ISO 27002:2013 (Dominios de Seguridad)

5. POLÍTICAS DE SEGURIDAD

Un documento denominado "política" es aquel que expresa una intención e instrucción global en la
manera que formalmente ha sido expresada por la Dirección de la organización.

El contenido de las políticas se basa en el contexto en el que opera una organización y suelen ser
considerados en su redacción los fines y objetivos de la organización, las estrategias adoptadas
para alcanzar sus objetivos, la estructura y los procesos adoptados por la organización, los
objetivos generales y específicos relacionados con el tema de la política y requisitos de las
políticas procedentes de niveles más superiores (legales de obligado cumplimiento, del sector al
que pertenece la organización, de la propia organización de niveles superiores o más amplios,...)
relacionadas.

Una estructura típica de los documentos de políticas podría ser:

 Resumen: Política Resumen - Visión general de una extensión breve; una o dos frases y que
pueden aparecer fusionadas con la introducción.
 Introducción: Breve explicación del asunto principal de la política.
 Ámbito de aplicación: Descripción de los departamentos, áreas o actividades de una
organización a las que afecta/aplica la política. Cuando es relevante en este apartado se
mencionan otras políticas relevantes a las que se pretende dar cobertura desde ésta.
 Objetivos: Descripción de la intención de la política.
 Principios: Descripción de las reglas que conciernen a acciones o decisiones para alcanzar los
objetivos. En algunos casos puede ser de utilidad identificar previamente los procesos clave
asociados con el asunto principal de la política para pasar posteriormente a identificar las reglas
de operación de los procesos.
 Responsabilidades: Descripción de quién es responsable de qué acciones para cumplie con los
requisitos de la política. En algunos casos, esto puede incluir una descripción de los
mecanismos organizativos, así como las responsabilidades de las personas con roles
designados.
 Resultados clave: Descripción de los resultados relevantes para las actividades de la
organización que se obtienen cuando se cumplen los objetivos.
 Políticas relacionadas: Descripción de otras políticas relevantes para el cumplimiento de los
objetivos, usualmente se indican detalles adicionales en relación a temas específicos.

La política de alto nivel (más genérica) habitualmente relacionada con el sistema de gestión para la
seguridad de la información (SGSI) suele estar apoyada por políticas de bajo nivel, específicas a
aspectos concretos en temáticas como el control de accesos, la clasificación de la información, la
seguridad física y ambiental, uso aceptable de activos, escritorio y pantallas libres de información
sensible, dispositivos móviles y teletrabajo, backups, protección contra el malware, etc…

Partiendo del principio típico en seguridad "lo que no está permitido está prohibido" cada
organización debería detectar las necesidades de los usuarios y valorar los controles necesarios
que fundamenten las políticas aplicable, aplicando la mejor estructura y relaciones entre ellas para
su gestión.
OBJETIVO DE CONTROL
OBJETIVO
Dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los
requerimientos del negocio, las leyes y las regulaciones.

5.1 DIRECTRICES DE LA DIRECCIÓN EN SEGURIDAD DE LA

INFORMACIÓN
La gerencia debería establecer de forma clara las líneas de las políticas de actuación y manifestar
su apoyo y compromiso a la seguridad de la información, publicando y manteniendo políticas de
seguridad en toda la organización.

ACTIVIDADES DE CONTROL DEL RIESGO

5.1.1 Políticas para la seguridad de la información: Se debería definir un conjunto de políticas para
la seguridad de la información, aprobado por la dirección, publicado y comunicado a los empleados
así como a todas las partes externas relevantes.

5.1.2 Revisión de las políticas para la seguridad de la información: Las políticas para la seguridad
de la información se deberían planificar y revisar con regularidad o si ocurren cambios significativos
para garantizar su idoneidad, adecuación y efectividad.

MÉTRICAS ASOCIADAS
 Cobertura de las políticas (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las
cuales se han especificado, escrito, aprobado y publicado políticas y sus normas,
procedimientos y directrices asociadas.

 Grado de despliegue y adopción de las políticas en la organización (medido por auditoría,

gerencia o auto-evaluación).
6. ASPECTOS ORGANIZATIVOS DE SEGURIDAD DE LA
INFORMACIÓN

El objetivo del presente dominio es establecer la administración de la seguridad de la información,

como parte fundamental de los objetivos y actividades de la organización.

Para ello se debería definir formalmente un ámbito de gestión para efectuar tareas tales como la
aprobación de las políticas de seguridad, la coordinación de la implementación de la seguridad y la
asignación de funciones y responsabilidades.

Para una actualización adecuada en materia de seguridad se debería contemplar la necesidad de

disponer de fuentes con conocimiento y experimentadas para el asesoramiento, cooperación y
colaboración en materia de seguridad de la información.

Las protecciones físicas de las organizaciones son cada vez más reducidas por las actividades de
la organización requiere por parte del personal interno/externo que acceden a información desde el
exterior en situación de mobilidad temporal o permanente. En estos casos se considera que la
información puede ponerse en riesgo si el acceso se produce en el marco de una inadecuada
administración de la seguridad, por lo que se establecerán las medidas adecuadas para la
protección de la información.

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es el de establecer un esquema directivo de gestión para iniciar y controlar la
implementación y operativa de la seguridad de la información en la organización.

6.1 ORGANIZACIÓN INTERNA

La gerencia debería establecer de forma clara las líneas de la política de actuación y manifestar su
apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de
seguridad en toda la organización.

Se debería establecer una estructura de gestión con objeto de iniciar y controlar la implantación de
la seguridad de la información dentro de la Organización.

El órgano de dirección debería aprobar la política de seguridad de la información, asignar los roles
de seguridad y coordinar y revisar la implantación de la seguridad en toda la Organización.

Si fuera necesario, en la Organización se debería establecer y facilitar el acceso a una fuente

especializada de consulta en seguridad de la información. Deberían desarrollarse contactos con
especialistas externos en seguridad, que incluyan a las administraciones pertinentes, con objeto de
mantenerse actualizado en las tendencias de la industria, la evolución de las normas y los métodos
de evaluación, así como proporcionar enlaces adecuados para el tratamiento de las incidencias de
seguridad.

Debería fomentarse un enfoque multidisciplinario de la seguridad de la información, que, por

ejemplo, implique la cooperación y la colaboración de directores, usuarios, administradores,
diseñadores de aplicaciones, auditores y el equipo de seguridad con expertos en áreas como la
gestión de seguros y la gestión de riesgos.
ACTIVIDADES DE CONTROL DEL RIESGO
6.1.1 Asignación de responsabilidades para la SI: Se deberían definir y asignar claramente todas
las responsabilidades para la seguridad de la información.

6.1.2 Segregación de tareas: Se deberían segregar tareas y las áreas de responsabilidad ante
posibles conflictos de interés con el fin de reducir las oportunidades de una modificación no
autorizada o no intencionada, o el de un mal uso de los activos de la organización.

6.1.3 Contacto con las autoridades: Se deberían mantener los contactos apropiados con las
autoridades pertinentes.

6.1.4 Contacto con grupos de interés especial: Se debería mantener el contacto con grupos o foros
de seguridad especializados y asociaciones profesionales.

6.1.5 Seguridad de la información en la gestión de proyectos: Se debería contemplar la seguridad

de la información en la gestión de proyectos e independientemente del tipo de proyecto a
desarrollar por la organización.

MÉTRICAS ASOCIADAS
 Porcentaje de funciones/unidades organizativas para las cuales se ha implantado una
estrategia global para mantener los riesgos de seguridad de la información por debajo de
umbrales explícitamente aceptados por la dirección.

 Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y
responsabilidades de seguridad de la información.

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es el de garantizar la seguridad de la información en el uso de recursos de informática
móvil y teletrabajo.

6.2 DISPOSITIVOS PARA MOVILIDAD Y TELETRABAJO

La protección exigible debería estar en relación a los riesgos específicos que ocasionan estas
formas específicas de trabajo. En el uso de la informática móvil deberían considerarse los riesgos
de trabajar en entornos desprotegidos y aplicar la protección conveniente. En el caso del
teletrabajo, la Organización debería aplicar las medidas de protección al lugar remoto y garantizar
que las disposiciones adecuadas estén disponibles para esta modalidad de trabajo.
Se debería establecer una estructura de gestión con objeto de iniciar y controlar la implantación de
la seguridad de la información dentro de la Organización.

Debería disponer de políticas claramente definidas para la protección, no sólo de los propios
equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la
información almacenada en ellos.

Por lo general, el valor de la información supera con mucho el del hardware.

Asegúrese de que el nivel de protección de los equipos informáticos utilizados dentro de las
instalaciones de la organización tiene su correspondencia en el nivel de protección de los equipos
portátiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc.

ACTIVIDADES DE CONTROL DEL RIESGO

6.2.1 Política de uso de dispositivos para movilidad: Se debería establecer una política formal y se
deberían adoptar las medidas de seguridad adecuadas para la protección contra los riesgos
derivados del uso de los recursos de informática móvil y las telecomunicaciones.

6.2.2 Teletrabajo: Se debería desarrollar e implantar una política y medidas de seguridad de apoyo
para proteger a la información accedida, procesada o almacenada en ubicaciones destinadas al
teletrabajo.

MÉTRICAS ASOCIADAS
 "Estado de la seguridad en entorno portátil / teletrabajo", es decir, un informe sobre el
estado actual de la seguridad de equipos informáticos portátiles (laptops, PDAs, teléfonos
móviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo móvil), con
comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad
conocidas y pronósticos sobre cualquier riesgo creciente, despliegue de configuraciones
seguras, antivirus, firewalls personales, etc.
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

El objetivo del presente dominio es la necesidad de educar e informar al personal desde su ingreso
y en forma continua, cualquiera sea su situación de actividad, acerca de las medidas de seguridad
que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de
seguridad y asuntos de confidencialidad.

Es necesario reducir los riesgos de error humano, comisión de actos ilícitos, uso inadecuado de
instalaciones y recursos y manejo no autorizado de la información, junto a la definición de posibles
sanciones que se aplicarán en caso de incumplimiento.

Se requiere explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento

de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el
desempeño del individuo como empleado, así como, garantizar que los usuarios estén al corriente
de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren
capacitados para respaldar la Política de Seguridad de la organización en el transcurso de sus
tareas normales.

Suele ser responsabilidad del Área de Recursos Humanos incluir las funciones relativas a la
seguridad de la información en las descripciones de puestos de los empleados, informar a todo el
personal que ingresa de sus obligaciones respecto del cumplimiento de la Política de Seguridad de
la Información, gestionar los Compromisos de Confidencialidad con el personal y coordinar las
tareas de capacitación de usuarios respecto a las necesidades actuales en seguridad.

El Responsable del Área Jurídica participa en la confección del Compromiso de Confidencialidad a

firmar por los empleados y terceros que desarrollen funciones en el organismo, en el
asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de las Políticas en
seguridad y en el tratamiento de incidentes de seguridad que requieran de su intervención.

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es el de asegurar que los empleados, contratistas y usuarios de terceras partes
entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo
de robo, fraude y mal uso de las instalaciones y medios.

7.1 ANTES DE LA CONTRATACIÓN

Las responsabilidades de la seguridad se deberían definir antes de la contratación laboral
mediante la descripción adecuada del trabajo y los términos y condiciones del empleo.

Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se deberían
seleccionar adecuadamente, especialmente para los trabajos sensibles.

Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento de la

información deberían firmar un acuerdo sobre sus funciones y responsabilidades con relación a la
seguridad.
Conjuntamente con RRHH, de debería asegurar que se emplea un proceso de verificación de
antecedentes proporcional a la clasificación de seguridad de aquella información a la que va a
acceder el empleado a contratar. Dicho simplemente, el proceso de contratación de un
administrador de sistemas TI debería ser muy diferente del de un administrativo. Haga
comprobaciones de procedencia, formación, conocimientos, etc.

ACTIVIDADES DE CONTROL DEL RIESGO

7.1.1 Investigación de antecedentes: Se deberían realizar revisiones de verificación de
antecedentes de los candidatos al empleo en concordancia con las regulaciones, ética y leyes
relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificación de la
información a la cual se va a tener acceso y los riesgos percibidos.

7.1.2 Términos y condiciones de contratación: Como parte de su obligación contractual,

empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato
de empleo, el cual establecerá sus obligaciones y las obligaciones de la organización para la
seguridad de información.

MÉTRICAS ASOCIADAS
 Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores,
temporales, etc.) que hayan sido totalmente verificados y aprobados de acuerdo con las
políticas de la empresa antes de comenzar a trabajar.

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es el de asegurarse de que los empleados y contratistas están en conocimiento y
cumplen con sus responsabilidades en seguridad de la información.

7.2 DURANTE LA CONTRATACIÓN

Se debería definir las responsabilidades de la Dirección para garantizar que la seguridad se aplica
en todos los puestos de trabajo de las personas de la organización.

A todos los usuarios empleados, contratistas y terceras personas se les debería proporcionar un
adecuado nivel de concienciación, educación y capacitación en procedimientos de seguridad y en
el uso correcto de los medios disponibles para el procesamiento de la información con objeto de
minimizar los posibles riesgos de seguridad.

Se debería establecer un proceso disciplinario normal para gestionar las brechas en seguridad.

La responsabilidad con respecto a la protección de la información no finaliza cuando un empleado

se va a casa o abandona la organización. Asegure que esto se documenta claramente en
materiales de concienciación, contratos de empleo, etc.
Contemple la posibilidad de una revisión anual por RRHH de los contratos junto con los empleados
para refrescar las expectativas expuestas en los términos y condiciones de empleo, incluyendo su
compromiso con la seguridad de la información.

ACTIVIDADES DE CONTROL DEL RIEGO

7.2.1 Responsabilidades de gestión: La Dirección debería requerir a empleados, contratistas y
usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los
procedimientos.

7.2.2 Concienciación, educación y capacitación en SI: Todos los empleados de la organización y

donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado
del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como
sean relevantes para la función de su trabajo.

7.2.3 Proceso disciplinario: Debería existir un proceso formal disciplinario comunicado a empleados
que produzcan brechas en la seguridad.

MÉTRICAS ASOCIADAS
 Respuesta a las actividades de concienciación en seguridad medidas por (por ejemplo) el
número de e-mails y llamadas relativas a iniciativas de concienciación individuales.

OBJETIVO DE CONTROL 3
OBJETIVO
El objetivo es el de proteger los intereses de la organización durante el proceso de cambio o
finalización de empleo por parte de empleados y contratistas.

7.3 CESE O CAMBIO DE PUESTO DE TRABAJO

Se deberían establecer las responsabilidades para asegurar que el abandono de la organización
por parte de los empleados, contratistas o terceras personas se controla, que se devuelve todo el
equipamiento y se eliminan completamente todos los derechos de acceso.

Los cambios en las responsabilidades y empleos en la organización se deberían manejar, en el

caso de su finalización en línea con esta sección, y para el caso de nuevos empleos como se
describe en la sección 7.1.

La devolución de los activos de la organización cuando un empleado se marcha sería mucho más
sencilla de verificar si el inventario de activos ha sido actualizado y verificado regularmente.

Examine qué accesos necesita revocar en primer lugar cuando un empleado presenta su carta de
dimisión: ¿cuáles son los sistemas más críticos o vulnerables?
Haga un seguimiento del uso del e-mail por estas personas antes de salir definitivamente de la
empresa, por si comienzan a sacar información confidencial (sujeto a las políticas aplicables y a
consideraciones legales sobre privacidad).

ACTIVIDADES DE CONTROL DEL RIEGO

7.3.1 Cese o cambio de puesto de trabajo: Las responsabilidades para ejecutar la finalización de
un empleo o el cambio de éste deberían estar claramente definidas, comunicadas a empleado o
contratista y asignadas efectivamente.

MÉTRICAS ASOCIADAS
 Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la
organización, separados por las categorías de activos (pendientes de desactivación) e
inactivos (pendientes de archivo y borrado).
8. GESTIÓN DE ACTIVOS

El objetivo del presente dominio es que la organización tenga conocimiento preciso sobre los
activos que posee como parte importante de la administración de riesgos.

Algunos ejemplos de activos son:

 Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de

usuario, material de capacitación, procedimientos operativos o de soporte, planes de
continuidad y contingencia, información archivada, etc.
 Recursos de software: software de aplicaciones, sistemas operativos, herramientas de
desarrollo y publicación de contenidos, utilitarios, etc.
 Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles,
módems), equipos de comunicaciones (routers, PABXs, máquinas de fax, contestadores
automáticos, switches de datos, etc.), medios magnéticos (cintas, discos, dispositivos móviles
de almacenamiento de datos – pen drives, discos externos, etc.-), otros equipos técnicos
(relacionados con el suministro eléctrico, unidades de aire acondicionado, controles
automatizados de acceso, etc.), mobiliario, lugares de emplazamiento, etc.
 Servicios: servicios informáticos y de comunicaciones, utilitarios generales (calefacción,
iluminación, energía eléctrica, etc.).

Los activos de información deben ser clasificados de acuerdo a la sensibilidad y criticidad de la

información que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en función
a ello, con el objeto de señalar cómo ha de ser tratada y protegida dicha información.

Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem
de información determinado no necesariamente debe mantenerse invariable por siempre, y que
ésta puede cambiar de acuerdo con una política predeterminada por la propia organización. Se
debería considerar la cantidad de categorías a definir para la clasificación dado que los esquemas
demasiado complejos pueden tornarse engorrosos y antieconómicos o resultar poco prácticos.

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es identificar los activos en la organización y definir las responsabilidades para una
protección adecuada.

8.1 RESPONSABILIDAD SOBRE LOS ACTIVOS

Todos los activos deberían ser justificados y tener asignado un propietario y se deberían identificar
a los propietarios para todos los activos y asignarles la responsabilidad del mantenimiento de los
controles adecuados.

La implantación de controles específicos podría ser delegada por el propietario convenientemente.

No obstante, el propietario permanece como responsable de la adecuada protección de los activos.

El término “propietario” identifica a un individuo o entidad responsable, que cuenta con la

aprobación del órgano de dirección, para el control de la producción, desarrollo, mantenimiento,
uso y seguridad de los activos. El término “propietario” no significa que la persona disponga de los
derechos de propiedad reales del activo.

Elabore y mantenga un inventario de activos de información (similar al preparado en su día para el

Efecto 2000), mostrando los propietarios de los activos (directivos o gestores responsables de
proteger sus activos) y los detalles relevantes (p. ej., ubicación, nº de serie, nº de versión, estado
de desarrollo / pruebas / producción, etc.).

Use códigos de barras para facilitar las tareas de realización de inventario y para vincular equipos
de TI que entran y salen de las instalaciones con empleados.

ACTIVIDADES DE CONTROL DEL RIESGO

8.1.1 Inventario de activos: Todos los activos deberían estar claramente identificados,
confeccionando y manteniendo un inventario con los más importantes.

8.1.2 Propiedad de los activos: Toda la información y activos del inventario asociados a los
recursos para el tratamiento de la información deberían pertenecer a una parte designada de la
Organización.

8.1.3 Uso aceptable de los activos: Se deberían identificar, documentar e implantar regulaciones
para el uso adecuado de la información y los activos asociados a recursos de tratamiento de la
información.

8.1.4 Devolución de activos: Todos los empleados y usuarios de terceras partes deberían devolver
todos los activos de la organización que estén en su posesión/responsabilidad una vez finalizado el
acuerdo, contrato de prestación de servicios o actividades relacionadas con su contrato de empleo.

MÉTRICAS ASOCIADAS
 Porcentaje de activos de información en cada fase del proceso de clasificación (identificado
/ inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).

 Porcentaje de activos de información claves para los cuales se ha implantado una estrategia
global para mitigar riesgos de seguridad de la información según sea necesario y para
mantener dichos riesgos en niveles aceptables.

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es el de asegurar que se aplica un nivel de protección adecuado a la información.

8.2 CLASIFICACIÓN DE LA INFORMACIÓN

Se debería clasificar la información para indicar la necesidad, prioridades y nivel de protección
previsto para su tratamiento.
La información tiene diversos grados de sensibilidad y criticidad. Algunos ítems podrían requerir
niveles de protección adicionales o de un tratamiento especial. Debería utilizarse un esquema de
clasificación de la información para definir el conjunto adecuado de niveles de protección y
comunicar la necesidad de medidas especiales para el tratamiento.

Mantenga la sencillez! Distinga los requisitos de seguridad básicos (globales) de los avanzados, de
acuerdo con el riesgo. Comience quizás con la confidencialidad, pero no olvide los requisitos de
integridad y disponibilidad.

ACTIVIDADES DE CONTROL DEL RIEGO

8.2.1 Directrices de clasificación: La información debería clasificarse en relación a su valor,
requisitos legales, sensibilidad y criticidad para la Organización.

8.2.2 Etiquetado y manipulado de la información: Se debería desarrollar e implantar un conjunto

apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el
esquema de clasificación adoptado por la organización.

8.2.3 Manipulación de activos: Se deberían desarrollar e implantar procedimientos para la

manipulación de los activos acordes con el esquema de clasificación de la información adoptado
por la organización.

MÉTRICAS ASOCIADAS
 Porcentaje de activos de información en cada categoría de clasificación (incluida la de "aún
sin clasificar").

OBJETIVO DE CONTROL 3
OBJETIVO
El objetivo es evitar la divulgación, modificación, retirada o destrucción de activos no autorizada
almacenada en soportes de almacenamiento.

8.3 MANEJO DE LOS SOPORTES DE ALMACENAMIENTO

Los medios deberían ser controlados y físicamente protegidos.

Se deberían establecer los procedimientos operativos adecuados para proteger los documentos,
medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del sistema
contra la divulgación, modificación, retirada o destrucción de activos no autorizadas.

Asegure los soportes y la información en tránsito no solo físico sino electrónico (a través de las
redes). Cifre todos los datos sensibles o valiosos antes de ser transportados.
ACTIVIDADES DE CONTROL DEL RIEGO
8.3.1 Gestión de soportes extraíbles: Se deberían establecer procedimientos para la gestión de los
medios informáticos removibles acordes con el esquema de clasificación adoptado por la
organización.

8.3.2 Eliminación de soportes: Se deberían eliminar los medios de forma segura y sin riesgo
cuando ya no sean requeridos, utilizando procedimientos formales.

8.3.3 Soportes físicos en tránsito: Se deberían proteger los medios que contienen información
contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos
de la organización.

MÉTRICAS ASOCIADAS
 Porcentaje de soportes de backup o archivo que están totalmente encriptados.
9. CONTROL DE ACCESOS

El objetivo del presente dominio es controlar el acceso por medio de un sistema de restricciones y
excepciones a la información como base de todo sistema de seguridad informática.

Para impedir el acceso no autorizado a los sistemas de información se deberían implementar

procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de
información, bases de datos y servicios de información, y estos deben estar claramente
documentados, comunicados y controlados en cuanto a su cumplimiento.

Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de los usuarios
de todos los niveles, desde el registro inicial de nuevos usuarios hasta la privación final de
derechos de los usuarios que ya no requieren el acceso.

La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es

necesario concientizar a los mismos acerca de sus responsabilidades por el mantenimiento de
controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseñas y la
seguridad del equipamiento.

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es controlar los accesos a la información y las instalaciones utilizadas para su
procesamiento.

9.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESOS

Se deberían controlar los accesos a la información, los recursos de tratamiento de la información y
los procesos de negocio en base a las necesidades de seguridad y de negocio de la Organización.

Las regulaciones para el control de los accesos deberían considerar las políticas de distribución de
la información y de autorizaciones.

Los propietarios de activos de información que son responsables ante la dirección de la protección
"sus" activos deberían tener la capacidad de definir y/o aprobar las reglas de control de acceso y
otros controles de seguridad. Asegúrese de que se les responsabiliza de incumplimientos, no
conformidades y otros incidentes.
ACTIVIDADES DE CONTROL DEL RIESGO
9.1.1 Política de control de accesos: Se debería establecer, documentar y revisar una política de
control de accesos en base a las necesidades de seguridad y de negocio de la Organización.

9.1.2 Control de acceso a las redes y servicios asociados: Se debería proveer a los usuarios de los
accesos a redes y los servicios de red para los que han sido expresamente autorizados a utilizar.

MÉTRICAS ASOCIADAS
 Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios"
adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c)
llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas
en riesgo y (d) definido las reglas de control de acceso basadas en roles.

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es el de garantizar el acceso a los usuarios autorizados e impedir los accesos no
autorizados a los sistemas de información y servicios.

9.2 GESTIÓN DE ACCESO DE USUARIO

Se deberían establecer procedimientos formales para controlar la asignación de los permisos de
acceso a los sistemas y servicios de información.

Los procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
acceso a los sistemas y servicios de información.

Se debería prestar especial atención, si fuera oportuno, a la necesidad de controlar la asignación

de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del
sistema.
ACTIVIDADES DE CONTROL DEL RIESGO
9.2.1 Gestión de altas/bajas en el registro de usuarios: Debería existir un procedimiento formal de
alta y baja de usuarios con objeto de habilitar la asignación de derechos de acceso.

9.2.2 Gestión de los derechos de acceso asignados a usuarios: Se debería de implantar un

proceso formal de aprovisionamiento de accesos a los usuarios para asignar o revocar derechos
de acceso a todos los tipos de usuarios y para todos los sistemas y servicios.

9.2.3 Gestión de los derechos de acceso con privilegios especiales: La asignación y uso de
derechos de acceso con privilegios especiales debería ser restringido y controlado.

9.2.4 Gestión de información confidencial de autenticación de usuarios: La asignación de

información confidencial para la autenticación debería ser controlada mediante un proceso de
gestión controlado.

9.2.5 Revisión de los derechos de acceso de los usuarios: Los propietarios de los activos deberían
revisar con regularidad los derechos de acceso de los usuarios.

9.2.6 Retirada o adaptación de los derechos de acceso: Se deberían retirar los derechos de acceso
para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones
del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisados
en caso de cambio.

MÉTRICAS ASOCIADAS
 Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de
accesos y número de solicitudes de cambio de acceso cursadas en el mes anterior (con
análisis de tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada
nueva aplicación financiera este mes").

OBJETIVO DE CONTROL 3
OBJETIVO
El objetivo es hacer que los usuarios sean responsables de la protección de la información para su
identificación.
9.3 RESPONSABILIDADES DEL USUARIO
La cooperación de los usuarios autorizados es esencial para una seguridad efectiva.

Los usuarios deberían ser conscientes de sus responsabilidades en el mantenimiento de controles

de acceso eficaces, en particular respecto al uso de contraseñas y seguridad en los equipos
puestos a su disposición.

Se debería implantar una política para mantener mesas de escritorio y monitores libres de
cualquier información con objeto de reducir el riesgo de accesos no autorizados o el deterioro de
documentos, medios y recursos para el tratamiento de la información.

Asegúrese de que se establecen las responsabilidades de seguridad y que son entendidas por el
personal afectado. Una buena estrategia es definir y documentar claramente las responsabilidades
relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo.

Son imprescindibles las revisiones periódicas para incluir cualquier cambio. Comunique
regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisión anual de objetivos),
para recordarles sus responsabilidades y recoger cualquier cambio.

ACTIVIDADES DE CONTROL DEL RIESGO

9.3.1 Uso de información confidencial para la autenticación: Se debería exigir a los usuarios el uso
de las buenas prácticas de seguridad de la organización en el uso de información confidencial para
la autenticación.

MÉTRICAS ASOCIADAS
 Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en
seguridad de la información: (a) totalmente documentadas y (b) formalmente aceptadas.

OBJETIVO DE CONTROL 4
OBJETIVO
El objetivo es impedir el acceso no autorizado a la información mantenida por los sistemas y
aplicaciones.
9.4 CONTROL DE ACCESO A SISTEMAS Y APLICACIONES
Los medios deberían ser controlados y físicamente protegidos.

Se deberían establecer los procedimientos operativos adecuados para proteger los documentos,
medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del sistema
contra la divulgación, modificación, retirada o destrucción de activos no autorizadas.

Asegure los soportes y la información en tránsito no solo físico sino electrónico (a través de las
redes). Cifre todos los datos sensibles o valiosos antes de ser transportados.

ACTIVIDADES DE CONTROL DEL RIESGO

9.4.1 Restricción del acceso a la información: Se debería restringir el acceso de los usuarios y el
personal de mantenimiento a la información y funciones de los sistemas de aplicaciones, en
relación a la política de control de accesos definida.

9.4.2 Procedimientos seguros de inicio de sesión: Cuando sea requerido por la política de control
de accesos se debería controlar el acceso a los sistemas y aplicaciones mediante un
procedimiento seguro de log-on

9.4.3 Gestión de contraseñas de usuario: Los sistemas de gestión de contraseñas deberían ser
interactivos y asegurar contraseñas de calidad.

9.4.4 Uso de herramientas de administración de sistemas: El uso de utilidades software que

podrían ser capaces de anular o evitar controles en aplicaciones y sistemas deberían estar
restringidos y estrechamente controlados.

9.4.5 Control de acceso al código fuente de los programas: Se debería restringir el acceso al
código fuente de las aplicaciones software.

MÉTRICAS ASOCIADAS
 Porcentaje de soportes de backup o archivo que están totalmente encriptados.
10. CIFRADO

El objetivo del presente dominio es el uso de sistemas y técnicas criptográficas para la protección
de la información en base al análisis de riesgo efectuado, con el fin de asegurar una adecuada
protección de su confidencialidad e integridad.

La aplicación de medidas de cifrado se debería desarrollar en base a una política sobre el uso de
controles criptográficos y al establecimiento de una gestión de las claves que sustenta la aplicación
de las técnicas criptográficas.

OBJETIVO DE CONTROL
OBJETIVO
El objetivo es garantizar un uso adecuado y eficaz de la criptografía para proteger la
confidencialidad, la autenticidad y/o la integridad de la información.

10.1 CONTROLES CRIPTOGRÁFICOS

Controles con el objetivo de proteger la confidencialidad, autenticidad o integridad de la
información mediante la ayuda de técnicas criptográficas.

Las organizaciones deberían utilizarán controles criptográficos para la protección de claves de

acceso a sistemas, datos y servicios, para la transmisión de información clasificada y/o para el
resguardo de aquella información relevante en atención a los resultados de la evaluación de
riesgos realizada por la organización.

Sería necesario el desarrollo adicional de procedimientos y asignación de funciones respecto de la

administración de claves, de la recuperación de información cifrada en caso de pérdida,
compromiso o daño de las claves y en cuanto al reemplazo de las claves de cifrado.

El uso de algoritmos de cifrado (simétricos y/o asimétricos) y las longitudes de clave deberían ser
revisadas periódicamente para aplicar las actualizaciones necesarias en atención a la seguridad
requerida y los avances en técnicas de descifrado.

Las firmas digitales proporcionan un medio de protección de la autenticidad e integridad de los

documentos electrónicos y, en algunas ocasiones, podría ser necesario asesoramiento legal para
establecer acuerdos especiales que respalden su uso.
ACTIVIDADES DE CONTROL DEL RIESGO
10.1.1 Política de uso de los controles criptográficos: Se debería desarrollar e implementar una
política que regule el uso de controles criptográficos para la protección de la información.

10.1.2 Gestión de claves: Se debería desarrollar e implementar una política sobre el uso, la
protección y el ciclo de vida de las claves criptográficas a través de todo su ciclo de vida.

MÉTRICAS ASOCIADAS
 Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han
implantado totalmente controles criptográficos apropiados (periodo de reporte de 3 a 12
meses).
11. SEGURIDAD FÍSICA Y AMBIENTAL

El objetivo es minimizar los riesgos de daños e interferencias a la información y a las operaciones

de la organización.

El establecimiento de perímetros de seguridad y áreas protegidas facilita la implementación de

controles de protección de las instalaciones de procesamiento de información crítica o sensible de
la organización, contra accesos físicos no autorizados.

El control de los factores ambientales de origen interno y/o externo permite garantizar el correcto
funcionamiento de los equipos de procesamiento y minimizar las interrupciones de servicio.

La información almacenada en los sistemas de procesamiento y la documentación contenida en

diferentes medios de almacenamiento, son susceptibles de ser recuperadas mientras no están
siendo utilizados. Es por ello que el transporte y la disposición final presentan riesgos que deben
ser evaluados, especialmente en casos en los que el equipamiento perteneciente a la organización
estén físicamente fuera del mismo (housing) o en equipamiento ajeno que albergue sistemas y/o
preste servicios de procesamiento de información (hosting/cloud).

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la información de la
organización y las instalaciones de procesamiento de la información.

11.1 ÁREAS SEGURAS

Evitar el acceso físico no autorizado, daño e interferencia con la información y los locales de la
organización.

Los medios de procesamiento de información crítica o confidencial deberían ubicarse en áreas

seguras, protegidas por los perímetros de seguridad definidos, con las barreras de seguridad y
controles de entrada apropiados.

Los medios de procesamiento deberían estar físicamente protegidos del acceso no autorizado,
daño e interferencia.

El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p.
ej., armarios de cableado, "servidores departamentales" y archivos (recuerde: los estándares se
refieren a asegurar la información, no sólo las TI).

Algunas organizaciones usan tarjetas de identificación de colores para indicar las áreas accesibles
por los visitantes (p. ej., azul para la 1ª planta, verde para la 3ª, etc.; ahora, si ve a alguien con una
identificación verde en la 4º planta, reténgalo).
Se debería asegurar la retirada de todos los pases de empleado y de visita cuando se vayan. Haga
que los sistemas de acceso con tarjeta rechacen y alarmen ante intentos de acceso. Use pases de
visita que se vuelvan opacos o muestren de alguna manera que ya no son válidos a las x horas de
haberse emitido.

ACTIVIDADES DE CONTROL DEL RIESGO

11.1.1 Perímetro de seguridad física: Se deberían definir y utilizar perímetros de seguridad para la
protección de las áreas que contienen información y las instalaciones de procesamiento de
información sensible o crítica.

11.1.2 Controles físicos de entrada: Las áreas seguras deberían estar protegidas mediante
controles de entrada adecuados para garantizar que solo el personal autorizado dispone de
permiso de acceso.

11.1.3 Seguridad de oficinas, despachos y recursos: Se debería diseñar y aplicar un sistema de

seguridad física a las oficinas, salas e instalaciones de la organización.

11.1.4 Protección contra las amenazas externas y ambientales: Se debería diseñar y aplicar una
protección física contra desastres naturales, ataques maliciosos o accidentes.

11.1.5 El trabajo en áreas seguras: Se deberían diseñar y aplicar procedimientos para el desarrollo
de trabajos y actividades en áreas seguras.

11.1.6 Áreas de acceso público, carga y descarga: Se deberían controlar puntos de acceso a la
organización, como las áreas de entrega y carga/descarga (entre otros) para evitar el ingreso de
personas no autorizadas a las dependencias aislando estos puntos, en la medida de lo posible, de
las instalaciones de procesamiento de información.

MÉTRICAS ASOCIADAS
 Informes de inspecciones periódicas de seguridad física de instalaciones, incluyendo
actualización regular del estado de medidas correctivas identificadas en inspecciones
previas que aún estén pendientes.

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es evitar la pérdida, los daños, el robo o el compromiso de activos y la interrupción a las
operaciones de la organización.

11.2 SEGURIDAD DE LOS EQUIPOS

Deberían protegerse los equipos contra las amenazas físicas y ambientales. La protección del
equipo es necesaria para reducir el riesgo de acceso no autorizado a la información y su protección
contra pérdida o robo.
Así mismo, se debería considerar la ubicación y eliminación de los equipos. Se podrían requerir
controles especiales para la protección contra amenazas físicas y para salvaguardar servicios de
apoyo como energía eléctrica e infraestructura del cableado.

Haga que los vigilantes de seguridad o personal relevante impida a cualquiera (empleados, visitas,
personas de soporte TI, mensajeros, personal de mudanzas, etc.) sacar equipos informáticos de
las instalaciones sin autorización escrita.

Esté especialmente atento a puertas traseras, rampas de carga, salidas para fumadores, etc.

Tome en consideración el uso de lectura de códigos de barras para hacer los chequeos más
eficientes.

ACTIVIDADES DE CONTROL DEL RIESGO

11.2.1 Emplazamiento y protección de equipos: Los equipos se deberían emplazar y proteger para
reducir los riesgos de las amenazas y peligros ambientales y de oportunidades de acceso no
autorizado.

11.2.2 Instalaciones de suministro: Los equipos deberían estar protegidos contra cortes de luz y
otras interrupciones provocadas por fallas en los suministros básicos de apoyo.

11.2.3 Seguridad del cableado: Los cables eléctricos y de telecomunicaciones que transportan
datos o apoyan a los servicios de información se deberían proteger contra la intercepción,
interferencia o posibles daños.

11.2.4 Mantenimiento de los equipos: Los equipos deberían mantenerse adecuadamente con el
objeto de garantizar su disponibilidad e integridad continuas.

11.2.5 Salida de activos fuera de las dependencias de la empresa: Los equipos, la información o el
software no se deberían retirar del sitio sin previa autorización.

11.2.6 Seguridad de los equipos y activos fuera de las instalaciones: Se debería aplicar la
seguridad a los activos requeridos para actividades fuera de las dependencias de la organización y
en consideración de los distintos riesgos.

11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento: Se deberían verificar

todos los equipos que contengan medios de almacenamiento para garantizar que cualquier tipo de
datos sensibles y software con licencia se hayan extraído o se hayan sobrescrito de manera
segura antes de su eliminación o reutilización.

11.2.8 Equipo informático de usuario desatendido: Los usuarios se deberían asegurar de que los
equipos no supervisados cuentan con la protección adecuada.

11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla: Se debería adoptar una
política de puesto de trabajo despejado para documentación en papel y para medios de
almacenamiento extraíbles y una política de monitores sin información para las instalaciones de
procesamiento de información.
MÉTRICAS ASOCIADAS
 Número de chequeos (a personas a la salida y a existencias en stock) realizados en el
último mes y porcentaje de chequeos que evidenciaron movimientos no autorizados de
equipos o soportes informáticos u otras cuestiones de seguridad.

 Informes de inspecciones periódicas a los equipos, incluyendo actividades para la revisión

de rendimiento, capacidad, eventos de seguridad y limpieza de los diversos componentes
(aplicaciones, almacenamiento, CPU, memoria, red, etc).
12. SEGURIDAD EN LA OPERATIVA

El objetivo es controlar la existencia de los procedimientos de operaciones y el desarrollo y

mantenimiento de documentación actualizada relacionada.

Adicionalmente, se debería evaluar el posible impacto operativo de los cambios previstos a

sistemas y equipamiento y verificar su correcta implementación, asignando las responsabilidades
correspondientes y administrando los medios técnicos necesarios para permitir la segregación de
los ambientes y responsabilidades en el procesamiento.

Con el fin de evitar potenciales amenazas a la seguridad del sistema o a los servicios del usuario,
sería necesario monitorear las necesidades de capacidad de los sistemas en operación y proyectar
las futuras demandas de capacidad.

El control de la realización de las copias de resguardo de información, así como la prueba

periódica de su restauración, permite garantizar la restauración de las operaciones en los tiempos
de recuperación establecidos y acotar el periodo máximo de pérdida de información asumible para
cada organización.

Se deberían definir y documentar controles para la detección y prevención del acceso no

autorizado, la protección contra software malicioso y para garantizar la seguridad de los datos y los
servicios conectados a las redes de la organización.

Finalmente, se deberían verificar el cumplimiento de las normas, procedimientos y controles

establecidos mediante auditorías técnicas y registros de actividad de los sistemas (logs) como base
para la monitorización del estado del riesgo en los sistemas y descubrimiento de nuevos riesgos.

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la información de la
organización y las instalaciones de procesamiento de la información.

12.1 RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIÓN

Asegurar la operación correcta y segura de los medios de procesamiento de la información
mediante el desarrollo de los procedimientos de operación apropiados.

Se deberían establecer las responsabilidades y procedimientos para la gestión y operación de

todos los medios de procesamiento de la información.

Se debería implantar la segregación de tareas, cuando sea adecuado, para reducir el riesgo de un
mal uso del sistema deliberado o por negligencia.
ACTIVIDADES DE CONTROL DEL RIESGO
12.1.1 Documentación de procedimientos de operación: Se deberían documentar los
procedimientos operativos y dejar a disposición de todos los usuarios que los necesiten.

12.1.2 Gestión de cambios: Se deberían controlar los cambios que afectan a la seguridad de la
información en la organización y procesos de negocio, las instalaciones y sistemas de
procesamiento de información.

12.1.3 Gestión de capacidades: Se debería monitorear y ajustar el uso de los recursos junto a
proyecciones necesarias de requisitos de capacidad en el futuro con el objetivo de garantizar el
rendimiento adecuado en los sistemas.

12.1.4 Separación de entornos de desarrollo, prueba y producción: Los entornos de desarrollo,

pruebas y operacionales deberían permanecer separados para reducir los riesgos de acceso o de
cambios no autorizados en el entorno operacional.

MÉTRICAS ASOCIADAS
 Métricas de madurez de procesos TI relativos a seguridad, tales como el semiperiodo de
aplicación de parches de seguridad (tiempo que ha llevado parchear al menos la mitad de
los sistemas vulnerables -esta medida evita la cola variable provocada por los pocos
sistemas inevitables que permanecen sin parchear por no ser de uso diario, estar
normalmente fuera de la oficina o cualquier otra razón).

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es garantizar que la información y las instalaciones de procesamiento de información
estén protegidas contra el malware.

12.2 PROTECCIÓN CONTRA CÓDIGO MALICIOSO

El software y los medios de procesamiento de la información son vulnerables a la introducción de
códigos maliciosos y se requiere tomar precauciones para evitar y detectar la introducción de
códigos de programación maliciosos y códigos con capacidad de reproducción y distribución
automática no autorizados para la protección de la integridad del software y de la información que
sustentan.

El código malicioso es código informático que provoca infracciones de seguridad para dañar un
sistema informático. El malware se refiere específicamente a software malicioso, pero el código
malicioso incluye además scripts de sitios web (applets de Java, controles de ActiveX, contenido
insertado, plug-ins, lenguajes de scripts u otros lenguajes de programación en páginas web y
correo electrónico) que pueden aprovechar vulnerabilidades con el fin de descargar un malware.
El software y los recursos de tratamiento de información son vulnerables a la introducción de
software malicioso como virus informáticos, gusanos de la red, caballos de troya y bombas lógicas.

Los usuarios deben estar al tanto de los peligros de los códigos maliciosos como el robo y
destrucción de la información o daños e inutilización de los sistemas de la organización.

Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación,
concienciación y formación).

¡No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo
e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables!

ACTIVIDADES DE CONTROL DEL RIESGO

12.2.1 Controles contra el código malicioso: Se deberían implementar controles para la detección,
prevención y recuperación ante afectaciones de malware en combinación con la concientización
adecuada de los usuarios.

MÉTRICAS ASOCIADAS
 Tendencia en el número de virus, gusanos, troyanos o spam detectados y bloqueados.
Número y costes acumulados de incidentes por software malicioso.

OBJETIVO DE CONTROL 3
OBJETIVO
El objetivo es alcanzar un grado de protección deseado contra la pérdida de datos.

12.3 COPIAS DE SEGURIDAD

Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y
comunicación.

Se deberían establecer procedimientos rutinarios para conseguir la estrategia aceptada de

respaldo (consultar 14.1) para realizar copias de seguridad y probar su puntual recuperación.

Implante procedimientos de backup y recuperación que satisfagan no sólo requisitos contractuales

sino también requisitos de negocio "internos" de la organización.

Básese en la evaluación de riesgos realizada para determinar cuáles son los activos de
información más importantes y use esta información para crear su estrategia de backup y
recuperación.

Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicación de backup,
frecuencia de copia y prueba de soportes.
Aplique técnicas de cifrado a copias de seguridad y archivos que contengan datos sensibles o
valiosos (en realidad, serán prácticamente todos porque, si no, ¿para qué hacer copias de
seguridad?).

ACTIVIDADES DE CONTROL DEL RIESGO

12.3.1 Copias de seguridad de la información: Se deberían realizar y pruebas regulares de las
copias de la información, del software y de las imágenes del sistema en relación a una política de
respaldo (Backup) convenida.

MÉTRICAS ASOCIADAS
 Porcentaje de operaciones de backup exitosas.

 Porcentaje de recuperaciones de prueba exitosas.

 Tiempo medio transcurrido desde la recogida de los soportes de backup de su

almacenamiento fuera de las instalaciones hasta la recuperación exitosa de los datos en
todas ubicaciones principales.

 Porcentaje de backups y archivos con datos sensibles o valiosos que están cifrados.

OBJETIVO DE CONTROL 4
OBJETIVO
El objetivo es registrar los eventos relacionados con la seguridad de la información y generar
evidencias.

12.4 REGISTRO DE ACTIVIDAD Y SUPERVISIÓN

Los sistemas deberían ser monitoreados y los eventos de la seguridad de información registrados.

El registro de los operadores y el registro de fallas deberían ser usados para garantizar la
identificación de los problemas del sistema de información.

La organización debería cumplir con todos los requerimientos legales aplicables para el monitoreo
y el registro de actividades. El monitoreo del sistema debería ser utilizado para verificar la
efectividad de los controles adoptados y para verificar la conformidad del modelo de política de
acceso.

El viejo axioma del aseguramiento de la calidad "no puedes controlar lo que no puedes medir o
monitorizar" es también válido para la seguridad de la información.

La necesidad de implantar procesos de supervisión es más evidente ahora que la medición de la

eficacia de los controles se ha convertido en un requisito específico.
Analice la criticidad e importancia de los datos que va a monitorizar y cómo esto afecta a los
objetivos globales de negocio de la organización en relación a la seguridad de la información.

ACTIVIDADES DE CONTROL DEL RIESGO

12.4.1 Registro y gestión de eventos de actividad: Se deberían producir, mantener y revisar
periódicamente los registros relacionados con eventos de actividad del usuario, excepciones, fallas
y eventos de seguridad de la información.

12.4.2 Protección de los registros de información: Se debería proteger contra posibles alteraciones
y accesos no autorizados la información de los registros.

12.4.3 Registros de actividad del administrador y operador del sistema: Se deberían registrar las
actividades del administrador y del operador del sistema y los registros asociados se deberían
proteger y revisar de manera regular.

12.4.4 Sincronización de relojes: Se deberían sincronizar los relojes de todos los sistemas de
procesamiento de información pertinentes dentro de una organización o de un dominio de
seguridad y en relación a una fuente de sincronización única de referencia.

MÉTRICAS ASOCIADAS
 Porcentaje de sistemas cuyos logs de seguridad (a) están adecuadamente configurados,
(b) son transferidos con seguridad a un sistema de gestión centralizada de logs y (c) son
monitorizados/revisados/evaluados regularmente.

 Tendencia en el número de entradas en los logs de seguridad que (a) han sido registradas,
(b) han sido analizadas y (c) han conducido a actividades de seguimiento.

OBJETIVO DE CONTROL 5
OBJETIVO
El objetivo es garantizar la integridad de los sistemas operacionales para la organización.

12.5 CONTROL DEL SOFTWARE EN EXPLOTACIÓN

Se trata de minimizar los riesgos de alteración de los sistemas de información mediante controles
de implementación de cambios imponiendo el cumplimiento de procedimientos formales que
garanticen que se cumplan los procedimientos de seguridad y control, respetando la división de
funciones.

Verificar que los cambios sean gestionados por personal autorizado y en atención a los términos y
condiciones que surjan de la licencia de uso.

Efectuar un análisis de riesgos previo a los cambios en atención al posible impacto por situaciones
adversas.
Aplicar los cambios en sistemas de prueba y/o de manera escalonada empezando por los sistemas
menos críticos además de aplicar medidas de backups y puntos de restauración junto a actividades
adicionales que permitan retornar los sistemas al estado de estabilidad inicial con ciertas garantías.

Actualizar la documentación para cada cambio implementado, tanto de los manuales de usuario
como de la documentación operativa.

Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar sus
operaciones y envolver a usuarios finales en pruebas de aceptación del nuevo estado.

ACTIVIDADES DE CONTROL DEL RIESGO

12.5.1 Instalación del software en sistemas en producción: Se deberían implementar
procedimientos para controlar la instalación de software en sistemas operacionales.

MÉTRICAS ASOCIADAS
 Número de instalaciones de software realizadas en los sistemas correctas (siguiendo los
procedimientos establecidos) versus incorrectas (no siguiendo los procedimientos
establecidos).

 Estado de cumplimiento de las planificaciones aprobadas para la instalación del software

en la organización.

OBJETIVO DE CONTROL 6
OBJETIVO
El objetivo es evitar la explotación de vulnerabilidades técnicas.

12.6 GESTIÓN DE LA VULNERABILIDAD TÉCNICA

Se trata de minimizar los riesgos de alteración de los sistemas de información mediante controles
de implementación de cambios imponiendo el cumplimiento de procedimientos formales que
garanticen que se cumplan los procedimientos de seguridad y control, respetando la división de
funciones.

Verificar que los cambios sean gestionados por personal autorizado y en atención a los términos y
condiciones que surjan de la licencia de uso.

Efectuar un análisis de riesgos previo a los cambios en atención al posible impacto por situaciones
adversas.

Aplicar los cambios en sistemas de prueba y/o de manera escalonada empezando por los sistemas
menos críticos además de aplicar medidas de backups y puntos de restauración junto a actividades
adicionales que permitan retornar los sistemas al estado de estabilidad inicial con ciertas garantías.
Actualizar la documentación para cada cambio implementado, tanto de los manuales de usuario
como de la documentación operativa.

Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar sus
operaciones y envolver a usuarios finales en pruebas de aceptación del nuevo estado.

Evite quedarse tan atrás en la rutina de actualización de versiones que sus sistemas queden fuera
de soporte por el fabricante.

Pruebe y aplique los parches críticos, o tome otras medidas de protección, tan rápida y
extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y
que estén siendo explotadas fuera activamente.

ACTIVIDADES DE CONTROL DEL RIESGO

12.6.1 Gestión de las vulnerabilidades técnicas: Se debería obtener información sobre las
vulnerabilidades técnicas de los sistemas de información de manera oportuna para evaluar el
grado de exposición de la organización y tomar las medidas necesarias para abordar los riesgos
asociados.

12.6.2 Restricciones en la instalación de software: Se deberían establecer e implementar las reglas

que rigen la instalación de software por parte de los usuarios.

MÉTRICAS ASOCIADAS
 Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad
de los sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos
pocos sistemas, tales como portátiles fuera de la empresa o almacenados).

OBJETIVO DE CONTROL 7
OBJETIVO
El objetivo es minimizar el impacto de actividades de auditoría en los sistemas operacionales.

12.7 CONSIDERACIONES DE LAS AUDITORÍAS DE LOS SISTEMAS DE

INFORMACIÓN
Maximizar la efectividad del proceso de auditoría de los sistemas de información y minimizar las
intromisiones a/desde éste proceso.

Durante las auditorías de los sistemas de información debieran existir controles para salvaguardar
los sistemas operacionales y herramientas de auditoría.

Acordar con el/las área/s que corresponda los requerimientos de auditoría.

Limitar las verificaciones (p.ej. a un acceso de "sólo lectura" en software y datos de producción) y/o
tomar las medidas necesarias a efectos de aislar y contrarrestar los efectos de modificaciones
realizadas al finalizar la auditoría (eliminar archivos transitorios, entidades ficticias y datos
incorporados en archivos maestros; revertir transacciones; revocar privilegios otorgados;…)

Identificar claramente los recursos TI para llevar a cabo las verificaciones y puestos a disposición
de los auditores (Sistemas de información, Bases de datos, hardware, software de auditoría,
dispositivos magnéticos, personal, conexiones a red,…)

Documentar todos los procedimientos de auditoría, requerimientos y responsabilidades.

ACTIVIDADES DE CONTROL DEL RIESGO

12.7.1 Controles de auditoría de los sistemas de información: Se deberían planificar y acordar los
requisitos y las actividades de auditoría que involucran la verificación de los sistemas
operacionales con el objetivo de minimizar las interrupciones en los procesos relacionados con el
negocio.

MÉTRICAS ASOCIADAS
 Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su
estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio
o bajo).

 Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido

resueltos y cerrados, respecto al total de abiertos en el mismo periodo.

 Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos

acordados por la dirección al final de las auditorías.
13. SEGURIDAD EN LAS TELECOMUNICACIONES

El objetivo es asegurar la protección de la información que se comunica por redes telemáticas y la

protección de la infraestructura de soporte.

La gestión segura de las redes, la cual puede abarcar los límites organizacionales, requiere de la
cuidadosa consideración del flujo de datos, implicaciones legales, monitoreo y protección.

La información confidencial que pasa a través de redes públicas suele requerir de controles
adicionales de protección.

Los intercambios de información por parte de las organizaciones se deberían basar en una política
formal de intercambio y en línea con los acuerdos de intercambio, y debiera cumplir con cualquier
legislación relevante.

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la información de la
organización y las instalaciones de procesamiento de la información.

13.1 GESTIÓN DE LA SEGURIDAD EN LAS REDES

Se deberían controlar los accesos a servicios internos y externos conectados en red.

El acceso de los usuarios a redes y servicios en red no debería comprometer la seguridad de los
servicios en red si se garantizan:

a) que existen interfaces adecuadas entre la red de la Organización y las redes públicas o privadas
de otras organizaciones;

b) que los mecanismos de autenticación adecuados se aplican a los usuarios y equipos;

c) el cumplimiento del control de los accesos de los usuarios a los servicios de información.

Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN),

frente a controles de seguridad en aplicaciones (defensa en profundidad).

Prepare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y

herramientas de seguridad de red como IDS/IPS (detección y prevención de intrusiones), gestión
de vulnerabilidades, etc.
ACTIVIDADES DE CONTROL DEL RIESGO
13.1.1 Controles de red: Se deberían administrar y controlar las redes para proteger la información
en sistemas y aplicaciones.

13.1.2 Mecanismos de seguridad asociados a servicios en red: Se deberían identificar e incluir en

los acuerdos de servicio (SLA) los mecanismos de seguridad, los niveles de servicio y los
requisitos de administración de todos los servicios de red, independientemente de si estos
servicios se entregan de manera interna o están externalizados.

13.1.3 Segregación de redes: Se deberían segregar las redes en función de los grupos de
servicios, usuarios y sistemas de información.

MÉTRICAS ASOCIADAS
 Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que
han sido bloqueadas (p. ej., intentos de acceso a páginas web prohibidas; número de
ataques potenciales de hacking repelidos, clasificados en
insignificantes/preocupantes/críticos).

 Número de incidentes de seguridad de red identificados en el mes anterior, dividido por

categorías de leve / importante / grave, con análisis de tendencias y descripción
comentada de todo incidente serio y tendencia adversa.

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es mantener la seguridad de la información que transfiere un organización internamente
o con entidades externas.

13.2 INTERCAMBIO DE INFORMACIÓN CON PARTES EXTERNAS

Se deberían realizar los intercambios sobre la base de una política formal de intercambio, según
los acuerdos de intercambio y cumplir con la legislación correspondiente.

Se deberían establecer procedimientos y normas para proteger la información y los medios físicos
que contienen información en tránsito.

Estudie canales de comunicaciones alternativos y "pre-autorizados", en especial direcciones de e-

mail secundarias por si fallan las primarias o el servidor de correo, y comunicaciones offline por si
caen las redes.

El verificar canales de comunicación alternativos reducirá el estrés en caso de un incidente real.

ACTIVIDADES DE CONTROL DEL RIESGO
13.2.1 Políticas y procedimientos de intercambio de información: Deberían existir políticas,
procedimientos y controles formales de transferencia para proteger la información que viaja a
través del uso de todo tipo de instalaciones de comunicación.

13.2.2 Acuerdos de intercambio: Los acuerdos deberían abordar la transferencia segura de

información comercial entre la organización y las partes externas.

13.2.3 Mensajería electrónica: Se debería proteger adecuadamente la información referida en la

mensajería electrónica.

13.2.4 Acuerdos de confidencialidad y secreto: se deberían identificar, revisar y documentar de

manera regular los requisitos para los acuerdos de confidencialidad y "no divulgación" que reflejan
las necesidades de la organización para la protección de información.

MÉTRICAS ASOCIADAS
 Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y (b)
implementado satisfactoriamente los requisitos de seguridad de la información.
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE
LOS SISTEMAS DE INFORMACIÓN
El objetivo es asegurar la inclusión de controles de seguridad y validación de datos en la
adquisición y el desarrollo de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los
aplicativos y en la infraestructura de base en la cual se apoyan.

Definir los métodos de protección de la información crítica o sensible.

Aplica a todos los sistemas informáticos, tanto desarrollos propios o de terceros, y a todos los
Sistemas Operativos y/o Software que integren cualquiera de los ambientes administrados por la
organización en donde residan los desarrollos mencionados.

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es garantizar que la seguridad de la información sea una parte integral de los sistemas
de información en todo el ciclo de vida, incluyendo los requisitos para aquellos que proporcionan
servicios en redes públicas.

14.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE

INFORMACIÓN
El diseño e implantación de los sistemas de información que sustentan los procesos de negocio
pueden ser cruciales para la seguridad. Los requisitos de seguridad deberían ser identificados y
consensuados previamente al desarrollo y/o implantación de los sistemas de información.

Todos los requisitos de seguridad deberían identificarse en la fase de recogida de requisitos de un

proyecto y ser justificados, aceptados y documentados como parte del proceso completo para un
sistema de información.

Trabaje estrechamente con las unidades de negocio para desarrollar un eBusiness seguro,
incorporando requisitos de seguridad de la información en los proyectos, y con ello en los sistemas
de eCommerce, desde el principio (también en cualquier cambio/actualización posterior).

Insista en el valor añadido de la seguridad en la reducción de riesgos comerciales, legales y

operativos asociados al eBusiness. Trabaje los 3 aspectos clave de la seguridad: confidencialidad,
integridad y disponibilidad.

Se deberían considerar las implicaciones de seguridad asociadas con el uso de servicios de

comercio electrónico, incluyendo transacciones en línea y los requisitos para los controles.

La integridad y disponibilidad de la información electrónica publicada a través de sistemas

disponibles de publicidad deberían ser también consideradas.
Dentro de los sistemas de información se incluyen los sistemas operativos, infraestructuras,
aplicaciones de negocio, aplicaciones estándar o de uso generalizado, servicios y aplicaciones
desarrolladas por los usuarios.

ACTIVIDADES DE CONTROL DEL RIESGO

14.1.1 Análisis y especificación de los requisitos de seguridad: Los requisitos relacionados con la
seguridad de la información se deberían incluir en los requisitos para los nuevos sistemas o en las
mejoras a los sistemas de información ya existentes.

14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas: La información
de los servicios de aplicación que pasan a través de redes públicas se deberían proteger contra
actividades fraudulentas, de disputa de contratos y/o de modificación no autorizada.

14.1.3 Protección de las transacciones por redes telemáticas: La información en transacciones de

servicios de aplicación se debería proteger para evitar la transmisión y enrutamiento incorrecto y la
alteración, divulgación y/o duplicación no autorizada de mensajes o su reproducción.

MÉTRICAS ASOCIADAS
 Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios"
adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c)
llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas
en riesgo y (d) definido las reglas de control de acceso basadas en roles.

 "Estado de la eSeguridad", es decir, un informe sobre el nivel global de confianza de la

dirección, basado en el análisis de los últimos tests de penetración, incidentes actuales o
recientes, vulnerabilidades actuales conocidas, cambios planificados, etc.

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es garantizar que la seguridad de la información se diseñe e implemente dentro del ciclo
de vida de desarrollo de los sistemas de información.

14.2 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

Se deberían controlar estrictamente los entornos de desarrollo de proyectos y de soporte.

Los directivos responsables de los sistemas de aplicaciones deberían ser también responsables de
la seguridad del proyecto o del entorno de soporte. Ellos deberían garantizar que todas las
propuestas de cambio en los sistemas son revisadas para verificar que no comprometen la
seguridad del sistema o del entorno operativo.

Incorpore la seguridad de la información al ciclo de vida de desarrollo de sistemas en todas sus

fases, desde la concepción hasta la desaparición de un sistema, por medio de la inclusión de
"recordatorios" sobre seguridad en los procedimientos y métodos de desarrollo, operaciones y
gestión de cambios.

Trate el desarrollo e implementación de software como un proceso de cambio. Integre las mejoras
de seguridad en las actividades de gestión de cambios (p. ej., documentación y formación
procedimental para usuarios y administradores).

ACTIVIDADES DE CONTROL DEL RIESGO

14.2.1 Política de desarrollo seguro de software: Se deberían establecer y aplicar reglas para el
desarrollo de software y sistemas dentro de la organización.

14.2.2 Procedimientos de control de cambios en los sistemas: En el ciclo de vida de desarrollo se

deberían hacer uso de procedimientos formales de control de cambios.

14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo: Las
aplicaciones críticas para el negocio se deberían revisar y probar para garantizar que no se han
generado impactos adversos en las operaciones o en la seguridad de la organización.

14.2.4 Restricciones a los cambios en los paquetes de software: Se deberían evitar modificaciones
en los paquetes de software suministrados por terceros, limitándose a cambios realmente
necesarios. Todos los cambios se deberían controlar estrictamente.

14.2.5 Uso de principios de ingeniería en protección de sistemas: Se deberían establecer,

documentar, mantener y aplicar los principios de seguridad en ingeniería de sistemas para
cualquier labor de implementación en el sistema de información.

14.2.6 Seguridad en entornos de desarrollo: Las organizaciones deberían establecer y proteger

adecuadamente los entornos para las labores de desarrollo e integración de sistemas que abarcan
todo el ciclo de vida de desarrollo del sistema.

14.2.7 Externalización del desarrollo de software: La organización debería supervisar y monitorear

las actividades de desarrollo del sistema que se hayan externalizado.

14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas: Se deberían realizar

pruebas de funcionalidad en aspectos de seguridad durante las etapas del desarrollo.

14.2.9 Pruebas de aceptación: Se deberían establecer programas de prueba y criterios

relacionados para la aceptación de nuevos sistemas de información, actualizaciones y/o nuevas
versiones.

MÉTRICAS ASOCIADAS
 "Estado de la seguridad en sistemas en desarrollo", es decir, un informe sobre el estado
actual de la seguridad en los procesos de desarrollo de software, con comentarios sobre
incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y
pronósticos sobre cualquier riesgo creciente, etc.
OBJETIVO DE CONTROL 3
OBJETIVO
El objetivo es garantizar la protección de los datos que se utilizan para procesos de pruebas.

14.3 DATOS DE PRUEBA

Se debería evitar la exposición de datos sensibles en entornos de prueba.

Para proteger los datos de prueba se deberían establecer normas y procedimientos que
contemplen prohibir el uso de bases de datos operativas.

En caso contrario se deberían despersonalizar los datos antes de su uso y aplicar idénticos
procedimientos de control de acceso que en la base de producción.

Procedimientos para la solicitud de autorización formal para realizar copias de la base operativa
como base de prueba y de eliminación inmediata, una vez completadas las pruebas de la
información operativa utilizada.

ACTIVIDADES DE CONTROL DEL RIESGO

14.3.1 Protección de los datos utilizados en prueba: Los datos de pruebas se deberían seleccionar
cuidadosamente y se deberían proteger y controlar.

MÉTRICAS ASOCIADAS
 Porcentaje de sistemas evaluados de forma independiente como totalmente conformes con
los estándares de seguridad básica aprobados, respecto a aquellos que no han sido
evaluados, no son conformes o para los que no se han aprobado dichos estándares.
15. RELACIONES CON SUMINISTRADORES

El objetivo es implementar y mantener el nivel apropiado de seguridad de la información y la

entrega de los servicios contratados en línea con los acuerdos de entrega de servicios de terceros.

La organización debe chequear la implementación de los acuerdos, monitorear su cumplimiento

con los estándares y manejar los cambios para asegurar que los servicios sean entregados para
satisfacer todos los requerimientos acordados con terceras personas.

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es garantizar la protección de los activos de la organización que son accesibles a
proveedores.

15.1 SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON

SUMINISTRADORES
La seguridad de la información de la organización y las instalaciones de procesamiento de la
información no debería ser reducida por la introducción de un servicio o producto externo..

Debería controlarse el acceso de terceros a los dispositivos de tratamiento de información de la

organización.

Cuando el negocio requiera dicho acceso de terceros, se debería realizar una evaluación del riesgo
para determinar sus implicaciones sobre la seguridad y las medidas de control que requieren.
Estas medidas de control deberían definirse y aceptarse en un contrato con la tercera parte.

Haga inventario de conexiones de red y flujos de información significativos con 3as partes, evalúe
sus riesgos y revise los controles de seguridad de información existentes respecto a los requisitos..

¡Esto puede dar miedo, pero es 100% necesario!.

Considere exigir certificados en ISO/IEC 27001 a los partners más críticos, tales como outsourcing
de TI, proveedores de servicios de seguridad TI, etc.
ACTIVIDADES DE CONTROL DEL RIESGO
15.1.1 Política de seguridad de la información para suministradores: Se deberían acordar y
documentar adecuadamente los requisitos de seguridad de la información requeridos por los
activos de la organización con el objetivo de mitigar los riesgos asociados al acceso por parte de
proveedores y terceras personas.

15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores: Se deberían establecer y

acordar todos los requisitos de seguridad de la información pertinentes a cada proveedor que
puede acceder, procesar, almacenar, comunicar o proporcionar componentes de infraestructura de
TI que dan soporte a la información de la organización.

15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones: Los acuerdos con

los proveedores deberían incluir los requisitos para abordar los riesgos de seguridad de la
información asociados con la cadena de suministro de los servicios y productos de tecnología de
información y comunicaciones.

MÉTRICAS ASOCIADAS
 Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en
cuanto a su riesgo y estimadas como seguras.

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es mantener el nivel en la prestación de servicios conforme a los acuerdos con el
proveedor en materia de seguridad de información.

15.2 GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR

SUMINISTRADORES
La organización debería verificar la implementación de acuerdos, el monitoreo de su cumplimiento
y gestión de los cambios con el fin de asegurar que los servicios que se ser prestan cumplen con
todos los requerimientos acordados con los terceros.

¿Lo que recibe vale lo que paga por ello? Dé respuesta a esta pregunta y respáldela con hechos,
estableciendo un sistema de supervisión de terceros proveedores de servicios y sus respectivas
entregas de servicio.

Revise periódicamente los acuerdos de nivel de servicio (SLA) y compárelos con los registros de
supervisión. En algunos casos puede funcionar un sistema de premio y castigo.

Esté atento a cambios que tengan impacto en la seguridad.

ACTIVIDADES DE CONTROL DEL RIESGO
15.2.1 Supervisión y revisión de los servicios prestados por terceros: Las organizaciones deberían
monitorear, revisar y auditar la presentación de servicios del proveedor regularmente.

15.2.2 Gestión de cambios en los servicios prestados por terceros: Se deberían administrar los
cambios a la provisión de servicios que realizan los proveedores manteniendo y mejorando: las
políticas de seguridad de la información, los procedimientos y controles específicos. Se debería
considerar la criticidad de la información comercial, los sistemas y procesos involucrados en el
proceso de reevaluación de riesgos.

MÉTRICAS ASOCIADAS
 Coste del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de
servicio. Evaluación del rendimiento de proveedores incluyendo la calidad de servicio,
entrega, coste, etc.
16. GESTIÓN DE INCIDENTES

El objetivo es garantizar que los eventos de seguridad de la información y las debilidades

asociados a los sistemas de información sean comunicados de forma tal que se apliquen las
acciones correctivas en el tiempo oportuno.

Las organizaciones cuentan con innumerables activos de información, cada uno expuesto a sufrir
incidentes de seguridad. Resulta necesario contar con una capacidad de gestión de dichos
incidentes que permita comenzar por su detección, llevar a cabo su tratamiento y colaborar en la
prevención de futuros incidentes similares.

OBJETIVO DE CONTROL
OBJETIVO
El objetivo es garantizar una administración de incidentes de seguridad de la información
coherente y eficaz en base a un enfoque de comunicación de los eventos y las debilidades de
seguridad.

16.1 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Y MEJORAS
Deberían establecerse las responsabilidades y procedimientos para manejar los eventos y
debilidades en la seguridad de información de una manera efectiva y una vez que hayan sido
comunicados.

Se debería aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y

gestionar en su totalidad los incidentes en la seguridad de información.

Cuando se requieran evidencias, éstas deben ser recogidas para asegurar el cumplimiento de los
requisitos legales.

Las revisiones post-incidente y los casos de estudio para incidentes serios, tales como fraudes,
ilustran los puntos débiles de control, identifican oportunidades de mejora y conforman por sí
mismos un mecanismo eficaz de concienciación en seguridad.

Debería establecerse el informe formal de los eventos y de los procedimientos de escalado.

Todos los empleados, contratistas y terceros deberían estar al tanto de los procedimientos para
informar de los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad
de los activos organizacionales.

Se les debería exigir que informen de cualquier evento o debilidad en la seguridad de información
lo más rápido posible y al punto de contacto designado.

Establezca y dé a conocer una hotline (generalmente, el helpdesk habitual de TI) para que la gente
pueda informar de incidentes, eventos y problemas de seguridad.
ACTIVIDADES DE CONTROL DEL RIESGO
16.1.1 Responsabilidades y procedimientos: Se deberían establecer las responsabilidades y
procedimientos de gestión para garantizar una respuesta rápida, eficaz y ordenada a los incidentes
de seguridad de la información.

16.1.2 Notificación de los eventos de seguridad de la información: Los eventos de seguridad de la

información se deberían informar lo antes posible utilizando los canales de administración
adecuados.

16.1.3 Notificación de puntos débiles de la seguridad: Se debería requerir anotar e informar sobre
cualquier debilidad sospechosa en la seguridad de la información en los sistemas o servicios tanto
a los empleados como a contratistas que utilizan los sistemas y servicios de información de la
organización.

16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones: Se deberían

evaluar los eventos de seguridad de la información y decidir su clasificación como incidentes.

16.1.5 Respuesta a los incidentes de seguridad: Se debería responder ante los incidentes de
seguridad de la información en atención a los procedimientos documentados.

16.1.6 Aprendizaje de los incidentes de seguridad de la información: Se debería utilizar el

conocimiento obtenido del análisis y la resolución de incidentes de seguridad de la información
para reducir la probabilidad y/o impacto de incidentes en el futuro.

16.1.7 Recopilación de evidencias: La organización debería definir y aplicar los procedimientos

necesarios para la identificación, recopilación, adquisición y preservación de la información que
puede servir de evidencia.

MÉTRICAS ASOCIADAS
 Número y gravedad de incidentes; evaluaciones de los costes de analizar, detener y
reparar los incidentes y cualquier pérdida tangible o intangible producida.

 Porcentaje de incidentes de seguridad que han causado costes por encima de umbrales
aceptables definidos por la dirección.

 Estadísticas del helpdesk de TI, con análisis sobre el número y tipos de llamadas relativas
a seguridad de la información (p. ej., cambios de contraseña; porcentaje de preguntas
acerca de riesgos y controles de seguridad de la información respecto al total de
preguntas). A partir de las estadísticas, cree y publique una tabla de clasificación por
departamentos (ajustada según el número de empleados por departamento), mostrando
aquellos que están claramente concienciados con la seguridad, frente a los que no lo
están.
17. ASPECTOS DE SEGURIDAD DE LA INFOMACIÓN EN LA
GESTIÓN DE CONTINUIDAD DE NEGOCIO

El objetivo es preservar la seguridad de la información durante las fases de activación, de

desarrollo de procesos, procedimientos y planes para la continuidad de negocio y de vuelta a la
normalidad.

Se debería integrar dentro de los procesos críticos de negocio, aquellos requisitos de gestión de la
seguridad de la información con atención especial a la legislación, las operaciones, el personal, los
materiales, el transporte, los servicios y las instalaciones adicionales, alternativos y/o que estén
dispuestos de un modo distinto a la operativa habitual.

Se deberían analizar las consecuencias de los desastres, fallas de seguridad, pérdidas de servicio
y la disponibilidad del servicio y desarrollar e implantar planes de contingencia para asegurar que
los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales,
manteniendo las consideraciones en seguridad de la información utilizada en los planes de
continuidad y función de los resultados del análisis de riesgos.

Deberían llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros,
pruebas de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la confianza de
la dirección en los planes y (c) familiarizar a los empleados relevantes con sus funciones y
responsabilidades bajo condiciones de desastre.

Minimizar los efectos de las posibles interrupciones de las actividades normales de la organización
asociadas a desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u
otros hechos, protegiendo los procesos críticos mediante una combinación de controles
preventivos y acciones de recuperación.

Instruir al personal involucrado en los procedimientos de reanudación y recuperación en relación a

los objetivos del plan, los mecanismos de coordinación y comunicación entre equipos (personal
involucrado), los procedimientos de divulgación en uso, los requisitos de la seguridad, los procesos
específicos para el personal involucrado y responsabilidades individuales.

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es mantener la seguridad de la información integrada en los sistemas de gestión de
continuidad del negocio de la organización.

17.1 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN

Se deberían determinar los requisitos de seguridad de la información al planificar la continuidad de
los procesos de negocio y la recuperación ante desastres.

La organización debería establecer, documentar, implementar y mantener procesos,

procedimientos y cambios de implementación para mantener los controles de seguridad de la
información existentes durante una situación adversa.
Si los controles de seguridad no pueden continuar resguardando la información ante situaciones
adversas, se deberían establecer, implementar y mantener otros controles para mantener un nivel
aceptable de seguridad de la información.

Las organizaciones deberían verificar la validez y la efectividad de las medidas de continuidad de

la seguridad de la información regularmente, especialmente cuando cambian los sistemas de
información, los procesos, los procedimientos y los controles de seguridad de la información, o los
procesos y soluciones establecidas para la gestión de la continuidad de negocio.

ACTIVIDADES DE CONTROL DEL RIESGO

17.1.1 Planificación de la continuidad de la seguridad de la información: La organización debería
determinar los requisitos para la seguridad de la información y su gestión durante situaciones
adversas como situaciones de crisis o de desastre.

17.1.2 Implantación de la continuidad de la seguridad de la información: La organización debería

establecer, documentar, implementar y mantener los procesos, procedimientos y controles para
garantizar el mantenimiento del nivel necesario de seguridad de la información durante situaciones
adversas.

17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información: La

organización debería verificar regularmente los controles de continuidad de seguridad de la
información establecidos e implementados para poder garantizar su validez y eficacia ante
situaciones adversas.

MÉTRICAS ASOCIADAS
 Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida
(requerido / especificado / documentado / probado).

 Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido
adecuadamente (a) documentados y (b) probados mediante tests apropiados en los
últimos 12 meses.

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es garantizar la disponibilidad de las instalaciones de procesamiento de información.

17.2 REDUNDANCIAS
Se deberían considerar los componentes o arquitecturas redundantes cuando no se pueda
garantizar el nivel de disponibilidad requerido por las actividades de la organización a través de
arquitecturas sencillas típicas o los sistemas existentes se demuestren insuficientes.

Se deberían probar los sistemas de información redundantes para garantizar que la conmutación
funcione adecuadamente.
ACTIVIDADES DE CONTROL DEL RIESGO
17.2.1 Disponibilidad de instalaciones para el procesamiento de la información: Se debería
implementar la suficiente redundancia en las instalaciones de procesamiento de la información y en
correspondencia con los requisitos de disponibilidad.

MÉTRICAS ASOCIADAS
 Medidas típicas que se pueden aplicar y medir en cada sistema relevante (hardware,
software, información,…) para el cálculo son: "MTTF" (Mean Time To Failure), "MTBF"
(Mean Time Between Failure, típicamente MTTF + MTTR), MTTR (Mean Time To Repair).
De ese modo se puede calcular el grado de disponibilidad a largo plazo (MTTF/MTBF) y
fiabilidad de un sistema.
18. CUMPLIMIENTO
El diseño, operación, uso y administración de los sistemas de información están regulados por
disposiciones legales y contractuales.

Los requisitos normativos y contractuales pertinentes a cada sistema de información deberían estar
debidamente definidos y documentados.

El objetivo es cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones
administrativas a la organización y/o a los empleados que incurran en responsabilidad civil o penal
como resultado de incumplimientos.

Se debe revisar la seguridad de los sistemas de información periódicamente a efectos de

garantizar la adecuada aplicación de la política, normas y procedimientos de seguridad, sobre las
plataformas tecnológicas y los sistemas de información.

OBJETIVO DE CONTROL 1
OBJETIVO
El objetivo es evitar incumplimientos a requisitos relacionados con la seguridad de la información
de cualquier tipo especialmente a las obligaciones legales, estatutarias, normativas o
contractuales.

18.1 CUMPLIMIENTO DE LOS REQUISITOS LEGALES Y

CONTRACTUALES
El diseño, operación, uso y gestión de los sistemas de información pueden ser objeto de requisitos
estatutarios, reguladores y de seguridad contractuales.

Los requisitos legales específicos deberían ser advertidos por los asesores legales de la
organización o por profesionales adecuadamente cualificados.

Los requisitos que marca la legislación cambian de un país a otro y pueden variar para la
información que se genera en un país y se transmite a otro país distinto (por ej., flujos de datos
entre fronteras).

Obtenga asesoramiento legal competente, especialmente si la organización opera o tiene clientes

en múltiples jurisdicciones.
ACTIVIDADES DE CONTROL DEL RIESGO
18.1.1 Identificación de la legislación aplicable: Se deberían identificar, documentar y mantener al
día de manera explícita para cada sistema de información y para la organización todos los
requisitos estatutarios, normativos y contractuales legislativos junto al enfoque de la organización
para cumplir con estos requisitos.

18.1.2 Derechos de propiedad intelectual (DPI): Se deberían implementar procedimientos

adecuados para garantizar el cumplimiento con los requisitos legislativos, normativos y
contractuales relacionados con los derechos de propiedad intelectual, y utilizar productos de
software originales.

18.1.3 Protección de los registros de la organización: Los registros se deberían proteger contra
pérdidas, destrucción, falsificación, accesos y publicación no autorizados de acuerdo con los
requisitos legislativos, normativos, contractuales y comerciales.

18.1.4 Protección de datos y privacidad de la información personal: Se debería garantizar la

privacidad y la protección de la información personal identificable según requiere la legislación y las
normativas pertinentes aplicables que correspondan.

18.1.5 Regulación de los controles criptográficos: Se deberían utilizar controles de cifrado de la

información en cumplimiento con todos los acuerdos, la legislación y las normativas pertinentes.

MÉTRICAS ASOCIADAS
 Número de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas
por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto,
medio o bajo).

 Porcentaje de requisitos externos clave que, mediante auditorías objetivas o de otra forma
admisible, han sido considerados conformes.

OBJETIVO DE CONTROL 2
OBJETIVO
El objetivo es garantizar que se implementa y opera la seguridad de la información de acuerdo a
las políticas y procedimientos organizacionales.

18.2 REVISIONES DE LA SEGURIDAD DE LA INFORMACIÓN

Se deberían realizar revisiones regulares de la seguridad de los sistemas de información.

Las revisiones se deberían realizar según las políticas de seguridad apropiadas y las plataformas
técnicas y sistemas de información deberían ser auditados para el cumplimiento de los estándares
adecuados de implantación de la seguridad y controles de seguridad documentados.
Alinee los procesos de auto-evaluación de controles de seguridad con las autoevaluaciones de
gobierno corporativo, cumplimiento legal y regulador, etc., complementados por revisiones de la
dirección y verificaciones externas de buen funcionamiento.

Deberían existir controles para proteger los sistemas en activo y las herramientas de auditoría
durante el desarrollo de las auditorías de los sistemas de información.

Invierta en auditoría TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estándares y
métodos de buenas prácticas similares como referencias de comparación.

Examine ISO 19011 "Directrices para la auditoría de los sistemas de gestión de la calidad y/o
ambiental" como fuente valiosa para la realización de auditorías internas del SGSI.

ACTIVIDADES DE CONTROL DEL RIESGO

18.2.1 Revisión independiente de la seguridad de la información: Se debería revisar el enfoque de
la organización para la implementación (los objetivos de control, los controles, las políticas, los
procesos y procedimientos para la seguridad de la información) y gestión de la seguridad de la
información en base a revisiones independientes e intervalos planificados o cuando tengan lugar
cambios significativos en la organización.

18.2.2 Cumplimiento de las políticas y normas de seguridad: Los gerentes deberían revisar
regularmente el cumplimiento del procesamiento y los procedimientos de información dentro de su
área de responsabilidad respecto a las políticas, normas y cualquier otro tipo de requisito de
seguridad correspondiente.

18.2.3 Comprobación del cumplimiento: Los sistemas de información se deberían revisar

regularmente para verificar su cumplimiento con las políticas y normas de seguridad dispuestas por
la información de la organización.

MÉTRICAS ASOCIADAS
 Número de cuestiones o recomendaciones de política interna y otros aspectos de
cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas,
retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).

 Porcentaje de revisiones de cumplimiento de seguridad de la información sin

incumplimientos sustanciales.

 Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su

estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio
o bajo).

 Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido

resueltos y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real
de resolución/cierre de recomendaciones, respecto a los plazos acordados por la dirección
al final de las auditorías.