10.1 PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES
Objetivo: asegurar la operación correcta y segura de los servicios de procesamiento deinformación.
Se deberían establecer todas las responsabilidades y los procedimientos para la gestión y
operación de todos los servicios de procesamiento de información. Esto incluye el desarrollo de procedimientos operativos apropiados.
Cuando sea conveniente, se debería implementar la separación de funciones para reducir el riesgo de uso inadecuado deliberado o negligente del sistema.
10.1.1 Documentación de los procedimientos de operación
Control
Los procedimientos de operación se deberían documentar, mantener y estar disponibles para todos los usuarios que los necesiten.Guía de implementación
Se deberían elaborar procedimientos documentados para las actividades del sistema asociadas con los servicios de comunicaciones y de procesamiento de información, como por ejemplo procedimientos para el encendido y apagado de los computadores, copias de respaldo, mantenimiento de equipos, manejo de los medios, cuarto de equipos y gestión del correo, como también de la seguridad.
Los procedimientos de operación deberían especificar las instrucciones para la ejecución
detallada de cada trabajo, incluyendo:
a) procesamiento y manejo de información;
b) copias de respaldo (véase el numeral 10.5);
c) requisitos de programación, incluyendo las interrelaciones con otros sistemas, hora de
comienzo de la tarea inicial y de terminación de la tarea final;
d) instrucciones para el manejo de errores y otras condiciones excepcionales que se
pueden presentar durante la ejecución del trabajo, incluyendo las restricciones al uso de
las utilidades del sistema (véase el numeral 11.5.4);
e) contactos de soporte en caso de dificultades técnicas u operativas inesperadas;
f) Instrucciones de manejo de los medios y los informes especiales, como el uso de
papelería especial o el manejo de los informes confidenciales incluyendo los
procedimientos para la eliminación segura de los informes de tareas fallidas (véanse los
numerales 10.7.2 y 10.7.3);
g) procedimientos para el reinicio y la recuperación del sistema que se han de usar en
caso de falla del sistema;
h) gestión de los registros de auditoria y de la información de registro del sistema (véase el
numeral 10.10).
Los procedimientos operativos, y los procedimientos documentados para las actividades del
sistema, se deberían tratar como documentos formales y sus cambios deberían ser autorizados por la dirección. Cuando sea técnicamente viable, se recomienda gestionar los sistemas de información de forma consistente, utilizando los mismos procedimientos, herramientas y utilidades.
10.1.2 Gestión del cambio
Control
Se deberían controlar los cambios en los servicios y los sistemas de procesamiento deinformación.
Guía de implementación
Los sistemas operativos y el software de aplicación deberían estar sujetos a un control estricto de la gestión del cambio.
En particular, se deberían considerar los siguientes elementos:
a) identificación y registro de los cambios significativos;
b) planificación y pruebas de los cambios;
c) evaluación de los impactos potenciales de tales cambios, incluyendo los impactos en la
seguridad;
d) procedimiento de aprobación formal para los cambios propuestos;
e) comunicación de los detalles del cambio a todas las personas implicadas;
f) procedimientos de emergencia, incluyendo los procedimientos y las responsabilidades
de cancelar o recuperarse de cambios fallidos y eventos imprevistos.
Se deberían establecer las responsabilidades y los procedimientos formales de gestión para garantizar el control satisfactorio de todos los cambios en los equipos, el software o los procedimientos. Cuando se realicen los cambios, es conveniente conservar un registro de auditoría que contenga toda la información pertinente.
Información adicional
El control inadecuado de los cambios en los sistemas y los servicios de procesamiento de
información es una causa común de falla del sistema o de la seguridad. Los cambios en el
entorno operativo, especialmente cuando se transfiere un sistema de la fase de desarrollo a la operativa puede tener impacto en la confiabilidad de las aplicaciones (véase el numeral 12.5.1).
Los cambios en los sistemas operativos sólo se deberían realizar cuando existe una razón
válida para el negocio, como por ejemplo un aumento en el riesgo para el sistema. La
actualización de los sistemas con las últimas versiones del sistema operativo o de la aplicación no siempre favorece el interés del negocio y ello podría introducir más vulnerabilidades e inestabilidad que la versión vigente. También puede existir la necesidad de formación adicional, costos de licencias, soporte, costos generales de mantenimiento y administración y nuevo hardware, especialmente durante la migración.
10.1.3 Distribución (segregación) de funciones
Control
Las funciones y las áreas de responsabilidad se deberían distribuir para reducir lasoportunidades de modificación no autorizada o no intencional, o el uso inadecuado de los
activos de la organización.
Guía de implementación
La distribución de funciones es un método para reducir el riesgo de uso inadecuado deliberado o accidental del sistema. Se debería tener cuidado de que ninguna persona pueda tener acceso, modificar o utilizar los activos sin autorización o sin ser detectado. La iniciación de un evento se debería separar de su autorización. Es conveniente considerar la posibilidad de complicidad al diseñar los controles.
Las organizaciones pequeñas pueden encontrar difícil de lograr la distribución de funciones,
pero el principio se debería aplicar en la medida de lo posible y viable. Siempre que haya
dificultad para la distribución, se deberían considerar otros controles como monitoreo de
actividades, registros de auditoría y supervisión por la dirección. Es importante que la auditoría de seguridad siga siendo independiente.
10.1.4 Separación de las instalaciones de desarrollo, ensayo y operación
Control
Las instalaciones de desarrollo, ensayo y operación deberían estar separadas para reducir los riesgos de acceso o cambios no autorizados en el sistema operativo.Guía de implementación
Se debería identificar el grado de separación entre los ambientes operativo, de prueba y
de desarrollo que es necesario para prevenir problemas operativos e implementar los controles adecuados.
Se deberían tener presentes los siguientes elementos:
a) se recomienda definir y documentar las reglas para la trasferencia de software del
estado de desarrollo al operativo;
b) el software de desarrollo y el operativo se deberían ejecutar en diferentes sistemas o
procesadores de computación y en diferentes dominios o directorios;
c) los compiladores, editores y otras herramientas de desarrollo o utilidades del sistema no
deberían ser accesibles desde los sistemas operativos cuando no se requiera;
d) el ambiente del sistema de prueba debería emular al ambiente del sistema operativo lo
más estrechamente posible;
e) los usuarios deberían emplear perfiles de usuario diferentes para los sistemas
operativos y de prueba y los menús deberían desplegar mensajes de identificación
adecuados para reducir el riesgo de error;
f) los datos sensibles no se deberían copiar en el entorno del sistema de prueba (véase el
numeral 12.4.2).
Información adicional
Las actividades de desarrollo y de prueba pueden causar problemas graves, como la
modificación indeseada de archivos o del entorno del sistema, o falla del sistema. En este caso, es necesario mantener un entorno conocido y estable en el cual realizar pruebas significativas y evitar el acceso inadecuado de los desarrolladores.
Cuando el personal de desarrollo y de pruebas tiene acceso al sistema operativo y su
información, pueden introducir códigos no autorizados y sin probar o alterar los datos
operativos. En algunos sistemas, esta capacidad podría ser mal utilizada para cometer fraude o introducir códigos sin probar o maliciosos , lo cual puede crear problemas operativos graves.
Quienes desarrollan y realizan las pruebas imponen una amenaza a la confidencialidad de la información operativa. Las actividades de desarrollo y de prueba pueden causar cambios
involuntarios en el software o la información si comparten el mismo entorno de computación.
Por lo tanto, es conveniente separar las instalaciones de desarrollo, de prueba y operativas
para reducir el riesgo de cambio accidental o acceso no autorizado al software operativo o a los datos del negocio (véase el numeral 12.4.2 para la protección de los datos de prueba).
10.2 GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR TERCERAS PARTES
Objetivo: implementar y mantener un grado adecuado de seguridad de la información y de la prestación del servicio, de conformidad con los acuerdos de prestación del servicio porterceros, La organización debería verificar la implementación de acuerdos, monitorear el cumplimiento
de ellos y gestionar los cambios para asegurar que los servicios que se prestan cumplen los requisitos acordados con los terceros.
10.2.1 Prestación del servicio
Control
Se deberían garantizar que los controles de seguridad, las definiciones del servicio y los niveles de prestación del servicio incluidos en el acuerdo, sean implementados, mantenidos y operados por el tercero.Guía de implementación
La prestación de servicios por terceros debería incluir los acuerdos sobre disposiciones de
seguridad, definiciones del servicio y aspectos de la gestión del mismo. En el caso de
contrataciones externas, la organización debería planificar las transiciones necesarias (de
información, servicios de procesamiento de información y todo lo demás que se deba transferir) y garantizar que la seguridad se mantiene durante todo el periodo de transición.
Es recomendable que la organización garantice que el tercero mantenga una capacidad de
servicio suficiente, junto con planes ejecutables diseñados para garantizar la conservación de los niveles de continuidad del servicio acordados, después de desastres o fallas significativas en el servicio (véase el numeral 14.1).
10.2.2 Monitoreo y revisión de los servicios por terceros
Control
Los servicios, reportes y registros suministrados por terceras partes se deberían controlar yrevisar con regularidad y las auditorias se deberían llevar a cabo a intervalos regulares.
Guía de implementación
El monitoreo y la revisión de los servicios por terceros deberían garantizar el cumplimiento de los términos y condiciones de seguridad de la información de los acuerdos y que los incidentes y problemas de la seguridad de la información se manejan adecuadamente. Ello debería
implicar una relación y un proceso de gestión del servicio entre la organización y el tercero
para:
a) monitorear los niveles de desempeño del servicio para verificar el cumplimiento de los
acuerdos;
b) revisar los reportes del servicio elaborados por el tercero y acordar reuniones periódicas
sobre el progreso, según lo exijan los acuerdos;
c) suministrar información sobre los incidentes de seguridad de la información, y revisión
de esta información por parte de la organización y el tercero, según lo exijan los
acuerdos, directrices y los procedimientos de soporte;
d) revisión de los registros y pruebas de auditoría del tercero con respecto a eventos de
seguridad, problemas operativos, fallas, rastreo de fallas e interrupciones relacionadas
con el servicio prestado;
e) resolver y manejar todos los problemas identificados.
La responsabilidad por la gestión de la relación con el tercero se le debería asignar a una
persona o a un equipo de gestión del servicio. Además, la organización debería garantizar que el tercero asigna responsabilidades para la verificación del cumplimiento y la aplicación de los requisitos de los acuerdos. Se recomienda poner a disposición suficientes habilidades técnicas
y recursos para monitorear el cumplimiento de los requisitos del acuerdo (véase el numeral
6.2.3), en particular los requisitos de seguridad de la información. Cuando se observan
deficiencias en la prestación del servicio se deberían tomar las acciones adecuadas.
La organización debería mantener suficiente control global y no perder de vista todos los
aspectos de seguridad para la información sensible o crítica, o de los servicios de
procesamiento de información que haya procesado, gestionado o tenido acceso el tercero. La organización debería asegurarse de que conserva visibilidad en las actividades de seguridad como gestión de cambios, identificación de vulnerabilidades e informe / respuesta de los incidentes de seguridad de la información a través de un proceso, estructuras y formatos definidos claramente para la presentación de informes.
Información adicional
En caso de contratación externa, es necesario que la organización sepa que la máxima
responsabilidad por la información procesada por una parte contratada externamente sigue
siendo de la organización.
10.2.3 Gestión de los cambios en los servicios por terceras partes
Control
Los cambios en la prestación de los servicios, incluyendo mantenimiento y mejora de laspolíticas existentes de seguridad de la información, en los procedimientos y los controles se
deberían gestionar teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, así como la reevaluación de los riesgos.
Guía de implementación
Es necesario que el proceso de gestión de los cambios en el servicio prestado por el tercero tome en consideración:
a) los cambios hechos por la organización para implementar:
1) mejoras en los servicios actuales ofrecidos;
2) desarrollo de todos los sistemas o aplicaciones nuevas;
3) modificaciones o actualizaciones de las políticas y procedimientos de la
organización;
4) controles nuevos para resolver los incidentes de seguridad de la información y
para mejorar la seguridad;
b) cambios en los servicios por el tercero para implementar:
1) cambios y mejoras en las redes;
2) uso de nuevas tecnologías;
3) adopción de productos nuevos o versiones / divulgaciones más recientes;
4) nuevas herramientas y entornos de desarrollo;
5) cambios en la ubicación física de las instalaciones de los servicios;
6) cambio de proveedores.
10.3 PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA
Objetivo: minimizar el riesgo de fallas en los sistemas.Se requieren planificación y preparación avanzadas para garantizar la disponibilidad de la
capacidad y los recursos adecuados para entregar el desempeño requerido del sistema.
Es necesario hacer proyecciones de la capacidad futura para reducir el riesgo de sobrecarga del
sistema.
Los requisitos operativos de los sistemas nuevos se deberían establecer, documentar y probar antes de su aceptación y uso.
10.3.1 Gestión de la capacidad
Control
Se debería hacer seguimiento y adaptación del uso de los recursos, así como proyecciones de los requisitos de la capacidad futura para asegurar el desempeño requerido del sistema.Guía de implementación
Para cada actividad nueva y existente es conveniente identificar los requisitos de la capacidad.
Se recomienda monitorear y adaptar el sistema para garantizar y, cuando sea necesario,
mejorar la capacidad y la eficacia de los sistemas. Se deberían establecer controles de
indagación para indicar los problemas en el momento oportuno. En las proyecciones de los
requisitos de capacidad futura se deberían considerar los negocios nuevos y los requisitos del sistema, así como las tendencias actuales y proyectadas en la capacidad de procesamiento de información de la organización.
costos elevados; por lo tanto, los directores deberían monitorear la utilización de los recursos claves del sistema. También deberían identificar las tendencias del uso, particularmente en relación con las aplicaciones del negocio o las herramientas del sistema de información para la gestión.
Es conveniente que los directores utilicen esta información para identificar y evitar posibles
cuellos de botella así como la dependencia de personal clave, los cuales pueden presentar una amenaza para los servicios o la seguridad del sistema, y para planificar la acción adecuada.
10.3.2 Aceptación del sistema
Control
Se deberían establecer criterios de aceptación para sistemas de información nuevos,actualizaciones y nuevas versiones y llevar a cabo los ensayos adecuados del sistema durante el desarrollo y antes de la aceptación.
Guía de implementación
Los directores deberían garantizar que los requisitos y los criterios para la aceptación de
sistemas nuevos están definidos, acordados, documentados y probados claramente. Los
sistemas de información nuevos, las actualizaciones y las nuevas versiones únicamente
deberían migrar a producción después de obtener la aceptación formal. Se deberían considerar los siguientes elementos antes de la aceptación formal:
a) requisitos de desempeño y capacidad de los computadores;
b) procedimientos de reinicio y de recuperación por errores, y planes de contingencia;
c) preparación y prueba de procedimientos operativos de rutina para las normas definidas;
d) establecimiento del conjunto de controles de seguridad acordados;
e) procedimientos manuales eficaces;
f) disposiciones para la continuidad del negocio (véase el numeral 14.1);
g) evidencia de que la instalación del sistema nuevo no afectará adversamente a los
sistemas existentes, particularmente en los momentos pico de procesamiento, como al
final de mes;
h) evidencia de que se ha tenido en cuenta el efecto del sistema nuevo en toda la
seguridad de la organización;
i) formación en el funcionamiento o utilización de los sistemas nuevos;
j) facilidad de uso, en la medida en que afecte el desempeño del usuario y evite el error
humano.
Para nuevos desarrollos importantes se debería consultar a los usuarios y a la función de
operaciones en todas las fases del proceso de desarrollo para garantizar la eficiencia operativa del diseño del sistema propuesto. Es conveniente llevar a cabo pruebas adecuadas para confirmar el cumplimiento pleno de todos los criterios de aceptación.
Información adicional
La aceptación puede incluir un proceso formal de certificación y acreditación para verificar que el tratamiento que se ha dado a los requisitos de seguridad es el adecuado.
10.4 PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MÓVILES
Objetivo: proteger la integridad del software y de la información.Se requieren precauciones para evitar y detectar la introducción de códigos maliciosos y
códigos móviles no autorizados.
El software y los servicios de procesamiento de información son vulnerables a la introducción de códigos maliciosos tales como virus de computador, gusanos en la red, caballos troyanos y bombas lógicas. Los usuarios deberían ser conscientes de los peligros de los códigos maliciosos. Los directores deberían, cuando sea apropiado, introducir controles para evitar, detectar y retirar los códigos maliciosos y controlar los códigos móviles.
10.4.1 Controles contra códigos maliciosos
Control
Se deberían implementar controles de detección, prevención y recuperación para protegercontra códigos maliciosos, así como procedimientos apropiados de concientización de los
usuarios.
Guía de implementación
La protección contra códigos maliciosos se debería basar en software de detección y
reparación de códigos maliciosos, conciencia sobre seguridad, acceso apropiado al sistema y controles en la gestión de cambios. Se recomienda considerar las siguientes directrices:
a) establecer una política formal que prohíba el uso de software no autorizado (véase el
numeral 15.1.2);
b) establecer una política formal para la protección contra los riesgos asociados con la
obtención de archivos y software, bien sea desde o a través de redes externas o
cualquier otro medio, indicando las medidas de protección que se deberían tomar;
c) llevar a cabo revisiones regulares del software y del contenido de datos de los sistemas
que dan soporte a los procesos críticos del negocio; se debería investigar formalmente
la presencia de archivos no aprobados o modificaciones no autorizadas;
d) instalación y actualización regular del software de detección y reparación de códigos
maliciosos para explorar los computadores y los medios, como control preventivo o de
forma rutinaria; las verificaciones realizadas deberían incluir:
1) verificación de la presencia de códigos maliciosos en todos los archivos en
medios ópticos o electrónicos y archivos recibidos en las redes antes de su uso;
2) verificación de la presencia de códigos maliciosos en los adjuntos y las
descargas del correo electrónico antes del uso; esta verificación se debería
efectuar en diferentes lugares, por ejemplo en los servidores de correo
electrónico, los computadores de escritorio y cuando ingresan a la red de la organización;
3) verificación de las páginas web para comprobar la presencia de códigos maliciosos;
e) definir responsabilidades y procedimientos de gestión para tratar la protección contra
códigos maliciosos en los sistemas, la formación sobre su uso, el reporte y la
recuperación debido a ataques de códigos maliciosos (véanse los numerales 13.1 y 13.2);
f) preparación de planes adecuados para la continuidad del negocio con el fin de
recuperarse de los ataques de códigos maliciosos, incluyendo todos los datos y el
soporte de software necesarios y las disposiciones para la recuperación (véase el numeral 14);
g) implementación de procedimientos para recolectar información con regularidad, como la
suscripción a sitios web de verificación y / o listados de correo que suministren información sobre los códigos maliciosos nuevos;
h) implementación de procedimientos para verificar la información relacionada con códigos
maliciosos y garantizar que los boletines de advertencia sean exactos e informativos; los
directores deberían garantizar que se utilizan fuentes calificadas, por ejemplo diarios
reconocidos, sitios confiables de Internet o proveedores de software de protección
contra códigos maliciosos para diferenciar entre falsas alarmas y códigos maliciosos
reales; todos los usuarios deberían conocer el problema de los falsas alarmas y qué
hacer al recibirlas.
Información adicional
El empleo de dos o más productos de software, de diferentes proveedores, que protejan contra códigos maliciosos a través de todo el entorno de procesamiento de información puede mejorar la eficacia de la protección contra códigos maliciosos.
El software de protección contra códigos maliciosos se puede instalar para que suministre
actualizaciones automáticas de los archivos de definición y de los motores de exploración para garantizar que la protección esté al día. Además, este software se puede instalar en cada escritorio para realizar verificaciones automáticas.
Se debe tener cuidado para la protección contra la introducción de códigos maliciosos durante los procedimientos de mantenimiento y de emergencia, ya que se pueden eludir los controles normales de protección contra códigos maliciosos.
10.4.2 Controles contra códigos móviles
Control
Cuando se autoriza la utilización de códigos móviles, la configuración debería asegurar quedichos códigos operan de acuerdo con la política de seguridad claramente definida, y se
debería evitar la ejecución de los códigos móviles no autorizados.
Guía de implementación
Se recomienda tener en cuenta las siguientes consideraciones para la protección contra
códigos móviles que ejecutan acciones no autorizadas:
a) ejecución de los códigos móviles en un entorno con aislamiento lógico;
b) bloqueo de cualquier uso de códigos móviles;
c) bloqueo de la recepción de códigos móviles;
d) activación de medidas técnicas, según estén disponibles, en un sistema específico para
garantizar la gestión del código móvil;
e) control de recursos disponibles para el acceso a códigos móviles;
f) controles criptográficos para autenticar de forma única el código móvil.
Información adicional
El código móvil es un código de software que se transfiere de un computador a otro y luego se ejecuta automáticamente y lleva a cabo una función específica con poca o ninguna interacción del usuario. El código móvil se asocia con una variedad de servicios ubicados en la capa intermedia (middleware).
Además, para garantizar que el código móvil no contiene código malicioso, el control del código móvil es esencial para evitar el uso no autorizado o la interrupción del sistema, la red o los recursos de aplicación y otras brechas de la seguridad de la información.
10.5 RESPALDO
Objetivo: mantener la integridad y disponibilidad de la información y de los servicios deprocesamiento de información.
Se deberían establecer procedimientos de rutina para implementar la política y la estrategia de respaldo acordada (véase el numeral 14.1) para hacer copias de seguridad de los datos y probar sus tiempos de restauración.
10.5.1 Respaldo de la información
Control
Se deberían hacer copias de respaldo de la información y del software, y se deben poner aprueba con regularidad de acuerdo con la política de respaldo acordada.
Guía de implementación
Es conveniente disponer de servicios de respaldo adecuados para garantizar que la
información y el software esenciales se recuperan después de un desastre o una falla de los medios.
Se recomienda considerar los siguientes elementos para el respaldo de la información:
a) es recomendable definir el nivel necesario para la información de respaldo;
b) se deberían hacer registros exactos y completos de las copias de respaldo y generar
procedimientos documentados de restauración;
c) la extensión (por ejemplo respaldo completo o diferencial) y la frecuencia de los
respaldos debería reflejar los requisitos del negocio de la organización, los requisitos de
seguridad de la información involucrada y la importancia de la operación continua de la
organización;
d) los respaldos se deberían almacenar en un sitio lejano, a una distancia suficiente para
escapar a cualquier daño debido a desastres en la sede principal;
e) a la información de respaldo se le debería dar un grado apropiado de protección física y
ambiental (véase el numeral 9) consistente con las normas aplicadas en la sede
principal; los controles aplicados a los medios en la sede principal se deberían extender
para cubrir el sitio en donde está el respaldo;
f) es conveniente probar con regularidad los medios de respaldo para garantizar que sean
confiables para uso en emergencias, cuando sea necesario;
g) los procedimientos de restauración se deberían verificar y probar con regularidad para
garantizar su eficacia y que se pueden completar dentro del tiempo designado en los
procedimientos operativos para la recuperación;
h) en situaciones en donde es importante la confidencialidad proteger por medio de encriptación.
Las disposiciones de respaldo para los sistemas individuales se deberían someter a prueba con regularidad para garantizar que cumplen los requisitos de los planes para la continuidad del negocio (véase la sección 14). Para sistemas críticos, las disposiciones de respaldo deberían
comprender toda la información de los sistemas, las aplicaciones y los datos necesarios para recuperar todo el sistema en caso de desastre.
Es necesario determinar el periodo de retención de la información esencial para el negocio, así como cualquier requisito para retener permanentemente las copias de archivo (véase el
numeral 15.1.3).
Información adicional
Las disposiciones de respaldo se pueden automatizar para facilitar el respaldo y el proceso de restauración. Las soluciones automatizadas deberían probarse suficientemente antes de la implementación y a intervalos regulares.
10.6 GESTIÓN DE LA SEGURIDAD DE LAS REDES
Objetivo: asegurar la protección de la información en las redes y la protección de lainfraestructura de soporte.
La gestión segura de las redes, las cuales pueden sobrepasar las fronteras de la
organización, exige la consideración cuidadosa del flujo de datos, las implicaciones legales, el monitoreo y la protección.
También pueden ser necesarios los controles adicionales para proteger la información
sensible que pasa por las redes públicas.
10.6.1 Controles de las redes
Control
Las redes se deberían mantener y controlar adecuadamente para protegerlas de las amenazas y mantener la seguridad de los sistemas y aplicaciones que usan la red, incluyendo la información en tránsito.Guía de implementación
Los directores de la red deberían implementar controles que garanticen la seguridad de la
información sobre las redes y la protección de los servicios conectados contra el acceso no
autorizado. En particular, es conveniente tener en cuenta los siguientes elementos:
a) la responsabilidad operativa por las redes debería estar separada de las operaciones de
computador, según sea apropiado (véase el numeral 10.1.3);
b) es necesario establecer las responsabilidades y los procedimientos para la gestión de
equipos remotos, incluyendo los equipos en áreas de usuarios;
c) es conveniente establecer controles especiales para salvaguardar la confidencialidad y
la integridad de los datos que pasan por redes públicas o redes inalámbricas y para
proteger los sistemas y las aplicaciones conectadas (véanse los numerales 11.4 y 12.3);
también se pueden requerir controles especiales para mantener la disponibilidad de los
servicios de la red y los computadores conectados;
d) se deberían aplicar el registro y el monitoreo adecuados para permitir el registro de
acciones de seguridad pertinentes;
e) se recomienda coordinar estrechamente las actividades de gestión tanto para optimizar
el servicio para la organización como para garantizar que los controles se aplican
consistentemente en toda la infraestructura del procesamiento de información.
Información adicional
Se puede encontrar información adicional sobre seguridad de la red en la norma ISO/IEC
18028, Tecnología de la información. Técnicas de seguridad. Seguridad de la red de tecnología de la información.
10.6.2 Seguridad de los servicios de la red
Control
En cualquier acuerdo sobre los servicios de la red se deberían identificar e incluir lascaracterísticas de seguridad, los niveles de servicio y los requisitos de gestión de todos los
servicios de la red, sin importar si los servicios se prestan en la organización o se contratan
externamente.
Guía de implementación
La capacidad del proveedor del servicio de red para gestionar los servicios acordados de forma segura se debería determinar y monitorear regularmente, y se debería acordar el derecho a auditoría.
tales como las características de seguridad, los niveles de servicio y los requisitos de gestión.
La organización debería garantizar que los proveedores de servicios de red implementan estas medidas.
Información adicional
Los servicios de red incluyen la provisión de conexiones, servicios de red privada y redes con valor agregado, así como soluciones de seguridad de red administrada, como por ejemplo barreras de fuego (firewalls) y sistemas de detección de intrusión. Estos servicios pueden ir desde simples anchos de banda no administrados hasta ofertas complejas de valor agregado.
Las características de los servicios de red podrían ser:
a) tecnología aplicada para la seguridad de los servicios de red, como la autenticación, la
encriptación y los controles de conexión de red;
b) parámetros técnicos requeridos para la conexión segura a los servicios de red según las
reglas de seguridad y conexión de red;
c) procedimientos para la utilización de los servicios de red para restringir el acceso a los
servicios de red o a las aplicaciones, cuando sea necesario.
10.7 MANEJO DE LOS MEDIOS
Objetivos: evitar la divulgación , modificación, retiro o destrucción de activos no autorizada, y la interrupción en las actividades del negocio.Estos medios se deberían controlar y proteger de forma física.
Se deberían establecer procedimientos operativos adecuados para proteger documentos,
medios de computador (por ejemplo cintas, discos), datos de entrada / salida y documentación del sistema contra divulgación, modificación, remoción y destrucción no autorizadas.
10.7.1 Gestión de los medios removibles
Control
Se deberían establecer procedimientos para la gestión de los medios removibles.Guía de implementación
Se recomienda tener presentes las siguientes directrices:
a) si ya no son necesarios, los contenidos de todos los medios reutilizables que se van a
retirar de la organización se deberían hacer irrecuperables;
b) cuando sea necesario y práctico, se debería exigir autorización para los medios
retirados de la organización y conservar un registro de tales retiros para mantener una
prueba de auditoría;
c) todos los medios se deberían almacenar en un ambiente seguro y vigilado, según las
especificaciones del fabricante;
d) la información almacenada en los medios que debe estar disponible por más tiempo del
de la vida del medio (según las especificaciones del fabricante) también se debería
almacenar en otra parte para evitar la pérdida de información debido al deterioro de
dichos medios;
e) se debería tener en cuenta el registro de los medios removibles para evitar la
oportunidad de que se presente pérdida de datos;
f) las unidades de medios removibles sólo se deberían habilitar si existen razones del
negocio para hacerlo.
Todos los procedimientos y niveles de autorización deberían estar documentados con claridad.
Información adicional
Los medios removibles incluyen cintas, discos, memorias de almacenamiento, unidades de
almacenamiento removibles, discos compactos, discos de video digital (DVD) y medios
impresos.
10.7.2 Eliminación de los medios
Control
Cuando ya no se requieren estos medios, su eliminación se debería hacer de forma segura y sin riesgo, utilizando los procedimientos formales.Guía de implementación
Los procedimientos formales para la eliminación segura de los medios deberían minimizar el riesgo de fuga de información sensible a personas no autorizadas. Los procedimientos para la eliminación segura de los medios que contienen información sensible deberían estar acordes con la sensibilidad de dicha información. Se recomienda tener en cuenta los siguientes elementos.
a) los medios que contienen información sensible se deberían almacenar y eliminar de
forma segura e inocua, por ejemplo mediante incineración o trituración, o borrar los
datos para evitar el uso por parte de otra aplicación en la organización;
b) se deberían establecer procedimientos para identificar los elementos que pueden
requerir eliminación segura;
c) puede ser más fácil disponer de todos los elementos de los medios de almacenamiento
que serán recogidos y liberados de forma segura, que tratar de disponer sólo de los
elementos sensibles;
d) muchas organizaciones ofrecen servicios de recolección y eliminación de papel, equipos
y medios; se debe tener cuidado en seleccionar un contratista idóneo con controles y
experiencia adecuados;
e) cuando sea posible, se debería registrar la eliminación de los elementos sensibles con
el objeto de mantener una prueba de auditoría.
Cuando se acumulan medios para su eliminación se debería considerar el efecto de
agregación, el cual puede hacer que una gran cantidad de información no sensible se vuelva sensible.
Información adicional
Se podría divulgar información sensible debido a la eliminación descuidada del medio (véase el numeral 9.2.6 para información sobre la eliminación del equipo).
10.7.3 Procedimientos para el manejo de la información
Control
Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado.Guía de implementación
Se deberían elaborar procedimientos para manejar, procesar, almacenar y comunicar la
información de acuerdo con su clasificación (véase el numeral 7.2). Se deberían considerar los siguientes elementos:
a) manejo y etiquetado de todos los medios hasta su nivel indicado de clasificación;
b) restricciones de acceso para evitar el acceso de personal no autorizado;
c) mantenimiento de un registro formal de los receptores autorizados de los datos;
d) garantizar que los datos de entrada están completos, que el procesamiento se completa
adecuadamente y que se aplica la validación de la salida;
e) protección, según su nivel de sensibilidad, de los datos de la memoria temporal que
esperan su ejecución;
f) almacenamiento de los medios según las especificaciones del fabricante;
g) mantenimiento de la distribución de datos en un mínimo;
h) rotulado claro de todas las copias de los medios para la autenticación del receptor
autorizado;
i) revisión de las listas de distribución y las listas de receptores autorizados a intervalos
regulares.
Información adicional
Estos procedimientos se aplican a la información en documentos, sistemas de computación, redes, computación móvil, comunicaciones móviles, correo, correo de voz, comunicaciones de voz en general, multimedia, prestaciones / servicios postales, uso de máquinas de facsímil y a todos los elementos sensibles, como cheques en blanco y facturas.
10.7.4 Seguridad de la documentación del sistema
Control
La documentación del sistema debería estar protegida contra el acceso no autorizado.Guía de implementación
Para asegurar la documentación del sistema, se deberían tener en cuenta los siguientes
elementos:
a) la documentación del sistema se debería almacenar con seguridad;
b) la lista de acceso a la documentación del sistema se debería mantener mínima y
debería estar autorizada por el dueño de la aplicación;
c) la documentación del sistema en la red pública o que se suministra a través de una red
pública, debería tener protección adecuada.
Información adicional
La documentación del sistema puede contener variada información sensible, como
descripciones de procesos de aplicación, procedimientos, estructuras de datos y procesos de autorización.
10.8 INTERCAMBIO DE LA INFORMACIÓN
Objetivo: mantener la seguridad de la información y del software que se intercambian dentro de la organización y con cualquier entidad externa.Los intercambios de información y de software entre las organizaciones se deberían basar en una política formal de intercambio, ejecutar según los acuerdos de intercambio y cumplir la legislación correspondiente (véase la sección 15).
Se deberían establecer procedimientos y normas para proteger la información y los medios
físicos que contienen información en tránsito.
10.8.1 Políticas y procedimientos para el intercambio de información
Control
Se deberían establecer políticas, procedimientos y controles formales de intercambio paraproteger la información mediante el uso de todo tipo de servicios de comunicación.
Guía de implementación
Los procedimientos y controles a seguir cuando se utilizan servicios de comunicación
electrónica para el intercambio de información deberían considerar los siguientes elementos:
a) procedimientos diseñados para proteger la información intercambiada contra
interceptación, copiado, modificación, enrutamiento inadecuado y destrucción;
b) procedimientos para detección y protección contra códigos maliciosos que se pueden
transmitir con el uso de comunicaciones electrónicas (véase el numeral 10.4.1);
c) procedimientos para proteger la información electrónica sensible comunicada que está
en forma de adjunto;
d) políticas o directrices que enfaticen el uso aceptable de los servicios de comunicación
electrónica (véase el numeral 7.1.3);
e) procedimientos para el uso de comunicaciones inalámbricas, pensando en los riesgos
particulares involucrados;
f) responsabilidades de empleados, contratistas y cualquier otro usuario de no
comprometer a la organización, por ejemplo a través de difamación, acoso, suplantación
de identidad, envío de cartas de cadena, adquisición no autorizada, etc.;
g) uso de técnicas criptográficas, por ejemplo para proteger la confidencialidad, la
integridad y la autenticidad de la información (véase el numeral 12.3);
h) directrices de retención y eliminación para toda la correspondencia, incluyendo
mensajes, según la legislación y los reglamentos locales y nacionales correspondientes;
i) no dejar información sensible o crítica en los dispositivos de impresión como
copiadoras, impresoras y máquinas de facsímil ya que se puede permitir el acceso de
personal no autorizado;
j) controles y restricciones asociados con el envío de servicios de comunicación, como el
envío automático de correo electrónico a direcciones de correo externas;
k) recordar al personal que deberían tomar precauciones adecuadas como, por ejemplo,
no revelar información sensible para evitar que, cuando se hace una llamada telefónica,
sea interceptada o escuchada por:
1) personas en la cercanía inmediata, particularmente cuando se utilizan teléfonos móviles;
2) intercepciones telefónicas u otras formas de escuchas no autorizadas mediante
el acceso físico al auricular o a la línea telefónica, o usando receptores de exploración;
3) personal al lado del receptor;
l) no dejar mensajes que contengan información sensible en el contestador automático ya
que pueden volver a ser escuchados por personas no autorizadas, almacenados en
sistemas comunales o almacenados incorrectamente como resultado de una marcación
errónea;
m) recordar al personal sobre los problemas de usar máquinas de facsímil a saber:
1) creación de acceso no autorizado en los almacenes de mensajes para recuperar
los mensajes;
2) programación deliberada o accidental de máquinas para enviar mensajes a
números específicos;
3) envío de documentos y mensajes al número equivocado, bien sea por marcación
errónea o por usar el número almacenado erróneamente;
n) recordar al personal no registrar datos demográficos, como direcciones de correo
electrónico u otra información personal, en ningún software para evitar su recolección
para uso no autorizado; o) recordar al personal que las máquinas modernas de facsímil y las fotocopiadoras tienen páginas de almacenamiento y caché, en caso de falla en el papel o en la transmisión, que se pueden imprimir una vez se ha solucionado la falla.
Además, se debería recordar al personal que no debería tener conversaciones confidenciales en lugares públicos ni oficinas abiertas, como tampoco en lugares de reunión sin paredes a prueba de sonido:
Los servicios de intercambio de información deberían cumplir todos los requisitos legales
pertinentes (véase el numeral 15).
Información adicional
El intercambio de información se puede producir a través de la utilización de diferentes tipos de servicios de comunicación, incluyendo correo electrónico, voz, facsímil y video.
El intercambio de software se puede dar a través de diferentes medios, incluyendo descargas desde Internet y adquiridas de vendedores de productos de mostrador.
Se deberían considerar las implicaciones de negocios, legales y de seguridad asociadas con el intercambio electrónico de datos, el comercio electrónico y las comunicaciones electrónicas, así
como los requisitos para los controles.
La información podría verse amenazada debido a la falta de conciencia, de políticas o
procedimientos sobre el uso de los servicios de intercambio de información, por ejemplo por la escucha en un teléfono móvil en un lugar público, la dirección incorrecta de un mensaje de correo electrónico, la escucha de los contestadores automáticos, el acceso no autorizado a sistemas de correo de voz de marcación o el envío accidental de facsímiles al equipo errado de facsímil.
Las operaciones del negocio podrían ser afectadas y la información podría ser comprometida si los servicios de comunicación fallan, se sobrecargan o interrumpen (véase el numeral10.3 y el numeral 14). La información se vería comprometida por el acceso de usuarios no autorizados (véase el numeral 11).
10.8.2 Acuerdos para el intercambio
Control
Se deberían establecer acuerdos para el intercambio de la información y del software entre la organización y las partes externas.Guía de implementación
En los acuerdos de intercambio se deberían tomar en consideración las siguientes condiciones
de seguridad:
a) responsabilidades de la dirección para controlar y notificar la transmisión, el despacho y
la recepción;
b) procedimientos para notificar a quien envía la transmisión, el despacho y la recepción;
c) procedimientos para garantizar la trazabilidad y el no-repudio;
d) normas técnicas mínimas para el empaquetado y la transmisión;
e) acuerdos de fideicomiso;
f) normas para identificar los servicios de mensajería;
g) responsabilidades y deberes en caso de incidentes de seguridad de la información,
como la pérdida de datos;
h) uso de sistemas acordados de etiquetado de la información sensible o crítica,
garantizando que el significado de las etiquetas se entienda inmediatamente y que la
información está protegida adecuadamente;
i) propiedad y responsabilidades para la protección de datos, derechos de copia,
conformidad de las licencias de software y consideraciones similares (véanse los
numerales 15.1.2 y 15.1.4);
j) normas técnicas para registrar y leer la información y el software;
k) todos los controles especiales que se puedan requerir para proteger los elementos
sensibles tales como las claves criptográficas (véase el numeral 12.3).
Se deberían establecer y conservar políticas, procedimientos y normas para proteger la
información y los medios físicos en tránsito (véase el numeral 10.8.3) y ellos se deberían
referenciar en dichos acuerdos de intercambio.
El contenido sobre seguridad de cualquier acuerdo debería reflejar la sensibilidad de la
información del negocio involucrada.
Información adicional
Los acuerdos pueden ser electrónicos o manuales y pueden tomar la forma de contratos
formales o condiciones de empleo. Para la información sensible, los mecanismos específicos utilizados para el intercambio de dicha información deberían ser consistentes para todas las organizaciones y todos los tipos de acuerdos.
10.8.3 Medios físicos en tránsito
Control
Los medios que contienen información se deberían proteger contra el acceso no autorizado, el uso inadecuado o la corrupción durante el transporte más allá de los límites físicos de la organización.Guía de implementación
Se recomienda tener en cuenta las siguientes directrices para la protección de los medios que se transportan entre los lugares:
a) se recomienda utilizar transporte confiable o servicios de mensajería;
b) se debería acordar con la dirección una lista de servicios de mensajería;
c) se deberían desarrollar procedimientos para verificar la identificación de los servicios de
mensajería;
d) el embalaje debería ser suficiente para proteger el contenido contra cualquier daño
físico potencial que se pueda producir durante el transporte, y estar acorde con las
especificaciones del fabricante (por ejemplo para el software), por ejemplo protección
contra todos los factores ambientales que puedan reducir la eficacia de la restauración
de los medios tal como la exposición al calor, la humedad o los campos electromagnéticos;
e) Cuando sea necesario, se deberían adoptar controles para proteger la información
sensible contra divulgación o modificación no autorizada; algunos ejemplos incluyen;
1) uso de contenedores cerrados con llave;
2) entrega en la mano;
3) embalajes con sello de seguridad (que revelan cualquier intento de acceso);
4) en casos excepcionales, división de la remesa en más de una entrega y
despacho por rutas diferentes.
Información adicional
La información puede ser vulnerable al acceso no autorizado, al uso inadecuado o a la
corrupción durante el transporte físico, es el caso de los envíos de medios a través de servicios postales o de mensajería.
10.8.4 Mensajería electrónica
Control
La información contenida en la mensajería electrónica debería tener la protección adecuada.Guía de implementación
Las consideraciones de seguridad para la mensajería electrónica deberían incluir las
siguientes:
a) proteger los mensajes contra acceso no autorizado, modificación o negación de los
servicios;
b) garantizar que la dirección y el transporte del mensaje son correctos;
c) confiabilidad general y disponibilidad del servicio;
d) consideraciones legales como, por ejemplo, los requisitos para las firmas electrónicas;
e) obtención de aprobación antes de utilizar servicios públicos externos como la
mensajería instantánea o el compartir archivos;
f) niveles más sólidos de autenticación que controlen el acceso desde redes accesibles al
público.
Información adicional
La mensajería electrónica como, por ejemplo, el correo electrónico, el intercambio de datos
electrónicos (EDI) y la mensajería instantánea tienen una función cada vez más creciente en las comunicaciones de los negocios. La mensajería electrónica tiene riesgos diferentes que las comunicaciones en papel.
10.8.5 Sistemas de información del negocio
Control
Se deberían establecer, desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio.Guía de implementación
Las consideraciones de las implicaciones que tiene la interconexión de tales servicios para la seguridad y para el negocio deberían incluir:
a) vulnerabilidades conocidas en los sistemas administrativo y de contaduría en donde la
información es compartida entre diferentes partes de la organización;
b) vulnerabilidades de la información en los sistemas de comunicación del negocio, por
ejemplo la grabación de llamadas telefónicas o llamadas de conferencias,
confidencialidad de las llamadas, almacenamiento de facsímiles, correo de apertura,
distribución del correo;
c) política y controles adecuados para gestionar la forma en que se comparte la
información;
d) categorías excluyentes de información sensible para la organización y documentos
clasificados, si los sistemas no brindan un nivel adecuado de protección;
e) restricción del acceso a la información diaria relacionada con individuos seleccionados,
por ejemplo el personal que trabaja en proyectos sensibles;
f) categorías de personal, contratistas o socios del negocio a quienes se permite usar el
sistema y los sitios desde los cuales pueden tener acceso;
g) restricción de los servicios seleccionados para categorías de usuarios específicos;
h) identificación del estado de los usuarios, por ejemplo empleados de la organización o
contratistas, en los directorios para el beneficio de otros usuarios;
i) retención y copias de respaldo de la información contenida en el sistema (véase el
numeral 10.5.1);
j) requisitos y disposiciones para los recursos de emergencia (véase el numeral 14).
Información adicional
Los sistemas de información de las oficinas son oportunidades para diseminar y compartir más rápido la información del negocio utilizando una combinación de: documentos, computadores, computación móvil, comunicaciones móviles, correo, correo de voz, comunicaciones de voz en general, multimedia, servicios / prestaciones postales y máquinas de facsímil.
10.9 SERVICIOS DE COMERCIO ELECTRÓNICO
Objetivo: garantizar la seguridad de los servicios de comercio electrónico y su utilizaciónsegura.
Es necesario considerar las implicaciones de seguridad asociadas al uso de servicios de
comercio electrónico, incluyendo las transacciones en línea y los requisitos para los controles.
También se deberían considerar la integridad y disponibilidad de la información publicada
electrónicamente a través de sistemas disponibles al público.
10.9.1 Comercio electrónico
Control
La información involucrada en el comercio electrónico que se transmite por las redes públicas debería estar protegida contra actividades fraudulentas, disputas por contratos y divulgación o modificación no autorizada.Guía de implementación
Las consideraciones de seguridad para el comercio electrónico deberían incluir las siguientes:
a) el nivel de confianza que exige cada parte en la identidad declarada de las otras partes,
por ejemplo por medio de autenticación;
b) los procesos de autorización asociados con la persona que puede establecer precios,
emitir o firmar documentos comerciales clave;
c) la garantía de que los socios comerciales están totalmente informados sobre sus
autorizaciones;
d) la determinación y el cumplimiento de los requisitos de confidencialidad, integridad,
prueba de despacho y recibo de documentos clave, y el no repudio de contratos, por
ejemplo los asociados a los procesos de licitación y contratos;
e) el nivel de confianza exigido en la integridad de las listas de precios publicadas;
f) la confidencialidad de datos o información sensible;
g) la confidencialidad e integridad de las transacciones de orden de compra, información
sobre pagos, detalles de las direcciones de entrega y confirmación de recibo;
h) el grado adecuado de verificación para comprobar la información sobre pagos
suministrada por un cliente;
i) la selección del mejor convenio sobre la forma de pago más apropiada para evitar el
fraude;
j) el nivel de protección exigido para mantener la confidencialidad e integridad de la
información de orden de compra;
k) la evitación de la pérdida o duplicación de la información sobre transacciones;
l) la responsabilidad asociada con transacciones fraudulentas;
m) los requisitos de las pólizas de seguros.
Muchas de las consideraciones anteriores se pueden abordar mediante la aplicación de
controles criptográficos (véase el numeral 12.3), teniendo en cuenta el cumplimiento de los
requisitos legales (véase el numeral 15.1, especialmente 15.1.6 para la legislación
criptográfica).
Los acuerdos de comercio electrónico entre socios comerciales deberían estar soportados por un acuerdo documentado que comprometa a ambas partes con los términos acordados,
incluyendo detalles sobre la autorización (véase b) arriba). Pueden ser necesarios otros
acuerdos con los proveedores del servicio de información y de la red con valor agregado.
Los sistemas de comercio público deberían publicar sus términos de negocio a los clientes.
el comercio electrónico y las implicaciones de seguridad de cualquier interconexión de red
necesaria para la implementación de los servicios de comercio electrónico (véase el numeral 11.4.6).
Información adicional
El comercio electrónico es vulnerable a una variedad de amenazas en la red que pueden
ocasionar actividad fraudulenta, disputas por contratos y divulgación o modificación de
información.
El comercio electrónico puede utilizar métodos de autenticación seguros, por ejemplo el uso de criptografía clave pública y firmas digitales (véase el numeral 12.3) para reducir el riesgo.
También se pueden utilizar terceras partes confiables, cuando se necesitan tales servicios.
10.9.2 Transacciones en línea
Control
La información involucrada en las transacciones en línea debería estar protegida para evitartransmisión incompleta, enrutamiento inadecuado, alteración, divulgación, duplicación o
repetición no autorizada del mensaje.
Guía de implementación
Las consideraciones de seguridad para las transacciones en línea deberían incluir las
siguientes:
a) uso de firmas electrónicas por cada una de las partes implicadas en la transacción;
b) todos los aspectos de la transacción, es decir, garantizar que:
1) las credenciales de usuario de todas las partes son válidas y se han verificado;
2) la transacción sigue siendo confidencial; y
3) se conserva la privacidad asociada con todas las partes;
c) encriptación de la ruta para las comunicaciones entre todas las partes involucradas;
d) seguridad de los protocolos utilizados para la comunicación entre todas las partes
involucradas;
e) garantizar que el almacenamiento de los detalles de la transacción está fuera de
cualquier entorno de acceso público, por ejemplo en una plataforma de almacenamiento
existente en la Intranet de la organización, y que no se retiene ni expone en un medio
de almacenamiento accesible directamente desde Internet;
f) cuando se emplea una autoridad confiable (por ejemplo para propósitos de emitir y
mantener firmas digitales y / o certificados digitales) la seguridad se integra e incorpora
a través de todo el proceso completo de gestión del certificado / firma.
Información adicional
La extensión de los controles adoptados deberá estar acorde con el nivel de riesgo asociado
con cada una de las formas de transacción en línea.
Puede ser necesario que las transacciones cumplan las leyes, las reglas y los reglamentos en la jurisdicción en la cual se genera la transacción, se procesa, se termina y/o almacena.
Existen muchas formas de transacciones que se pueden efectuar en línea, por ejemplo
contractuales, financieras, etc.
10.9.3 Información disponible al público
Control
La integridad de la información que se pone a disposición en un sistema de acceso públicodebería estar protegida para evitar la modificación no autorizada.
Guía de implementación
El software, los datos y otra información que requiere un nivel alto de integridad que se pone a disposición en sistemas públicos se debería proteger con mecanismos apropiados como firmas digitales (véase el numeral 12.3). Los sistemas de acceso público se deberían probar frente a debilidades y fallas antes de que la información esté disponible.
Debería existir un proceso formal de aprobación previo a que la información esté disponible al público. Además, todas las entradas suministradas desde el exterior del sistema se deberían verificar y aprobar.
Los sistemas electrónicos de editorial, especialmente aquellos que permiten retroalimentación y entrada directa de información, se deberían controlar cuidadosamente de modo que:
a) la información se obtenga de conformidad con toda la legislación sobre protección de
datos (véase el numeral 15.1.4);
b) la entrada de información hacia y procesada por el sistema editorial se procese
completa y exactamente de forma oportuna;
c) la información sensible estará protegida durante la recolección, el procesamiento y el
almacenamiento;
d) el acceso al sistema editorial no permite acceso involuntario a redes a las cuales se
conecta el sistema.
Información adicional
Puede ser necesario que la información en un sistema disponible al público, por ejemplo la
información en un servidor web accesible a través de Internet, cumpla las leyes, las reglas y los reglamentos en la jurisdicción en la cual se localiza el sistema, donde tiene lugar el intercambio o donde reside el dueño. La modificación no autorizada de la información pública puede dañar la reputación de la organización editorial.
10.10 MONITOREO
Objetivo: detectar actividades de procesamiento de la información no autorizadas.Se deberían monitorear los sistemas y registrar los eventos de seguridad de la información.
Los registros de operador y la actividad de registro de fallas se deberían utilizar para garantizar la identificación de los problemas del sistema de información.
La organización debería cumplir todos los requisitos legales pertinentes que se aplican a sus actividades de monitoreo y registro.
Es recomendable emplear el monitoreo del sistema para verificar la eficacia de los controles adoptados y revisar el cumplimiento de un modelo de política de acceso.
10.10.1 Registro de auditorías
Control
Se deberían elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoría de las actividades de los usuarios, las excepciones y los eventos de seguridadde la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso.
Guía de implementación
Los registros para auditoría deberían incluir, cuando corresponda.
a) identificación (ID) de usuario;
b) fecha, hora y detalles de los eventos clave, por ejemplo registro de inicio y registro de
cierre;
c) identidad o ubicación de la terminal, si es posible;
d) registros de los intentos aceptados y rechazados de acceso al sistema;
e) registros de los intentos aceptados y rechazados de acceso a los datos y otros recursos;
f) cambios en la configuración del sistema;
g) uso de privilegios;
h) uso de las utilidades y aplicaciones del sistema;
i) archivos a los que se ha tenido acceso y tipo de acceso;
j) direcciones y protocolos de red;
k) alarmas originadas por el sistema de control del acceso;
l) activación y desactivación de los sistemas de protección, como los sistemas antivirus y
los sistemas de detección de intrusión.
Información adicional
Los registros para auditoría pueden contener datos personales confidenciales e indiscretos. Se deberían tomar medidas adecuadas para la protección de la privacidad (véase el numeral 15.1.4). Cuando sea posible, los administradores del sistema no deberían tener autorización para borrar ni desactivar registros de sus propias actividades (véase el numeral 10.1.3).
10.10.2 Monitoreo del uso del sistema
Control
Se deberían establecer procedimientos para el monitoreo del uso de los servicios deprocesamiento de información, y los resultados de las actividades de monitoreo se deberían
revisar con regularidad.
Guía de implementación
El nivel de monitoreo necesario para servicios individuales se debería determinar mediante una evaluación de riesgos. La organización debería cumplir todos los requisitos legales que se apliquen a sus actividades de monitoreo. Las áreas que se deberían considerar incluyen:
a) acceso autorizado, incluyendo detalles como:
1) identificación de usuario (ID);
2) fecha y hora de eventos clave;
3) tipo de eventos;
4) archivos a los que se ha tenido acceso;
5) programas / utilidades empleados;
b) todas las operaciones privilegiadas como:
1) uso de cuentas privilegiadas, por ejemplo supervisor, raíz, administrador;
2) encendido y detención del sistema;
3) acople / desacople del dispositivo de entrada / salida (I/O);
c) intentos de acceso no autorizado, tales como:
1) acciones de usuario fallidas o rechazadas;
2) acciones fallidas o rechazadas que implican datos y otros recursos;
3) violaciones de la política de acceso y notificaciones para las barreras de fuego
(firewalls) y puertas de enlace (gateways);
4) alertas de los sistemas de detección de intrusión de propietario;
d) alertas o fallas del sistema como:
1) alertas o mensajes de consola;
2) excepciones de registro del sistema;
3) alarmas de gestión de red;
4) alarmas originadas por el sistema de control del acceso;
e) cambios o intentos de cambio en la configuración y los controles de seguridad del sistema.
La frecuencia con la cual se revisan los resultados de las actividades de monitoreo debería
depender de los riesgos involucrados. Los factores de riesgo que se deberían considerar
incluyen:
a) importancia de los procesos de aplicación;
b) valor, sensibilidad e importancia de la información implicada;
c) experiencia previa de infiltración o uso inadecuado del sistema, y frecuencia de
aprovechamiento de las vulnerabilidades;
d) extensión de la interconexión del sistema (particularmente en redes públicas);
e) servicio de operación de registro que se desactiva.
Información adicional
Es necesario el uso de procedimientos de monitoreo para garantizar que los usuarios
únicamente ejecutan actividades autorizadas explícitamente.
La revisión del registro implica la comprensión de las amenazas enfrentadas por el sistema y la forma en que se pueden originar. En el numeral 13.1.1 se presentan ejemplos de eventos que podrían requerir investigación adicional en caso de incidentes de seguridad de la información.
10.10.3 Protección de la información del registro
Control
Los servicios y la información de la actividad de registro se deberían proteger contra el acceso o la manipulación no autorizados.Guía de implementación
Los controles deberían tener como objeto la protección contra cambios no autorizados y
problemas operativos con el servicio de registro incluyendo:
a) alteraciones en los tipos de mensaje que se registran;
b) archivos de registro que se editan o eliminan;
c) capacidad de almacenamiento de los medios de archivo de registro que se exceden, lo
que resulta en la falla para grabar eventos o sobre-escritura de eventos grabados
anteriormente.
retención de registros o debido a los requisitos para recolectar y conservar evidencia (véase el numeral 13.2.3).
Información adicional
Los registros del sistema a menudo contienen un gran volumen de información, mucha de la cual no tiene relación con el monitoreo de seguridad. Para facilitar la identificación de los
eventos significativos para propósitos del monitoreo de seguridad, se debería considerar el
copiado automático de los tipos apropiados de mensaje en un segundo registro y / o el uso de utilidades del sistema adecuadas o de herramientas de auditoría para realizar la interrogación y racionalización del archivo.
Es necesario proteger los registros del sistema porque si sus datos se pueden modificar o
eliminar, su existencia puede crear un sentido falso de seguridad.
10.10.4 Registros del administrador y del operador
Control
Se deberían registrar las actividades tanto del operador como del administrador del sistema.Guía de implementación
Los registros deberían incluir:
a) la hora en que ocurrió el evento (exitoso o fallido);
b) información sobre el evento (por ejemplo archivos manipulados) o la falla (por ejemplo
errores que se presentaron y acciones correctivas que se tomaron);
c) cuál cuenta y cuál administrador u operador estuvo involucrado;
d) cuáles procesos estuvieron implicados.
Los registros del operador y del administrador del sistema se deberían revisar con regularidad.
Información adicional
Se puede emplear un sistema de detección de intrusos que esté fuera del control del sistema y de los administradores de red para monitorear el cumplimiento de las actividades del sistema y de la administración de la red.
10.10.5 Registro de fallas
Control
Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas.Guía de implementación
Se deberían registrar las fallas reportadas por los usuarios o por los programas del sistema
relacionadas con problemas de procesamiento de la información o con los sistemas de
comunicación. Deberían existir reglas claras para el manejo de las fallas reportadas,
incluyendo:
a) revisión de los registros de fallas para garantizar que las éstas se han resuelto
satisfactoriamente;
b) revisión de las medidas correctivas para garantizar que no se han puesto en peligro los
controles y que la acción tomada está totalmente autorizada.
Se debería asegurar que el registro de errores está habilitado, si esta función del sistema está disponible.
Información adicional
El registro de errores y de fallas puede tener impacto en el desempeño del sistema. Dicho
registro debería ser habilitado por personal competente y el nivel necesario de registro para sistemas individuales se debería determinar mediante una evaluación de riesgos, teniendo en cuenta el deterioro del desempeño.
10.10.6 Sincronización de relojes
Control
Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de laorganización o del dominio de seguridad deberían estar sincronizados con una fuente de
tiempo exacta y acordada.
Guía de implementación
Cuando un computador o un dispositivo de comunicaciones tiene la capacidad para operar un reloj en tiempo real, dicho reloj se debería establecer como el estándar acordado, por ejemplo el tiempo coordinado universal (UTC) o el tiempo estándar local. Debido a que se sabe que algunos relojes varían con el paso del tiempo, debería existir un procedimiento que verifique y corrija cualquier variación significativa.
La interpretación correcta del formato fecha / hora es importante para garantizar que la marca de tiempo refleja la fecha/hora real. Es conveniente tener en cuenta las especificaciones locales (por ejemplo el horario de verano).
Información adicional
La configuración correcta de los relojes del computador es importante para garantizar la
exactitud de los registros para auditoría, lo cual puede ser necesario para las investigaciones o como evidencia en casos disciplinarios o legales. Los registros inexactos de auditoría pueden dificultar dichas investigaciones y deteriorar la credibilidad de la evidencia. Se puede utilizar un reloj sincronizado a un reloj atómico nacional el cual es tomado como reloj maestro para los sistemas de acceso. También se puede usar un protocolo de tiempo de red para mantener todos los servidores en sincronización con el reloj maestro.
Muchas gracias
ResponderBorrar