nts 35.68.06.15

NORMA TCNICA SALVADOREA

NTS ISO/IEC 27002:2013*

Tecnologa de la informacin. Cdigo de prcticas para la gestin de la seguridad de la informacin

CORRESPONDENCIA: Esta es una adopcin idntica (IDT) de la Norma ISO/IEC 27002:2013 Information technology. Security techniques. Code of practice for information security controls. *Incluye los cambios de ISO IEC 27002 2013 Cor. 1 2014 Publicado por el Organismo Salvadoreo de Normalizacin (OSN), Direccin 1 Calle Poniente, Final 41 Avenida Norte, #18, Colonia Flor Blanca, San Salvador, El Salvador. Telfono: 2590-5300 Sitio Web: http://www.osn.gob.sv Correo electrnico: [email protected] ICS 35.040

NTS 35.68.06:15

Derechos Reservados

NORMA TCNICA SALVADOREA NTS 35.68.06:15

ISO/IEC 27002:2013/Cor.1:2014 i

NDICE Pgina

PRLOGO ......................................................................................................................................... iii

INTRODUCCIN ................................................................................................................................ iv

1 ALCANCE ................................................................................................................................. 1

2 REFERENCIAS NORMATIVAS................................................................................................. 1

3 TRMINOS Y DEFINICIONES .................................................................................................. 1

4 ESTRUCTURA DE ESTA NORMA ............................................................................................ 1

4.1 Apartados ................................................................................................................................. 1

4.2 Categoras de control ................................................................................................................ 2

5 POLTICAS DE SEGURIDAD DE LA INFORMACIN ............................................................... 2

5.1 Gestin de la direccin para la seguridad de la informacin ...................................................... 2

6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN ................................................. 5

6.1 Organizacin interna ................................................................................................................. 5

6.2 Dispositivos mviles y trabajo remoto ........................................................................................ 9

7 SEGURIDAD DE LOS RECURSOS HUMANOS ..................................................................... 13

7.1 Antes del empleo .................................................................................................................... 13

7.2 Durante el empleo ................................................................................................................... 15

7.3 Terminacin y cambio del empleo ........................................................................................... 19

8 GESTIN DE ACTIVOS.......................................................................................................... 20

8.1 Responsabilidad sobre los activos ........................................................................................... 20

8.2 Clasificacin de la informacin ................................................................................................ 22

8.3 Manejo de Medios ................................................................................................................... 25

9 CONTROL DE ACCESO ......................................................................................................... 29

9.1 Requerimiento del negocio del control de acceso .................................................................... 29

9.2 Gestin del acceso de usuarios ............................................................................................... 31

9.3 Responsabilidades del usuario ................................................................................................ 37

9.4 Control de acceso a sistema y aplicaciones............................................................................. 38

10 CRIPTOGRAFA ..................................................................................................................... 43

10.1 Controles criptogrficos ........................................................................................................... 43

11 LA SEGURIDAD FSICA Y AMBIENTAL ................................................................................. 46

11.1 reas seguras ......................................................................................................................... 46

11.2 Equipo .................................................................................................................................... 51

12 SEGURIDAD DE LAS OPERACIONES ................................................................................... 58


ii ISO/IEC 27002:2013/Cor.1:2014

12.1 Procedimientos y responsabilidades operacionales ................................................................. 58

12.2 Proteccin contra software malicioso ....................................................................................... 62

12.4 Copias de seguridad ............................................................................................................... 64

12.5 Registro y monitoreo ............................................................................................................... 66

12.6 Control de software operacional .............................................................................................. 69

12.7 Gestin de la vulnerabilidad tcnica ........................................................................................ 70

12.8 Consideraciones en la auditoria de sistemas de informacin ................................................... 73

13 SEGURIDAD DE LAS COMUNICACIONES ............................................................................ 74

13.1 Gestin de seguridad de red ................................................................................................... 74

13.2 Transferencia de informacin .................................................................................................. 77

14 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS ..................................... 81

14.1 Requisitos de seguridad de los sistemas de informacin. ........................................................ 81

14.2 Seguridad en los procesos de desarrollo y soporte .................................................................. 86

14.3 Datos de prueba ..................................................................................................................... 93

15 RELACIONES CON PROVEEDORES .................................................................................... 94

15.1 Seguridad de la informacin en relaciones con proveedores. .................................................. 94

15.2 Gestin del servicio de entrega del proveedor. ........................................................................ 99

16 GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN .................................. 101

16.1 Gestin de incidentes de seguridad de la informacin y mejoras ........................................... 101

17 ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE LA CONTINUIDAD DEL NEGOCIO ............................................................................................................................... 108

17.1 Continuidad de la seguridad de la informacin ...................................................................... 108

17.2 Redundancias ....................................................................................................................... 111

18 CUMPLIMIENTO................................................................................................................... 111

18.1 Cumplimiento con requerimientos legales y contractuales ..................................................... 111

18.2 Revisiones de seguridad de la informacin ............................................................................ 116

BIBLIOGRAFA ............................................................................................................................... 120


ISO/IEC 27002:2013/Cor.1:2014 iii

PRLOGO ISO (la Organizacin Internacional para la Estandarizacin) e IEC (la Comisin Electrotcnica Internacional) forman el sistema especializado para la estandarizacin universal. Los organismos nacionales miembros de ISO o IEC participan en el desarrollo de Normas internacionales a travs de comits tcnicos establecidos por la organizacin respectiva para lidiar con campos particulares de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en campos de inters mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales junto con ISO e IEC, tambin toman parte en el trabajo. En el campo de la tecnologa de la informacin, ISO e IEC han establecido un comit tcnico conjunto, ISO/IEC JTC 1. Las Normas internacionales son desarrolladas en concordancia con las reglas dadas en las Directivas ISO/IEC, Parte 2. ISO/IEC 27002 fue preparada por el Comit Tcnico conjunto ISO/IEC JTC 1, Tecnologa de la informacin, Subcomit SC 27, Tcnicas de Seguridad TI. Se debe prestar atencin a la posibilidad que algunos elementos de estos documentos estn sujetos a derechos de patente. ISO no deben ser responsables de la identificacin de algn o todos los derechos de patentes. Esta segunda edicin, anula y reemplaza la primera edicin (ISO/IEC 27002:2005), la cual ha sido revisada estructural y tcnicamente.


iv ISO/IEC 27002:2013/Cor.1:2014

INTRODUCCIN 0.1 Antecedentes y contexto Esta Norma Tcnica Salvadorea est diseada para organizaciones que utilizan como referencia para la seleccin de los controles dentro del proceso de implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI) basado en ISO/IEC 27001[10] o como un documento gua para las organizaciones implementando controles de seguridad de la informacin comnmente aceptados. Esta Norma tambin tiene como propsito ser utilizada en el desarrollo de directrices de gestin de seguridad de la informacin especficas para la industria y organizacin, considerando su ambiente especfico de riesgos de seguridad de informacin. Organizaciones de todos los tipos y tamaos (incluyendo sector pblico y privado, comercial y sin fines de lucro) recopilan, procesan, almacenan y transmiten informacin de muchas formas, incluyendo electrnica, fsica y verbal (p. ej., conversaciones y presentaciones). El valor de la informacin va ms all de las palabras escritas, nmeros e imgenes: conocimiento, conceptos, ideas y marcas son ejemplos de formas intangibles de informacin. En un mundo interconectado, la informacin y procesos relacionados, sistemas, redes y personal involucrados en su operacin, manejo y proteccin son activos que, al igual que otros activos importantes del negocio, son valiosos para una organizacin y en consecuencia, merecen o requieren proteccin contra diversas amenazas. Los activos estn sujetos a amenazas deliberadas o accidentales, mientras que los procesos relacionados, sistemas, redes y personas tienen vulnerabilidades inherentes. Cambios en los procesos y sistemas de negocios u otros cambios externos (tales como nuevas leyes y regulaciones) pueden crear nuevos riesgos de seguridad de la informacin. Por lo tanto, dada la multitud de formas en que las amenazas podran aprovecharse de las vulnerabilidades para daar la organizacin, los riesgos de seguridad de la informacin siempre estn presentes. Una efectiva seguridad de la informacin reduce esos riesgos mediante la proteccin de la organizacin en contra de amenazas y vulnerabilidades, y por lo tanto reduce el impacto en sus activos. La seguridad de la informacin se logra mediante la implementacin de un conjunto adecuado de controles, incluyendo polticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Estos controles deben ser establecidos, aplicados, monitoreados, revisados y mejorados, cuando sea necesario, para asegurar que los objetivos especficos de seguridad y del negocio de la organizacin sean cumplidos. Un SGSI como el que se especifica en ISO/IEC 27001[10] tiene una visin integral y coordinada de los riesgos de seguridad de la informacin de la organizacin para implementar un conjunto amplio de controles de seguridad de la informacin en el marco general de un sistema de gestin coherente. Muchos sistemas de informacin no han sido diseados para ser seguros en el sentido de la Norma ISO/IEC 27001[10] y esta Norma. La seguridad que se puede lograr a travs de medios tcnicos es limitada y debe ser apoyado por la administracin y los procedimientos apropiados. Identificar cuales controles deben estar en funcionamiento requiere una cuidadosa planificacin y atencin a los detalles. Un exitoso SGSI requiere el apoyo de todos los empleados en la organizacin. Tambin se


ISO/IEC 27002:2013/Cor.1:2014 v

puede requerir la participacin de los accionistas, proveedores u otras partes externas. Adems puede ser necesario asesoramiento especializado de partes externas. En un sentido ms general, una efectiva seguridad de la informacin tambin asegura a la administracin y otras partes interesadas que los activos de la organizacin estn razonablemente seguros y protegidos contra daos, lo cual acta como un facilitador de negocios. 0.2 Requisitos de seguridad de la informacin Es esencial que una organizacin identifique sus requisitos de seguridad. Hay tres fuentes principales de requisitos de seguridad: a) la evaluacin de los riesgos para la organizacin, considerando la estrategia y objetivos de

negocio de la organizacin. A travs de una evaluacin de riesgos, se identifican las amenazas a los activos, la vulnerabilidad y la probabilidad de ocurrencia es evaluada y el impacto potencial es estimado;

b) los requisitos legales, estatutarios, reglamentarios y contractuales que una organizacin, sus

socios comerciales, contratistas y proveedores de servicios tienen que satisfacer, as como su entorno socio-cultural;

c) el conjunto de principios, objetivos y requisitos de negocio para el manejo, procesamiento,

almacenamiento, comunicacin y el archivado de informacin, que una organizacin ha desarrollado para apoyar sus operaciones.

Los recursos empleados en la implementacin de controles deben estar balanceados contra el probable dao del negocio resultante de los incidentes de seguridad en la ausencia de esos controles. Los resultados de una evaluacin de riesgos ayudaran a guiar y determinar las acciones administrativas y prioridades apropiadas para la gestin de riesgos de seguridad de la informacin y para la implementacin de los controles seleccionados para protegerse contra estos riesgos. ISO/IEC 27005[11] proporciona orientacin sobre la gestin de riesgos de seguridad de la informacin, incluido el asesoramiento sobre evaluacin, tratamiento, aceptacin, comunicacin, monitoreo y revisin del riesgo. 0.3 Seleccin de controles Los controles pueden ser seleccionados de esta Norma o de otros conjuntos de control, o nuevos controles pueden ser diseados para satisfacer necesidades especficas, segn corresponda. La seleccin de los controles depende de decisiones de la organizacin basadas en los criterios de aceptacin del riesgo, opciones de tratamiento del riesgo y el enfoque general de gestin de riesgos aplicado a la organizacin, y tambin deben estar sujetas a todas las leyes y regulaciones nacionales e internacionales pertinentes. La seleccin de controles tambin depende de la manera en que los controles interactan para proporcionar defensa a profundidad.


vi ISO/IEC 27002:2013/Cor.1:2014

Algunos de los controles en esta Norma se pueden considerar como principios guas para la gestin de seguridad de la informacin y aplicables a la mayora de las organizaciones. Los controles son explicados en ms detalle a continuacin junto con una Gua para la implementacin. Ms informacin sobre la seleccin de los controles y otras opciones de tratamientos de riesgo se pueden encontrar en la Norma ISO/IEC 27005[11]. 0.4 Desarrollando sus propias directrices Esta Norma Tcnica Salvadorea puede considerarse como un punto de partida para el desarrollo de directrices especficas de la organizacin. No todos los controles y guas en este cdigo de prcticas pueden aplicarse. Adems, se pueden requerir controles adicionales y directrices no incluidas en esta Norma. Cuando los documentos son desarrollados incluyendo controles y guas adicionales, puede ser til incluir referencias cruzadas a apartados en esta Norma donde aplique, para facilitar la revisin de conformidad por auditores y socios de negocios. 0.5 Consideraciones del ciclo de vida La informacin tiene un ciclo de vida natural, desde la creacin y emisin hasta su almacenamiento, procesamiento, uso y transmisin a su eventual destruccin o deterioro. El valor de los activos y sus riesgos puede variar durante su ciclo de vida (p. ej., divulgacin no autorizada o robo de las cuentas financieras de la compaa es mucho menos significativa despus que han sido publicadas formalmente) pero la seguridad de la informacin sigue siendo importante hasta cierto punto en todos los escenarios. Los sistemas de informacin tienen ciclos de vida dentro de los cuales son concebidos, especificados, diseados, desarrollados, probados, implementados, usados, mantenidos y finalmente retirados del servicio y desechados. La seguridad de la informacin debe ser considerada en todas las etapas. Desarrollo de nuevos sistemas y cambios a sistemas existentes presentan oportunidades a las organizaciones para actualizar y mejorar los controles de seguridad, tomando en cuenta incidentes y riesgos de seguridad de la informacin actuales y proyectados. 0.6 Normas relacionadas Aunque esta Norma ofrece orientacin sobre una amplia gama de controles de seguridad de la informacin que son comnmente aplicados en muchas organizaciones diferentes, las Normas restantes de la familia ISO/IEC 27000 proporcionan asesoramiento o requerimientos complementarios sobre otros aspectos del proceso global de la gestin de seguridad de la informacin. Consulte ISO/IEC 27000 para una introduccin general tanto al SGSI como a la familia de Normas. ISO/IEC 27000 proporciona un glosario, que define formalmente la mayor parte de los trminos utilizados en toda la familia de Normas ISO/IEC 27000, y describe el alcance y los objetivos para cada miembro de la familia.


ISO/IEC 27002:2013/Cor.1:2014 1

1 ALCANCE Esta Norma Tcnica Salvadorea proporciona directrices para las Normas de seguridad de informacin de la organizacin y prcticas de gestin de seguridad de la informacin, incluida la seleccin, implementacin y gestin de controles, teniendo en cuenta el medio ambiente de riesgos de seguridad de informacin de la organizacin. Esta Norma Tcnica Salvadorea est diseada para ser utilizada por las organizaciones que pretenden: a) seleccionar los controles dentro del proceso de implantacin de un Sistema de Gestin de

Seguridad de la Informacin basado en la Norma NTS ISO/IEC 27001; b) efectuar controles de seguridad de la informacin generalmente aceptadas; c) desarrollar sus propias directrices de gestin de seguridad de la informacin. 2 REFERENCIAS NORMATIVAS Los siguientes documentos, en su totalidad o en parte, estn Normativamente referenciados en este documento y son indispensables para su aplicacin. Para las referencias fechadas slo aplica la edicin citada. Para referencias sin fecha, aplica la ltima edicin del documento de referencia (incluyendo cualquier modificacin). ISO/IEC 27000, Information technology Security techniques Information security management systems Overview and vocabulary 3 TRMINOS Y DEFINICIONES Para los propsitos de este documento, aplican los trminos y definiciones dados en ISO/IEC 27000. 4 ESTRUCTURA DE ESTA NORMA Esta Norma incluye 14 apartados de control de seguridad que contienen en conjunto un total de 35 categoras principales de seguridad y 114 controles. 4.1 Apartados Cada apartado que define los controles de seguridad contiene una o ms categoras principales de seguridad.


2 ISO/IEC 27002:2013/Cor.1:2014

El orden de los apartados contenidos en esta Norma no implica su importancia. Dependiendo de las circunstancias, los controles de seguridad de cualquiera o todos los apartados podran ser importantes, por lo tanto, cada organizacin implementando esta Norma debe identificar los controles aplicables, qu tan importantes son y su aplicacin a los procesos de negocio individuales. Adems, las listas de esta Norma no estn en orden de prioridad. 4.2 Categoras de control Cada categora principal de control de seguridad contiene: a) un objetivo de control que indica lo que se quiere lograr; b) uno o ms controles que se pueden aplicar para alcanzar el objetivo de control. Las descripciones de los controles estn estructuradas de la siguiente manera: Control Define la declaracin de control especfico, para satisfacer el objetivo de control. Gua para la implementacin Proporciona informacin ms detallada para apoyar la implementacin de los controles y el cumplimiento del objetivo de control. La gua puede no ser del todo adecuada o suficiente en todas las situaciones y puede no cumplir con los requerimientos especficos de control de la organizacin. Otra informacin Proporciona otra informacin que pueda ser necesaria a considerar, por ejemplo, consideraciones legales y referencias a otras Normas. Si no hay otra informacin que proporcionar no se muestra esta seccin. 5 POLTICAS DE SEGURIDAD DE LA INFORMACIN 5.1 Gestin de la direccin para la seguridad de la informacin

Objetivo: Proporcionar directrices y apoyo para la seguridad de la informacin en concordancia con los requerimientos del negocio, leyes y regulaciones pertinentes.


ISO/IEC 27002:2013/Cor.1:2014 3

Polticas de seguridad de la informacin 5.1.1 Control Un conjunto de polticas de seguridad de la informacin debe ser definido y aprobado por la Direccin, publicarlo y comunicarlo a todos los empleados y entidades externas pertinentes. Gua para la implementacin Las organizaciones deben definir, al ms alto nivel, una "poltica de seguridad de la informacin", que es aprobada por la Direccin y que debe establecer el enfoque de la organizacin para la gestin de sus objetivos de seguridad de la informacin. Las polticas de seguridad de la informacin deben abordar los requerimientos creados por: a) la estrategia de negocios; b) reglamentos, legislacin y contratos; c) amenazas ambientales actuales y proyectadas a la seguridad de la informacin. La poltica de seguridad de la informacin debe contener declaraciones relativas a: a) definicin de la seguridad de la informacin, los objetivos y principios para guiar todas las

actividades relativas a la seguridad de la informacin; b) asignacin de responsabilidades generales y especficas para la gestin de seguridad de la

informacin a roles definidos; c) procesos de manejo de las desviaciones y excepciones. En un nivel inferior, la poltica de seguridad de la informacin debe ser apoyada por polticas sobre temas especficos, las cuales exigen ms que la implementacin de controles de seguridad de la informacin y estn tpicamente estructuradas para abordar las necesidades de determinados grupos dentro de una organizacin o para cubrir ciertos temas. Ejemplos de tales temas de polticas incluyen: a) Control de acceso (Ver apartado 9); b) clasificacin de la informacin (y manejo) (Ver 8.2); c) seguridad fsica y ambiental (Ver apartado 11);


4 ISO/IEC 27002:2013/Cor.1:2014

d) temas de usuario final tales como: 1) uso aceptable de los activos (Ver 8.1.3); 2) escritorio y pantalla limpia (Ver 11.2.9); 3) transferencia de informacin (Ver 13.2.1); 4) dispositivos mviles y trabajo remoto (Ver 6.2); 5) restricciones a instalaciones de software y su uso (Ver 12.6.2); e) copias de seguridad (Ver 12.3); f) transferencia de informacin (Ver 13.2); g) proteccin contra software malicioso (Ver 12.2); h) gestin de vulnerabilidades tcnicas (Ver 12.6.1); i) controles criptogrficos (Ver apartado 10); j) seguridad de las comunicaciones (Ver apartado 13); k) privacidad y proteccin de informacin identificada como personal (Ver 18.1.4); l) relaciones con proveedores (Ver apartado 15). Estas polticas deben ser comunicadas a empleados y entidades externas pertinentes, en una forma que sea adecuada, accesible y comprensible para el lector previsto, p. ej., en el contexto de un "programa de entrenamiento y educacin para concientizacin de seguridad de la informacin (Ver 7.2.2). Otra informacin La necesidad de polticas internas de seguridad de la informacin vara en las organizaciones. Polticas internas son especialmente tiles en organizaciones ms grandes y ms complejas, en donde aquellos que definen y aprueban los niveles esperados de control estn separados de aquellos que implementan los controles, o en situaciones donde una poltica aplica a muchas personas o funciones diferentes en la organizacin. Polticas de seguridad de la informacin pueden ser emitidas en un solo documento "poltica de seguridad de la informacin" o como un conjunto de documentos individuales relacionados. Si alguna de las polticas de seguridad de la informacin es distribuida fuera de la organizacin, se debe tener cuidado de no revelar informacin confidencial.


ISO/IEC 27002:2013/Cor.1:2014 5

Algunas organizaciones utilizan otros trminos para estos documentos de poltica, tales como "Normas", "Directivas" o "Reglas".

Revisin de las polticas para la seguridad de la informacin 5.1.2 Control Las polticas para la seguridad de la informacin deben revisarse a perodos planificados o siempre que se produzcan cambios significativos, para asegurar que se mantenga su continuidad, idoneidad, adecuacin y efectividad. Gua para la implementacin Cada poltica debe tener un dueo que haya aprobado la responsabilidad de gestin para el desarrollo, revisin y evaluacin de las polticas. La revisin debe incluir la evaluacin de oportunidades de mejora de las polticas de la organizacin y el enfoque para la gestin de seguridad de la informacin en respuesta a los cambios en el entorno de la organizacin, circunstancias del negocio, condiciones legales o entorno tcnico. La revisin de las polticas de seguridad de la informacin debe tener en cuenta los resultados de las revisiones por la direccin. Se debe obtener aprobacin de la direccin para la poltica revisada. 6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN 6.1 Organizacin interna Objetivo: Establecer un marco de gestin para iniciar y controlar la implementacin y operacin de la seguridad de la informacin dentro de la organizacin.

Roles y responsabilidades de seguridad de la informacin 6.1.1

Control Todas las responsabilidades de la seguridad de la informacin deben estar definidas y asignadas. Gua para la implementacin La asignacin de las responsabilidades de seguridad de la informacin debe hacerse de acuerdo con las polticas de seguridad de la informacin (Ver 5.1.1). Las responsabilidades para la proteccin de los activos individuales, y para llevar a cabo procesos de seguridad de la informacin especficas deben ser identificadas. Las responsabilidades para las actividades de gestin de seguridad de la


6 ISO/IEC 27002:2013/Cor.1:2014

informacin y, en particular, para la aceptacin de riesgos residuales deben ser definidas. Estas responsabilidades deben ir acompaadas, donde sea necesario, con una gua ms detallada para sitios especficos e instalaciones de procesamiento de informacin. Responsabilidades locales para la proteccin de los activos y de llevar a cabo procesos especficos de seguridad deben ser definidas. Las personas con responsabilidades de seguridad de la informacin asignadas podrn delegar tareas de seguridad a otros. No obstante siguen siendo responsables y deben determinar que cualesquiera tareas delegadas han sido correctamente ejecutadas. Deben establecerse reas para las cuales las personas son responsables. En particular, lo siguiente debe tomarse en cuenta: a) los activos y los procesos de seguridad de la informacin deben ser identificados y definidos; b) la entidad responsable para cada activo o proceso de seguridad de la informacin debe ser

asignado y los detalles de su responsabilidad deben estar documentados (Ver 8.1.2); c) los niveles de autorizacin deben ser definidos y documentados; d) para ser capaz de cumplir con sus responsabilidades en el rea de seguridad de la informacin, la

persona designada debe ser competente en el rea y brindarle oportunidades para mantenerse actualizado con los desarrollos;

e) coordinacin y supervisin de aspectos de seguridad de informacin de las relaciones con

proveedores deben ser identificadas y documentadas. Otra informacin Muchas organizaciones designan a un administrador de seguridad de la informacin para tomar la responsabilidad completa del desarrollo e implementacin de seguridad de la informacin y para apoyar la identificacin de controles. Sin embargo, la responsabilidad de la dotacin de recursos y la implementacin de los controles a menudo se mantendr con los gerentes individuales. Una prctica comn es nombrar a un dueo por cada activo que luego se convierte en el responsable para su proteccin en el da a da.

Segregacin de funciones 6.1.2 Control Las funciones conflictivas y las reas de responsabilidad deben ser segregadas para reducir las oportunidades de modificaciones o uso no autorizado o mal intencionado de los activos de la organizacin.


ISO/IEC 27002:2013/Cor.1:2014 7

Gua para la implementacin Se debe tener cuidado de que ninguna persona pueda acceder, modificar o utilizar los activos sin autorizacin o deteccin. El inicio de un evento debe ser separado de su autorizacin. La posibilidad de colusin debe ser considerada en el diseo de los controles. Organizaciones pequeas pueden considerar la segregacin de funciones como difcil de alcanzar, pero el principio debe ser aplicado en la medida de lo posible y practicable. Siempre que fuese difcil de separar, otros controles tales como el monitoreo de las actividades, pistas de auditora y supervisin de la administracin deben ser considerados. Otra informacin La segregacin de funciones es un mtodo para reducir el riesgo de mal uso, ya sea accidental o deliberado, de los activos de una organizacin.

Contacto con autoridades 6.1.3 Control Deben mantenerse los contactos adecuados con las autoridades pertinentes. Gua para la implementacin Las organizaciones deben contar con procedimientos que especifiquen cundo y a que autoridades (p. ej., la polica, organismos reguladores, autoridades de supervisin) debe contactarse y cmo identificar los incidentes de seguridad de la informacin que deben ser reportados de manera oportuna (p. ej., si se sospecha que la ley pueda haber sido quebrantada). Otra informacin Organizaciones bajo ataque a travs de Internet pueden necesitar que las autoridades tomen medidas contra el origen del ataque. Mantener este tipo de contactos puede ser un requerimiento para apoyar la gestin de incidentes de seguridad de informacin (Ver Apartado 16), o la continuidad del negocio y el proceso de planificacin de contingencia (Ver Apartado 17). Contactos con organismos reguladores tambin son tiles para anticipar y prepararse para los prximos cambios en las leyes o reglamentos, que deben ser implementados por la organizacin. Contactos con otras autoridades incluyen servicios pblicos, servicios de emergencia, proveedores de electricidad, salud y seguridad, p. ej., el cuerpo de bomberos (en conexin con la continuidad del negocio), proveedores de telecomunicaciones (en relacin con ruteo de lnea y disponibilidad) y proveedores de agua (en relacin con las instalaciones de refrigeracin para equipos).


8 ISO/IEC 27002:2013/Cor.1:2014

Contacto con grupos de especial inters 6.1.4 Control Se deben mantener contactos apropiados con los grupos de especial inters u otros foros y asociaciones profesionales especializadas en seguridad. Gua para la implementacin La pertenencia a grupos de especial inters o foros debe ser considerada como un medio para: a) mejorar el conocimiento acerca de buenas prcticas y estar al da con la informacin de seguridad

pertinente; b) asegurar que la comprensin del entorno de seguridad de la informacin est actualizado y

completo; c) recibir alertas tempranas, asesoras y parches relacionados con ataques y vulnerabilidades; d) obtener acceso a consejos de seguridad de informacin especializada; e) comunicar e intercambiar informacin acerca de nuevas tecnologas, productos, amenazas o

vulnerabilidades; f) proporcionar puntos de enlace adecuados cuando se trata de incidentes de seguridad de la

informacin (Ver Apartado 16). Otra informacin Acuerdos para compartir informacin pueden ser establecidos para mejorar la cooperacin y la coordinacin de los temas de seguridad. Tales acuerdos deben determinar las necesidades en materia de proteccin de la informacin confidencial.

Seguridad de la informacin en la gestin de proyectos 6.1.5 Control La seguridad de la informacin debe ser tratada en la gestin de proyectos, independientemente del tipo de proyecto. Gua para la implementacin La Seguridad de la informacin debe integrarse en el mtodo de gestin de proyectos de la organizacin para asegurar que los riesgos de seguridad de la informacin se identifican y se abordan como parte de un proyecto. Esto se aplica generalmente a cualquier proyecto, independientemente de


ISO/IEC 27002:2013/Cor.1:2014 9

su carcter, p. ej., un proyecto para un proceso prioritario de negocio, TI, la gestin de instalaciones y otro apoyo a los procesos. Los mtodos de gestin de proyectos en uso deben exigir que: a) los objetivos de seguridad de la informacin se incluyan en los objetivos del proyecto; b) una evaluacin de riesgos de seguridad de la informacin se lleva a cabo en una fase temprana

del proyecto para identificar controles necesarios; c) la seguridad de la informacin es parte de todas las fases de la metodologa aplicada al proyecto. Las Implicaciones de seguridad de informacin deben ser abordadas y revisadas con regularidad en todos los proyectos. Las responsabilidades de la seguridad de la informacin deben ser definidas y asignadas a los roles especficos definidos en los mtodos de gestin de proyectos. 6.2 Dispositivos mviles y trabajo remoto Objetivo: Asegurar la seguridad del trabajo remoto y el uso de dispositivos mviles.

Poltica de dispositivos mviles 6.2.1

Control Una poltica y medidas de soporte de seguridad deben ser adoptadas para gestionar los riesgos introducidos por el uso de dispositivos mviles. Gua para la implementacin Al utilizar los dispositivos mviles, se debe tener especial cuidado para asegurar que la informacin del negocio no es comprometida. La poltica de dispositivos mviles debe tener en cuenta los riesgos de trabajar con los dispositivos en entornos desprotegidos. La poltica de dispositivos mviles debe tener en cuenta: a) el registro de los dispositivos mviles; b) los requerimientos de proteccin fsica; c) limitacin de la instalacin de software; d) los requerimientos de las versiones de software de dispositivos mviles y la aplicacin de parches; e) la restriccin de la conexin a los servicios de informacin; f) los controles de acceso;


10 ISO/IEC 27002:2013/Cor.1:2014

g) tcnicas criptogrficas; h) proteccin contra software malicioso; i) la desactivacin remota, eliminacin o bloqueo; j) las copias de seguridad; k) el uso de los servicios web y aplicaciones web.

Se debe tener cuidado al usar dispositivos mviles en lugares pblicos, salas de reuniones y otras reas sin proteccin. La proteccin debe estar funcionando para evitar el acceso no autorizado o la divulgacin de la informacin almacenada y procesada por estos dispositivos, por ejemplo, utilizando tcnicas criptogrficas (Ver Apartado 10) y la obligacin de uso de informacin secreta de autenticacin (Ver 9.2.4). Los dispositivos mviles tambin deben ser protegidos fsicamente contra el robo, especialmente en, p. ej., automviles y otras formas de transporte, habitaciones de hotel, centros de congresos y lugares de reunin. Debe ser establecido un procedimiento especfico que tome en cuenta la ley, seguros y otros requerimientos de seguridad de la organizacin para casos de robo o prdida de dispositivos mviles. Los dispositivos que transportan informacin del negocio de carcter importante, sensible o crtica, no deben ser dejados desatendidos y, cuando sea posible, deben ser fsicamente resguardados bajo llave, o se deben utilizar cerraduras especiales para asegurar los dispositivos. Capacitaciones deben organizarse para incrementar la conciencia de los empleados sobre riesgos adicionales resultantes del uso de dispositivos mviles como medio de trabajo y los controles que se deben implementar. Cuando la poltica de dispositivos mviles permita el uso de dispositivos mviles de propiedad privada, la poltica y medidas relacionadas de seguridad tambin deben considerar: a) separacin de uso privado y profesional de los dispositivos, incluyendo el uso de software para

apoyar tal separacin y proteger los datos empresariales en un dispositivo privado; b) facilitar el acceso a la informacin del negocio slo despus que los usuarios han firmado un

acuerdo de usuario final que reconoce sus obligaciones (proteccin fsica, actualizacin de software, etc.), y que contenga la renuncia a la propiedad de datos del negocio, lo que permitir la limpieza remota por parte de la organizacin de los datos en caso de robo o prdida del dispositivo o cuando ya no estn autorizados a utilizar el servicio. Esta poltica debe tener en cuenta la legislacin de privacidad.

Otra informacin Las conexiones inalmbricas del dispositivo mvil son similares a otros tipos de conexin de red, pero tienen importantes diferencias que se deben considerar en la identificacin de controles. Diferencias tpicas son:


ISO/IEC 27002:2013/Cor.1:2014 11

a) algunos protocolos de seguridad inalmbrica son inmaduros y tienen debilidades conocidas; b) la informacin almacenada en los dispositivos mviles, no puede ser respaldada en marcha por la

limitacin del ancho de banda de la red o porque los dispositivos mviles no se pueden conectar cuando se programan las copias de seguridad.

Los dispositivos mviles en general, comparten funciones comunes con los dispositivos de uso fijo, por ejemplo, la creacin de redes, acceso a internet, correo electrnico y la manipulacin de archivos. Los controles de seguridad de la informacin para los dispositivos mviles generalmente consisten de los adoptados en los dispositivos de uso fijo y aquellos que enfrentan amenazas por ser utilizados fuera de las instalaciones de la organizacin.

Trabajo remoto 6.2.2 Control Una poltica y medidas de soporte de seguridad deben ser implementadas para proteger la informacin accedida, procesada o almacenada en sitios de trabajo remoto. Gua para la implementacin Las Organizaciones que permiten las actividades de trabajo remoto deben emitir una poltica que defina las condiciones y restricciones para el uso del trabajo remoto. Cuando se considere aplicable y permitido por la ley, se debe de considerar lo siguiente: a) la seguridad fsica existente en el sitio de trabajo remoto, teniendo en cuenta la seguridad fsica de

las instalaciones y ambiente local; b) el entorno fsico de trabajo remoto propuesto; c) los requisitos de seguridad de las comunicaciones, teniendo en cuenta la necesidad de acceso

remoto a los sistemas internos de la organizacin, la criticidad de la informacin que se acceder y se transmitir sobre el enlace de comunicacin y la criticidad del sistema interno;

d) la provisin de acceso de escritorio virtual que previene el procesamiento y almacenamiento de

informacin sobre propiedad privada del equipo; e) la amenaza de acceso no autorizado a informacin o recursos por parte de otras personas por

ejemplo, la familia y los amigos; f) el uso de las redes domsticas y los requerimientos o restricciones a la configuracin de la

tecnologa inalmbrica de los servicios de red;


12 ISO/IEC 27002:2013/Cor.1:2014

g) las polticas y procedimientos para prevenir las disputas relativas a los derechos de propiedad intelectual desarrollada en equipo de propiedad privada;

h) el acceso a los equipos de propiedad privada (para verificar la seguridad de la mquina o durante

una investigacin), puede verse limitado por la legislacin; i) acuerdos de licenciamiento de software tales que permiten a las organizaciones conceder

licenciamiento para software cliente en estaciones de trabajo de propiedad privada de empleados o usuarios de entidades externas;

j) proteccin de software malicioso y requerimientos de corta fuegos. Las directrices y disposiciones a considerar deben incluir: a) el suministro de equipo adecuado y el mobiliario de almacenamiento para las actividades de

trabajo remoto, en el que no se permite la utilizacin de equipos de propiedad privada que no estn bajo el control de la organizacin;

b) una definicin del trabajo permitido, las horas de trabajo, la clasificacin de la informacin que

puede ser utilizada y, los sistemas y servicios internos que el trabajador remoto est autorizado a acceder;

c) el suministro de equipos de comunicacin adecuados, incluidos los mtodos para asegurar el

acceso remoto; d) la seguridad fsica; e) las Normas y directrices sobre el acceso por parte de la familia y visitantes a los equipos y la

informacin; f) el servicio de soporte y mantenimiento de hardware y software; g) la provisin de seguros; h) los procedimientos de copia de seguridad y la continuidad del negocio; i) auditoria y monitoreo de la seguridad; j) la revocacin de los privilegios de acceso y autoridad, y la devolucin de los equipos cuando las

actividades del trabajo remoto finalicen. Otra informacin El trabajo remoto se refiere a todas las formas de trabajo fuera de la oficina, incluyendo entornos de trabajo no tradicionales, tales como los que se refiere a "trabajo a distancia", "lugar de trabajo flexible", teletrabajo" y "trabajo virtual".


ISO/IEC 27002:2013/Cor.1:2014 13

7 SEGURIDAD DE LOS RECURSOS HUMANOS 7.1 Antes del empleo Objetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidades, y sean idneos para los roles para los cuales se les considera.

Seleccin de personal 7.1.1

Control Los controles de verificacin de los antecedentes de todos los candidatos para el empleo deben llevarse a cabo en concordancia con las leyes, regulaciones y Normas de tica pertinentes y, deben ser proporcionales al requerimiento del negocio, la clasificacin de la informacin a ser accedida y los riesgos percibidos. Gua para la implementacin La verificacin debe tener en cuenta toda la privacidad relevante a la persona, la proteccin de la informacin personal identificable y la legislacin laboral y debe, cuando sea permitido, incluir lo siguiente: a) la disponibilidad de referencias de carcter satisfactorio, por ejemplo, laborales y personales; b) una verificacin (completa y precisa) del currculo vitae del solicitante; c) la confirmacin de las calificaciones acadmicas y profesionales declaradas; d) la verificacin de identidad (DUI, Pasaporte o documento similar); e) verificaciones ms detalladas, como la verificacin de estado crediticio o la revisin de

antecedentes penales. Cuando una persona es contratada para un rol de seguridad de la informacin especfica, las organizaciones deben asegurarse que el candidato: a) tiene la competencia necesaria para desempear el rol de seguridad; b) puede confirsele el rol, especialmente si el rol es crtico para la organizacin. Cuando un puesto de trabajo, ya sea en la primera cita o en la promocin, involucra a la persona que tenga acceso a instalaciones de procesamiento de la informacin, y, en particular, si stos estn manejando informacin confidencial, por ejemplo, informacin financiera o informacin altamente confidencial, la organizacin tambin debe considerar verificaciones ms detalladas.


14 ISO/IEC 27002:2013/Cor.1:2014

Los procedimientos deben definir criterios y limitaciones para la revisin de verificacin, por ejemplo, quin es elegible para la seleccin de personal y cmo, cundo y por qu las verificaciones se llevan a cabo. Un proceso de seleccin tambin debe ser asegurado para los contratistas. En estos casos, el acuerdo entre la organizacin y el contratista debe especificar las responsabilidades para llevar a cabo la seleccin y el procedimiento de notificacin que se debe seguir en caso de que la seleccin no sea completada o si los resultados causan un motivo de duda o preocupacin. La informacin sobre todos los candidatos que estn siendo considerados para los puestos dentro de la organizacin, debe recopilarse y manejarse de conformidad con cualquier legislacin existente en la jurisdiccin correspondiente. Dependiendo de la legislacin aplicable, los candidatos deben ser informados de antemano sobre las actividades de seleccin.

Trminos y condiciones de empleo 7.1.2 Control Los acuerdos contractuales con empleados y contratistas deben establecer sus responsabilidades y las responsabilidades de la organizacin para la seguridad de la informacin. Gua para la implementacin Las obligaciones contractuales de los empleados o contratistas deben reflejar las polticas de la organizacin para seguridad de la informacin, adems de aclarar y establecer: a) que todos los empleados y contratistas que se les d acceso a la informacin confidencial deben

firmar un acuerdo de confidencialidad o de no divulgacin antes de que puedan tener acceso a las instalaciones de procesamiento de la informacin (Ver 13.2.4);

b) responsabilidades legales y derechos de los empleados o contratistas, por ejemplo en relacin

con las leyes de derechos de autor o la legislacin de proteccin de datos (Ver 18.1.2 y 18.1.4); c) las responsabilidades para la clasificacin de la informacin y la gestin de otros activos de la

organizacin asociados a la informacin, instalaciones de procesamiento de informacin y servicios de informacin que maneja el empleado o contratista (Ver Apartado 8);

d) las responsabilidades del empleado o contratista para el manejo de la informacin recibida de

otras empresas o entidades externas; e) las acciones a ser tomadas si el empleado o contratista hace caso omiso a los requerimientos de

seguridad de la organizacin (Ver 7.2.3). Los roles y responsabilidades de seguridad de la informacin deben ser comunicados a los candidatos durante el proceso de induccin.


ISO/IEC 27002:2013/Cor.1:2014 15

La organizacin debe asegurar que los empleados y contratistas estn de acuerdo con los trminos y condiciones concernientes a la apropiada seguridad de la informacin para la naturaleza y el grado de acceso que tendrn a los activos de la organizacin relacionados con los sistemas de informacin y servicios. Donde sea apropiado, las responsabilidades contenidas dentro de los trminos y condiciones de empleo deben continuar por un perodo definido despus del final de la contratacin (Ver 7.3). Otra informacin Un cdigo de conducta puede ser utilizado para indicar las responsabilidades de seguridad de la informacin del empleado o contratista respecto a la confidencialidad, proteccin de datos, la tica, el uso apropiado de los equipos e instalaciones de la organizacin, as como las prcticas de buena reputacin esperados por la organizacin. Una entidad externa, con el cual un contratista est asociado, puede ser obligada a entrar en arreglos contractuales en nombre de la persona contratada. 7.2 Durante el empleo Objetivo: Asegurar que todos los empleados y contratistas estn conscientes de cumplir con sus responsabilidades de la seguridad de la informacin.

Responsabilidades de la Direccin 7.2.1

Control La Direccin debe requerir que los empleados y contratistas apliquen la seguridad de la informacin en concordancia con las polticas y procedimientos establecidos por la organizacin. Gua para la implementacin Las responsabilidades de la Direccin deben incluir el aseguramiento de que los empleados y contratistas: a) se les informa adecuadamente sobre sus roles y responsabilidades de seguridad de la

informacin antes de ser concedido el acceso a sistemas de informacin o informacin confidencial;

b) estn provistos con las directrices que establecen las expectativas de seguridad de la informacin

para su rol dentro de la organizacin;

c) estn motivados para cumplir con las polticas de seguridad de la informacin de la organizacin; d) alcanzar un nivel de conciencia sobre seguridad de la informacin pertinente a sus roles y

responsabilidades dentro de la organizacin (Ver 7.2.2);


16 ISO/IEC 27002:2013/Cor.1:2014

e) cumplir con los trminos y condiciones de empleo, que incluye la poltica de seguridad de la informacin de la organizacin y los mtodos adecuados de trabajo;

f) continan teniendo las habilidades y cualificaciones apropiadas y son capacitados

peridicamente; g) son provistos con un canal de denuncia annima para reportar violaciones a las polticas o

procedimientos de seguridad de la informacin ("denuncia de irregularidades"). La Direccin debe demostrar el apoyo de las polticas de seguridad de la informacin, los procedimientos y los controles, y actuar como un modelo a seguir. Otra informacin Si los empleados y contratistas no estn conscientes de sus responsabilidades de seguridad de la informacin, pueden causar un dao considerable a la organizacin. Un personal motivado es probable que sea ms confiable y cause menos incidentes de seguridad de la informacin. Una pobre gestin puede provocar que el personal no se sienta valorado, resultando en un impacto negativo en la seguridad de la informacin de la organizacin. Por ejemplo, una pobre gestin puede llevar a que se descuide la seguridad de la informacin o se potencie el mal uso de los activos de la organizacin.

Capacitacin, educacin y concientizacin sobre la seguridad de la informacin 7.2.2 Control Todos los empleados de la organizacin y, cuando sea pertinente, los contratistas, deben recibir una apropiada concientizacin, capacitacin y actualizacin peridica de las polticas y procedimientos organizacionales, que sean relevantes a su funcin laboral. Gua para la implementacin Un programa de sensibilizacin sobre la seguridad de informacin debe tener como objetivo hacer que los empleados y, en su caso, los contratistas sean conscientes de sus responsabilidades en materia de seguridad de la informacin y de los medios por los que esas responsabilidades sean dadas de alta. Un programa de concientizacin sobre seguridad de la informacin debe establecerse de acuerdo con las polticas de seguridad de la informacin de la organizacin y los procedimientos pertinentes, teniendo en cuenta la informacin de la organizacin para ser protegidos y los controles que se han implementado para proteger la informacin. El programa de concientizacin debe incluir una serie de actividades de concientizacin, como campaas de (por ejemplo, un "da de la seguridad de la informacin") y la emisin de folletos o boletines.


ISO/IEC 27002:2013/Cor.1:2014 17

El programa de concientizacin debe planificarse teniendo en cuenta los roles de los trabajadores en la organizacin y, donde sea pertinente, las expectativas de la organizacin de la concientizacin de los contratistas. Las actividades en el programa de concientizacin deben ser calendarizadas, preferiblemente en forma peridica, de manera que las actividades se repitan y consideren a los nuevos empleados y contratistas. El programa de concientizacin tambin debe actualizarse regularmente para que se mantenga alineado con las polticas y procedimientos de la organizacin, y debe construirse con lecciones aprendidas de los incidentes de seguridad de la informacin. La concientizacin se debe realizar segn sea requerido por el programa de concientizacin de seguridad de informacin de la organizacin. La concientizacin puede utilizar diferentes medios de difusin, incluyendo sesiones presenciales, aprendizaje a distancia, basado en la web, autodidacta u otros. Educacin y formacin en seguridad de la informacin tambin deben cubrir aspectos generales como: a) afirmacin del compromiso de la Direccin con la seguridad de la informacin en toda la

organizacin; b) la necesidad de familiarizarse y cumplir con las directrices y obligaciones de seguridad de la

informacin aplicables, segn se define en las polticas, Normas, leyes, reglamentos, contratos y acuerdos;

c) la responsabilidad personal de los propios actos y omisiones, y las responsabilidades generales

para asegurar o proteger la informacin que pertenece a la organizacin y entidades externas; d) los procedimientos bsicos de seguridad de la informacin (como informes de incidentes de

seguridad de informacin) y los controles de lnea base (como la seguridad de las contraseas, los controles de software malicioso y escritorios limpios);

e) recursos y puntos de contacto para otra informacin y consejos sobre temas de seguridad de la

informacin, incluyendo educacin y materiales de capacitacin complementarios sobre seguridad de la informacin.

La educacin y formacin en seguridad de la informacin debe realizarse en forma peridica. La educacin y formacin inicial aplica a aquellos que se transfieren a nuevas posiciones o roles con requisitos sustancialmente diferentes de seguridad de la informacin, no slo a las nuevas contrataciones y debe realizarse antes que inicie funciones. La organizacin debe desarrollar el programa de educacin y formacin con el fin de llevar a cabo la educacin y formacin con eficacia. El programa debe estar alineado con las polticas de seguridad de la informacin de la organizacin y los procedimientos pertinentes, teniendo en cuenta la informacin de la organizacin a ser protegida y los controles que han sido implementados para proteger la


18 ISO/IEC 27002:2013/Cor.1:2014

informacin. El programa debe considerar las diferentes formas de educacin y formacin, por ejemplo, conferencias o auto estudio. Otra informacin Al redactar un programa de concientizacin, es importante no slo enfocarse en el "qu" y "cmo", sino tambin el "por qu". Es importante que los empleados entiendan el propsito de seguridad de la informacin y el impacto potencial, positivo y negativo, de su propio comportamiento en la organizacin. Concientizacin, educacin y capacitacin pueden ser parte de, o llevados a cabo en colaboracin con, otras actividades de capacitacin, por ejemplo generalidades de TI o de entrenamiento en seguridad general. Actividades de sensibilizacin, educacin y formacin deben ser adecuadas y pertinentes a las funciones, responsabilidades y habilidades del individuo. Una evaluacin de la comprensin de los empleados podra llevarse a cabo, al final de un curso de concientizacin, educacin y capacitacin, para probar la transferencia de conocimientos.

Proceso disciplinario 7.2.3 Control Debe existir un proceso disciplinario formal y comunicado de forma que se tomen acciones en contra de empleados que han cometido una violacin en la seguridad de la informacin. Gua para la implementacin El proceso disciplinario no debe iniciarse sin previa verificacin de que se ha producido una violacin de la seguridad de la informacin (Ver 16.1.7). El proceso disciplinario formal debera garantizar un trato correcto y justo para los empleados que son sospechosos de haber cometido violaciones de la seguridad de la informacin. El proceso disciplinario formal debera proveer una respuesta gradual que toma en consideracin factores tales como la legislacin pertinente, contratos de negocios, naturaleza y gravedad de la violacin y su impacto en el negocio, si es una primera infraccin o una reincidencia, si el infractor fue debidamente capacitado y otros factores que se requieran. El proceso disciplinario debera tambin ser utilizado como un elemento de disuasin para evitar que los empleados violen las polticas y procedimientos de seguridad de la informacin de la organizacin y cualquier otra violacin de la seguridad de la informacin. Infracciones deliberadas pueden requerir acciones inmediatas. Otra informacin El proceso disciplinario puede tambin convertirse en una motivacin o un incentivo, si sanciones positivas se definen para un comportamiento notable con respecto a la seguridad de la informacin.


ISO/IEC 27002:2013/Cor.1:2014 19

7.3 Terminacin y cambio del empleo Objetivo: Proteger los intereses de la organizacin como parte de un proceso de terminacin o cambio de empleo.

Responsabilidades de terminacin o cambio de empleo 7.3.1

Control Deben ser definidas las responsabilidades y funciones de la seguridad de la informacin que permanezcan validas despus de una terminacin o cambio de empleo, comunicadas y remarcadas al empleado o contratista. Gua para la implementacin La comunicacin de las responsabilidades de terminacin debera incluir requisitos vigentes de seguridad de informacin y responsabilidades legales y, en su caso, las responsabilidades contenidas dentro de cualquier acuerdo de confidencialidad (Ver 13.2.4) y los trminos y condiciones de empleo (Ver 7.1.2) que continan por un perodo definido despus de la finalizacin del contrato del empleado o contratista. Responsabilidades y deberes todava vlidos despus de la terminacin del empleo deben estar contenidos en los trminos y condiciones del empleo del empleado o contratista (Ver 7.1.2). Los cambios de la responsabilidad o de empleo deben gestionarse como la terminacin de la responsabilidad o el empleo actual, combinado con el inicio de la nueva responsabilidad o empleo. Otra informacin La funcin de recursos humanos es generalmente responsable del proceso global de la terminacin y trabaja en conjunto con el supervisor de la persona que se retira, para gestionar los aspectos de seguridad de la informacin de los procedimientos correspondientes. En el caso de un contratista provisto a travs de una entidad externa, este proceso de terminacin es realizado por la parte externa de conformidad con el contrato entre la organizacin y la parte externa. Puede que sea necesario informar a los empleados, clientes o contratistas de cambios de personal y arreglos operativos.


20 ISO/IEC 27002:2013/Cor.1:2014

8 GESTIN DE ACTIVOS 8.1 Responsabilidad sobre los activos Objetivo: Identificar los activos organizacionales y definir las apropiadas responsabilidades de proteccin.

Inventario de activos 8.1.1

Control Informacin, otros activos asociados con informacin e instalaciones de procesamiento de la informacin deben ser identificados y un inventario de estos activos debe ser levantado y mantenido. Gua para la implementacin Una organizacin debe identificar los activos relevantes en el ciclo de vida de la informacin y documentar su importancia. El ciclo de vida de la informacin debe incluir la creacin, procesamiento, almacenamiento, transmisin, eliminacin y destruccin. La documentacin debe ser mantenida en los inventarios dedicados o existentes, segn corresponda. El inventario de activos debe ser exacto, actualizado, consistente y alineado con otros inventarios. Para cada uno de los activos identificados, la propiedad del activo debe ser asignado (Ver 8.1.2) y la clasificacin se debe identificar (Ver 8.2). Otra informacin Los inventarios de activos ayudan a asegurar que la proteccin efectiva se lleva a cabo, y tambin puede ser necesaria para otros fines, tales como razones de salud y seguridad, financieras y de seguro (gestin de activos). ISO/IEC 27005[11] proporciona ejemplos de activos que pueden ser considerados por la organizacin en la identificacin de sus activos. El proceso de compilacin de un inventario de los activos es un requisito importante de la gestin de riesgos (vase tambin la Norma NTS ISO/IEC 27000 e ISO/IEC 27005[11]).

Propiedad de los activos 8.1.2 Control Los activos recopilados en el inventario deben ser asignados.


ISO/IEC 27002:2013/Cor.1:2014 21

Gua para la implementacin Individuos, as como otras entidades que han aprobado la responsabilidad de gestin del ciclo de vida de activos califican para ser asignados como propietarios de activos. Un proceso para garantizar la asignacin oportuna de propiedad de los activos es usualmente implementado. La propiedad se debe asignar cuando se crean los activos o cuando los activos se transfieren a la organizacin. El propietario de los activos debe ser responsable de la correcta gestin de un activo durante todo el ciclo de vida de los activos. El propietario de los activos debe: a) asegurar que los activos son inventariados; b) asegurar que los activos estn debidamente clasificados y protegidos; c) definir y revisar peridicamente las restricciones de acceso y las clasificaciones de los activos

importantes, teniendo en cuenta las polticas de control de acceso aplicables; d) garantizar el manejo adecuado cuando el activo se elimina o destruye. Otra informacin El propietario identificado puede ser un individuo o una entidad que tiene aprobada la responsabilidad de gestin para el control de todo el ciclo de vida de un activo. El propietario identificado no necesariamente tiene ningn derecho de propiedad sobre el activo. Las tareas de rutina pueden ser delegadas, por ejemplo, a un custodio el cuidado de los activos diariamente, pero la responsabilidad sigue siendo del propietario. En los sistemas de informacin complejos, puede ser til designar grupos de activos que actan en conjunto para proporcionar un servicio en particular. En este caso, el dueo de este servicio es responsable de la prestacin del servicio, incluyendo la operacin de sus activos.

Uso aceptable de los activos 8.1.3 Control Se deben identificar, documentar e implementar las reglas para el uso aceptable de la informacin, los activos asociados y las instalaciones para procesamiento de la informacin.


22 ISO/IEC 27002:2013/Cor.1:2014

Gua para la implementacin Los empleados y usuarios de la parte externa que utilicen o tengan acceso a los activos de la organizacin deben ser conscientes de los requisitos de seguridad de la informacin de la organizacin, otros activos relacionados con la informacin y las instalaciones y recursos de procesamiento de informacin. Ellos deben ser responsables del uso de los recursos de procesamiento de la informacin y cualquier uso llevado a cabo bajo su responsabilidad.

Devolucin de los activos 8.1.4 Control Todos los empleados y usuarios externos deben devolver todos los activos de la organizacin que se encuentran en su posesin una vez dada la terminacin de su empleo, contrato o acuerdo. Gua para la implementacin El proceso de terminacin debe ser formalizado para incluir la devolucin de todos los activos fsicos y electrnicos anteriormente emitidos, asignados o encomendados por la organizacin. En los casos donde un empleado o usuario de una parte externa comprara equipos de la organizacin o utilizara su propio equipo personal, se deben seguir los procedimientos para garantizar que toda la informacin pertinente se transfiera a la organizacin y se borra de manera segura del equipo (Ver 11.2.7). En los casos donde un empleado o usuario externo tiene conocimiento que la informacin es importante para las operaciones en curso, esta debe ser documentada y transferida a la organizacin. Durante el perodo de aviso de terminacin, la organizacin debe controlar la copia no autorizada de informacin relevante (por ejemplo la propiedad intelectual) por los empleados y contratistas terminados. 8.2 Clasificacin de la informacin Objetivo: Asegurar que la informacin reciba un nivel apropiado de proteccin en concordancia con su importancia para la organizacin.

Clasificacin de la informacin 8.2.1

Control La informacin debe ser clasificada en trminos de su valor, requerimientos legales, sensibilidad y criticidad a modificaciones o divulgacin no autorizada.


ISO/IEC 27002:2013/Cor.1:2014 23

Gua para la implementacin Clasificaciones y controles de proteccin correspondientes a la informacin deben tener en cuenta las necesidades de la organizacin para el intercambio o la restriccin de la informacin, as como los requisitos legales. Los activos que no sean informacin tambin pueden clasificarse de conformidad con el tipo de informacin que almacena, procesa, o de otra manera manipula o protege. Los propietarios de los activos de informacin deben ser responsables de su clasificacin. El esquema de clasificacin debe incluir las convenciones para la clasificacin y los criterios para la revisin de la clasificacin en el transcurso del tiempo. El nivel de proteccin en el esquema debe ser evaluado mediante el anlisis de la confidencialidad, integridad y disponibilidad, y cualquier otro requisito para la informacin considerada. El esquema debe estar alineado con la poltica de control de acceso (Ver 9.1.1). A cada nivel se le debe dar un nombre que tenga sentido en el contexto de la aplicacin del esquema de clasificacin. El esquema debe ser consistente a travs de toda la organizacin para que todos clasifiquen la informacin y los activos relacionados de la misma manera, tengan un entendimiento comn de los requisitos de proteccin y apliquen la proteccin adecuada. La clasificacin debe ser incluida en los procesos de la organizacin, y ser consistente y coherente en toda la organizacin. Los resultados de la clasificacin deben indicar valor de los activos en funcin de su sensibilidad y criticidad a la organizacin, por ejemplo, en trminos de confidencialidad, integridad y disponibilidad. Los resultados de la clasificacin deben ser actualizados de acuerdo con los cambios de su valor, sensibilidad y criticidad a travs de su ciclo de vida. Otra informacin La clasificacin proporciona a las personas que se ocupan de la informacin con una indicacin concisa de cmo manejarla y protegerla. Esto se facilita por la creacin de grupos de informacin con las necesidades de proteccin similares y especificar los procedimientos de seguridad de la informacin que se aplican a toda la informacin de cada grupo. Este enfoque reduce la necesidad de una evaluacin de riesgos caso por caso y el diseo a la medida de los controles. La informacin puede dejar de ser sensible o crtica despus de un cierto perodo de tiempo, por ejemplo, cuando la informacin se ha hecho pblica. Estos aspectos deben ser tomados en cuenta, as como el exceso de la clasificacin puede dar lugar a la aplicacin de los controles innecesarios que resultan en gastos adicionales, por el contrario la infra clasificacin puede poner en peligro la consecucin de los objetivos de negocio. Un ejemplo de esquema de clasificacin de confidencialidad de la informacin podra basarse en cuatro niveles de la siguiente manera:


24 ISO/IEC 27002:2013/Cor.1:2014

a) la divulgacin no causa ningn dao; b) la divulgacin causa vergenza menor o inconveniencia operativa menor; c) la divulgacin tiene un impacto significativo a corto plazo sobre las operaciones o los objetivos

tcticos; d) la divulgacin tiene un grave impacto sobre los objetivos estratgicos a largo plazo o pone a la

supervivencia de la organizacin en riesgo.

Etiquetado de la informacin 8.2.2 Control Se debe desarrollar e implementar un apropiado conjunto de procedimientos para etiquetar la informacin en concordancia con el esquema de clasificacin de informacin adoptado por la organizacin. Gua para la implementacin Los procedimientos para el etiquetado de informacin necesitan considerar la informacin y sus activos relacionados en formatos fsicos y electrnicos. El etiquetado debe reflejar el esquema de clasificacin establecido en 8.2.1. Las etiquetas deben ser fcilmente reconocibles. Los procedimientos deben orientar sobre dnde y cmo las etiquetas se adjuntan considerando cmo la informacin es consultada o como se gestionan los activos en funcin de los tipos de medios. Los procedimientos pueden definir los casos en que se omite el etiquetado, por ejemplo, el etiquetado de la informacin no confidencial para reducir las cargas de trabajo. Los empleados y los contratistas deben estar al tanto de los procedimientos de etiquetado. La salida de los sistemas que contienen informacin que es clasificada como sensible o crtica debe llevar una etiqueta de clasificacin apropiada. Otra informacin El etiquetado de la informacin clasificada es un requisito clave para los acuerdos de intercambio de informacin. Etiquetas fsicas y metadatos son una forma comn de etiquetado. El etiquetado de la informacin y sus activos relacionados a veces puede tener efectos negativos. Los activos clasificados son ms fciles de identificar y en consecuencia ser sujetos de robo por atacantes internos o externos.


ISO/IEC 27002:2013/Cor.1:2014 25

Manejo de los activos 8.2.3 Control Se debe desarrollar e implementar procedimientos para manejo de activos en concordancia con el esquema de clasificacin de informacin adoptado por la organizacin. Gua para la implementacin Los procedimientos deben elaborarse para el manejo, procesamiento, almacenamiento y comunicacin de la informacin de acuerdo con su clasificacin (Ver 8.2.1). Los siguientes elementos deben ser considerados: a) restricciones de acceso compatibles con los requisitos de proteccin para cada nivel de

clasificacin; b) el mantenimiento de un registro formal de los receptores autorizados de los activos; c) proteccin de las copias temporales o permanentes de informacin a un nivel compatible con la

proteccin de la informacin original; d) almacenamiento de los activos de TI de acuerdo con las especificaciones de los fabricantes; e) borrar el marcado de todas las copias de los medios para la atencin del destinatario autorizado. El esquema de clasificacin utilizado dentro de la organizacin puede no ser equivalente a los sistemas utilizados por otras organizaciones, incluso si los nombres de los niveles son similares; Adems, la informacin que se mueve entre organizaciones puede variar en su clasificacin en funcin de su contexto en cada organizacin, incluso si sus sistemas de clasificacin son idnticos. Acuerdos con otras organizaciones que incluyen el intercambio de informacin deben incluir procedimientos para identificar la clasificacin de dicha informacin y para interpretar las etiquetas de clasificacin de otras organizaciones. 8.3 Manejo de Medios Objetivo: Prevenir la divulgacin, modificacin, eliminacin o destruccin no autorizada de informacin almacenada en medios.


26 ISO/IEC 27002:2013/Cor.1:2014

Gestin de los medios removibles 8.3.1 Control Se deben implementar procedimientos para la gestin de medios removibles en concordancia con el esquema de clasificacin adoptado por la organizacin. Gua para la implementacin Las siguientes directrices para la gestin de los medios removibles deben de considerar: a) si ya no es necesario, los contenidos de los medios re-utilizables que deben ser retirados de la

organizacin deben ser irrecuperables; b) cuando sea necesario y prctico, deber exigirse una autorizacin para remover los medios de la

organizacin y un registro de dichos movimientos debe conservarse a fin de mantener una evidencia de auditora;

c) todos los medios deben ser almacenados en un ambiente seguro, de acuerdo con las

especificaciones de los fabricantes; d) si la confidencialidad o integridad de los datos son consideraciones importantes, deben utilizarse

tcnicas criptogrficas para proteger los datos en medios removibles; e) para mitigar el riesgo de degradacin de los medios, mientras que todava se necesitan los datos

almacenados, los datos deben ser transferidos a un medio nuevo antes de convertirse en ilegibles;

f) mltiples copias de datos importantes deben almacenarse en medios separados para reducir an

ms el riesgo de daos o prdida en los datos coincidentes; g) el registro de los medios removibles debe considerar limitar la posibilidad de la prdida de datos; h) las unidades de medios removibles slo deben habilitarse si hay una razn organizacional para

hacerlo;

i) donde haya una necesidad de utilizar medios removibles la transferencia de informacin a tales medios debe ser monitoreada.

Los procedimientos y niveles de autorizacin deben ser documentados.


ISO/IEC 27002:2013/Cor.1:2014 27

Eliminacin de medios 8.3.2 Control Se deben eliminar los medios de manera segura cuando ya no son requeridos utilizando procedimientos formales. Gua para la implementacin Se deben establecer procedimientos formales para la eliminacin segura de los medios con el objetivo de minimizar el riesgo de fugas de informacin confidencial a personas no autorizadas. Los procedimientos para la eliminacin segura de los medios que contienen informacin confidencial deben ser proporcionales a la criticidad de esa informacin. Los siguientes elementos deben ser considerados: a) los medios que contengan informacin confidencial deben almacenarse y eliminarse de forma

segura, como por incineracin o trituracin, o el borrado de los datos para su uso por otra aplicacin dentro de la organizacin;

b) procedimientos deben estar implementados para identificar los elementos que podran requerir la

eliminacin segura; c) puede ser ms fcil organizar todos los tipos de medios para su recoleccin y eliminacin segura,

en lugar de tratar de separar los medios sensibles; d) muchas organizaciones ofrecen servicios de recoleccin y disposicin de medios; se debe tener

cuidado en la seleccin de una parte externa con los controles y la experiencia adecuadas; e) se debe registrar la eliminacin de los medios sensibles con el fin de mantener una evidencia de

auditora. Cuando se acumulan los medios para su eliminacin, se debe tener en cuenta el efecto de agregacin, que puede causar que una gran cantidad de informacin no sensible se vuelva sensible. Otra informacin Dispositivos daados que contienen datos sensibles pueden requerir una evaluacin de riesgos para determinar si los elementos deben ser destruidos fsicamente en lugar de enviarse para su reparacin o ser descartados (Ver 11.2.7).


28 ISO/IEC 27002:2013/Cor.1:2014

Transferencia de medios fsicos 8.3.3 Control Medios que contengan informacin deben ser protegidos contra acceso no autorizado, mal uso o corrupcin durante su transporte. Gua para la implementacin Las siguientes directrices deben ser consideradas para proteger los medios que contengan la informacin a ser transportados: a) deben utilizarse transporte o mensajeros confiables; b) debe ser acordada con la administracin una lista de mensajeros autorizados; c) deben ser desarrollados procedimientos para verificar la identidad de los mensajeros; d) el embalaje deber ser suficiente para proteger el contenido de cualquier dao fsico que pueda

producirse durante el trnsito y que est acorde con las especificaciones del fabricante, por ejemplo, la proteccin contra factores medioambientales que pueden reducir la eficacia de la restauracin de los medios, tales como la exposicin al calor, la humedad o los campos electromagnticos;

e) deben mantenerse registros, identificando el contenido de los medios, la proteccin aplicada, as

como el registro de los tiempos de traslado de los custodios de trnsito y recepcin en el destino. Otra informacin La informacin puede ser vulnerable al acceso no autorizado, mal uso o corrupcin durante el transporte fsico, por ejemplo, durante el envo de los medios a travs del correo nacional o mensajera privada. En este control, los medios incluyen documentos en papel. Cuando la informacin confidencial sobre los medios no est cifrada, debe ser considerada proteccin fsica adicional de los medios.


ISO/IEC 27002:2013/Cor.1:2014 29

9 CONTROL DE ACCESO

Requerimiento del negocio del control de acceso 9.1 Objetivo: Limitar el acceso a la informacin y a instalaciones de procesamiento de la informacin.

Poltica del control de acceso 9.1.1

Control Se debe establecer, documentar y revisar una poltica de control de acceso basada en los requerimientos de seguridad de la informacin y del negocio. Gua para la implementacin Los propietarios de activos deben determinar las reglas de control de acceso apropiadas, derechos de acceso y restricciones para roles de usuario especficas para con sus activos, con el nivel de detalle y el rigor de los controles reflejando los riesgos de seguridad de la informacin asociada. Los controles de acceso son a la vez lgicos y fsicos (Ver apartado 11) y estos deben ser considerados en conjunto. Los usuarios y los proveedores de servicios deben tener una declaracin clara de los requerimientos del negocio que deben cumplir en base a los controles de acceso.

La poltica debe tener en cuenta lo siguiente:

a) los requisitos de seguridad de las aplicaciones de negocio;

b) las polticas para la difusin de informacin y autorizacin, por ejemplo, el principio de necesidad de conocer, los niveles de seguridad de informacin y clasificacin de la informacin (Ver 8.2);

c) la consistencia entre los derechos de acceso y polticas de clasificacin de la informacin de los sistemas y redes;

d) la legislacin pertinente y las obligaciones contractuales relativas a la limitacin de acceso a los

datos o servicios (Ver 18.1); e) la gestin de los derechos de acceso en un entorno distribuido y en red que reconoce todo tipo de

conexiones disponibles; f) la segregacin de las funciones de control de acceso, por ejemplo, solicitud de acceso,

autorizacin de acceso, administracin de acceso; g) los requisitos para la autorizacin formal de las solicitudes de acceso (Ver 9.2.1 y 9.2.2);


30 ISO/IEC 27002:2013/Cor.1:2014

h) los requisitos para la revisin peridica de los derechos de acceso (Ver 9.2.5); i) la eliminacin de los derechos de acceso (Ver 9.2.6); j) el archivo de los expedientes de todos los acontecimientos importantes en relacin con el uso y la

gestin de identidades de usuario y la informacin secreta de autenticacin; k) los roles con acceso privilegiado (Ver 9.2.3).

Otra informacin

Se debe tener cuidado al especificar reglas de control de acceso considerando: a) el establecimiento de reglas basadas en la premisa "Todo est generalmente prohibido a menos

que est expresamente permitido" en lugar de la regla ms dbil "Todo est generalmente permitido a menos que este expresamente prohibido";

b) los cambios en las etiquetas de informacin (Ver 8.2.2) que se inician automticamente por las

instalaciones de procesamiento de informacin y aquellos iniciados a criterio de un usuario; c) los cambios en los permisos del usuario que se inician automticamente por el sistema de

informacin y aquellos iniciados por un administrador; d) las reglas que requieren aprobacin especfica antes de su promulgacin y aquellas que no. Reglas de control de acceso deben ser apoyadas por procedimientos formales (Ver 9.2, 9.3, 9.4) y definir responsabilidades (Ver 6.1.1, 9.3). Control de acceso basado en roles es un enfoque utilizado con xito por muchas organizaciones para vincular los derechos de acceso con las funciones de negocio. Dos de los principios frecuentes que dirigen la poltica de control de acceso son: a) necesidad de saber: slo se le concede acceso a la informacin que necesita para realizar sus

tareas(diferentes tareas/roles significan diferente necesidad de conocer y por lo tanto perfiles de acceso diferente);

b) necesidad de usar: slo se le concede acceso a las instalaciones de procesamiento de

informacin (equipos informticos, aplicaciones, los procedimientos, las habitaciones) que necesitan para realizar su tarea/trabajo/rol.

Acceso a redes y servicios de red 9.1.2

Control Se debe proveer a los usuarios nicamente con acceso a la red y servicios de red que hayan sido especficamente autorizados.


ISO/IEC 27002:2013/Cor.1:2014 31

Gua para la implementacin Una poltica debe formularse en relacin con el uso de redes y servicios de red. Esta poltica debe cubrir: a) las redes y los servicios de red que estn autorizados a acceder;

b) los procedimientos de autorizacin para determinar quin puede acceder a qu redes y servicios

en red; c) los controles y procedimientos para proteger el acceso a las conexiones de red y servicios de red

de gestin; d) los medios utilizados para acceder a las redes y servicios de red (por ejemplo, el uso de VPN o

red inalmbrica); e) los requisitos de autenticacin de usuario para acceder a varios servicios de red; f) el seguimiento de la utilizacin de los servicios de red.

La poltica sobre el uso de servicios de red debe ser consistente con la poltica de control de acceso de la organizacin (Ver 9.1.1). Otra informacin Conexiones no autorizadas e inseguras a los servicios de red pueden afectar a toda la organizacin. Este control es particularmente importante para las conexiones de red a las aplicaciones de negocio sensibles o crticas o para los usuarios en lugares de alto riesgo, por ejemplo, reas pblicas o externas que estn fuera de la gestin de seguridad de informacin y control de la organizacin.

Gestin del acceso de usuarios 9.2 Objetivo: Asegurar el acceso autorizado a los usuarios y prevenir el acceso no autorizado a los sistemas y servicios.

Registro y anulacin de usuarios 9.2.1

Control

Para habilitar la asignacin de derechos de acceso se debe implementar un procedimiento formal para la creacin y anulacin de usuarios.

Gua para la Implementacin

El proceso de gestin de los ID de usuario debe incluir:


32 ISO/IEC 27002:2013/Cor.1:2014

a) utilizando los ID de usuario nicos para que los usuarios puedan estar vinculados y sean responsables de sus acciones; el uso de IDs compartidas slo se permitir cuando sean necesarias por razones de negocios o de funcionamiento y debe ser aprobado y documentado;

b) inmediatamente desactivar o quitar los IDs de usuario de los usuarios que han abandonado la organizacin (Ver 9.2.6);

c) la identificacin y eliminacin o desactivacin peridica de IDs de usuario redundantes;

d) asegurar que los IDs de usuario redundantes no se emiten a otros usuarios.

Otra informacin

Proporcionar o revocar el acceso a la informacin o a las instalaciones de procesamiento de informacin es por lo general un procedimiento de dos pasos:

a) asignar y permitir, o revocar, un ID de usuario;

b) proporcionar o revocar, derechos de acceso a ese ID de usuario (Ver 9.2.2).

Provisin de accesos de usuario 9.2.2 Control Se debe implementar un proceso formal de provisin de accesos de usuario para asignar o revocar derechos de acceso para todos los tipos de usuario a todos los sistemas y servicios. Gua para la Implementacin El proceso de aprovisionamiento para asignar o revocar los derechos de acceso concedidos a los IDs de usuario debe incluir: a) obtener la autorizacin del propietario del sistema de informacin o servicio para el uso del

sistema de informacin o servicio (Ver 8.1.2); aprobacin por separado de derechos de acceso de la direccin tambin puede ser apropiado;

b) verificar que el nivel de acceso otorgado es adecuado a las polticas de acceso (Ver 9.1) y es

consistente con otros requisitos, como la segregacin de funciones (Ver 6.1.2); c) garantizar que los derechos de acceso no estn activados (por ejemplo por proveedores de

servicios) antes de que se completen los procedimientos de autorizacin; d) el mantenimiento de un registro central de los derechos de acceso concedidos a un ID de usuario

para acceder a los sistemas y servicios de informacin;


ISO/IEC 27002:2013/Cor.1:2014 33

e) adaptar los derechos de acceso de los usuarios que han cambiado de roles o puestos de trabajo y eliminar o bloquear inmediatamente los derechos de acceso de los usuarios que han abandonado la organizacin;

f) la revisin peridica de los derechos de acceso con los propietarios de los sistemas o servicios de

informacin (Ver 9.2.5). Otra informacin Se debe considerar la posibilidad de establecer los roles de acceso de usuarios basados en los requerimientos del negocio que resumen una serie de derechos de acceso en perfiles tpicos de acceso de usuario. Las solicitudes de acceso y revisiones (Ver 9.2.4) se gestionan ms fcil a nivel de esos roles que en el mbito de los derechos particulares. Se debe considerar la posibilidad de incluir apartados en los contratos de personal y los contratos de servicio que especifiquen sanciones en caso de intentos de acceso no autorizado por personal o contratistas (Ver 7.1.2, 7.2.3, 13.2.4, 15.1.2).

Gestin de privilegios de derechos de acceso 9.2.3 Control Se debe restringir y controlar la asignacin y uso de los privilegios de derechos de acceso. Gua para la Implementacin La asignacin de derechos de acceso privilegiado debe ser controlada a travs de un proceso de autorizacin formal de acuerdo con la poltica de control de acceso correspondiente (Ver 9.1.1). Los pasos siguientes deben ser considerados: a) los derechos de acceso privilegiados asociados a cada sistema o proceso, por ejemplo, del

sistema operativo, sistema de gestin de base de datos y cada aplicacin y los usuarios a quienes necesitan ser asignados deben ser identificados;

b) derechos de acceso privilegiados deben ser asignados a los usuarios en base a la necesidad de

uso y eventos de uso en lnea con la poltica de control de acceso (Ver 9.1.1), p. ej., basado en el requisito mnimo para sus roles funcionales;

c) debe mantenerse un proceso de autorizacin y regis

nts 35.68.06.15

Documents

norma isoiec

informacin correspondencia

polticas de seguridad

gestin de activos

san salvador

information technology

organizacin interna

calle poniente