidad o el impacto de incidentes incidentes futuros.

Recolección d dee ev evidencia

Control La organización debe denir y aplicar procedimientos para la idencación, recolección, adquisición y preservación de

A.16 16..1.7 1.7

información que pueda servir como evidencia. A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE CONTINUIDAD DE NEGOCIO A.17.1 Connuidad de seguridad de la información O jevo: vo: La conn nui ui a e segu guri ri a e a in or orma macci n se e e inc uir en os si sisstemas mas e ge gess n connuidad de negocio de la organización.

A.17.1.1

e a

Control La organización debe determinar sus requisitos para la seguridad Planicación de la connuidad de la información y la connuidad de la gesón de la seguridad de de la seguridad de la información la información en situaciones adversas, por ejemplo, durante una crisis o desastre. Control

A.17.1.2

A.17.1.3

organización debe establecer, documentar, implementar Implementación Implement ación la mantener procesos, procedimientos y controles para asegurar ely connuidad de lade seguridad de la La nivel de connuidad requerido para la seguridad de la información información durante una situación adversa. Control La organización debe vericar a intervalos regulares los controles Vericación, revisión y evaluación de la connuidad de de connuidad de la seguridad de la información establecidos e la seguridad de la información implementados, con el n de asegurar que son válidos y ecaces durante situaciones adversas.

A.17.2 Redundancias Redundancias Objevo: Asegurar la disponibilidad de instalaciones de procesamiento de información. A.17.2.1

de Disponibilidad procesamiento de instalaciones instalacione de s información.

Control Las instalaciones de procesamiento de información se deben implementar con redundancia suciente para cumplir los requisitos de disponibilidad. disponibilidad.

A.18 CUMPLIMIENTO CUMPLIMIENTO A.18.1 Cumplimiento de requisitos legales y contractuales

 

Objevo: Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentación o contractuales relacionadas con seguridad de la información información y de cualquier requisito de seguridad.

A.18.1.1

Idencación Idencació n de la legislación aplicable y de los requisitos requisitos contractuales

Control Todos los requisitos estatutarios, reglamentarios y contractuales pernentes y el enfoque de la organización para cumplirlos, se deben idencar y documentar explícitamente, y mantenerlos actualizados para cada sistema de información y para la organización

A.18.1.2

Derechos de propiedad intelectual

Control Se deben implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legislavos, de reglamentación y contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de soware patentados.

Protección de registros

Control Los registros se deben proteger contra pérdida, destrucción, falsicación, acceso no autorizado y liberación no autorizada, de acuerdo con los requisitos legislavos, de reglamentación, contractuales contractu ales y de negocio.

A.18 18..1.3 1.3

Control A.18.1.4

A.18.1.5

Privacidad de Se la privacidad protección la información informacióny protección de datos personales de deben datos asegurar personales, como sey laexige en la delegislación y la reglamentación reglament ación pernentes, cuando sea aplicable.

Reglamentación de controles criptográcos

Control Se deben usar controles criptográcos, en cumplimento de todos los acuerdos, legislación y reglamentación reglamentación pernentes.

A.18.2 Revisiones de seguridad de la información Objevo: Asegurar que la seguridad de la información se implemente y opere de acuerdo con las polícas y procedimientos organizacionales

A.18.2.1

Control El enfoque de la organización para la gesón de la seguridad de la Revisión independiente de la información y su implementación (es decir, los objevos de control, los controles, las polícas, los procesos y los seguridad de la información procedimientos para seguridad de la información) se deben revisar independientemente a intervalos planicados o cuando ocurran cambios signicavos.

A.18 A.18..2. 2.2 2

Control Los directores deben revisar con regularidad el cumplimiento del Cump umplimi limien entto con con las polí políc cas as y procesamiento y procedimientos de información dentro de su área de responsabilidad, con las polícas y normas de seguridad apropiadas, y cualquier otro requisito de seguridad.

A.18.2.3

Revisión técnico

del

Control cumplimiento Los sistemas de información información se deben revisar periódicamente para determinar el cumplimiento con las polícas y normas de seguridad de la información. información.