AnexoA(Normativo) Objetivosdecontrolycontroles

LosobjetivosdecontrolyloscontrolesenumeradosenlaTablaA.1sederivandirectamentede,ysealinean con, aquellos enumerados en BS ISO/IEC 17799:2005 Clusulas del 5 al 15. Las listas en estas tablas no son exhaustivas y una organizacin podra considerar que son necesarios objetivos de control y controles adicionales. Los objetivos de control y los controles de estas tablas deben seleccionarse como parte del procesoSGSIespecificadoen4.2.1. El BS ISO/IEC 17799:2005 Clusulas del 5 al 15 proporciona consulta y lineamientos para la implementacin delasmejoresprcticasensoportedeloscontrolesespecificadosenA.5alA.15.

TablaA.1Objetivosdecontrolycontroles
A.5Polticadeseguridad A.5.1Polticadeseguridaddeinformacin Objetivo de control: Proporcionar direccin gerencial y apoyo a la seguridad de la informacin en concordancia con los requerimientos comerciales y leyes yregulacionesrelevantes Documentar poltica Control A.5.1.1 de seguridad de La gerencia debe aprobar un documento de poltica, este se debe publicar y informacin comunicaratodoslosempleadosyentidadesexternasrelevantes. Control Revisin de la poltica La poltica de seguridad de la informacin debe ser revisada regularmente A.5.1.2 de seguridad de la a intervalos planeados o si ocurren cambios significativos para asegurar la informacin continuaidoneidad,eficienciayefectividad. A,6Organizacindelaseguridaddelainformacin A.6.1Organizacininterna Objetivo:Manejarlaseguridaddelainformacindentrodelaorganizacin. Compromiso de la Control gerencia con la La gerencia debe apoyar activamente la seguridad dentro de la organizacin a A.6.1.1 seguridad de la travs de una direccin clara, compromiso demostrado, asignacin explcita y informacin reconocimientodelasresponsabilidadesdelaseguridaddelainformacin. Control Coordinacin de la Las actividades de seguridad de la informacin deben ser coordinadas por A.6.1.2 seguridad de representantes de las diferentes partes de la organizacin con las funciones y informacin roleslaboralesrelevantes. Asignacin de responsabilidades de Control A.6.1.3 Se deben definir claramente las responsabilidades de la seguridad de la la seguridad de la informacin. informacin Proceso de autorizacin para los Control A.6.1.4 medios de Se debe definir e implementar un proceso de autorizacin gerencial para los procesamiento de nuevosmediosdeprocesamientodeinformacin informacin Control Acuerdos de Se deben identificar y revisar regularmente los requerimientos de A.6.1.5 confidencialidad confidencialidad o los acuerdos de nodivulgacin reflejando las necesidades delaorganizacinparalaproteccindelainformacin. Contacto con Control A.6.1.6 Sedebemantenerloscontactosapropiadosconlasautoridadesrelevantes. autoridades Contacto con grupos Control Se deben mantener contactos apropiados con losgruposdeintersespecial A.6.1.7 deintersespecial uotros forosdeseguridadespecializadosyasociacionesprofesionales. Control El enfoque de la organizacin para manejar la seguridad de la informacin y su Revisin independiente implementacin (es decir; objetivos de control, controles, polticas, procesos y de la seguridad de la A.6.1.8 procedimientos para la seguridad de la informacin) se debe revisar informacin independientemente a intervalos planeados, o cuando ocurran cambios significativos para laimplementacindelaseguridad.
Pgina1de11

A.6.2Entidadesexternas Objetivo:Mantenerlaseguridaddelainformacindelaorganizacinylosmediosdeprocesamientodeinformacinalos cualesentidadesexternastienenaccesoyprocesan;osoncomunicadosaomanejadosporentidadesexternas. Control Identificacin de Se deben identificar los riesgos que corren la informacin y los medios de A.6.2.1 riesgos relacionados procesamiento de informacin de la organizacin y se deben implementar los conentidadesexternas controlesapropiadosantesdeotorgaracceso. Tratamiento de la Control A.6.2.2 seguridad cuando se Se deben tratar todos los requerimientos de seguridad identificados antes de otorgaralosclientesaccesoalainformacinoactivosdelaorganizacin. trabajaconclientes Control Los acuerdos que involucran acceso, procesamiento, comunicacin o manejo Tratamiento de la por parte de terceras personas a la informacin o los medios de procesamiento A.6.2.3 seguridad en contratos deinformacindelaorganizacin;agregarproductososerviciosalosmediosde conterceraspersonas procesamiento de la informacin deben abarcar los requerimientos de seguridadnecesariosrelevantes. A.7Gestindeactivos A.7.1Responsabilidadporlosactivos Objetivo:Lograrymantenerlaproteccinapropiadade losactivosorganizacionales. Control A.7.1.1 Inventariosdeactivos Todos los activos deben estar claramente identificados; y se debe elaborar y manteneruninventariodetodoslosactivosimportantes. Control Propiedad de los Toda la informacin y los activos asociados con los medios de A.7.1.2 activos procesamiento de la informacin deben ser propiedad de una parte designada de aorganizacin. Control Uso aceptable de los Sedebenidentificar,documentareimplementarlasreglasparaelusoaceptable A.7.1.3 activos de la informacin y los activos asociadoscon los mediosde procesamiento de la informacin. A.7.2Clasificacindelainformacin Objetivo:Asegurarqueainformacinrecibaunniveldeproteccinapropiado. Lineamientos de Control A.7.2.1 La informacin debe ser clasificada en trminos de su valor, requerimientos clasificacin legales,confidencialidadygradocrticoparalaorganizacin. Control Etiquetado y manejo Se debe desarrollar e implementar un apropiado conjunto de A.7.2.2 de lainformacin procedimientos para etiquetar y manejar la informacin en concordancia con elesquemadeclasificacinadoptadoporlaorganizacin. A.8Seguridaddelosrecursoshumanos A.8.1Antesdelempleo Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean adecuados para losrolesparaloscualesselesconsidera;yreducirelriesgoderobo,fraudeomalusodelosmedios. Control Roles y Se deben definir y documentar los roles y responsabilidades de seguridad de A.8.1.1 responsabilidades los empleados, contratistas y terceros en concordancia con la poltica de la seguridaddeinformacindelaorganizacin. Control Se deben llevar a cabo chequeos de verificacin de antecedentes de todos los candidatos a empleados, contratistas y terceros en concordancia con las A.8.1.2 Seleccin leyes, regulaciones y tica relevante, y deben ser proporcionales a los requerimientos comerciales, la clasificacin delainformacinalacualseva ateneraccesoylosriesgospercibidos. Control Trminos y Como parte de su obligacin contractual; los empleados, contratistas y A.8.1.3 condiciones de terceros deben aceptar y firmar los trminos y condiciones de su contrato de empleo empleo, el cual debe establecer sus responsabilidades y las de la organizacin paralaseguridaddelainformacin.
Pgina2de11

A.8.2Duranteelempleo Objetivo: Asegurar que todos los empleados, contratistas y terceros estn al tanto de las amenazas e inquietudes sobre la seguridad de informacin, sus responsabilidades y obligaciones, y que estn equipados para apoyar la poltica de seguridadorganizacionalenelcursodesutrabajonormal,yreducirlosriesgosdeerrorhumano. Control Gestin de La gerencia debe requerir que los empleados, contratistas y terceros apliquen A.8.2.1 responsabilidades la seguridad en concordancia con las polticas y procedimientos establecidos delaorganizacin. Control Capacitacin y Todos los empleados de la organizacin y, cuando sea relevante, los educacin en A.8.2.2 contratistas y terceros, deben recibir el apropiado conocimiento, capacitacin seguridad de la y actualizaciones regulares de las polticas y procedimientos organizacionales, informacin conformeseanrelevantesparasufuncinlaboral. Control A.8.2.3 Procesodisciplinario Debe existir un proceso disciplinario formal para los empleados que han cometido una violacin enlaseguridad. A.8.3Terminacinocambiodelempleo Objetivo: Asegurar que los empleados,contratistasytercerossalgandeunaorganizacinocambiendeempleodeuna maneraordenada. Control Responsabilidades de A.8.3.1 Se deben definir y asignar claramente las responsabilidades para realizar la terminacin terminacin ocambiodelempleo. Control Todoslosempleados,contratistasytercerosdebendevolvertodoslosactivosde A.8.3.2 Devolucindeactivos laorganizacinqueestnensuposesinalaterminacindesuempleo,contrato oacuerdo. Control Eliminacin de Los derechos de acceso de todos los empleados, contratistas y terceros a la A.8.3.3 derechosdeacceso informacin y medios de procesamiento de la informacin deben ser eliminados alaterminacindesuempleo,contratooacuerdo,osedebenajustaralcambio. A.9Seguridadfsicayambiental A.9.1reasseguras Objetivo: Evitar el acceso fsico no autorizado,dao e interferencia al localylainformacindelaorganizacin. Control Permetro de Se debe utilizar permetros de seguridad(barreras tales como paredes y puertas A.9.1.1 seguridadfsica de ingreso controlado o recepcionistas) para proteger reas que contienen informacinymediosdeprocesamientodeinformacin. Control Controles de entrada A.9.1.2 Se deben proteger las reas seguras mediante controles de entrada apropiados fsicos paraasegurarqueslosepermitaaccesoalpersonalautorizado. Seguridad de oficinas, Control A.9.1.3 habitacionesymedios Sedebedisearyaplicarseguridadfsicaenlasoficinas,habitacionesymedios. Control Proteccin contra Se debe disear y aplicar proteccin fsica contra dao por fuego, inundacin, A.9.1.4 amenazas externas y terremoto, explosin, disturbios civiles y otras formas de desastre natural o ambientales creadoporelhombre. Trabajo en reas Control A.9.1.5 Se debe disear y aplicar proteccin fsica y lineamientos para trabajar en seguras reasseguras. Control reas de acceso Se deben controlar los puntos de acceso como lasreasdeentregaydescarga A.9.1.6 pblico, entrega y y otros puntos donde personas noautorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislar de los medios de procesamiento de la carga informacinparaevitarunaccesonoautorizado.

Pgina3de11

A.9.2Seguridaddelequipo Objetivo: Evitar la prdida, dao, robo o compromiso de los activos y la interrupcin de las actividades de la organizacin Control Ubicacin y proteccin El equipo debe estar ubicado o protegido para reducir los riesgos de las A.9.2.1 delequipo amenazas y peligros ambientales, y las oportunidades para el acceso no autorizado. Control A.9.2.2 Serviciospblicos El equipo debe ser protegido de fallas de energa y otras interrupciones causadasporfallasenlosserviciospblicos. Control el El cableado de la energa y las telecomunicaciones que llevan data o A.9.2.3 sostienenlosserviciosdeinformacindebenserprotegidosdelaintercepcino dao. Control Mantenimiento de A.9.2.4 El equipo debe ser mantenido correctamente para permitir su continua equipo disponibilidadeintegridad. Control Seguridad del equipo Se debe aplicar seguridad al equipo fueradellocal tomando en cuenta los A.9.2.5 fueradellocal diferentesriesgosdetrabajarfueradellocalde laorganizacin Control Todos los tems de equipo que contengan medios de almacenaje deben ser Eliminacin seguro o A.9.2.6 chequeados para asegurar que se haya removido o sobreescrito de manera reusodelequipo segura cualquier data confidencial y software con licencia antes de su eliminacin. Control A.9.2.7 TrasladodePropiedad Equipos, informacin o software nodeben sersacadosfueradelapropiedadsin previaautorizacin. A.10Gestindelascomunicacionesyoperaciones A.10.1Procedimientosyresponsabilidadesoperacionales Objetivo:Asegurarlaoperacincorrectayseguradelosmediosdeprocesamientodelainformacin Procedimientos de Control A.10.1.1 operacin Se deben documentar y mantener los procedimientos de operacin, y se deben documentados poneradisposicindetodoslosusuariosquelosnecesiten. Control A.10.1.2 Gestindecambio Se deben controlar los cambios en los medios y sistemas de procesamiento delainformacin. Control Segregacin de Se deben segregar los deberes y reas de responsabilidad para reducir las A.10.1.3 deberes oportunidades de una modificacin noautorizada o nointencionada o un mal usodelosactivosdelaorganizacin. Separacin de los Control A.10.1.4 medios de desarrollo y Se deben separar los medios de desarrollo, prueba y operacionales para reducir losriesgosdeaccesosnoautorizadosocambiosenelsistemadeoperacin. operacionales A.10.2Gestindelaentregadelserviciodeterceros Objetivo: Implementar y mantener el nivel apropiado de seguridad de la informacin y entrega del servicio en lnea con loscontratosdeentregadelserviciodeterceros. Control Se debe asegurar que los terceros implementen, operen y mantengan los A.10.2.1 Entregadelservicio controlesdeseguridad,definicionesdeservicioynivelesdeentregaincluidosen elcontratodeentregadelserviciodeterceros. Monitoreo y revisin Control Los servicios, reportes y registros provistos por terceros deben ser A.10.2.2 de los servicios de monitoreados y revisados regularmente, y las auditoras se deben llevar a cabo terceros regularmente. Seguridad cableado en

Pgina4de11

Control Manejar los cambios Se deben manejar los cambios en la provisin de servicios, incluyendo el A.10.2.3 en los servicios de mantenimiento y mejoramiento de las polticas, procedimientos y controles de terceros seguridad existentes, tomando en cuenta el grado crtico de los sistemas y procesoscomercialesinvolucradosylare evaluacindelosriesgos. A.10.3Planeacinyaceptacindelsistema Objetivo:Minimizarelriesgodefallasenlossistemas. Control A.10.3.1 Gestindecapacidad Sedebenmonitorear,afinaryrealizarproyeccionesdelusodelosrecursospara asegurareldesempeodelsistemarequerido. Control Se deben establecer los criterios de aceptacin para los sistemas de Aceptacin del A.10.3.2 informacin nuevos, actualizaciones y versiones nuevas y se deben llevar a cabo sistema pruebas adecuadas del(los) sistema(s) durante su desarrollo y antes de su aceptacin. A.10.4Proteccincontrasoftwaremaliciosoycdigomvil Objetivo:Protegerlaintegridaddelsoftwareylainformacin. Control Controles contra Se deben implementar controles de deteccin, prevencin y recuperacin para A.10.4.1 softwaremalicioso protegerse de cdigos malicioso y se deben implementar procedimientos de concienciaapropiados. Control Cuando se autoriza el uso de un cdigo mvil, a configuracin debe asegurar Controles contra A.10.4.2 que el cdigo mvil autorizado opere de acuerdo a una poltica de seguridad cdigosmviles claramente definida, y se debe evitar que se ejecute un cdigo mvil no autorizado A.10.5Respaldo(backup) Objetivo:Mantenerlaintegridadydisponibilidaddelosserviciosdeprocesamientodeinformacinycomunicaciones. Control Backup o respaldo de A.10.5.1 Se deben realizar copias de backup o respaldo de la informacin comercial y lainformacin softwareesencialysedebenprobarregularmentedeacuerdoalapoltica. A.10.6Gestindeseguridadderedes Objetivo: Asegurar la proteccin de la informacin en redes y laproteccin delainfraestructuradesoporte. Control Las redes deben ser adecuadamente manejadas y controladas para poderlas A.10.6.1 Controlesdered proteger de amenazas, y para mantener la seguridad de los sistemas y aplicacionesutilizandolared,incluyendolainformacinentrnsito. Control Seguridad de los Se deben identificar los dispositivos de seguridad, niveles de servicio y los A.10.6.2 serviciosdered requerimientos e incluirlos en cualquier contrato de servicio de red, ya sea que estosserviciosseanprovistosencasaoseanabastecidosexternamente. A.10.7Gestindemedios Objetivo: Evitar la divulgacin, modificacin, eliminacin o destruccinnoautorizadadelosactivos;ylainterrupcinde lasactividadescomerciales. Gestin de los Control A.10.7.1 mediosremovibles Deben existir procedimientos para la gestin demediosremovibles. Control A.10.7.2 Eliminacindemedios Los medios deben ser eliminados utilizando procedimientos formales y de una manera seguracuandoyanoselesrequiere. Control Procedimientos de Se deben establecer los procedimientos para el manejo y almacenaje de la A.10.7.3 manejo de la informacinparaprotegerdichainformacindeunadivulgacinnoautorizadao informacin unmaluso. Seguridad de Control A.10.7.4 documentacin del Sedebeprotegerladocumentacindeunaccesonoautorizado. sistema

Pgina5de11

A.10.8Intercambiodeinformacin Objetivo: Mantener la seguridad de cualquierentidadexterna. Procedimientos y polticas de A.10.8.1 informacin y software

la informacin y software intercambiados dentro de una organizacin y con

Control Se deben establecer poltica, procedimientos y controles de intercambio formales para protegerelintercambiodeinformacinatravsdelusodetodos lostiposdemediosdecomunicacin. Control Acuerdos de A.10.8.2 Se deben establecer acuerdos para el intercambio de informacin y software intercambio entrelaorganizacinyentidadesexternas. Control Medios fsicos en Los medios que contienen informacin deben ser protegidos contra un A.10.8.3 trnsito acceso noautorizado, mal uso o corrupcin durante el transporte ms all deloslmitesfsicosdeunaorganizacin. Control A.10.8.4 Mensajeselectrnicos Sedebeprotegeradecuadamentelos mensajeselectrnicos. Control Sistemas de Se deben desarrollar e implementar polticas y procedimientos para proteger la A.10.8.5 informacincomercial informacin asociada con la interconexin de los sistemas de informacin comercial. A.10.9Serviciosdecomercioelectrnico Objetivo: Asegurar la seguridad de los servicios de comercio electrnico y suusoseguro Control Se debe proteger la informacin involucrada en el comercio electrnico que se A.10.9.1 Comercioelectrnico trasmite a travs de redes pblicas de cualquier actividad fraudulenta, disputa contractualydivulgacinymodificacinnoautorizada. Control Se debe proteger la informacin involucrada en las transacciones enlnea A.10.9.2 Transaccionesenlnea para evitar la transmisin incompleta, rutas equivocadas, alteracin no autorizada del mensaje, divulgacin noautorizada, y duplicacin o reenvo no autorizadodelmensaje. Control Informacin disponible A.10.9.3 Se debe proteger la integridad de la informacin disponible pblicamente para pblicamente evitarlamodificacinnoautorizada. A.10.10Monitoreo Objetivo:Detectaractividadesdeprocesamientodeinformacinnoautorizadas. Control Se deben producir registros de la actividades de auditoria, excepciones y A.10.10.1 Registrodeauditoria eventos de seguridad de la informacin y se deben mantener durante un perodoacordadoparaayudareninvestigacionesfuturasymonitorearelcontrol deacceso. Control Uso del sistema de Se deben establecer procedimientos para monitorear el uso de los medios de A.10.10.2 monitoreo procesamiento de informacin y el resultado de las actividades de monitoreo se deberevisarregularmente. Proteccin de la Control informacin del Se deben proteger los medios de registro y la informacin del registro contra A.10.10.3 registro alteracionesyaccesonoautorizado. Registros del Control A.10.10.4 administrador y Sedebenregistrarlasactividadesdeladministradoryoperadordelsistema. operador Control A.10.10.5 Registrodefallas Lasfallassedebenregistrar,analizarysedebetomarlaaccinapropiada. Control Sincronizacin de Los relojes de los sistemas de procesamiento de informacin relevantes de una A.10.10.6 relojes organizacin o dominio de seguridad deben estar sincronizados con una fuentedetiempoexactaacordada.

Pgina6de11

A.11Controldeacceso A.11.1Requerimientocomercialparaelcontroldelacceso Objetivo:Controlaraccesoalainformacin Control Poltica de control de A.11.1.1 Sedebeestablecer,documentaryrevisarlapoltica de control de acceso en acceso base a losrequerimientosdeseguridadycomerciales. A.11.2Gestindelaccesodelusuario Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de informacin. Control A.11.2.1 Inscripcindelusuario Debe existir un procedimiento formal para la inscripcin y desinscripcin para otorgar accesoatodoslossistemasyserviciosdeinformacin. Control A.11.2.2 Gestindeprivilegios Se debe restringir y controlar la asignacin yusodelosprivilegios. Control Gestinde laclavedel La asignacin de claves se debe controlar a travs de un proceso de gestin A.11.2.3 usuario formal. Revisin de los Control A.11.2.4 derechos de acceso La gerencia debe revisar los derechos de acceso de los usuarios a intervalos regularesutilizandounprocesoformal. delusuario A.11.3Responsabilidadesdelusuario Objetivo: Evitar el acceso de usuarios no autorizados, y el compromiso o robo de la informacin y los medios de procesamientodelainformacin. Control Se debe requerir que los usuarios sigan buenasprcticas de seguridad en la seleccin y uso declaves. Control Equipo de usuario A.11.3.2 Se debe requerir que los usuarios se aseguren de dar la proteccin apropiada al desatendido equipodesatendido. Control Poltica de pantalla y Se debe adoptar una poltica de escritorio limpio para los documentos ymedios A.11.3.3 escritoriolimpio de almacenaje removibles y una poltica de pantalla limpia para los medios de procesamientodelainformacin. A.11.4Controldeaccesoaredes Objetivo:Evitarelaccesonoautorizadoalosserviciosenred. Control Poltica sobre el uso A.11.4.1 Los usuarios slo deben tener acceso a los servicios para los cuales han sido deserviciosenred especficamenteautorizadosausar. Autenticacin del Control A.11.4.2 usuario para Se debe utilizar mtodos de autenticacin para controlar el acceso de usuarios conexionesexternas remotos. Control Identificacin del A.11.4.3 Se debe considerar la identificacin automtica del equipo como un medio para equipoenred autenticarlasconexionesdesdeequiposyubicacionesespecficas. Control Proteccin del puerto A.11.4.4 Se debe controlar el acceso fsico y lgico a los puertos de diagnstico y dediagnsticoremoto configuracin. Control A.11.4.5 Segregacinenredes Los servicios de informacin, usuarios y sistemas de informacin se deben segregarenlasredes. Control Se debe restringir la capacidad de conexin de los usuarios en las redes Control de conexin de A.11.4.6 compartidas, especialmente aquellas que se extienden a travs de los lmites redes organizaciones, en concordancia con la poltica de control de acceso y los requerimientosdelasafliccionescomerciales(ver11.1). A.11.3.1 Usodeclave

Pgina7de11

Control Controlderoutingde Se deben implementar controles routing para las redes para asegurar que las A.11.4.7 conexiones de cmputo y los flujos de informacin no infrinjan la poltica de redes controldeaccesodelasaplicacionescomerciales. A.11.5Controldeaccesoalsistemadeoperacin Objetivo:Evitaraccesonoautorizadoalossistemasoperativos Control Procedimientos de A.11.5.1 Se debe controlar el acceso los servicios operativos mediante un procedimiento registroenelterminal deregistroseguro. Control Identificacin y Todos los usuarios deben tener un identificador singular (ID de usuario) para su A.11.5.2 autenticacin del uso personal y exclusivo, se debe elegir una tcnica de autenticacin adecuada usuario para verificarlaidentidaddelusuario. Sistema de gestin de Control Los sistemas de manejo de claves deben ser interactivos y deben asegurar la claves calidad de lasclaves. Uso de utilidades del Control Se debe restringir y controlar estrictamente el uso de los programas de A.11.5.4 sistema utilidadque podransuperaralsistemayloscontrolesdeaplicacin. Control A.11.5.5 Sesininactiva Las sesiones inactivas deben cerrarse despus de un perodo de inactividad definido. Limitacin de tiempo Control A.11.5.6 Se debe utilizar restricciones sobre los tiempos de conexin para proporcionar deconexin seguridad adicionalalasaplicacionesdealtoriesgo. A.11.6Controldeaccesoalaaplicacineinformacin Objetivo: Evitarelaccesonoautorizadoalainformacinmantenidaenlossistemasdeaplicacin. Control Restriccin al acceso a Se debe restringir el acceso de los usuarios y personal de soporte al sistema de A.11.6.1 lainformacin informacin y aplicacin en concordancia con la poltica de control de acceso definida. Aislamiento del Control A.11.6.2 sistemasensible Lossistemassensiblesdebentenerunambientedecmputodedicado(aislado). A.11.7Computacinmvilyteletrabajo Objetivo:Asegurarlaseguridaddelainformacincuandoseutilicemediosdecomputacinmvilyteletrabajo. Control Computacin mvil y Se debe establecer una poltica formal y adoptar las medidas de seguridad A.11.7.1 comunicaciones apropiadasparaprotegercontralosriesgosdeutilizarmediosdecomputaciny comunicacinmviles. Control A.11.7.2 Teletrabajo Se deben desarrollar e implementar polticas, planes operacionales y procedimientosparaactividadesdeteletrabajo. A.12Adquisicin,desarrolloymantenimientodelossistemasdeinformacin A.12.1Requerimientosdeseguridaddelossistemas Objetivo: Asegurar que la seguridad sea una parte integral de los sistemas deinformacin. Anlisis y Control especificacin de los Los enunciados de los requerimientos comerciales para sistemas nuevos, o A.12.1.1 requerimientos de mejorar los sistemas existentes deben especificar los requerimientos de los seguridad controlesdeseguridad. A.12.2Procesamientocorrectoenlasaplicaciones Objetivo: Evitar errores, prdida, modificacin noautorizada o mal uso de lainformacinenlasaplicaciones. Validacin de data de Control A.12.2.1 El Insumo de data en las aplicaciones debe ser validado para asegurar que Insumo estadataseacorrectayapropiada. Control Control de Se deben incorporar chequeos de validacin en las aplicaciones para detectar A.12.2.2 procesamientointerno cualquiercorrupcindela informacinatravs de errores deprocesamientoo actosdeliberados. A.11.5.3
Pgina8de11

Control A.12.2.3 Integridaddelmensaje Se deben identificar los requerimientos para asegurar la autenticidad y proteccindelaintegridaddemensajeenlasaplicaciones,ysedebenidentificar eimplementarloscontrolesapropiados. Control Validacin de data de Se debe validar el output de data de una aplicacin para asegurar que el A.12.2.4 output procesamiento de la informacin almacenada sea correcto y apropiado para las circunstancias. A.12.3Controlescriptogrficos Objetivo:Protegerlaconfidencialidad,autenticidadointegridaddelainformacinatravsdemedioscriptogrficos. Poltica sobre el uso Control A.12.3.1 de controles Se debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos criptogrficosparalaproteccindelainformacin. Control A.12.3.2 Gestinclave Se debe utilizar una gestin clave para dar soporte al uso de las tcnicas de criptografa enlaorganizacin. A.12.4Seguridaddelosarchivosdelsistema Objetivo:Garantizarlaseguridaddelosarchivosdelsistema Control Control de software A.12.4.1 Se debe contar con procedimientos para controlar la instalacin de software en operacional lossistemasoperacionales. Proteccin de la Control A.12.4.2 data de prueba del Sedebeseleccionarcuidadosamente,protegerycontrolarladatadeprueba sistema Control de acceso al Control A.12.4.3 cdigo fuente del Sedeberestringirelaccesoalcdigofuentedelprograma. programa A.12.5Seguridadenlosprocesosdedesarrolloysoporte Objetivo:Mantenerlaseguridaddelsoftwareeinformacindelsistemadeaplicacin Control Procedimientos de A.12.5.1 La implementacin de cambios se debe controlar mediante el uso de controldecambio procedimientosformalesdecontroldecambios. Revisin tcnica de las Control aplicaciones despus Cuando se cambian los sistemas operativos, se deben revisar y probar las A.12.5.2 de cambios en el aplicaciones crticas del negocio para asegurar que no exista un impacto sistemaoperativo adversoenlasoperacionesoseguridadorganizacional. Control Restricciones sobre los No se deben fomentar las modificaciones a los paquetes de software, se deben A.12.5.3 cambios en los limitar a los cambios necesarios y todos los cambios deben ser controlados paquetesdesoftware estrictamente. Filtracin de Control A.12.5.4 informacin Sedebenevitarlas oportunidadesdefiltracionesenlainformacin. Desarrollo de Control A.12.5.5 El desarrollo de software que ha sido outsourced debe ser supervisado y outsourcedsoftware monitoreadoporlaorganizacin. A.12.6Gestindevulnerabilidadtcnica Objetivo: Reducir los riesgos resultantes de la explotacin de vulnerabilidadestcnicaspublicadas. Control Control de Se debe obtener informacin oportuna sobre las vulnerabilidades tcnicas A.12.6.1 vulnerabilidades de los sistemas de informacin en uso; se debe evaluar la exposicin de la organizacin ante esas vulnerabilidades; y se deben tomar las medidas tcnicas apropiadasparatratarelriesgoasociado.

Pgina9de11

A.13Gestindeincidentesenlaseguridaddelainformacin A.13.1Reportedeeventosydebilidadesenlaseguridaddelainformacin Objetivo: Asegurar que la informacin de los eventos y debilidades en la seguridad de la informacin asociados con los sistemasdeinformacinseacomunicadadeunamaneraquepermitatomarunaaccincorrectivaoportuna. Reporte de eventos en Control A.13.1.1 la seguridad de la Los eventos de seguridad de la informacin deben reportarse a travs de los informacin canalesgerencialesapropiadoslomsrpidamenteposible. Control Reporte de Se debe requerir que todos los empleados, contratistas y terceros usuarios de A.13.1.2 debilidades en la los sistemas y servicios de informacin tomen nota y reporten cualquier seguridad debilidadobservadaosospechadaenlaseguridaddelossistemasoservicios. A.13.2Gestindeincidentesymejorasenlaseguridaddelainformacin Objetivo: Asegurar que se aplique un enfoque consistente y efectivo a la gestindelaseguridaddelainformacin. Control Responsabilidades y Se deben establecer las responsabilidades y procedimientos gerenciales para A.13.2.1 procedimientos asegurarunarespuestarpida,efectivayordenadaalosincidentesdeseguridad delainformacin. Aprendizaje de los Control incidentes en la A.13.2.2 Deben existir mecanismos para permitir cuantificar y monitorear los tipos, seguridad de la volmenesycostosdelosincidentesenlaseguridaddelainformacin. informacin Control Cuando la accin de seguimiento contra una persona u organizacin despus de Recoleccin de A.13.2.3 un incidente en la seguridad de la informacin involucra una accin legal (sea evidencia civil o criminal), se debe recolectar, mantener y presentar evidencia para cumplirlasreglasdeevidenciaestablecidasenla(s)jurisdiccin(es)relevantes. A.14Gestindelacontinuidadcomercial A.14.1 Aspectosdelaseguridaddelainformacin de la gestin de lacontinuidadcomercial Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales crticos de los efectos de fallas o desastres importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna. Control Incluir seguridad de Se debe desarrollar y mantener un proceso gerencial para la continuidad del la informacin en el A.14.1.1 negocio a travs de toda la organizacin para tratar los requerimientos de proceso de gestin de seguridad de la informacin necesarios para la continuidad comercial de la continuidadcomercial organizacin. Control Continuidad comercial Se deben identificar los eventos que causan interrupciones en los procesos A.14.1.2 yevaluacindelriesgo comerciales, junto con la probabilidad e impacto de dichas interrupciones y sus consecuenciasparalaseguridaddelainformacin. Desarrollar e Control implementar planes de Se deben desarrollar e implementar planes para mantener o restaurar las continuidad incluyendo operaciones y asegurarladisponibilidaddelainformacinenelnivelrequerido A.14.1.3 seguridad de la y en las escalas de tiempo requeridas despus de la interrupcin o falla en informacin losprocesoscomercialescrticos. Control Marcoreferencialpara Sedebemantenerunsolomarcoreferencialdeplanesdecontinuidadcomercial A.14.1.4 la planeacin de la para asegurar que todos los planes sean consistentes y para tratar continuidadcomercial consistentemente los requerimientos de la seguridad de la informacin e identificarlasprioridadesdepruebasymantenimiento. Prueba, mantenimiento y Control A.14.1.5 reevaluacindeplanes Los planes de continuidad comercial se deben probar y actualizar de continuidad regularmente para asegurarqueestnactualizadosyseanefectivos. comerciales

Pgina10de11

A.15Cumplimiento A.15.1Cumplimientoconrequerimientoslegales Objetivo: Evitar violaciones de cualquier ley, obligacin reguladora o contractual y de cualquier requerimiento de seguridad Control Identificacin de Se deben definir explcitamente, documentar y actualizar todos los A.15.1.1 legislacinaplicable requerimientos estatutarios, reguladores y contractuales y el enfoque de la organizacinrelevanteparacadasistemadeinformacinylaorganizacin. Control Derechos de Se deben implementar los procedimientos apropiados para asegurar el A.15.1.2 propiedad intelectual cumplimiento de los requerimientos legislativos, reguladores y contractuales (IPR) sobre el uso de material con respecto a los derechos de propiedad intelectual ysobreelusodelosproductosdesoftwarepatentados. Control Proteccin de los Se deben proteger los registros importantes de una organizacin de A.15.1.3 registros prdida, destruccin y falsificacin, en concordancia con los requerimientos organizacionales estatutarios,reguladores,contractualesycomerciales. Control Proteccin de data y Se deben asegurar la proteccin y privacidad tal como se requiere en la A.15.1.4 privacidad de legislacin relevante, las regulaciones y, si fuese aplicable, las clusulas informacinpersonal contractuales. Prevencin de mal Control uso de medios de Se debe desanimar a los usuarios de utilizar los medios de procesamiento de A.15.1.5 procesamiento de la informacin parapropsitosnoautorizados. informacin Regulacin de Control A.15.1.6 controles Se deben utilizar controles en cumplimiento con los acuerdos, leyes y criptogrficos regulacionesrelevantes. A.15.2Cumplimientoconlaspolticasy estndaresdeseguridad,y elcumplimientotcnico Objetivo:Asegurarelcumplimientodelossistemas con las polticas y estndaresdeseguridadorganizacional. Control Cumplimiento con las Los gerentes deben asegurar que todos los procedimientos de seguridad dentro A.15.2.1 polticas y estndares de su rea de responsabilidad sean realizados correctamente en cumplimiento deseguridad conlaspolticasyestndaresdeseguridad. Chequeo de Control A.15.2.2 Los sistemas de informacin deben chequearse regularmente para el cumplimientotcnico cumplimientoconlosestndaresdeimplementacindelaseguridad. A.15.3Consideracionesdeauditoriadelossistemadeinformacin Objetivo: Maximizar la efectividad de y minimizar la interferencia de/desde elprocesodeauditoradelossistemade informacin. Control Controles de auditoria Se deben planear cuidadosamente los requerimientos y actividades de las A.15.3.1 de sistemas de auditorias que involucran chequeo de los sistemas operacionales y se debe informacin acordarminimizarelriesgodeinterrupcionesenlosprocesoscomerciales. Proteccin de las herramientas de Se debe proteger el acceso a las herramientas de auditora de los sistemas de A.15.3.2 auditoria de los informacinparaevitarcualquiermalusoocompromisoposible. sistemas de informacin

Pgina11de11