Gestión de La Seguridad de La Información

Gestin de la Seguridad de la Informacin
Para el fin de preservar la informacin, se ha demostrado que no es suficiente la

implantacin de controles y procedimientos de seguridad realizados
frecuentemente sin un criterio comn establecido, en torno a la compra de
productos tcnicos y sin considerar toda la informacin esencial que se debe
proteger.
La Organizacin Internacional de Estandarizacin (ISO), a travs de las normas
recogidas en ISO / IEC 27000, establece una implementacin efectiva de la
seguridad de la informacin empresarial desarrolladas en las normas ISO 27001 /
ISO 27002.
Los requisitos de la Norma ISO 27001 norma nos aportan un Sistema de Gestin
de la Seguridad de la Informacin (SGSI), consistente en medidas orientadas a
proteger la informacin, indistintamente del formato de la misma, contra
cualquier amenaza, de forma que garanticemos en todo momento la continuidad
de las actividades de la empresa.
Los Objetivos del SGSI son preservar la:
Confidencialidad
Integridad
y Disponibilidad de la Informacin

Elementos o fases para la Implementacin de un SGSI
El Sistema de Gestin de La Seguridad de la Informacin que propone la Norma
ISO 27001 se puede resumir en las siguientes fases que se detallan en la figura:

Beneficios de la Norma ISO 27001
Los riesgos de seguridad de la informacin representan una amenaza
considerable para las empresas debido a la posibilidad de prdida financiera o
dao, la prdida de los servicios esenciales de red, o de la reputacin y confianza
de los clientes.
La gestin de riesgos es uno de los elementos clave en la prevencin del fraude
online, robo de identidad, daos a los sitios Web, la prdida de los datos
personales y muchos otros incidentes de seguridad de la informacin. Sin un
marco de gestin de riesgos slida, las organizaciones se exponen a muchos tipos
de amenazas informticas.
La nueva norma internacional ISO / IEC 27001 seguridad de la informacin,
ayudar a las organizaciones de todo tipo para mejorar la gestin de sus riesgos
de seguridad de la informacin.
Hoy en da, seguridad de la informacin est constantemente en las noticias con el
robo de identidad, las infracciones en las empresas los registros financieros y las
amenazas de terrorismo ciberntico. Un sistema de gestin de seguridad de la
informacin (SGSI) es un enfoque sistemtico para la gestin de la informacin
confidencial de la empresa para que siga siendo seguro. Abarca las personas,
procesos y sistemas de TI.
El diseo y la implementacin de un SGSI (ISO / IEC 27001:2005) dar confianza
a clientes y proveedores que la seguridad de la informacin se toma en serio
dentro de la organizacin, estando a la vanguardia en la aplicacin de la tcnica
de procesos para hacer frente a las amenazas de la informacin y a y los
problemas de la seguridad.
Qu entendemos por Informacin en ISO 27001?
Sin duda, gran parte de la Informacin de una empresa se encuentra en los
sistemas informticos, sin embargo, la Norma ISO 27001 define la informacin
como:
La informacin es un activo que, como otros activos importantes del
negocio, tiene valor para la organizacin y requiere en consecuencia una
proteccin adecuada
a informacin adopta diversas formas. Puede estar impresa o escrita en
papel, almacenada electrnicamente, transmitida por correo o por medios
electrnicos, mostrada en video o hablada en conversacin. Debera
protegerse adecuadamente cualquiera que sea la forma que tome o los
medios por los que se comparta o almacene.
Atendiendo a este concepto, ISO 27001 propone un marco de gestin de la
seguridad de toda la informacin de la empresa, incluso si es informacin
perteneciente al propio conocimiento y experiencia de las personas o sea tratada
en reuniones etc. En este sentido las propias personas pueden ser tratadas en el
SGSI como activos de informacin si as se cree conveniente.
Por tanto, no debemos centrar la atencin solamente en los sistemas informticos
por mucho que tengan hoy en da una importancia ms que relevante en el
tratamiento de la informacin ya que de otra forma, podramos dejar sin proteger
informacin que puede ser esencial para la actividad de la empresa.
Implantando la Norma ISO 27001
A la hora de implantar un Sistema de Gestin de la Seguridad de la Informacin
(SGSI) segn la norma ISO 27001, debemos considerar como eje central de este
sistema la Evaluacin de Riesgos. Este captulo de la Norma, permitir a la
direccin de la empresa tener la visin necesaria para definir el alcance y mbito
de aplicacin de la norma, as como las polticas y medidas a implantar,
integrando este sistema en la metodologa de mejora continua, comn para todas
las normas ISO.
Lo primero, es elegir una metodologa de evaluacin del riesgo apropiada para los
requerimientos del negocio. Existen numerosas metodologas estandarizadas de
evaluacin de riesgos. Aqu explicaremos la metodologa sugerida en la Norma.
Las fases de esta metodologa son los siguientes:

Mtodo de Evaluacin y Tratamiento del Riesgo

1.- Identificar los Activos de Informacin y sus responsables,
entendiendo por activo todo aquello que tiene valor para la
organizacin, incluyendo soportes fsicos (edificios o
equipamientos), intelectuales o informativas (Ideas,
aplicaciones, proyectos ) as como la marca, la reputacin
etc.
2.- Identificar las Vulnerabilidades de cada activo: aquellas
debilidades propias del activo que lo hacen susceptible de
sufrir ataques o daos.
3.- Identificar las amenazas: Aquellas cosas que puedan
suceder y daar el activo de la informacin, tales como
desastres naturales, incendios o ataques de virus, espionaje
etc.
4.- Identificar los requisitos legales y contractuales que la
organizacin est obligada a cumplir con sus clientes, socios
o proveedores.
5.- Identificar los riesgos: Definir para cada activo, la
probabilidad de que las amenazas o las vulnerabilidades
propias del activo puedan causar un dao total o parcial al
activo de la informacin, en relacin a su disponibilidad,
confidencialidad e integridad del mismo.
6.- Clculo del riesgo: Este se realiza a partir de la
probabilidad de ocurrencia del riesgo y el impacto que este
tiene sobre la organizacin (Riesgo = impacto x probabilidad
de la amenaza). Con este procedimiento determinamos los
riesgos que deben ser controlados con prioridad.
7.- Plan de tratamiento del riesgo: En este punto estamos
preparados para definir la poltica de tratamiento de los
riesgos en funcin de los puntos anteriores y de la poltica
definida por la direccin. En este punto, es donde
seleccionaremos los controles adecuados para cada riesgo,
los cuales irn orientados a :
Asumir el riesgo
Reducir el riesgo
Eliminar el riesgo
Transferir el riesgo

El ciclo de Deming, tambin conocido como crculo PDCA (de Edwards
Deming), es una estrategia de mejora continua de la calidad en cuatro
pasos, basada en un concepto ideado por Walter A. Shewhart. Tambin se
denomina espiral de mejora continua. Es muy utilizado por los Sistemas de
Gestin de Calidad (SGC).
Las siglas, PDCA son el acrnimo de Plan, Do, Check, Act (Planificar,
Hacer, Verificar, Actuar).
Los resultados de la implementacin de este ciclo permiten a las empresas
una mejora integral de la competitividad, de los productos y servicios,
mejorando continuamente la calidad, reduciendo los costes, optimizando la
productividad, reduciendo los precios, incrementando la participacin del
mercado y aumentando la rentabilidad de la empresa u organizacin.
Plan (Planificar)
Establecer las actividades del proceso, necesarias para obtener el resultado
esperado. Al basar las acciones para el resultado esperado, la exactitud y
cumplimiento de las especificaciones a lograr se convierten tambin en un
elemento a mejorar, aunque sera mejor ya no tener que mejorar, o sea, hacerlo
bien a la primera. Cuando sea posible conviene realizar pruebas segn sea
requerido, para probar los resultados.
Recopilar datos para profundizar en el conocimiento del proceso.
Detallar las especificaciones de los resultados esperados
Definir las actividades necesarias para lograr el producto o servicio,
verificando los requisitos especificados
Do (Hacer)
Es ejecutar el plan estratgico lo que contempla: organizar, dirigir, asignar
recursos y supervisar la ejecucin.
Check (Verificar)
Pasado un periodo previsto de antemano, volver a recopilar datos de
control y analizarlos, comparndolos con los requisitos especificados
inicialmente, para saber si se han cumplido y en su caso, evaluar si se ha
producido la mejora
Monitorizar la implementacin y evaluar el plan de ejecucin documentando
las conclusiones.
Act (Actuar)
Con base a las conclusiones del paso anterior elegir una opcin:
Si se han detectado errores parciales en el paso anterior, realizar un nuevo
ciclo PDCA con nuevas mejoras.
Si no se han detectado errores relevantes, aplicar a gran escala las
modificaciones de los procesos
Si se han detectado errores insalvables, abandonar las modificaciones de
los procesos
Ofrecer una Retro-alimentacin y/o mejora en la Planificacin.
SO/IEC 27002
ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estndar
para la seguridad de la informacin publicado por primera vez como
ISO/IEC 17799:2000 por la International Organization for Standardization y
por la Comisin Electrotcnica Internacional en el ao 2000, con el ttulo de
Information technology - Security techniques - Code of practice for
information security management. Tras un periodo de revisin y
actualizacin de los contenidos del estndar, se public en el ao 2005 el
documento actualizado denominado ISO/IEC 17799:2005. El estndar
ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue
publicado por primera vez en 1995.

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,
manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que
describe los objetivos de control y controles recomendables en cuanto a seguridad
de la informacin. No es certificable. Contiene 39 objetivos de control y 133
controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO 27001 contiene un anexo que resume los controles
de ISO 27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde
el 9 de Diciembre de 2009 (a la venta en AENOR). Otros pases donde tambin
est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27002),
Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile
(NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799;
descarga gratuita). El original en ingls y su traduccin al francs pueden
adquirirse en iso.org.
ISO/IEC 27002:2005.
Dominios
(11)
,
Objetivos de control
(39)
y Controles
(133)
5. POLTICA DE SEGURIDAD.
Establecer las Polticas de Seguridad de la Informacin es una de las acciones
proactivas que ayudan a disminuir los riesgos y ayuda a establecer claramente los
procesos en la administracin de los activos informticos y de la informacin que
se gestiona a travs de ellos.

Actualmente se encuentra vigente una poltica aprobada en el 2005 y estando en
proceso de aprobacin la poltica denominada ICIC/PS2012.

5.1 Poltica de seguridad de la informacin.

Proporcionar la gua y apoyo de la Direccin para la seguridad de la informacin en relacin a los
requisitos del negocio y a las leyes y regulaciones relevantes.
La Direccin debera establecer una poltica clara y en lnea con los objetivos del negocio y
demostrar su apoyo y compromiso con la seguridad de la informacin mediante la publicacin y
mantenimiento de una poltica de seguridad de la informacin para toda la organizacin.
Piense en trminos de un manual o wiki de polticas de seguridad de la informacin que contenga
un conjunto coherente e internamente consistente de polticas, normas, procedimientos y
directrices.
Determine la frecuencia de revisin de la poltica de seguridad de la informacin y las formas de
comunicacin a toda la organizacin.
La revisin de la idoneidad y adecuacin de la poltica de seguridad de la informacin puede ser
incluida en las revisiones de la direccin.
Cobertura de la poltica (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las cuales se
han especificado, escrito, aprobado y publicado polticas y sus normas, procedimientos y
directrices asociadas.
Grado de despliegue y adopcin de la poltica en la organizacin (medido por auditora, gerencia o
auto-evaluacin).

5.1.1 Documento de poltica de seguridad de la informacin.

Control: La Direccin debera aprobar y publicar un documento de la poltica de seguridad de la
informacin y comunicar la poltica a todos los empleados y las partes externas relevantes.
Posibles Soluciones a este control:
GESCONSULTOR
Plataforma no gratuita que integra todos los elementos necesarios para la
implantacin y gestin completa del ciclo de vida de un SGSI, as como otros
requisitos de cumplimiento de aspectos legales, normativos, contractuales y
con terceras partes que sean de aplicacin al Alcance del Sistema de Gestin. El
portal web aporta informacin de libre disposicin sobre SGSI, Esquema
Nacional de Seguridad y otros marcos y polticas relevantes y cmo deben ser
tratados.
GESCONSULTOR
ICIC
Modelo de Poltica de Seguridad de la Informacin para la Administracin
pblica de Argentina, basado en ISO 27002. Establece directrices para cada uno
de los controles.
Modelo Poltica - ICIC
BIS
Department for Business Innovation and Skills (apoyado por el Departamento
de Industria y Comercio del Reino Unido) dispone de diversos documentos
relacionados con la seguridad de la informacin, includas guas de desarrollo
de polticas de seguridad y diversos checklists (ingls) con el objetivo de lograr
la proteccin y desarrollo econmico de las empresas.
Directorio BIS
CENTRO
CRIPTOLOGICO
NACIONAL
Los documentos CCN-STIC del Centro Criptolgico Nacional espaol incluyen
normas, instrucciones, guas y recomendaciones para garantizar la seguridad
de los sistemas de las TIC en la Administracin espaola.
Series CCN
DIRECTION CENTRALE
DE LA SCURIT DES SI
Gua de redaccin de polticas de seguridad de la informacin de la " Direction
Centrale de la Scurit des Systmes dInformation" francesa. Disponible en
espaol.
Gua PSSI
DMOZ
Proyecto abierto que ha recopilado a modo de directorio todo tipo de polticas
de seguridad en diversas reas
Miscelanea de diversas
polticas
INFOSECWRITERS
Documento de libre descarga (ingls) que analiza las claves para la creacin con
xito de una poltica de seguridad para Pequeas y Medianas Empresas.
Gua Poltica PYME
ISACA
Muchas de las directrices de ISACA para auditores de sistemas de informacin
son tiles tambin como apoyo para redactar polticas de seguridad.
Documentos ISACA
NIST
Guas de la serie 800 sobre distintos aspectos tcnicos de la seguridad de la
informacin del NIST (National Institute of Standards and Technology) de
EEUU. Sirven de apoyo a la hora de redactar polticas.
Guas NIST
NOTICEBORED
Plantilla no gratuita y manual de polticas de seguridad de la informacin
basado en ISO 27002.
Manual de Polticas
RSA Security Inc.
Gua de creacin de una poltica de seguridad (ingls). Alojado en web de
CCCure.org
Poltica RSA
SANS INSTITUTE
Conjunto de plantillas de polticas de seguridad del SANS Institute (ingls) Plantillas SANS
SANS INSTITUTE Gua de desarrollo de una poltica de seguridad de la informacin (ingls). Gua SANS
SENADO ESPAA
Normativa de uso de sistemas de informacin del Senado espaol como
ejemplo de un despliegue de poltica.
Poltica Senado
TREASURY BOARD OF
CANADA SECRETARIAT
Poltica de Seguridad del Gobierno de Canad.
Poltica TBCS (ingls)
Poltica TBCS (francs)
UCISA
Toolkit de la "Universities and Colleges Information Systems Association" del
Reino Unido que agrupa a las ms importantes Universidades de Reino Unido y
que han generado polticas de seguridad de la informacin basadas en ISO
27001.
Toolkit UCISA
UNIVERSIDAD
TECNOLGICA
NACIONAL
Poltica de Seguridad de la Universidad Tecnolgica Nacional (Argentina). 50
pginas, en espaol.
Poltica UTN

5.1.2 Revisin de la poltica de seguridad de la informacin

Control: La poltica de seguridad de la informacin se debera revisar a intervalos
planificados (o en caso que se produzcan cambios significativos) para garantizar
que es adecuada, eficaz y suficiente.

https://iso27002.wiki.zoho.com/06Organizacion.html

http://www.iso27000.es/iso27000.html

6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION.

6.1 Organizacin interna.

Gestionar la seguridad de la informacin dentro de la Organizacin.

Se debera establecer una estructura de gestin con objeto de iniciar y controlar la implantacin de
la seguridad de la informacin dentro de la Organizacin.

El rgano de direccin debera aprobar la poltica de seguridad de la informacin, asignar los roles
de seguridad y coordinar y revisar la implantacin de la seguridad en toda la Organizacin.

Si fuera necesario, en la Organizacin se debera establecer y facilitar el acceso a una fuente
especializada de consulta en seguridad de la informacin. Deberan desarrollarse contactos con
especialistas externos en seguridad, que incluyan a las administraciones pertinentes, con objeto de
mantenerse actualizado en las tendencias de la industria, la evolucin de las normas y los mtodos
de evaluacin, as como proporcionar enlaces adecuados para el tratamiento de las incidencias de
seguridad.

Debera fomentarse un enfoque multidisciplinario de la seguridad de la informacin, que, por
ejemplo, implique la cooperacin y la colaboracin de directores, usuarios, administradores,
diseadores de aplicaciones, auditores y el equipo de seguridad con expertos en reas como la
gestin de seguros y la gestin de riesgos.
Reproduzca la estructura y tamao de otras funciones corporativas especializadas, como Legal,
Riesgos y Compliance.
Porcentaje de funciones/unidades organizativas para las cuales se ha implantado una estrategia
global para mantener los riesgos de seguridad de la informacin por debajo de umbrales
explcitamente aceptados por la direccin.
Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y
responsabilidades de seguridad de la informacin.

6.1.1 Compromiso de la Direccin con la seguridad de la informacin.

Control: Los miembros de la Direccin deberan respaldar activamente las iniciativas de seguridad
demostrando su claro apoyo y compromiso, asignando y aprobando explcitamente las
responsabilidades en seguridad de la informacin dentro de la Organizacin.

INTECO
Curso introductorio gratuito de 20h. a los Sistemas de Gestin de la Seguridad de
la Informacin (SGSI) segn la norma UNE-ISO/IEC 27001. Se dan a conocer
los conceptos bsicos necesarios para introducir al usuario en la gestin de la
Seguridad de la Informacin, as como conocer la dimensin y alcance que
suponen la implantacin, certificacin y mantenimiento de un SGSI en una
organizacin, en base a la norma ISO/IEC 27001.
Inteco.es
ISO27001Security.com Caso de estudio en ingls sobre el valor de negocio de ISO 27001. iso27001security
ANETCOM Gua de gestin estratgica de seguridad en la empresa. Publicada por Anetcom. Seguridad estratgica
NIST
Gua de seguridad de la informacin para gerentes (en ingls). Publicada por
NIST.
NIST SP800-1

6.1.2 Coordinacin de la seguridad de la informacin.

Control:
Las actividades para la seguridad de la informacin deberan ser coordinadas por representantes
que posean de cierta relevancia en su puesto y funciones y de los distintos sectores que forman la
Organizacin.
SISTESEG
Ejemplo bsico en espaol de poltica de organizacin de la seguridad de la
informacin.
SISTESEG
Ministerio de Ciencia e
Innovacin
Documento de creacin del comit de seguridad de la informacin del
Ministerio de Ciencia e Innovacin de Espaa.
Comit de seguridad de la
informacin

6.1.3 Asignacin de responsabilidades relativas a la seguridad de la informacin.

Control:
Se deberan definir claramente todas las responsabilidades para la seguridad de la informacin.
ASIS International
Gua en ingls que analiza las responsabilidades, competencias y perfil
profesional de un CSO (Chief Security Officer).
Chief Security Officer
(CSO) Guideline
CCN
Gua de responsabilidades y funciones dentro del Esquema Nacional de
Seguridad.
CCN-STIC-801
GesConsultor
GesConsultor es una herramienta de pago (alquiler mensual) de gestin de
SGSIs, que incluye un mdulo de gestin de roles y responsabilidades del
personal en materia de seguridad.
GesConsultor
INTECO
Gua de INTECO en espaol sobre la utilizacin de las tecnologas de la
informacin en el mbito laboral y sus consideraciones legales.
Gua Inteco

6.1.4 Proceso de autorizacin de recursos para el tratamiento de la informacin.

Control:
Se debera definir y establecer un proceso de gestin de autorizaciones para los nuevos recursos
de tratamiento de la informacin.
FFIEC
Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls,
sobre cmo implantar un proceso de desarrollo y adquisicin de TI eficaz en una
organizacin. La acompaa una lista de verificacin -checklist-, til para auditar
dicho proceso.
FFIEC D&A IT Handbook
CNI
NS/05: Seguridad en los sistemas de informacin y comunicaciones. Proceso de
acreditacin. Publicada por la Autoridad Delegada para la Seguridad de la
Informacin Clasificada de Espaa
NS/05
CITICUS
Citicus, empresa especialista en gestin del riesgo empresarial y en el
cumplimiento dispone de una aplicacin free para la gama de IOS de los
dispositivos de Apple - iPhone, IPAD y el iPod touch.
Aplicacin para el anlisis
y gestin de riesgos
Demostracin en youtube
SpiceWorks
Spiceworks es una herramienta gratuita de gestin, monitorizacin y resolucin
de problemas de red, creacin automtica de mapas de red, helpdesk (gestin
de tickets), inventario de HW y SW (descubrimiento automtico, gestin de
licencias...) y gestin de compras TI, entre otras funcionalidades, prevista para
pequeas y medianas empresas.
Spiceworks

6.1.5 Acuerdos de confidencialidad.

Control:
Se deberan identificar y revisar regularmente en los acuerdos aquellos requisitos de
confidencialidad o no divulgacin que contemplan las necesidades de proteccin de la informacin
de la Organizacin.
MICROSOFT Consideraciones a la hora de establecer clusulas de confidencialidad en los
contratos de los empleados.
Acuerdos de
confidencialidad
LegalIT Consideraciones legales sobre confidencialidad en la legislacin argentina.
Acuerdos de
confidencialidad

6.1.6 Contacto con las autoridades.
Control:
Se deberan mantener los contactos apropiados con las autoridades pertinentes.
AGENCIA ESPAOLA
PROTECCIN DATOS
La Agencia de Proteccin de Datos tiene por objetivo velar por el cumplimiento
de la legislacin sobre proteccin de datos y controlar su aplicacin, en especial
en lo relativo a los derechos de informacin, acceso, rectificacin, oposicin y
cancelacin de datos.
AGPD
ALIANZA
INTERNACIONAL DE
PROTECCIN Y
SEGURIDAD CIBERNTICA
Gobiernos europeos, as como empresas internacionales y agencias policiales
como Interpol y Europol forman la alianza para combatir el cibercrimen
globalmente. Alianza Internacional de Proteccin y Seguridad Ciberntica se
encarga de mejorar la aplicacin de la ley internacional, as como de proteger a
las empresas y sus clientes de amenazas informticas. El financiamiento para
ICSPA provendr de los gobiernos y de la misma Unin Europea.
ICSPA
BIT-Polica Nacional
La Brigada de Investigacin Tecnolgica del Cuerpo Nacional de Polica de
Espaa es la Unidad policial destinada a responder a delitos en el entorno de las
nuevas tecnologas: pornografa infantil, estafas y fraudes por Internet, fraudes
en el uso de las comunicaciones, ataques cibernticos, piratera...
BIT
BSA
La piratera de software es la copia o distribucin no autorizada de software con
copyright. Puede hacerse copiando, descargando, compartiendo, vendiendo o
instalando mltiples copias en ordenadores personales o de trabajo. Lo que
mucha gente no advierte o no sabe es que cuando se compra software,
realmente se est comprando una licencia para usarlo, no el software en s. Esa
licencia es la que le dice cuntas veces puede instalar el software, por lo que es
importante leerla. Si hace ms copias del software de las permitidas por la
licencia, est pirateando.
BSA
CCN-CERT
CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la
Informacin del Centro Criptolgico Nacional (CCN), dependiente del Centro
Nacional de Inteligencia (CNI). Este servicio se cre a principios de 2007 como
CERT gubernamental espaol y est presente en los principales foros
internacionales en los que se comparte objetivos, ideas e informacin sobre la
seguridad de forma global.
CNI
CNPIC
El Centro Nacional para la Proteccin de las Infraestructuras Crticas (CNPIC) es
el rgano director y coordinador de cuantas actividades relacionadas con la
proteccin de las infraestructuras crticas tiene encomendadas la Secretara de
Estado de Seguridad del Ministerio del Interior de Espaa, a la que est adscrito.
El principal objetivo es prestar una eficaz colaboracin para mantener seguras las
infraestructuras crticas espaolas que proporcionan los servicios esenciales a la
sociedad.
CNPIC
GUARDIA CIVIL - DELITOS
INFORMTICOS
El GDT est creado para perseguir los delitos informticos. Si Vd. identifica un
problema de seguridad en la red, localiza un contenido ilcito o cree haber
detectado u observado una conducta que pudiera ser delictiva, puede
comunicarlo al GDT. Todo lo que en ella se recibe es tratado con la mxima
discrecin.
Guardia Civil
INTECO
Gua de INTECO "Quin es quin en el sector de seguridad TIC en Espaa".
Relacin de los principales actores involucrados en el sector de la seguridad de la
informacin en Espaa que no intervienen en el intercambio comercial y que
engloba desde aspec-tos como la formacin, los diferentes tipos de
agrupaciones, tanto de empresas como de profesionales, entes pblicos o los
medios de comunicacin que difunden las noticias relacionadas con el sector.
Quin es quin - Inteco
INTECO - CERT
INTECO tiene encomendadas a travs del Plan Avanza las misiones de sentar las
bases de coordinacin de distintas iniciativas pblicas en torno a la seguridad
informtica, impulsar la investigacin aplicada y la formacin especializada en el
mbito de la seguridad en el uso de las TIC y convertirse en el Centro de
Referencia en Seguridad Informtica a nivel nacional.
INTECO
INTECO-OSI
La "Oficina de Seguridad del Internauta" (OSI) es un servicio la Secretara de
Estado de Telecomunicaciones y para la Sociedad de la Informacin puesto en
marcha por INTECO, para proporcionar la informacin y el soporte necesarios
para evitar y resolver problemas de seguridad al navegar por Internet.
OSI
MISSION-MODE
15 Apps para gestin de crisis y desastres.
15 Disaster and Crisis
Apps
PROTECCIN CIVIL
Direccin General de Proteccin Civil y Emergencias de Espaa.
Proteccin Civil
SICHERHEITSTACHO
Este portal muestra estadsticas de alerta temprana mediante sensores de la red de
Deutsche Telekom y partners.
Enlace
UE CERT
Inventario con direcciones de contacto de los 200 Centros de Alerta Temprana de
toda la Unin Europea.

6.1.7 Contacto con grupos de especial inters.

Control:
Se debera mantener el contacto con grupos o foros de seguridad especializados y asociaciones
profesionales.
ANTI PHISHING WORKING
GROUP
El Grupo de Trabajo Anti-Phishing (APWG) es una organizacin
internacional sin nimo de lucro para la aplicacin en entornos
industriales y de cumplimiento de la ley con el objeto de eliminar el
fraude, el crimen y el robo de identidad como resultado de las actividades
de phishing, pharming, malware y suplantacin de correo electrnico de
cualquier tipo.
APWG
CWE
De alcance internacional y libre uso pblico, CWE ofrece un conjunto
unificado y medible de las debilidades de software que permite una ms
eficaz discusin, descripcin, seleccin y uso de herramientas de
seguridad de software y servicios que se podran contener estas
debilidades en su cdigo fuente y los sistemas operativos. Permite una
mejor comprensin y manejo de las debilidades de software relacionados
con la arquitectura y el diseo.
CWE
ENISA
Mapa actualizado cada 6 meses con Inventario europeo de las "Brigadas
digitales contra incendios" (Centros de Alerta Temprana) con un listado
de 173 equipos de respuesta de emergencia.
Centros de Alerta Teprana
UE
ESET
Consejos de seguridad para el uso seguro del ordenador y de la
informacin sensible y personal.
Alertas ESET
INTECO
Gua de INTECO "Quin es quin en el sector de seguridad TIC en Espaa".
Relacin de los principales actores involucrados en el sector de la
seguridad de la informacin en Espaa que no intervienen en el
intercambio comercial y que engloba desde aspectos como la formacin,
los diferentes tipos de agrupaciones, tanto de empresas como de
profesionales, entes pblicos o los medios de comunicacin que difunden
las noticias relacionadas con el sector.
Quin es quin - Inteco
LABORATORIOS
INDEPENDIENTES DE
EVALUACION ANTIVIRUS
En la seleccin de un buen AV se debe consultar a los laboratorios que
estn probando varios antivirus contra las ltimas amenazas de malware
y comprobar su actualizacin peridica. Varios enlaces a laboratorios
disponibles.
Virus Bulletin - VB100
AV-TEST Institute
AV Comparative
MCAFEE
Alertas de amenazas al Consumidor de McAfee le advertir sobre las
descargas ms peligrosas, pop-ups y el spam sospechoso para que pueda
mantenerse a la vanguardia de las actividades de delincuentes y
mantener su PC y la informacin personal segura y protegida. Permite
suscripcin gratuita a las alertas.
McAfee Alerts
MICROSOFT Centro de descargas de soluciones. Download Center
OFICINA DE SEGURIDAD DEL
INTERNAUTA
La Oficina de Seguridad del Internauta (OSI) es un servicio del Gobierno
para proporcionar la informacin y el soporte necesarios para evitar y
resolver los problemas de seguridad que pueden afectarnos al navegar
por Internet. Nuestro objetivo es elevar la cultura de seguridad, prevenir,
concienciar y formar proporcionando informacin clara y concisa acerca
de la tecnologa y el estado de la seguridad en Internet. Al mismo tiempo
impulsamos la deteccin y denuncia de nuevas amenazas en la red, de
fraudes, estafas online o de cualquier otro tipo de ataque de Seguridad
Informtica.
OSI
SECURELIST Informacin actualizada y muy completa sobre aquellas amenazas de
Internet que estn activas, y explica cmo evitarlas. El portal incluye
Kaspersky Alerts
diferentes secciones con artculos informativos y anlisis, blogs, una
enciclopedia de seguridad informtica y descripciones de malware, as
como un amplio glosario de trminos.
SECURE DATABASE
Panel de informacin con las vulnerabilidades en productos y que se
actualiza constantemente. La seccin de herramientas permite consultar
posibles soluciones de manera extensa y en materia de seguridad.
Dashboard y tools

6.1.8 Revisin independiente de la seguridad de la informacin.

Control:
Se deberan revisar las prcticas de la Organizacin para la gestin de la seguridad de la
informacin y su implantacin (por ej., objetivos de control, polticas, procesos y procedimientos de
seguridad) de forma independiente y a intervalos planificados o cuando se produzcan cambios
significativos para la seguridad de la informacin.
ISO27001security.com
Gua y checklist de auditora de un SGSI, conforme a ISO 27001. Est realizada
por el ISO 27001 Implementers Forum. ISMS Audit guideline
ISO27001security.com
Modelo de procedimiento, en ingls, para el establecimiento de un proceso de
auditora interna de un SGSI, conforme a ISO 27001. Est realizado por el ISO
27001 Implementers Forum.
ISMS internal audit
procedure
Microsoft Technet
La Herramienta de Evaluacin de Seguridad de Microsoft (MSAT) es una
herramienta gratuita, en espaol, diseada para ayudar a las organizaciones de
menos de 1.000 empleados a evaluar los puntos dbiles de su entorno de
seguridad de TI. Presenta un listado de cuestiones ordenadas por prioridad as
como orientacin especfica para minimizar esos riesgos.
TechCenter de seguridad
Symantec
Symantec Small Business Check-up: herramienta gratuita en ingls de auto-
evaluacin y benchmarking con 700 pymes de EMEA (Europa, Oriente Medio y
frica) para la seguridad de la informacin de pequeas empresas.
Symantec Small Business
Check-up
FFIEC
Gua en ingls del Federal Financial Institutions Examination Council para el
establecimiento de un proceso eficaz de auditora TI en una organizacin.
FFIEC IT Audit booklet
FFIEC
Diversas listas de verificacin -checklists-, en ingls, del Federal Financial
Institutions Examination Council, para auditar los procesos de planificacin de
continuidad de negocio, desarrollo y adquisicin de TI, banca electrnica,
seguridad de la informacin, outsourcing de TI, direccin y gestin de TI,
operaciones TI, supervisin de proveedores TI, retail payment systems,
wholesale payment systems y del propio proceso de auditora TI.
FFIEC Audit of BC
workprogram , FFIEC
Audit of D_A
workprogram , FFIEC
Audit of e-banking
workprogram , FFIEC
Audit of IS workprogram ,
FFIEC Audit of IT
outsourcing , FFIEC Audit
of IT management
workprogram , FFIEC
Audit of IT operations
workprogram , FFIEC
Audit of IT providers
workprogram , FFIEC
Audit of retail payment
workprogram , FFIEC
Audit of wholesale
payment workprogram ,
FFIEC Audit of IT Audit
workprogram
GesConsultor
SGSIs, que incluye un mdulo de gestin de auditoras internas.
GesConsultor

6.2 Terceros.

Mantener la seguridad de que los recursos de tratamiento de la informacin y de los activos de
informacin de la organizacin sean accesibles por terceros.

La seguridad de la informacin de la organizacin y las instalaciones de procesamiento de la
informacin no debera ser reducida por la introduccin de un servicio o producto externo.
Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin de la
organizacin.
Cuando el negocio requiera dicho acceso de terceros, se debera realizar una evaluacin del riesgo
para determinar sus implicaciones sobre la seguridad y las medidas de control que requieren.
Estas medidas de control deberan definirse y aceptarse en un contrato con la tercera parte.
Haga inventario de conexiones de red y flujos de informacin significativos con 3as partes, evale
sus riesgos y revise los controles de seguridad de informacin existentes respecto a los requisitos.
Esto puede dar miedo, pero es 100% necesario!
Considere exigir certificados en ISO/IEC 27001 a los partners ms crticos, tales como outsourcing
de TI, proveedores de servicios de seguridad TI, etc.
Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a su
riesgo y estimadas como seguras.

6.2.1 Identificacin de los riesgos derivados del acceso de terceros.

Control:
Se deberan identificar los riesgos a la informacin de la organizacin y a las instalaciones del
procesamiento de informacin de los procesos de negocio que impliquen a terceros y se deberan
implementar controles apropiados antes de conceder el acceso.
CISCO
Directrices proporcionadas por Cisco Systems para la evaluacin de
la seguridad de ASPs (Application Service Providers).
Cisco ASP evaluation
Cloud Security Alliance Gua de seguridad de reas crticas en cloud computing. Publicada
por la Cloud Security Alliance y traducida al espaol.
Gua de seguridad en la nube
INTECO
Gua para empresas de seguridad y privacidad en cloud computing.
Publicada por Inteco en espaol y otros idiomas.
Gua de seguridad en la nube

6.2.2 Tratamiento de la seguridad en la relacin con los clientes.

Control:
Se deberan anexar todos los requisitos identificados de seguridad antes de dar a los clientes
acceso a la informacin o a los activos de la organizacin.
MICROSOFT
ADTest.exe es una herramienta de generacin de carga del Active
Directory que simula transacciones de clientes a un servidor host
para evaluar el rendimiento de Microsoft Active Directory para
Microsoft Windows Server 2003 y Microsoft Active
Directory Application Mode.
Active Directory Performance
Testing Tool

6.2.3 Tratamiento de la seguridad en contratos con terceros.

Control:
Los acuerdos con terceras partes que implican el acceso, proceso, comunicacin o gestin de la
informacin de la organizacin o de las instalaciones de procesamiento de informacin o la adicin
de productos o servicios a las instalaciones, deberan cubrir todos los requisitos de seguridad
relevantes.
ISO27001Security
Modelo de poltica de seguridad para la externalizacin de
servicios.
Outsourcing security policy
FFIEC
Gua del FFIEC (Federal Financial Institutions Examination
Council), en ingls, sobre la externalizacin de procesos TI. La
acompaa una lista de verificacin -checklist-, til para auditar
dicho proceso.
FFIEC IT outsourcing booklet
INTECO
Modelo de contrato de confidencialidad y secreto para acuerdos
entre empresas. En espaol y publicado por el INTECO.
Modelo contrato
confidencialidad INTECO
Centro de Comercio
Internacional Modelo en ingls de acuerdo de confidencialidad entre empresas.
Acuerdo confidencialidad entre
empresas
CNI
NS/06: Seguridad industrial. Condiciones especficas para el
manejo de Informacin Clasificada en las
actividades, contratos y programas clasificados en los que
participen empresas. Publicada por la Autoridad Delegada para la
Seguridad de la Informacin Clasificada de Espaa
NS/06

7. GESTIN DE ACTIVOS.
7.1 Responsabilidad sobre los activos.

Alcanzar y mantener una proteccin adecuada de los activos de la Organizacin
Todos los activos deberan ser justificados y tener asignado un propietario.
Se deberan identificar a los propietarios para todos los activos y asignarles la responsabilidad del
mantenimiento de los controles adecuados. La implantacin de controles especficos podra ser
delegada por el propietario convenientemente. No obstante, el propietario permanece como
responsable de la adecuada proteccin de los activos.
El trmino propietario identifica a un individuo o entidad responsable, que cuenta con la
aprobacin del rgano de direccin, para el control de la produccin, desarrollo, mantenimiento,
uso y seguridad de los activos. El trmino propietario no significa que la persona disponga de los
derechos de propiedad reales del activo.
Elabore y mantenga un inventario de activos de informacin (similar al preparado en su da para el
Efecto 2000), mostrando los propietarios de los activos (directivos o gestores responsables de
proteger sus activos) y los detalles relevantes (p. ej., ubicacin, n de serie, n de versin, estado
de desarrollo / pruebas / produccin, etc.).
Use cdigos de barras para facilitar las tareas de realizacin de inventario y para vincular equipos
de TI que entran y salen de las instalaciones con empleados.
Porcentaje de activos de informacin en cada fase del proceso de clasificacin (identificado /
inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).
Porcentaje de activos de informacin claves para los cuales se ha implantado una estrategia global
para mitigar riesgos de seguridad de la informacin segn sea necesario y para mantener dichos
riesgos en niveles aceptables.
7.1.1 Inventario de activos.

Control:
Todos los activos deberan estar claramente identificados, confeccionando y manteniendo un
inventario con los ms importantes.
Belarc
Belarc Advisor construye un perfil detallado del software y hardware instalado,
el inventario de la red, la falta de revisiones en productos de Microsoft, el
estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados
en el explorador Web. Toda la informacin del perfil del PC se mantiene privada
y no se enva a servidores de la web.
Belarc Advisor
Genos Open Source
GMF es una implementacin de las recomendaciones ITIL (IT Infrastructure
Library) para la gestin de servicios de TI (IT Service Management o ITSM). GMF
es un producto de software libre distribuido bajo licencia GPL e incluye mdulos
de gestin de incidencias (Trouble Ticketing), gestin de inventario, gestin del
cambio (Change Management), SLA y reporting.
GMF - GenosOrg
GesConsultor
SGSIs, que incluye un gestor centralizado de activos TI que permite el mapeo con
su mdulo de anlisis de riesgos.
GesConsultor
GLPI
GLPI es una herramienta gratuita de inventario de activos TI, con
funcionalidades de gestin de los mismos. Es integrable con OCS Inventory.
GLPI
OCS Inventory NG
OCS Inventory es una herramienta gratuita de creacin automtica de
inventarios de HW, escaneo de red y distribucin de paquetes de software.
OCS
SpiceWorks
Spiceworks

7.1.2 Propiedad de los activos.

Control:
Toda la informacin y activos asociados a los recursos para el tratamiento de la informacin
deberan pertenecer a una parte designada de la Organizacin.
7.1.3 Acuerdos sobre el uso adecuado de los activos
Control:
Se deberan identificar, documentar e implantar regulaciones para el uso adecuado de la
informacin y los activos asociados a recursos de tratamiento de la informacin.
INTECO
Gua de INTECO en espaol sobre la utilizacin de
las tecnologas de la informacin en el mbito laboral
y sus consideraciones legales.
Gua Inteco TIC laboral
INTECO
Gua para proteger y usar de forma segura el telfono
mvil.
Gua INTECO telfono mvil
DMOZ
Proyecto abierto que ha recopilado a modo de
directorio todo tipo de polticas de seguridad en
diversas reas.
Miscelanea de diversas polticas

7.2 Clasificacin de la informacin.

Asegurar que se aplica un nivel de proteccin adecuado a la informacin.

Se debera clasificar la informacin para indicar la necesidad, prioridades y nivel de proteccin
previsto para su tratamiento.

La informacin tiene diversos grados de sensibilidad y criticidad. Algunos tems podran requerir
niveles de proteccin adicionales o de un tratamiento especial. Debera utilizarse un esquema de
clasificacin de la informacin para definir el conjunto adecuado de niveles de proteccin y
comunicar la necesidad de medidas especiales para el tratamiento.
Mantenga la sencillez! Distinga los requisitos de seguridad bsicos (globales) de los avanzados,
de acuerdo con el riesgo.
Comience quizs con la confidencialidad, pero no olvide los requisitos de integridad y
disponibilidad.
Porcentaje de activos de informacin en cada categora de clasificacin (incluida la de "an sin
clasificar").

7.2.1 Directrices de clasificacin.

Control:
La informacin debera clasificarse en relacin a su valor, requisitos legales, sensibilidad y
criticidad para la Organizacin
CLUSIF MEHARI 2010 : Guide de lanalyse des enjeux et de la classification MEHARI
CNI
Directrices de clasificacin y tratamiento de informacin en Espaa. Publicadas
por la Autoridad Delegada para la Seguridad de la Informacin Clasificada.
NS//04

7.2.2 Etiquetado y manipulado de la informacin.

Control:
Se debera desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y
tratamiento de la informacin, de acuerdo con el esquema de clasificacin adoptado por la
Organizacin.
MICROSOFT
Esta solucin est diseada para ayudar y permitir a una organizacin identificar,
clasificar y proteger los datos en sus servidores de archivos. Ejemplos de reglas y
de clasificacin ayudan a las organizaciones a crear e implementar sus polticas
para proteger la informacin crtica.
Data Classification Toolkit

8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
8.1 Antes del empleo. Seguridad en la definicin del trabajo y los recursos

Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo,
fraude y mal uso de las instalaciones y medios.
Las responsabilidades de la seguridad se deberan definir antes de la contratacin laboral
mediante la descripcin adecuada del trabajo y los trminos y condiciones del empleo.
Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se deberan
seleccionar adecuadamente, especialmente para los trabajos sensibles.
Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento de la
informacin deberan firmar un acuerdo sobre sus funciones y responsabilidades con relacin a la
seguridad.
Conjuntamente con RRHH, asegure que se emplea un proceso de verificacin de antecedentes
proporcional a la clasificacin de seguridad de aquella informacin a la que va a acceder el
empleado a contratar.
Dicho simplemente, el proceso de contratacin de un administrador de sistemas TI debera ser muy
diferente del de un administrativo. Haga comprobaciones de procedencia, formacin,
conocimientos, etc.
Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores, temporales, etc.)
que hayan sido totalmente verificados y aprobados de acuerdo con las polticas de la empresa
antes de comenzar a trabajar.

8.1.1 Funciones y responsabilidades. 8.1.1. Inclusin de la seguridad en las
responsabilidades laborales
Control:
Se deberan definir y documentar los roles y responsabilidades de la seguridad de los empleados,
contratistas y terceros en concordancia con la poltica de seguridad de la informacin de la
organizacin.
(Consultar tambin 5.1, 6.1.3)
GesConsultor
SGSIs, que incluye un mdulo de gestin de roles y responsabilidades. GesConsultor
8.1.2 Investigacin de antecedentes. 8.1.2. Seleccin y poltica de personal
Control:
Se deberan realizar revisiones de verificacin de antecedentes de los candidatos al empleo,
contratistas y terceros y en concordancia con las regulaciones, tica y leyes relevantes y deben ser
proporcionales a los requerimientos del negocio, la clasificacin de la informacin a la cual se va a
tener acceso y los riesgos percibidos
BSI SHOP
Cdigo de buenas prcticas en ingls, publicado por BSI, relativo a la
comprobacin de antecendentes para empleados en entornos de seguridad.
BS 7858:2006+A2:2009
ASIS International
Gua en ingls de cmo realizar comprobaciones de antecedentes a la hora
de contratar personal.
Screening guideline
National Association of
Professional Background
Screeners
Asociacin que proporciona opiniones relevantes a entidades legales
estatales, nacionales e internacionales en relacin a asuntos relacionados
con la industria de seleccin y supervisin del personal. De origen EEUU
existen captulos en LatAm y Europa, entre otros pases y regiones.
NAPBS
CNI
NS/02: Seguridad en el personal. Habilitacin de seguridad. Publicada por
la Autoridad Delegada para la Seguridad de la Informacin Clasificada de
Espaa.
NS/02
Elena Larrauri / James B.
Jacobs
Estudio legal sobre la solicitud de certificado de antecedentes penales a
trabajadores en Espaa.
Artculo

8.1.3 Trminos y condiciones de contratacin.

Control:
Como parte de su obligacin contractual, empleados, contratistas y terceros deberan aceptar y
firmar los trminos y condiciones del contrato de empleo, el cual establecer sus obligaciones y las
obligaciones de la organizacin para la seguridad de informacin.
8.2 Durante el empleo. Seguridad en el desempeo de las funciones del
empleo
Asegurar que los empleados, contratistas y terceras partes son conscientes de las amenazas de
seguridad, de sus responsabilidades y obligaciones y que estn equipados para cumplir con la
poltica de seguridad de la organizacin en el desempeo de sus labores diarias, para reducir el
riesgo asociado a los errores humanos.
Se debera definir las responsabilidades de la Direccin para garantizar que la seguridad se aplica
en todos los puestos de trabajo de las personas de la organizacin.
A todos los usuarios empleados, contratistas y terceras personas se les debera proporcionar un
adecuado nivel de concienciacin, educacin y capacitacin en procedimientos de seguridad y en
el uso correcto de los medios disponibles para el procesamiento de la informacin con objeto de
minimizar los posibles riesgos de seguridad.
Se debera establecer un proceso disciplinario normal para gestionar las brechas en seguridad.
La responsabilidad con respecto a la proteccin de la informacin no finaliza cuando un empleado
se va a casa o abandona la organizacin. Asegure que esto se documenta claramente en
materiales de concienciacin, contratos de empleo, etc.
Contemple la posibilidad de una revisin anual por RRHH de los contratos junto con los empleados
para refrescar las expectativas expuestas en los trminos y condiciones de empleo, incluyendo su
compromiso con la seguridad de la informacin.
Respuesta a las actividades de concienciacin en seguridad medidas por (por ejemplo) el nmero
de e-mails y llamadas relativas a iniciativas de concienciacin individuales.

8.2.1 Responsabilidades de la Direccin. Supervisin de las obligaciones
Control:
La Direccin debera requerir a empleados, contratistas y usuarios de terceras partes aplicar la
seguridad en concordancia con las polticas y los procedimientos establecidos de la organizacin.

8.2.2 Concienciacin, formacin y capacitacin seguridad de la informacin.

Control:
Todos los empleados de la organizacin y donde sea relevante, contratistas y usuarios de terceros
deberan recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en polticas
y procedimientos organizacionales como sean relevantes para la funcin de su trabajo.
AGPD
En esta pgina la Agencia Espaola de Proteccin de Datos pone a disposicin de
los ciudadanos informacin, consejos as como recursos y materiales para
fomentar un uso seguro de Internet.
Agencia Proteccin de
Datos
CCN-CERT
CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la
Informacin del Centro Criptolgico Nacional (CCN), dependiente del Centro
Nacional de Inteligencia (CNI). Dispone de cursos online pblicos de
formacin en anlisis de riesgos y Esquema Nacional de Seguridad,
adems de convocatorias de cursos presenciales y privados.
CNI
ENISA
Documento en espaol publicado por ENISA (Agencia Europea de Seguridad de
las Redes y de la Informacin) conteniendo plantillas de cuestionarios, con
respuestas, sobre aspectos de seguridad de la informacin.
ENISA
ENISA
ENISA ha producido material til (clips de vdeo, ilustraciones, posters,
salvapantallas) que har que los empleados sean conscientes de los riesgos de
seguridad de la informacin y recordarles las buenas prcticas. El material de
ENISA estn disponibles en distintos idiomas incluido el espaol para ser
descargados y usados en cualquier programa de formacin de seguridad de la
informacin y en la actividad de sensibilizacin desde la web de la empresa.
ENISA
ENISA
Material de capacitacin para PYMES que puede ser utilizada por individuos o
presentado en una sala de formacin por los instructores que participan en el
esfuerzo de su organizacin en temas de seguridad. Las guas de referencia de
"formacin de formadores" proporcionan informacin adicional y referencias
externas para formadores y presentadores para utilizar durante el entrenamiento
en concienciacin de seguridad.
ENISA
INTECO
Una forma de despertar el inters de los empleados por la seguridad de la
informacin es formarles en aspectos que afectan a su uso privado de las TIC.
Los manuales de INTECO pueden ayudar a preparar programas de formacin
sobre: qu es y cmo prevenir el sexting en adolescentes, seguridad y privacidad
en la Web 2.0, seguridad y privacidad en comercio electrnico, uso de
videojuegos por menores, uso seguro del DNI electrnico en Internet,
configuracin de privacidad y seguridad en las redes sociales, ciberbullying y
grooming, proteccin de WI-FI en el hogar, proteccin y uso seguro del telfono
mvil, menores de edad en las redes sociales e Internet, cmo actuar ante
ataques a la propia imagen en Internet, aspectos legales de la privacidad en
Internet, etc.
Manuales de seguridad
Inteco
INTECO
Curso introductorio gratuito de 20h. a los Sistemas de Gestin de la Seguridad de
la Informacin (SGSI) segn la norma UNE-ISO/IEC 27001. Se dan a conocer
los conceptos bsicos necesarios para introducir al usuario en la gestin de la
Seguridad de la Informacin, as como conocer la dimensin y alcance que
suponen la implantacin, certificacin y mantenimiento de un SGSI en una
organizacin, en base a la norma ISO/IEC 27001.
Inteco.es
INFORMATION SECURITY
ENCYCLOPEDIA
Cada vdeo presenta una leccin sobre un tema de seguridad. Unos tienen un
enfoque generalista e introductorio y otros ms especficos, incluso con cierto
nivel de dificultad y en ese caso orientado a tcnicos y especialistas. Al final de
cada leccin encontrars un conjunto de preguntas que te servirn de
autoevaluacin..
INTYPEDIA
ISO27001Security
Concienciacin para directivos: caso de estudio en ingls sobre el valor de
negocio de ISO 27001.
iso27001security
ISQ
Formacin en ingls sobre en qu consiste y cmo informar de Incidentes de
seguridad. Sirve como modelo de formacin til a implantar internamente por
una organizacin. IQS dispone de material diverso de demostracin y tambien
para su adquisicin y traduccin al espaol.
ISQ
Kirkpatrick
El Modelo Kirkpatrick es una metodologa ampliamente extendida de evaluacin
de la eficacia de acciones de formacin. Previo registro, en este sitio se tiene
acceso gratuito a informacin y herramientas sobre el modelo. El libro oficial es
de pago (tambin traducido al espaol).
Kirkpatrick Partners
LAMP Security
LAMPSecurity training est diseado mediante una serie de imgenes de
mquinas virtuales vulnerables junto con la documentacin complementaria
diseada para ensear seguridad en linux, apache, php, mysql.
Descarga
Management Games and
Simulations
Lista recopilatoria de diversos juegos de simulacin en gestin de servicios TI,
continuidad de negocio, gestin del riesgo, entre otros y para la formacin en
diferentes aspectos como toma de conciencia, organizacin del personal y roles
a desempear en los diferentes casos.
Listado de soluciones
Microsoft
Microsoft Security Awareness Toolkit: conjunto de herramientas en ingls de
Microsoft para planificar, disear y desplegar un programa de concienciacin en
seguridad de la informacin en una organizacin.
Microsoft Security
Awareness Toolkit
Technet
MindfulSecurity.com
Portal en ingls con recursos, enlaces e ideas sobre concienciacin en seguridad
de la informacin.
mindfulsecurity
NIST
SP800-50: Gua para generar un plan de concienciacin y formacin en
seguridad de la informacin publicado por el NIST (National Institute of
Standards and Technology) de EEUU.
NIST SP800-50
NIST
SP800-16: Gua para un plan de formacin basado en funciones y
responsabilidades publicado por el NIST (National Institute of Standards and
Technology) de EEUU. Va acompaado de 2 anexos: AppendixA-D y Appendix_E.
NIST SP800-16
Appendix A-D
Appendix E
NOTICEBORED
Conjunto de herramientas y servicios de concienciacin. En general, no
gratuitas, aunque algunos elementos s son de libre acceso.
NoticeBored
Wikipedia
Enlaces a distintas plataformas de aprendizaje en lnea (LMS: software instalado
en un servidor, que se emplea para administrar, distribuir y controlar las
actividades de formacin no presencial o e-Learning de una institucin.
Learning Management
systems
8.2.3 Proceso disciplinario.

Control:
Debera existir un proceso formal disciplinario para empleados que produzcan brechas en la
seguridad.
SEINHE
Consideraciones relativas al proceso disciplinario laboral en
Espaa.
Proceso disciplinario
Tribunal Supremo
Jurisprudencia del Tribunal Supremo espaol relativa al
despido de trabajadores por uso inapropiado de medios
informticos. Hacer clic en el enlace e introducir en el campo
"Texto a buscar": 28079140012011100178 para la sentencia
STS 1323/2011 y 28079140012007101065 para la sentencia
STS 6128/2007.
Jurisprudencia Tribunal Supremo
derechoycambiosocial.com
Anlisis de la sentencia STS 1323/2011 del Tribunal Supremo
espaol. Despido_por_uso_indebido_de_internet.pdf
INTECO
Gua de INTECO en espaol sobre la utilizacin de las
tecnologas de la informacin en el mbito laboral y sus
consideraciones legales.
Gua Inteco

8.3 Cese del empleo o cambio de puesto de trabajo.

Garantizar que los empleados, contratistas y terceras personas abandonan la organizacin o
cambian de empleo de forma organizada.
Se deberan establecer las responsabilidades para asegurar que el abandono de la organizacin
por parte de los empleados, contratistas o terceras personas se controla, que se devuelve todo el
equipamiento y se eliminan completamente todos los derechos de acceso.
Los cambios en las responsabilidades y empleos en la organizacin se deberan manejar, en el
caso de su finalizacin en lnea con esta seccin, y para el caso de nuevos empleos como se
describe en la seccin 8.1.
Vase Seccin 7.1. La devolucin de los activos de la organizacin cuando un empleado se
marcha sera mucho ms sencilla de verificar si el inventario de activos ha sido actualizado y
verificado regularmente.
Examine qu accesos necesita revocar en primer lugar cuando un empleado presenta su carta de
dimisin: cules son los sistemas ms crticos o vulnerables?.
Haga un seguimiento del uso del e-mail por estas personas antes de salir definitivamente de la
empresa, por si comienzan a sacar informacin confidencial (sujeto a las polticas aplicables y a
consideraciones legales sobre privacidad).
Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la
organizacin, separados por las categoras de activos (pendientes de desactivacin) e inactivos
(pendientes de archivo y borrado).

8.3.1 Responsabilidad del cese o cambio.

Control:
Las responsabilidades para ejecutar la finalizacin de un empleo o el cambio de ste deberan
estar claramente definidas y asignadas.

8.3.2 Devolucin de activos.

Control:
Todos los empleados, contratistas y terceros deberan devolver todos los activos de la
organizacin que estn en su posesin a la finalizacin de su empleo, contrato o acuerdo.
Gua:
El proceso de finalizacin debera estar formalizado para incluir el retorno previo de los software,
documentos corporativos y equipos.
Otros activos de la organizacin como dispositivos mviles de computo, tarjetas de crdito, tarjetas
de acceso, manuales, software e informacin guardada en medios electrnicos, tambin necesitan
ser devueltos.
En casos donde el empleado, contratista o tercero compra el equipo de la organizacin o usa su
propio equipo, se debera seguir procedimientos para asegurar que toda la informacin relevante
es transferida a la organizacin y borrado con seguridad del equipo (consultar 10.7.1).
En casos donde un empleado, contratista o tercero tiene conocimiento que es importante para las
operaciones en curso, esa informacin debe ser documentada y transferida a la organizacin.

8.3.3 Retirada de los derechos de acceso.

Control:
Se deberan retirar los derechos de acceso para todos los empleados, contratistas o usuarios de
terceros a la informacin y a las instalaciones del procesamiento de informacin a la finalizacin del
empleo, contrato o acuerdo, o ser revisada en caso de cambio.
Gua:
Tras la finalizacin, se deberan reconsiderar los derechos de acceso de un individuo a los activos
asociados con los sistemas de informacin y a los servicios. Esto determinara si es necesario
retirar los derechos de acceso.
Los cambios en un empleo deberan reflejarse en la retirada de todos los derechos de acceso que
no sean aprobados para el nuevo empleo.
Los derechos de acceso deberan ser retirados o adaptados, incluyendo acceso fsico y lgico,
llaves, tarjetas de identificacin, instalaciones del proceso de informacin (consultar 11.2.4),
subscripciones y retirada de cualquier documentacin que los identifica como un miembro actual
de la organizacin.
Si un empleado, contratista o usuario de tercero saliente ha sabido contraseas para activos
restantes de las cuentas, deberan ser cambiadas hasta la finalizacin o cambio del empleo,
contrato o acuerdo.
Los derechos de acceso para activos de informacin y equipos se deberan reducir o retirar antes
que el empleo termine o cambie, dependiendo de la evaluacin de los factores de riesgo como:
a) si la finalizacin o cambio es iniciado por el empleado, contratista o usuario de tercero, o por la
gerencia y la razn de la finalizacin;
b) las responsabilidades actuales del empleado u otro usuario;
c) el valor de los activos a los que se accede actualmente.
Informacin adicional:
En ciertas circunstancias los derechos de acceso pueden ser asignados en base a la disponibilidad
hacia ms personas que el empleado, contratista o usuario de tercero saliente.
En estas circunstancias, los individuos salientes deberan ser removidos de cualquier lista de
grupos de acceso y se deben realizar arreglos para advertir a los dems empleados, contratistas y
usuarios de terceros involucrados de no compartir esta informacin con la persona saliente.
En casos de gerencia terminada, contrariedad con los empleados, contratistas o usuarios de
terceros pueden llevar a corromper informacin deliberadamente o a sabotear las instalaciones del
procesamiento de informacin.
En casos de renuncia de personal, estos pueden ser tentados a recolectar informacin para usos
futuros.

9. SEGURIDAD FSICA Y DEL ENTORNO.
9.1 reas seguras.
Evitar el acceso fsico no autorizado, daos o intromisiones en las instalaciones y a la informacin
de la organizacin.
Los servicios de procesamiento de informacin sensible deberan ubicarse en reas seguras y
protegidas en un permetro de seguridad definido por barreras y controles de entrada adecuados.
Estas reas deberan estar protegidas fsicamente contra accesos no autorizados, daos e
interferencias.
La proteccin suministrada debera estar acorde con los riesgos identificados.
El estndar parece centrarse en el CPD pero hay muchas otras reas vulnerables a considerar, p.
ej., armarios de cableado, "servidores departamentales" y archivos (recuerde: los estndares se
refieren a asegurar la informacin, no slo las TI).
Examine la entrada y salida de personas a/de su organizacin. Hasta dnde podra llegar el
repartidor de pizza o el mensajero sin ser parado, identificado y acompaado? Qu podran ver,
llevarse o escuchar mientras estn dentro?
Algunas organizaciones usan tarjetas de identificacin de colores para indicar las reas accesibles
por los visitantes (p. ej., azul para la 1 planta, verde para la 3, etc.; ahora, si ve a alguien con una
identificacin verde en la 4 planta, retngalo).
Asegrese de retirar todos los pases de empleado y de visita cuando se vayan. Haga que los
sistemas de acceso con tarjeta rechacen y alarmen ante intentos de acceso. Use pases de visita
que se vuelvan opacos o muestren de alguna manera que ya no son vlidos a las x horas de
haberse emitido.
Informes de inspecciones peridicas de seguridad fsica de instalaciones, incluyendo actualizacin
regular del estado de medidas correctivas identificadas en inspecciones previas que an estn
pendientes.
9.1.1 Permetro de seguridad fsica.
Control:
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto
manual de recepcin) deberan utilizarse para proteger las reas que contengan informacin y
recursos para su procesamiento.
ASIS International Gua en ingls sobre medidas de seguridad fsica
ASIS Facilities Physical
Security Measures
Guideline
SISTESEG Ejemplo de poltica de seguridad fsica en espaol de SISTESEG
Poltica de seguridad
fsica
9.1.2 Controles fsicos de entrada.

Control:
Las reas de seguridad deberan estar protegidas por controles de entrada adecuados que
garanticen el acceso nicamente al personal autorizado.
(Consultar tambin 8.3.3)
APC
Documento tcnico en ingls de APC sobre control de acceso fsico a
infraestructuras crticas Acceso fsico
INTECO
Gua de INTECO y Anova sobre el uso de videovigilancia en distintos entornos, la
legislacin aplicable y sus implicaciones en materia de proteccin de datos
personales.
Gua Inteco
videovigilancia

9.1.3 Seguridad de oficinas, despachos e instalaciones.

Control:
Se debera asignar y aplicar la seguridad fsica para oficinas, despachos y recursos.
CNI
NS/03: Seguridad fsica de instalaciones de almacenamiento de informacin
clasificada en la administracin pblica espaola. Publicada por la Autoridad
Delegada para la Seguridad de la Informacin Clasificada de Espaa.
NS/03
Oficina Nacional de
Seguridad
OR-ASIP-01-01.02: Orientaciones para el plan de proteccin de una zona de
acceso restringido. Oficina Nacional de Seguridad de Espaa.
OR-ASIP-01-01.02
Oficina Nacional de
Seguridad
OR-ASIP-01-02.02: Orientaciones para la constitucin de zonas de acceso
restringido. Oficina Nacional de Seguridad de Espaa.
OR-ASIP-01-02.02

9.1.4 Proteccin contra las amenazas externas y de origen ambiental.

Control:
Se debera designar y aplicar medidas de proteccin fsica contra incendio, inundacin, terremoto,
explosin, malestar civil y otras formas de desastre natural o humano.
APC
Documento tcnico en ingls de APC sobre proteccin contra incendios en
infraestructuras crticas
APC: Extincin de incendios
APC
Diversos documentos tcnicos de APC en ingls y espaol sobre
refrigeracin de CPDs
APC: Refrigeracin
Uptime Institute
The Uptime Institute es una organizacin que publica estndares y
mantiene un esquema de certificacin para la mejora del grado de
disponiblidad de centros de proceso de datos, basado en 4 niveles (Tier I,
Tier II, Tier III y Tier IV).
Uptime Institute Publications

9.1.5 Trabajo en reas seguras.

Control:
Se debera disear y aplicar proteccin fsica y pautas para trabajar en las reas seguras.

9.1.6 reas de acceso pblico y de carga y descarga.

Control:
Se deberan controlar las reas de carga y descarga con objeto de evitar accesos no autorizados y,
si es posible, aislarlas de los recursos para el tratamiento de la informacin.
(consultar 9.2.1d)
(consultar 7.1.1)

9.2 Seguridad de los equipos.

Evitar la prdida, dao, robo o puesta en peligro de los activos y interrupcin de las actividades de
la organizacin.
Deberan protegerse los equipos contra las amenazas fsicas y ambientales. La proteccin del
equipo es necesaria para reducir el riesgo de acceso no autorizado a la informacin y su proteccin
contra prdida o robo.
As mismo, se debera considerar la ubicacin y eliminacin de los equipos.
Se podran requerir controles especiales para la proteccin contra amenazas fsicas y para
salvaguardar servicios de apoyo como energa elctrica e infraestructura del cableado.
Haga que los vigilantes de seguridad impidan a cualquiera (empleados, visitas, personas de
soporte TI, mensajeros, personal de mudanzas, etc.) sacar equipos informticos de las
instalaciones sin autorizacin escrita.
Convirtalo en un elemento disuasorio visible mediante chequeos aleatorios (o, incluso, arcos de
deteccin de metales).
Est especialmente atento a puertas traseras, rampas de carga, salidas para fumadores, etc.
Tome en consideracin el uso de cdigos de barras para hacer los chequeos ms eficientes.
Nmero de chequeos (a personas a la salida y a existencias en stock) realizados en el ltimo mes
y porcentaje de chequeos que evidenciaron movimientos no autorizados de equipos o soportes
informticos u otras cuestiones de seguridad.
9.2.1 Emplazamiento y proteccin de equipos.
Control: El equipo debera situarse y protegerse para reducir el riesgo de materializacin de las
amenazas del entorno, as como las oportunidades de acceso no autorizado.
APC
Documentos tcnicos de APC en ingls y espaol sobre
arquitectura de CPDs
APC: arquitectura de CPDs
APC
Documentos tcnicos de APC en ingls sobre monitorizacin y
control de CPDs
APC: Monitorzacin de CPDs (1)
APC: Monitorizacin de CPDs (2)
Uptime Institute
The Uptime Institute es una organizacin que publica estndares y
mantiene un esquema de certificacin para la mejora del grado de
disponiblidad de centros de proceso de datos, basado en 4 niveles
(Tier I, Tier II, Tier III y Tier IV).
Uptime Institute Publications
TIA
Estndar de la Telecommunications Industry Association en ingls
que establece requisitos para las infraestructuras de
comunicaciones en centros de proceso de datos.
TIA-942
NFPA
NFPA 75 es el estndar de la National Fire Protection Association
para la proteccin de equipos TI: construccin de edificios,
proteccin anti-incendios, sistemas de extincin, sistemas
elctricos, refrigeracin, etc. Versiones en ingls y en espaol.
NFPA 75
NFPA
NFPA 76 es el estndar de la National Fire Protection Association
para la proteccin contra incendios de instalaciones de
telecomunicaciones. Versiones en ingls y en espaol.
NFPA 76
NFPA
Larga lista de estndares relacionados con la seguridad contra el
fuego de la National Fire Protection Association. Versiones en
ingls y en espaol.
Normas NFPA
ANIXTER
Gua en ingls de la empresa Anixter sobre infraestructuras de
centros de proceso de datos.
Data Center Guide

9.2.2 Instalaciones de suministro.

Control:
Se deberan proteger los equipos contra fallos en el suministro de energa u otras anomalas
elctricas en los equipos de apoyo.
APC
Documento tcnico de APC con explicaciones sobre tipos de SAI (sistemas de
alimentacin ininterrumpida)
Tipos de SAI
APC
Documentos tcnicos de APC sobre alimentacin elctrica, SAIs, eficiencia,
distintos tipos de clculos, etc.
Libros blancos de APC
T2APP
Documento tcnico de T2APP sobre problemas de suministro elctrico,
soluciones, clculo de la carga, tipos de SAI (sistemas de alimentacin
ininterrumpida), mantenimiento de un SAI, etc.
SAI

9.2.3 Seguridad del cableado.

Control:
Se debera proteger el cableado de energa y de telecomunicaciones que transporten datos o
soporten servicios de informacin contra posibles interceptaciones o daos.
TIA
Estndar de la Telecommunications Industry Association en ingls
que establece requisitos para las infraestructuras de
comunicaciones en centros de proceso de datos.
TIA-942
ANIXTER
Gua tcnica en ingls de la empresa Anixter que resume el
contenido de diferentes estndares de cableado de redes.
Cabling standards reference guide
ANIXTER
Gua tcnica en ingls de la empresa Anixter de instalacin de
cableado de redes.
Installation pocket reference guide
ANIXTER
Gua tcnica en ingls de la empresa Anixter de cableado de redes
en plantas industriales.
Telecommunications infrastructure for
industrial premises

9.2.4 Mantenimiento de los equipos.

Control:
Se deberan mantener adecuadamente los equipos para garantizar su continua disponibilidad e
integridad.
APC
Documento tcnico de APC en espaol sobre mantenimiento
preventivo de CPDs
APC: mantenimiento de CPDs
CCleaner
Herramienta para la limpieza de Windows. Proteccin en
privacidad online and aporta rapidez y seguridad en los
ordenadores.
Limpieza equipos
System Ninja
Herramienta para la limpieza de Windows eliminado todo tipo de
archivos temporales como cachs de juegos, historiales, cookies,
dumps de memoria, archivos abiertos recientemente. Dispone de
funcionalidades extras como un administrador de procesos, un
lector de hashes, informacin detallada sobre el hardware y un
gestor de programas de inicio, til para eliminar programas
innecesarios que se cargan con Windows consumiendo recursos.
Limpieza equipos

9.2.5 Seguridad de los equipos fuera de las instalaciones.

Control:
Se debera aplicar seguridad a los equipos que se encuentran fuera de los locales de la
organizacin considerando los diversos riesgos a los que estn expuestos.
(Consultar tambin 11.7.1.).
INTECO Gua de Inteco para proteger y usar de forma segura el telfono mvil Gua INTECO
Wikipedia Consideraciones sobre Kensington lock para equipos porttiles
K-Slot
K-Slot
Cerradura tubular
OSI Consejos de seguridad para porttiles de la Oficina de Seguridad del Internauta. OSI
Symantec Consejos de Symantec para la proteccin contra el robo de porttiles.
Laptop Security,
Symantec

9.2.6 Reutilizacin o retirada segura de equipos.

Control:
Debera revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento
con el fin de garantizar que cualquier dato sensible y software con licencia se haya eliminado o
sobrescrito con seguridad antes de la eliminacin.
(Consultar tambin 10.7.2).
DARIK'S BOOT AND NUKE
Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita-
autoarrancable que permite hacer un borrado seguro del disco
duro completo de un equipo (operacin que no sera posible si se
inicia el equipo con el sistema operativo instalado en ese mismo
disco).
DBAN
Heidi-Eraser Herramienta open source de borrado seguro. Eraser
Hardwipe Herramienta gratuita de borrado seguro. Hardwipe
INTECO
Gua sobre almacenamiento y borrado seguro de informacin:
aborda cuestiones como por qu se debe controlar la informacin en
la empresa, cmo se almacena dicha informacin en los dispositivos
de almacenamiento ms comunes, en qu consiste la recuperacin
en caso de prdida y qu debe hacerse si se quiere eliminar de modo
permanente la informacin. Disponible la gua completa en
castellano e ingls y la resea de la misma en cataln, euskera,
gallego y valenciano.
Gua INTECO
NATIONAL SECURITY AGENCY
Los productos de estas listas reunen los requisitos especificos de la
NSA para la desinfeccin, destruccin o eliminizacin de
dispositivos que contengan informacin sensible o clasificada.
Guas NSA de destruccin
NIST
La gua nmero 88 de la serie NIST SP800 ayuda a las
organizaciones en la implementacin de un programa de
sanitizacin de medios con las tcnicas adecuadas y aplicables y los
controles para la desinfeccin y eliminacin teniendo en cuenta la
clasificacin de seguridad de la confidencialidad del sistema
asociado.
Gua NIST SP800-88

9.2.7 Retirada de materiales propiedad de la empresa. Traslado de Activos

Control:
No deberan sacarse equipos, informacin o software fuera del local sin una autorizacin.

10. GESTIN DE COMUNICACIONES Y OPERACIONES.
10.1 Responsabilidades y procedimientos de operacin.

Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin.
Se deberan establecer responsabilidades y procedimientos para la gestin y operacin de todos
los recursos para el tratamiento de la informacin.
Esto incluye el desarrollo de instrucciones apropiadas de operacin y de procedimientos de
respuesta ante incidencias.
Se implantar la segregacin de tareas, cuando sea adecuado, para reducir el riesgo de un mal
uso del sistema deliberado o por negligencia.
Documente procedimientos, normas y directrices de seguridad de la informacin, adems de roles
y responsabilidades, identificadas en el manual de poltica de seguridad de la organizacin.
Mtricas de madurez de procesos TI relativos a seguridad, tales como el semiperiodo de aplicacin
de parches de seguridad (tiempo que ha llevado parchear al menos la mitad de los sistemas
vulnerables -esta medida evita la cola variable provocada por los pocos sistemas inevitables que
permanecen sin parchear por no ser de uso diario, estar normalmente fuera de la oficina o
cualquier otra razn-).

10.1.1 Documentacin de los procedimientos de operacin.

Control:
Se deberan documentar y mantener los procedimientos de operacin y ponerlos a disposicin de
todos los usuarios que lo necesiten.
(Consultar tambin 10.5, 11.5.4, 10.7.2, 10.7.3 y 10.10).

FFIEC
Council), en ingls, sobre la gestin de TI en una organizacin.
La acompaa una lista de verificacin -checklist-, til
para auditar dicho proceso.
FFIEC IT management booklet
INFOSECWRITERS
Gua prctica para el anlisis y plan de respuesta a incidentes
para ataques DoS de Denegacin del Servicio.
DoS! Denial of Service
NATIONAL SECURITY
AGENCY
NSA desarrolla y distribuye guas para la configuracin de una
amplia variedad de software, tanto open source como
propietario.
Guas NSA de seguridad

10.1.2 Gestin de cambios operacionales.

Control:
Se deberan controlar los cambios en los sistemas y en los recursos de tratamiento de la
informacin.
Distribucin de SW
Diversas herramientas de pago de distribucin de paquetes de
software en una red: Altiris, Enteo NetInstall, Microsoft System
Center Configuration Manager.
Altiris, Enteo, Microsoft SCCM
Genos Open Source
GMF es una implementacin de las recomendaciones ITIL (IT
Infrastructure Library) para la gestin de servicios de TI (IT Service
Management o ITSM). GMF es un producto de software libre
distribuido bajo licencia GPL e incluye mdulos de gestin de
incidencias (Trouble Ticketing), gestin de inventario, gestin del
cambio (Change Management), SLA y reporting.
GMF - GenosOrg
Microsoft Attack Surface
Analyzer
Solucin para tomar un "snapshot" de nuestro sistema previo a la
instalacin del software y tras la instalacin, comparando ambas
para comprobar las modificaciones reales y posibles exposiciones y
vulnerabilidades.
MASA
OCS Inventory NG
OCS Inventory es una herramienta gratuita de creacin automtica
de inventarios de HW, escaneo de red y distribucin de paquetes
de software.
OCS

10.1.3 Segregacin de tareas.

Control:
Se deberan segregar las tareas y las reas de responsabilidad con el fin de reducir las
oportunidades de una modificacin no autorizada o no intencionada, o el de un mal uso de los
activos de la organizacin.
BANCO CENTRAL DE LA
REPBLICA ARGENTINA
Requisitos mnimos de gestin, implementacin y control de los
riesgos relacionados con tecnologa informtica, sistemas de
informacin y recursos asociados para las entidades financieras.
Circular RUNOR 1 805
Ernst & Young
En este documento se plantea un enfoque prctico y basado en
riesgos del cumplimiento con la segregacin de funciones.
Documento de Enfoque
ISACA
La matriz de segregacin de funciones ilustra las posibilidades de
segregacin potencial que se pueden aplicar.
ISACA
OBSERVE IT
Solucin software que captura la actividad en cualquier sesin de
usuario, incluidas terminales, escritorios remotos, Citrix, VMWare,
VNC, NetOP y PC Anywhere.
ObserveIT Xpress es una versin completamente free del producto
ObserveIT, sin fecha de expiracin. La versin free puede
monitorizar un mximo de 5 servidores.
ObserveIT Xpress
SANS
Artculo en el que se analizan los diferentes roles relevantes a la
informacin clave de una organizacin, el grado de segregacin
recomendado y las razones para acometer esta segregacin.
Sans

10.1.4 Separacin de los recursos de desarrollo, prueba y operacin.

Control:
La separacin de los recursos para el desarrollo, prueba y produccin es importante para reducir
los riesgos de un acceso no autorizado o de cambios al sistema operacional.
(consultar 12.4.2)

10.2 Gestin de la provisin de servicios por terceros.

Implementar y mantener un nivel apropiado de seguridad de la informacin y de la prestacin del
servicio en lnea con los acuerdos de prestacin del servicio por terceros.
La organizacin debera verificar la implementacin de acuerdos, el monitoreo de su cumplimiento
y gestin de los cambios con el fin de asegurar que los servicios que se ser prestan cumplen con
todos los requerimientos acordados con los terceros.
Lo que recibe vale lo que paga por ello? D respuesta a esta pregunta y respldela con hechos,
estableciendo un sistema de supervisin de terceros proveedores de servicios y sus respectivas
entregas de servicio.
Revise peridicamente los acuerdos de nivel de servicio (SLA) y comprelos con los registros de
supervisin. En algunos casos puede funcionar un sistema de premio y castigo.
Est atento a cambios que tengan impacto en la seguridad.
Coste del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio.
Evaluacin del rendimiento de proveedores incluyendo la calidad de servicio, entrega, coste, etc.

10.2.1 Provisin de servicios.

Control:
Se debera garantizar que los controles de seguridad, definiciones de servicio y niveles de entrega
incluidos en el acuerdo de entrega de servicio externo sean implementados, operados y
mantenidos por la parte externa.
(Consultar tambin 6.2.1, 6.2.3, 6.1.5, 10.2.2, 12.5.5).
FFIEC
Council), en ingls, sobre la externalizacin de procesos TI. La
acompaa una lista de verificacin -checklist-, til para auditar
dicho proceso.
FFIEC IT outsourcing booklet
Kerala State
Ejemplos de peticiones de propuestas en los que se incluyen
descripciones del servicio entregado y acuerdos de seguridad
con terceros, as como, definiciones de servicio y aspectos de
la gestin del servicio (en ingls).
Kerala State Wide Area Network
Infrastructure
Kerala State ISMS implantation

10.2.2 Supervisin y revisin de los servicios prestados por terceros.

Control:
Los servicios, informes y registros suministrados por terceros deberan ser monitoreados y
revisados regularmente, y las auditoras se deberan realizar a intervalos regulares.
(Consultar tambin 6.2.1, 6.2.3, 6.1.5, 10.2.1, 12.5.5).
FFIEC
Council), en ingls, para la adecuada supervisin de
proveedores de servicios TI. La acompaa una lista de
verificacin -checklist-, til para auditar dicho proceso.
FFIEC IT providers superivision booklet
Genos Open Source
GMF es una implementacin de las recomendaciones ITIL (IT
Infrastructure Library) para la gestin de servicios de TI (IT
Service Management o ITSM). GMF es un producto de
software libre distribuido bajo licencia GPL e incluye mdulos
de gestin de incidencias (Trouble Ticketing), gestin de
inventario, gestin del cambio (Change Management), SLA y
reporting.
GMF - GenosOrg

10.2.3 Gestin del cambio en los servicios prestados por terceros.

Control:
Se deberan gestionar los cambios en la provisin del servicio, incluyendo mantenimiento y mejoras
en las polticas de seguridad de informacin existentes, en los procedimientos y los controles
teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, as como
la reevaluacin de los riesgos.

10.3 Planificacin y aceptacin del sistema.
Minimizar el riesgo de fallos en los sistemas.
Se requiere una planificacin y preparacin avanzadas para garantizar la adecuada capacidad y
recursos con objeto de mantener la disponibilidad de los sistemas requerida.
Deberan realizarse proyecciones de los requisitos de capacidad en el futuro para reducir el riesgo
de sobrecarga de los sistemas.
Se deberan establecer, documentar y probar, antes de su aceptacin, los requisitos operacionales
de los nuevos sistemas.
Adopte procesos estructurados de planificacin de capacidad TI, desarrollo seguro, pruebas de
seguridad, etc., usando estndares aceptados como ISO 20000 (ITIL) donde sea posible.
Defina e imponga estndares de seguridad bsica (mnimos aceptables) para todas las
plataformas de sistemas operativos, usando las recomendaciones de seguridad de CIS, NIST, NSA
y fabricantes de sistemas operativos y, por supuesto, sus propias polticas de seguridad de la
informacin.
Porcentaje de cambios de riesgo bajo, medio, alto y de emergencia. Nmero y tendencia de
cambios revertidos y rechazados frente a cambios exitosos.
Porcentaje de sistemas (a) que deberan cumplir con estndares de seguridad bsica o similares y
(b) cuya conformidad con dichos estndares ha sido comprobada mediante benchmarking o
pruebas.

10.3.1 Gestin de capacidades.

Control:
Se debera monitorizar el uso de recursos, as como de las proyecciones de los requisitos de las
capacidades adecuadas para el futuro con objeto de asegurar el funcionamiento requerido del
sistema.
MICROSOFT
ADTest.exe es una herramienta de generacin de carga del Active
Directory que simula transacciones de clientes a un servidor host
para evaluar el rendimiento de Microsoft Active Directory para
Microsoft Windows Server 2003 y Microsoft Active
Directory Application Mode.
Active Directory Performance
Testing Tool

10.3.2 Aceptacin del sistema.

Control:
Se deberan establecer criterios de aceptacin para nuevos sistemas de informacin,
actualizaciones y versiones nuevas. Se deberan desarrollar las pruebas adecuadas del sistema
durante el desarrollo y antes de su aceptacin.
(consultar 14.1)

10.4 Proteccin contra el cdigo malicioso y descargable. Cdigo Mvil.

Proteger la integridad del software y de la informacin.
Se requieren ciertas precauciones para prevenir y detectar la introduccin de cdigo malicioso y
cdigos mviles no autorizados.
El software y los recursos de tratamiento de informacin son vulnerables a la introduccin de
software malicioso como virus informticos, gusanos de la red, caballos de troya y bombas lgicas.
Los usuarios deberan conocer los peligros que puede ocasionar el software malicioso o no autor
izado y los administradores deberan introducir controles y medidas especiales para detectar o
evitar su introduccin.
Combine controles tecnolgicos (p. ej., software antivirus) con medidas no tcnicas (educacin,
concienciacin y formacin).
No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo
e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables!
Tendencia en el nmero de virus, gusanos, troyanos o spam detectados y bloqueados. Nmero y
costes acumulados de incidentes por software malicioso.

10.4.1 Controles contra el cdigo malicioso.

Control:
Se deberan implantar controles de deteccin, prevencin y recuperacin contra el software
malicioso, junto a procedimientos adecuados para la concienciacin de los usuarios.
(consultar 15.1.2) (consultar 13.1 y 13.2) (consultar 14)

ANUBIS
Servicio on-line para cdigo malicioso (malware). Sube tu fichero Windows
ejecutable y recibes un informe de anlisis indicndote qu es lo que hace el
fichero. Para el anlisis de ficheros de Javascript y Flash prueba con Wepawet
Anubis
BITDEFENDER
Enfocado en las amenazas cibernticas activas, el producto usa slo una parte
de los recursos del sistema necesarios para un anlisis de virus y no requiere de
tiempo para la actualizacin de firmas de virus, ya que el proceso de deteccin
es ejecutado en los servidores remotos de Bitdefender.
Se puede acceder al servicio Quickscan desde cualquier PC conectado a Internet.
No necesita instalar software, realizar actualizaciones o hacer tareas de
configuracin.
Anlisis Online
Comodo Servicio de anlisis automtico de Malware en ficheros de cualquier tipo. Enlace
EICAR
European Institute for Computer Antivirus Research dedicado a la seguridad TI y
con actividad relevante en soluciones de Malware. Dispone de ficheros incuos
que permiten verificar si sus soluciones antimalware permanecen activas y
eficaces.
Ficheros test
Antimalware
ENISA
Utilizando aplicaciones maliciosas se puede acceder fcilmente a datos privados
almacenados o procesados por los smartphones como emails confidenciales,
datos de ubicacin y geoposicionamiento, llamadas telefnicas, mensajes SMS,
entre otros. Partiendo de un modelo de amenazas para la tiendas de
aplicaciones, este documento identifica 5 lneas de defensa que deben estar
establecidas para combatir el malware en las appstores.
Appstore security
EUREKA Servicio de anlisis automtico de Malware en ficheros binarios de Windows. Enlace
GMER
GMER es una aplicacin que no necesita de instalacin y que detecta y elimina
cdigo malicioso (rootkit) oculto mediante el escaneo de procesos, mdulos,
servicios, archivos, sectores de disco (MBR) y drivers que dependen de llamdas
SSDT/IDT y IRP del sistema operativo (Windows NT/W2K/XP/VISTA/7).
GMER
ISO
Especificaciones para el etiquetado de software con el objeto de optimizar su
identificacin y gestin. (ingls)
ISO/IEC 19077-
2:2009
JOTTI
El escner de viruses de Jotti es un servicio online gratuito con el cual se puede
revisar archivos sospechosos mediante diversos programas de antivirus. Los
escneres son de la version Linux y por eso posiblemente tendrn diferencias
menores en comparacin a los resultados de Windows. El tamao mximo de los
archivos es de 25MB. Favor de tener en cuenta que no habr una deteccin de
virus a 100%, tampoco en el caso que se usara varios programas de antivirus
(p.ej. este servicio de escner).
Acceso Online
JSUNPACK
A Generic JavaScript Unpacker que permite analizar ficheros PDF, pcap, HTML,
JavaScript y URL.
Acceso Online
KASPERSKY
Solucin gratuita disponible desde Android Market que proporciona defensa
antirobo, permitiendo bloquear, limpiar o encontrar tu telfono perdido.
Permite tambin filtrar fcilmente mensajes de texto SMS y llamadas no
deseadas. Adicionalmente, el escaner Anti-Virus Lite alerta sobre aplicaciones
potencialmente maliciosas antes de que daen tu telfono.
Kaspersky Mobile
Security Lite
LABORATORIOS
INDEPENDIENTES DE
EVALUACION ANTIVIRUS
En la seleccin de un buen AV se debe consultar a los laboratorios que estn
probando varios antivirus contra las ltimas amenazas de malware y comprobar
su actualizacin peridica. Varios enlaces a laboratorios disponibles.
Virus Bulletin -
VB100
AV-TEST Institute
AV Comparative
MICROSOFT
Microsoft Security Essentials proporciona proteccin en tiempo real contra virus,
spyware y otros tipos de software malintencionado para PCs.
Microsoft Security
Essentials
MOBILE SANDBOX
Proporciona un fichero de una aplicacin Android (apk-file) y Mobile-Sandbox-
System analizar el fichero en busca de un comportamiento malicioso.
Enlace
NETCOP
NetCop en un servidor UTM con sistema operativo integrado. No requiere
instalacin de software en la parte del cliente. NetCop dispone de
funcionalidades de filtrado de contenidos (Content filter), motor de cache
(Cache Engine), proteccin contra Spam, Hotspot, control de ancho de banda.
Tambin protege tu red de amenazas del exterior como Virus, SPAM , Troyanos,
entre otros.
NetCop UTM
NoVirusThanks
NoVirusThanks es un proyecto que se inici en junio de 2008 con el objetivo
primordial de la creacin de software y servicios relacionados con la seguridad
informtica y de Internet. Ofrecemos diversos servicios y software para la
seguridad y ayudar a los usuarios a defenderse de las amenazas de Internet.
Enlace a soluciones
PEEPDF
Python tool para explorar ficheros PDF y comprobar si puede provocar daos o
no. Peedpf proporciona todos los componentes que un investigador necesita
para el anlisis de PDFs y posibilita ver todos los objetos de un documento
mostrando elementos sospechosos en base al uso de la mayora de los filtros y
codificaciones, parseando diferentes versiones de un fichero, streams de objetos
y cifrado de ficheros. Junto a la instalacin de Spidermonkey y Libemu
proporciona anlisis de Javascript y shellcode adicionalmente. Tambin es capaz
de crear nuevos ficheros PDF y modificar los actuales.
peepdf
ROOTREPEAL
Aplicacin que no necesita instalacin con funcionalidades de: Driver Scan
(kernel-mode drivers), Files Scan (ocultos, bloqueados o falseados), Processes
Scan (en ejecucin, ocultos o bloqueados), SSDT Scan (funciones adulteradas en
el System Service Descriptor Table (SSDT)), Stealth Objects Scan (rootkits activos
segn ciertos sntomas tpicos), Hidden Services Scan (servicios ocultos), Shadow
SSDT Scan (similar a SSDT Scan pero centrado en funciones de interfaz grfico).
Sistemas operativos: Microsoft Windows 2008 Server; Windows Vista;
Windows XP Professional or Home Edition; Windows 2000 with Service Pack 4;
Windows 2003 Server (Nota: Only x86 versions of Windows are supported.).
ROOTREPEAL
VisSCAN
VirSCAN.org es un servicio GRATUITO de escaneo en lnea que chequea los
archivos subidos usando los motores antivirus indicados en la lista VirSCAN.
Luego de subir el archivo a chequear pods ver los resultados y lo peligroso o
inofensivo que es este archivo.
Acceso Online
VIRUS TOTAL
VirusTotal es un servicio de anlisis de archivos sospechosos que permite
detectar virus, gusanos, troyanos, y malware en general. Caractersticas: Servicio
independiente y gratuito, Uso simultneo de mltiples motores antivirus,
Actualizacin automtica de los motores en tiempo real, Resultados detallados
por cada uno de los antivirus, Estadsticas globales en tiempo real
VirusTotal

10.4.2 Controles contra el cdigo descargado en el cliente. Medidas y controles
contra cdigo mvil.

Control:
Cuando se autorice la utilizacin de cdigo mvil, la configuracin debera asegurar que dicho
cdigo mvil opera de acuerdo a una poltica de seguridad definida y se debera evitar la ejecucin
de los cdigos mviles no autorizados.
Se refiere a cdigo que se descarga y ejecuta en el equipo con poca o ninguna intervencin del usuario. Entraran en esta categora, p. ej., todo tipo de scripts (Java, VB...), macros,
controles Active X, applets (Java, Flash...), etc.
10.5 Copias de seguridad. Gestin interna de soportes y recuperacin.
Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y
comunicacin.
Se deberan establecer procedimientos rutinarios para conseguir la estrategia aceptada de
respaldo (consultar 14.1) para realizar copias de seguridad y probar su puntual recuperacin.
Implante procedimientos de backup y recuperacin que satisfagan no slo requisitos contractuales
sino tambin requisitos de negocio "internos" de la organizacin.
Bsese en la evaluacin de riesgos realizada para determinar cules son los activos de
informacin ms importantes y use esta informacin para crear su estrategia de backup y
recuperacin.
Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicacin de backup,
frecuencia de copia y prueba de soportes.
Encripte copias de seguridad y archivos que contengan datos sensibles o valiosos (en realidad,
sern prcticamente todos porque, si no, para qu hacer copias de seguridad?).
Porcentaje de operaciones de backup exitosas.
Porcentaje de recuperaciones de prueba exitosas.
Tiempo medio transcurrido desde la recogida de los soportes de backup de su almacenamiento
fuera de las instalaciones hasta la recuperacin exitosa de los datos en todas ubicaciones
principales.
Porcentaje de backups y archivos con datos sensibles o valiosos que estn encriptados.

10.5.1 Copias de seguridad de la informacin. Recuperacin de la informacin

Control:
Se deberan hacer regularmente copias de seguridad de toda la informacin esencial del negocio y
del software, de acuerdo con la poltica acordada de recuperacin.
(consultar 9)
(consultar 14)
(consultar 15.1.3)

10.6 Gestin de la seguridad de las redes.

Asegurar la proteccin de la informacin en las redes y la proteccin de su infraestructura de
apoyo.
La gestin de la seguridad de las redes, las cuales pueden cruzar las fronteras de la organizacin,
exige la atencin a los flujos de datos, implicaciones legales, monitoreo y la proteccin.
Podran ser necesarios controles adicionales con el fin de proteger la informacin sensible que
pasa por las redes pblicas.
Prepare e implante estndares, directrices y procedimientos de seguridad tcnicos para redes y
herramientas de seguridad de red como IDS/IPS (deteccin y prevencin de intrusiones), gestin
de vulnerabilidades, etc.
Nmero de incidentes de seguridad de red identificados en el mes anterior, dividido por categoras
de leve / importante / grave, con anlisis de tendencias y descripcin comentada de todo incidente
serio y tendencia adversa.

10.6.1 Controles de red.

Control:
Se deberan mantener y controlar adecuadamente las redes para protegerlas de amenazas y
mantener la seguridad en los sistemas y aplicaciones que utilizan las redes, incluyendo la
informacin en trnsito.
(Consultar tambin: 10.1.3, 11.4, 12.3)
Cloud Cracker
Servicio de cracking de contraseas para test de penetracin y audtitores de
red que necesitan chequear la securidad de protecciones WPA2-PSK en redes
wireless, crack hashes o romper cifrados de documentos.
Servicio Cloud
CONTROLSCADA
Recomendaciones de seguridad en ingls para redes inalmbricas.
Controlscada
FLINT
Herramienta gratuita, en ingls, de localizacin de problemas de configuracin
en firewalls.
Matasano Flint
GoToManage
GoToManage es una herramienta de pago de gestin de inventario TI,
monitorizacin de servidores y redes, soporte remoto, etc.
GoToManage
INTECO
Gua para Pymes, en espaol, publicada por INTECO, sobre cmo proteger
adecuadamente las redes inalmbricas (WI-FI).
Gua Inteco proteccin WI-
FI
ISO
Las normas de la serie ISO/IEC 18028 estn dedicadas a la seguridad en redes.
Estn siendo sustituidas paulatinamente por la normas ISO/IEC 27033.
ISO 27033 / ISO 18028
KISMAC
KisMAC es la versin para Mac OS X de KisMET.
Kismac
KISMET
Kismet es un rastreador capaz de pasar la tarjeta Airport en modo monitor y
detectar todas las redes inalmbricas disponibles en las cercanas, y controlar el
trfico que se realiza a travs de ellas.
Kismet
md5deep and hashdeep
Set de herramientas para comprobar el hash de los ficheros y su estado en
relacin a los originales para comprobar posibles alteraciones
md5deep y hashdeep
NETWORKTOOLS
Comandos bsicos de red.
NetworkTools
NIPPER
Nipper (Network Infrastructure Parser) es una herramienta open source de
configuracin, auditora y gestin de redes y dispositivos de red.
NIPPER
NMAP
Herramienta en ingls de exploracin de redes y auditora de seguridad. til
para inventario de red, planificacin de actualizaciones y monitorizacin de
disponiblidad de servidores o servicios.
NMAP
NTOP
OSWA es una herramienta gratuita de de auditora de seguridad de redes
inalmbricas, bluetooth y RFID.
OSWA
OSWA
ntop es una sonda de trfico de red que muestra el uso de la red de manera
similar al comando Unix. ntop se basa en libpcap y se ha escrito para ejecutar
prcticamente en todas las plataformas Unix y Win32.
ntop
SECURITY ONION
Security Onion distro Linux para IDS (Deteccin de intrusiones) y NSM
(Monitorizacin de la seguridad de la red). Est basada en Ubuntu y contiene
Snort, Suricata, Bro, Sguil, Squert, Snorby, Xplico, NetworkMiner, entre otras
muchas herramientas. Dispone de un men de inicio rpido que permite
construir sensores distribuidos para tu organizacin en minutos.
Main page
SPICEWORKS
Spiceworks
WIRESHARK Uno de los analizadores de red ms populares. Wireshark

10.6.2 Seguridad de los servicios de red.

Control:
Se deberan identificar e incluir, en cualquier acuerdo sobre servicios de red, las caractersticas de
seguridad, los niveles de servicio y los requisitos de gestin de todos los servicios de red,
independientemente de que estos servicios sean provistos desde la propia organizacin o se
contratan desde el exterior.
The CENTER FOR
INTERNET SECURITY
Cisco Router Audit Tool for Windows and Unix. Ability to score Cisco Router IOS,
Ability to score Cisco PIX firewalls and Includes benchmark documents (PDF) for
both Cisco IOS and Cisco ASA, FWSM, and PIX security settings. (ingls)
RAT Cisco
CISCO
This guide discusses the Cisco SAFE best practices, designs and configurations,
and provides network and security engineers with the necessary information to
help them succeed in designing, implementing and operating secure network
infrastructures based on Cisco products and technologies. (ingls)
SAFE Cisco
SAMHAIM
Open-source host-based intrusion detection system (HIDS) provides file
integrity checking and log file monitoring/analysis, as well as rootkit detection,
port monitoring, detection of rogue SUID executables, and hidden processes.
Designed to monitor multiple hosts with potentially different operating systems
(Unix, Linux, Cygwin/Windows).
Samhain
SOURCEFORGE
Open Source Tripwire software is a security and data integrity tool useful for
monitoring and alerting on specific file change(s) on a range of systems. The
project is based on code originally contributed by Tripwire, Inc. in 2000.
Tripwire
SOURCEFORGE Advanced Intrusion Detection Environment. Host-based tool. AIDE

10.7 Manipulacin de los soportes.

Evitar la divulgacin, modificacin, retirada o destruccin de activos no autorizada e interrupciones
en las actividades de la organizacin.
Los medios deberan ser controlados y fsicamente protegidos.
Se deberan establecer los procedimientos operativos adecuados para proteger los documentos,
medios informticos (discos, cintas, etc.), datos de entrada o salida y documentacin del sistema
contra la divulgacin, modificacin, retirada o destruccin de activos no autorizadas .
Asegure los soportes y la informacin en trnsito no solo fsico sino electrnico (a travs de las
redes).
Encripte todos los datos sensibles o valiosos antes de ser transportados.
Porcentaje de soportes de backup o archivo que estn totalmente encriptados.
10.7.1 Gestin de soportes extrables.

Control:
Se deberan establecer procedimientos para la gestin de los medios informticos removibles.
CITICUS
Citicus, empresa especialista en gestin del riesgo empresarial y en el
cumplimiento dispone de una aplicacin free para la gama de IOS de los
dispositivos de Apple - iPhone, IPAD y el iPod touch.
Aplicacin para el
anlisis y gestin de
riesgos
Demostracin en
youtube

10.7.2 Retirada de soportes.

Control:
Se deberan eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos,
utilizando procedimientos formales.
INTECO
Gua sobre almacenamiento y borrado seguro de informacin: aborda
cuestiones como por qu se debe controlar la informacin en la empresa,
cmo se almacena dicha informacin en los dispositivos de
almacenamiento ms comunes, en qu consiste la recuperacin en caso de
prdida y qu debe hacerse si se quiere eliminar de modo permanente la
informacin. Disponible la gua completa en castellano e ingls y la resea
de la misma en cataln, euskera, gallego y valenciano.
Gua INTECO
NAID
NAID es la asociacin internacional de empresas que prestan servicios
de destruccin de la informacin. Enlace para localizar sus miembros de
los distintos paises e informacin sobre normas, tica y auditoras de
certificacin de empresas.
naidonline.org
HEIDI-Eraser
Eraser es una herramienta gratuita para Windows de borrado seguro de
soportes por sobreescritura de ficheros, soportes completos o espacios
sin utilizar.
Eraser
Harwipe Herramienta gratuita de borrado seguro. Hardwipe
DARIK'S BOOT AND NUKE
Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita-
autoarrancable que permite hacer un borrado seguro del disco duro
completo de un equipo (operacin que no sera posible si se inicia el
equipo con el sistema operativo instalado en ese mismo disco).
DBAN
UCSDCSE Artculo de investigacin sobre la no aplicabilidad de mtodos
tradicionales de borrado seguro en discos duros a discos SSD (de estado
Borrado de SSD
slido).
Wikipedia
Informacin en ingls sobre tipos de destructoras de papel y referencia a
la norma DIN 32757.
Destructoras de papel
AENOR
Norma UNE-EN 15713:2010: "Destruccin segura del material
confidencial. Cdigo de buenas prcticas." Establece requerimientos para
la gestin y control de recogida, transporte y destruccin de material
confidencial para su destruccin. Aplicable, principalmente a empresas
que prestan servicio de recogida y destruccin de soportes
(especialmente, papel).
UNE-EN 15713:2010
BSIA
Resumen de requisitos expuestos en la norma EN 15713:2010:
"Destruccin segura del material confidencial. Cdigo de buenas
prcticas." Editado por BSIA (Asociacin britnica de la industria de
seguridad.
Explicacin EN 15713
Revista AyS Artculo de introduccin a la destruccin segura de soportes. Artculo

10.7.3 Procedimientos de manipulacin de la informacin.

Control:
Se deberan establecer procedimientos para la manipulacin y almacenamiento de la
informacin con el objeto de proteger esta informacin contra divulgaciones o usos no autorizados
o inadecuados.
(Consultar tambin 7.2)
INTECO
Gua sobre almacenamiento y borrado seguro de informacin: aborda cuestiones
como por qu se debe controlar la informacin en la empresa, cmo se almacena
dicha informacin en los dispositivos de almacenamiento ms comunes, en qu
consiste la recuperacin en caso de prdida y qu debe hacerse si se quiere
eliminar de modo permanente la informacin. Disponible la gua completa en
castellano e ingls y la resea de la misma en cataln, euskera, gallego y
valenciano.
Gua INTECO

10.7.4 Seguridad de la documentacin del sistema.

Control:
Se debera proteger la documentacin de los sistemas contra accesos no autorizados.
PATHLOCK
PathLock es una pequea utilidad que permite tomar el control total de las
acciones de los usuarios en cada ruta del sistema y decidir qu usuarios pueden
cambiar el nombre de los directorios de archivos y carpetas o crear archivos y
carpetas. De este modo se puede proteger los datos contra daos o acciones no
deseadas. Puede ocultar PathLock en cualquier lugar y no requiere instalacin.
RCP Soft
10.8 Intercambio de informacin.

Mantener la seguridad de la informacin y del software que se intercambian dentro de la
organizacin o con cualquier entidad externa.
Se deberan realizar los intercambios sobre la base de una poltica formal de intercambio, segn
los acuerdos de intercambio y cumplir con la legislacin correspondiente (consultar clusula 15).
Se deberan establecer procedimientos y normas para proteger la informacin y los medios fsicos
que contienen informacin en trnsito.
Estudie canales de comunicaciones alternativos y "pre-autorizados", en especial direcciones de e-
mail secundarias por si fallan las primarias o el servidor de correo, y comunicaciones offline por si
caen las redes.
El verificar canales de comunicacin alternativos reducir el estrs en caso de un incidente real.
Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y (b) implementado
satisfactoriamente los requisitos de seguridad de la informacin.
10.8.1 Polticas y procedimientos de intercambio de informacin.

Control:
Se deberan establecer polticas, procedimientos y controles formales de intercambio con objeto de
proteger la informacin mediante el uso de todo tipo de servicios de comunicacin.
(consultar 10.4.1), (consultar 7.1.3), (consultar 12.3), (consultar 15), (consultar 10.3 y 14),
(consultar 11)
FIREFOX Complementos para navegador relacionados con la Privacidad y seguridad Complementos FireFox
ISO/IEC 27010
Proporciona controles y orientaciones relativas especficamente a iniciar,
implementar, mantener y mejorar la seguridad de la informacin en las
comunicaciones inter-organizacionales e intersectoriales.
Compra y preview
NIST Anlisis de vulnerabilidades para PBX (voz)
Special Publication NIST
800-24
VIPER
VAST has been released with UCSniff 3.0 which includes GUI interface, VoIP
video realtime monitoring, TFTP MitM modification of IP phone features,
Gratuitous ARP disablement bypass support, and support for several
compression codecs
VIPERVAST
WARVOX
WarVOX is a suite of tools for exploring, classifying, and auditing telephone
systems.
WarVOX

10.8.2 Acuerdos de intercambio.

Control:
Se deberan establecer acuerdos para el intercambio de informacin y software entre la
organizacin y las partes externas.
(consultar 15.1.2 y 15.1.4)
(consultar 12.3)
(consultar 10.8.3)
TRUECRYPT
Free Open-Source Disk Encryption Software TRUECRYPT

10.8.3 Soportes fsicos en trnsito.

Control:
Se deberan proteger los medios que contienen informacin contra acceso no autorizado, mal uso
o corrupcin durante el transporte fuera de los lmites fsicos de la organizacin.
TRUECRYPT Free Open-Source Disk Encryption Software Truecrypt
ROHOS
Rohos Mini Drive es una aplicacin gratuita que permite crear
particiones con cifrado, ocultarlas y protegerlas con contrasea en
cualquier unidad USB flash. Con los datos cifrados puede trabajar
en cualquier ordenador an sin derechos administrativos. El
programa crea una particin protegida con el estndar AES 256
bits accesible slo con la clave secreta que elijas.
Rohos

10.8.4 Mensajera electrnica.

Control:
Se debera proteger adecuadamente la informacin contenida en la mensajera electrnica.
ALBALIA
Herramienta gratuita y genera firmas codificadas segn el formato
PKCS#7 o CMS (Cryptographic Message Syntax)
AlbaliaFirma
ELEFILE
Sistema de intercambio cifrado de informacin adjunta a e-mails
de forma gratuita de extremo a extremo y sin instalaciones de
software en los extremos. Slo es necesaria el alta gratuita del
emisor del mensaje (no es necesaria la del receptor).
Servicio Online
FOCA
Herramienta para por la extraccin de metadatos en documentos
pblicos antes de proceder a su envo. La herramienta permite
adicionalmente la realizacin de procesos de fingerprinting e
information gathering en trabajos de auditora web. La versin
Free realiza bsqueda de servidores, dominios, URLs y documentos
publicados, as como el descubrimiento de versiones de software
en servidores y clientes.
Informtica 64
KRIPTOPOLIS
Plataforma Wiki de Kriptpolis con una recopilacin de
herramientas de cifrado para programas de mensajera
instantnea.
kriptowiki
Metashield Protector
La fuga de la informacin por medio de canales ocultos como son
los metadatos y la informacin oculta en los documentos requiere
que se comprueben todos los documentos antes de ser entregados
a los clientes. Mdulo para IIS 7 capaz de eliminar los metadatos
de los documentos ofimticos. De este modo con solo instalar este
mdulo todos los documentos accesibles pblicamente a travs de
un portal no contendrn metadatos. MetaShield protector puede
limpiar documentos de Microsoft Office de la versin 97 a la 2007,
OpenOffice, Portable Document Format (pdf), wpd y jpg.
Metashield

10.8.5 Sistemas de informacin empresariales.

Control:
Se deberan desarrollar e implementar polticas y procedimientos con el fin de proteger la
informacin asociada con la interconexin de sistemas de informacin del negocio.
(consultar 7.2), (consultar 6.2), (consultar 10.5.1), (consultar 14)
10.9 Servicios de comercio electrnico.

Asegurar la seguridad de los servicios de comercio electrnico y de su uso seguro.
Se deberan considerar las implicaciones de seguridad asociadas con el uso de servicios de
comercio electrnico, incluyendo transacciones en lnea y los requisitos para los controles.
La integridad y disponibilidad de la informacin electrnica publicada a travs de sistemas
disponibles de publicidad deberan ser tambin consideradas.
Trabaje estrechamente con las unidades de negocio para desarrollar un eBusiness seguro,
incorporando requisitos de seguridad de la informacin en los proyectos, y con ello en los sistemas
de eCommerce, desde el principio (tambin en cualquier cambio/actualizacin posterior). Insista en
el valor aadido de la seguridad en la reduccin de riesgos comerciales, legales y operativos
asociados al eBusiness. Trabaje los 3 aspectos clave de la seguridad: confidencialidad, integridad
y disponibilidad
"Estado de la eSeguridad", es decir, un informe sobre el nivel global de confianza de la direccin,
basado en el anlisis de los ltimos tests de penetracin, incidentes actuales o recientes,
vulnerabilidades actuales conocidas, cambios planificados, etc..
10.9.1 Comercio electrnico.

Control:
Se debera proteger la informacin involucrada en el comercio electrnico que pasa por redes
publicas contra actividades fraudulentas, disputas por contratos y divulgacin o modificacin no
autorizadas.
(Consultar tambin: 12.3, 15.1, 15.1.6, 11.4.6, 12.3)
Albalia
AlbaliaFirma.zip
ENISA
Informe de ENISA, en ingls, sobre el uso de smart cards como
medio de autenticacin, frente a otros.
ENISA report
FFIEC
Guas del FFIEC (Federal Financial Institutions Examination
Council), en ingls, sobre banca electrnica, retail payment
systems y wholesale payment systems. Las acompaan
listas de verificacin -checklists-, tiles para auditar dichos
procesos.
FFIEC e-banking IT booklet,
FFIEC retail payment systems IT
booklet, FFIEC wholesale
payment systems IT booklet
INTECO
Gua publicada por INTECO para empresarios acerca de los
requisitos legales bsicos que se deben cumplir a la hora de iniciar
un negocio en Internet.
Gua Inteco
INTECO
Gua de INTECO sobre seguridad y privacidad en el Comercio
Electrnico.
Gua Inteco seguridad comercio
electrnico
ISACA
Gua de ISACA sobre aspectos relevantes a riesgos y seguridad en
el Comercio Electrnico va dispositivos mviles.
Mobile Payments
Ministerio de Industria, Turismo y
Comercio
Informacin general sobre la Ley de Servicios de la Sociedad de
la Informacin y de Comercio Electrnico (LSSI), que ha sido
elaborada por la Secretara de Estado de Telecomunicaciones y
para la Sociedad de la Informacin del Ministerio de Industria,
Turismo y Comercio.
Portal LSSI
OWASP
La gua de desarrollo de OWASP (Open Web Application
Security Project) ayuda a crear aplicaciones web seguras.
Disponible tambin en espaol.
OWASP Guide Project
PCI Security Standards Council
PCI DSS (Payment Card Industry Data Security Standard) es un
estndar internacional para la seguridad en los pagos mediante
tarjeta de crdito.
PCI DSS

10.9.2 Transacciones en lnea.

Control:
Se debera proteger la informacin involucrada en el comercio electrnico que pasa por redes
pblicas contra actividades fraudulentas, disputas por contratos y divulgacin o modificacin no
autorizadas.
(Consultar tambin: 12.3, 15.1, 15.1.6, 11.4.6, 12.3)
Albalia
AlbaliaFirma.zip
ENISA
Informe de ENISA, en ingls, sobre el uso de smart cards como
medio de autenticacin, frente a otros.
ENISA report
FFIEC
Guas del FFIEC (Federal Financial Institutions Examination
Council), en ingls, sobre banca electrnica, retail payment
systems y wholesale payment systems. Las acompaan
listas de verificacin -checklists-, tiles para auditar dichos
procesos.
FFIEC e-banking IT booklet,
FFIEC retail payment systems IT
booklet, FFIEC wholesale
payment systems IT booklet
INTECO
Gua publicada por INTECO para empresarios acerca de los
requisitos legales bsicos que se deben cumplir a la hora de iniciar
un negocio en Internet.
Gua Inteco
INTECO
Gua de INTECO sobre seguridad y privacidad en el Comercio
Electrnico.
Gua Inteco seguridad comercio
electrnico
ISACA
Gua de ISACA sobre aspectos relevantes a riesgos y seguridad en
el Comercio Electrnico va dispositivos mviles.
Mobile Payments
Ministerio de Industria, Turismo y
Comercio
Informacin general sobre la Ley de Servicios de la Sociedad de
la Informacin y de Comercio Electrnico (LSSI), que ha sido
elaborada por la Secretara de Estado de Telecomunicaciones y
para la Sociedad de la Informacin del Ministerio de Industria,
Turismo y Comercio.
Portal LSSI
OWASP
La gua de desarrollo de OWASP (Open Web Application
Security Project) ayuda a crear aplicaciones web seguras.
Disponible tambin en espaol.
OWASP Guide Project
PCI Security Standards Council
PCI DSS (Payment Card Industry Data Security Standard) es un
estndar internacional para la seguridad en los pagos mediante
tarjeta de crdito.
PCI DSS

10.9.3 Informacin pblicamente disponible.

Control:
Se debera proteger la integridad de la informacin que pone a disposicin en un sistema de
acceso pblico para prevenir modificaciones no autorizadas.
(Consultar tambin 12.3 y 15.1.4)
Albalia Interactiva
AlbaliaFirma.zip
Informtica 64
FOCA FREE es una herramienta para la realizacin de procesos de
fingerprinting e information gathering en trabajos de auditora web.
La versin Free realiza bsqueda de servidores, dominios, URLs y
documentos publicados, as como el descubrimiento de versiones de
software en servidores y clientes. FOCA se hizo famosa por la
extraccin de metadatos en documentos pblicos.
FOCA
INTECO
Gua publicada por INTECO sobre seguridad de sitios web
Gua INTECO
INTECO
Junto con Wordpress y Drupal, Joomla! es uno de los gestores de
contenidos ms utilizados debido a su facilidad de instalacin,
posibilidad de personalizacin, etc. y que puede ser empleado en
muy diversos mbitos como el personal, para crear un blog por
ejemplo; o el empresarial, para el desarrollo de una pgina web
corporativa. Pero con independencia del uso que se le vaya a dar, el
tcnico que lleve a cabo la implementacin debe ser consciente
acerca de los aspectos de seguridad que se han de cubrir en la
aplicacin antes de llevar una instalacin de este CMS a un entorno
de produccin.
Gua INTECO
INTECO
La gua analiza los conceptos de identidad digital y reputacin
online, describiendo los riesgos que existen en la gestin de la
personalidad online del usuario, y el marco jurdico que protege a
los ciudadanos. Tambin ofrece una serie de pautas y
recomendaciones de actuacin dirigidas a ciudadanos y poderes
pblicos, con el objetivo de garantizar una correcta construccin de
la identidad digital.
Gua INTECO
iScanner
iScanner es una herramienta libre que permite detectar y eliminar
cdigo malicioso de sitios web..
iScanner
Mandiant
MANDIANT Web Historian ayuda a los usuarios a revisar la lista
de URLs almacenadas en el historial de los navegadores ms
habituales, como Internet Explorer, Firefox y Chrome.
Mandiant WEB Historian
Microsoft SDL Quick Security
References
Guas que sirven de ayuda para una mejor comprensin y
proteccin ante los ataques ms habituales que puedan afectar a
su software, Web sites y usuarios.
Quick References
UNMASK
Los hackers explotan las vulnerabilidades de seguridad en los sites
de Internet ms populares, tales como blogs, foros, CMS, galeras
de imgenes y los wikis para insertar contenido ilcito oculto en
pginas web de inocentes sitios Web de terceros. Miles de
propietarios de sitios web no son conscientes de que sus sitios son
hackeados e infectados con parsitos. Herramienta para
comprobar posibles infecciones en su sitio Web.
Unmask Parasites

10.10 Supervisin. Monitorizacin

Detectar actividades de procesamiento de la informacin no autorizadas.
Los sistemas deberan ser monitoreados y los eventos de la seguridad de informacin registrados.
El registro de los operadores y el registro de fallos debera ser usado para garantizar la
identificacin de los problemas del sistema de informacin.
La organizacin debera cumplir con todos los requerimientos legales aplicables para el monitoreo
y el registro de actividades.
El monitoreo del sistema debera ser utilizado para verificar la efectividad de los controles
adoptados y para verificar la conformidad del modelo de poltica de acceso.
El viejo axioma del aseguramiento de la calidad "no puedes controlar lo que no puedes medir o
monitorizar" es tambin vlido para la seguridad de la informacin.
La necesidad de implantar procesos de supervisin es ms evidente ahora que la medicin de la
eficacia de los controles se ha convertido en un requisito especfico.
Analice la criticidad e importancia de los datos que va a monitorizar y cmo esto afecta a los
objetivos globales de negocio de la organizacin en relacin a la seguridad de la informacin.
Porcentaje de sistemas cuyos logs de seguridad (a) estn adecuadamente configurados, (b) son
transferidos con seguridad a un sistema de gestin centralizada de logs y (c) son
monitorizados/revisados/evaluados regularmente. Tendencia en el nmero de entradas en los logs
de seguridad que (a) han sido registradas, (b) han sido analizadas y (c) han conducido a
actividades de seguimiento.

10.10.1 Registros de auditora.

Control:
Se deberan producir y mantener durante un periodo establecido los registros de
auditora con la grabacin de las actividades de los usuarios, excepciones y eventos de la
seguridad de informacin, con el fin de facilitar las investigaciones futuras y el monitoreo de los
controles de acceso.
(consultar 15.1.4)
(consultar 10.1.3)
LINUX Audit Quick Start
La referencia rpida para habilitar auditora en LINUX le permite registrar y hacer
un seguimiento integral de acceso a los archivos, directorios y recursos de su
sistema, as como de las llamadas del sistema. Le permite controlar el
seguimiento de comportamientos irregulares o mal funcionamiento de las
aplicaciones. Mediante la creacin de un conjunto de normas que incluyen la
auditora de archivos y llamadas al sistema, usted puede asegurarse de que
Suse Linux Audit Quick
Start
cualquier violacin de sus polticas de seguridad queda registrada y localizada
correctamente.
Q1LABS
Solutions from Q1 Labs are quickly becoming the standard for centralized
management of enterprise network and security information.
Q1labs
SAMHAIN
The Samhain host-based intrusion detection system (HIDS) provides file integrity
checking and log file monitoring/analysis, as well as rootkit detection, port
monitoring, detection of rogue SUID executables, and hidden processes.
Samhain been designed to monitor multiple hosts with potentially different
operating systems, providing centralized logging and maintenance, although it
can also be used as standalone application on a single host.
Samhain
SPLUNK
Splunk es una herramienta de monitorizacin y anlisis de datos masivos
procedentes de redes, aplicaciones, equipos, etc., que permite detectar y
solucionar problemas e incidentes de seguridad con rapidez.
Splunk

10.10.2 Supervisin del uso del sistema.

Control:
Se deberan establecer procedimientos para el uso del monitoreo de las instalacin de
procesamiento de informacin y revisar regularemente los resultados de las actividades de
monitoreo.
(Consultar 13.1.1)
LIRE
Open Source software en entornos Linux/Unix para el anlisis y generacin de
informes sobre los logs y que sirvan como nexo de mejora en la documentacin,
ideas y el uso de otras aplicaciones de mejora en el mantenimiento de los
equipos.
Forja Logreport
Log2timeline
El principal propsito de la herramienta es proporcionar una nica herramienta
que inspeccione varios ficheros de logs (p.ej. de diversos sistemas y
equipamiento de red) y generar una linea temporal que pueda ser analizada por
los analistas y/o forenses.
Proyecto
LOGSURFER
Open Source software en entornos Linux/Unix para la monitorizacin de logs de
sistemas en tiempo real e informe en los eventos registrados.
Forja Logsurfer
LOGWATCH
Logwatch es un sistema de anlisis para entornos Linux de log personalizable
que revisa los logs de los sistemas y los muestra en forma de informe por las
reas analizadas que se hayan especificado. Logwatch es de fcil uso y til en la
mayora de los sistemas.
Forja Logwatch
MANDIANT
Mandiant dispone de una serie de herramientas gratuitas de monitorizacin y
anlisis de sistemas.
Mandiant
OBSERVE IT
Solucin software que captura la actividad en cualquier sesin de usuario,
incluso en Terminales, Remote Desktop, Citrix, VMWare, VNC, NetOP y PC
Anywhere. ObserveIT Xpress es una versin completamente free sin tiempo
ObserveIT Xpress
lmite de uso con un mximo de monitorizacin de 5 servidores.
OSSEC
Sistema de deteccin de intrusos (IDS) Open Source que realiza anlisis de log,
comprobacin de integridad de ficheros, monitorizacin de polticas, deteccin
de rootkits y respuesta con alerta activa en tiempo real. Disponible para la
mayora de sistemas opertativos, incluidos Linux, MacOS, Solaris, HP-UX, AIX y
Windows.
OSSEC
PAGLO
Paglo es una herramienta bajo demanda que permite que las organizaciones
puedan descubrir toda su informacin TI y obtener respuestas inmediatas a
cuestiones relacionadas con sus ordenadores, redes y seguridad.
Paglo
PATRIOT NG
Patriot es una herramienta 'Host IDS' para la monitorizacin en tiempo real de
cambios en sistemas Windows o ataques de red.
Website
RSYSLOG
Rsyslog es un programa de logging de mensajes que implementa el protocolo
basico de syslog y lo extiende agregando filtros, con una configuracin flexible.
Tiene la capacidad de reenviar via UDP o TCP los mensajes del log a otra
maquina.
Proyecto y descarga
SHINKEN
Herramienta que puede controlar desde sistemas TI hasta aplicaciones del
usuario final. En el caso de detectarse fallos Shinken puede alertar a los
responsables de operacin para aplicar rpidamente actividades de gestin de
incidentes. Tiene las mismas capacidades de Nagios , e incluso ms avanzadas
con funciones integradas tales como monitoreo de la disponibilidad con
balanceo de carga alta. Proyecto Open Source disponible para diversos sistemas
operativos.
Download
SNARE
El rango de herramientas 'Snare' para la recoleccin, anlisis, informes y archivo
de logs de eventos permite habilitar un completo sistema de monitorizacin y
gestin.
InterSect Alliance
SNORT
Snort es una solucin de deteccin y prevencin de intrusiones en red (IDS/IPS)
open source desarrollada por Sourcefire y que combina los beneficios de la
inspeccin en firmas, protocolos y anomalas. Snort es una de las tecnologas
IDS/IPS ms ampliamente distribuidas a nivel mundial.
Snort
SPICEWORKS
Spiceworks es una solucin completa para la monitorizacin e informes de la
gestin de redes, helpdesk, inventario de PCs y de software que permite
gestionar todo lo relacionado con TI en organizaciones PYME de medio y
pequeo tamao.
Spiceworks
SYSLOG-NG
Syslog-ng Open Source Edition es una solucin para crear una infraestructura
segura, confiable y flexible de gestin logs en las empresas. Inicialmente para
entornos LINUX/UNIX dispone actualmente de integracin con otros entornos
como Windows y desde la versin Open Source se puede acceder a otras
versiones ms completas y profesionales.
Balabit solutions
UNIBLUE
Uniblue libre y la biblioteca en lnea comprensiva de procesos est para cada
uno que necesite saber la naturaleza y el propsito exactos de cada proceso que
debe, y no deba, funcionar en su PC
Processlibrary
ZENOSS CORE
Software open source para la monitorizacin de aplicaciones, redes, servidores y
muchos ms.
Zenoss Communit
10.10.3 Proteccin de la informacin de los registros. Proteccin de los registros
de incidencia.

Control:
Se deberan proteger los servicios y la informacin de registro de la actividad contra acciones
forzosas o accesos no autorizados.
(consultar 13.2.3)

10.10.4 Registros de administracin y operacin.

Control:
Se deberan registrar las actividades del administrador y de los operadores del sistema.
OBSERVE IT
The software-based solution captures user activity in any user session, including
Terminal, Remote Desktop, Citrix, VMWare, VNC, NetOP and PC Anywhere.
ObserveIT Xpress is a completely free version of the ObserveIT product, with no
time limit. The free version can monitor a maximum of 5 servers
ObserveIT Xpress
10.10.5 Registro de fallos.
Control:
Se deberan registrar, analizar y tomar acciones apropiadas de las averas.
SPLUNK
Splunk es una herramienta de monitorizacin y anlisis de datos masivos
procedentes de redes, aplicaciones, equipos, etc., que permite detectar y
solucionar problemas e incidentes de seguridad con rapidez.
Splunk
Web Help Desk
Web Help Desk es una herramienta de gestin de soporte a usuarios -incluyendo
el registro de incidencias automtico va correo electrnico-, que dispone de una
versin gratuita.
Web Help Desk

10.10.6 Sincronizacin del reloj.

Control:
Se deberan sincronizar los relojes de todos los sistemas de procesamiento de informacin dentro
de la organizacin o en el dominio de seguridad, con una fuente acordada y exacta de tiempo.

Servidores de hora NTP para todo el mundo pool.ntp.org

Enlace con informacin completa de protocolos y enlaces Wikipedia

11. CONTROL DE ACCESO.

11.1 Requisitos de negocio para el control de acceso.

Controlar los accesos a la informacin.
Se deberan controlar los accesos a la informacin, los recursos de tratamiento de la informacin y
los procesos de negocio en base a las necesidades de seguridad y de negocio de la Organizacin.
Las regulaciones para el control de los accesos deberan considerar las polticas de distribucin de
la informacin y de autorizaciones.
Los propietarios de activos de informacin que son responsables ante la direccin de la proteccin
"sus" activos deberan tener la capacidad de definir y/o aprobar las reglas de control de acceso y
otros controles de seguridad.
Asegrese de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes.
Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han:
(a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o
encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las
reglas de control de acceso basadas en roles.

11.1.1 Poltica de control de acceso.

Control:
Se debera establecer, documentar y revisar una poltica de control de accesos en base a las
necesidades de seguridad y de negocio de la Organizacin.
(consultar tambin seccin 9)
(consultar 7.2) (consultar 15.1) (consultar 11.2.1) (consultar 11.2.4) (consultar 8.3.3)

11.2 Gestin de acceso de usuario.

Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los
sistemas de informacin.
Se deberan establecer procedimientos formales para controlar la asignacin de los permisos de
acceso a los sistemas y servicios de informacin.
Los procedimientos deberan cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
acceso a los sistemas y servicios de informacin.
Se debera prestar especial atencin, si fuera oportuno, a la necesidad de controlar la asignacin
de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del
sistema.
Cree la funcin diferenciada de "administrador de seguridad", con responsabilidades operativas
para aplicar las reglas de control de acceso definidas por los propietarios de las aplicaciones y la
direccin de seguridad de la informacin.
Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo ms
eficientemente posible.
Tiempo medio transcurrido entre la solicitud y la realizacin de peticiones de cambio de accesos y
nmero de solicitudes de cambio de acceso cursadas en el mes anterior (con anlisis de
tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicacin
financiera este mes").

11.2.1 Registro de usuario.

Control:
Debera existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y
cancelar los accesos a todos los sistemas y servicios de informacin.
(consultar 11.1)
(consultar 10.1.3)
(consultar 11.2.4)
Mc Graw Hill
Documento con modelos y
tcnicas de control de accesos
(ingls)
http://shop.osborne.com

11.2.2 Gestin de privilegios.

Control:
Se debera restringir y controlar la asignacin y uso de los privilegios.
(consultar 11.1.1)
Manageengine
Solucin web (free trial 30 days) que permite realizar las tareas ms comunes, como las altas y bajas de
usuarios y la aplicacin de polticas de grupo, a travs de un interfaz intuitivo y fcil de aprender. A travs
de sus informes detallados, ofrece visibilidad completa sobre todos los objetivos en el Directorio Activo.
Manageengine.co
m
Soft tree
DB Audit is a complete out-of-the-box database security & auditing solution for Oracle, Sybase, MySQL,
DB2 and MS SQL Server. DB Audit allows database and system administrators, security administrators,
auditors and operators to track and analyze any database activity including database access and usage,
data creation, change or deletion; mananage database users; quickly discover uprotected PCI and PII
data; enforce SOX, PCI/CISP, HIPAA, GLBA compliance; and more.
DB Audit
Pangolin
Once it detects one or more SQL injections on the target host, the user can choose among a variety of
options to perform an extensive back-end database management system fingerprint, retrieve DBMS
session user and database, enumerate users, password hashes, privileges, databases, dump entire or
users specific DBMS tables/columns, run his own SQL statement, read specific files on the file system and
more.
Pangolin audit tool
idesicions
UserLock permite proteger el acceso a las redes de Windows, impidiendo las conexiones simultneas,
al dar la posibilidad de limitar las conexiones de los usuarios y proporcionando a los administradores el
control remoto de las sesiones, de las funcionalidades de alerta, de informes y anlisis sobre todas las
conexiones/desconexiones efectuadas en sus redes.La versin de evaluacin de UserLock es vlida
durante 180 das. No comporta ninguna limitacin en trminos de funcionalidades.
Userlock

11.2.3 Gestin de contraseas de usuario.

Control:
Se debera controlar la asignacin de contraseas mediante un proceso de gestin formal.
(consultar 8.1.3) (consultar 11.3.1)
NERVEPOINT TECH
Nervepoint Access Manager Self Service ayuda a reducir una
importante carga de trabajo en la gestin de contraseas de los
empleados mediante una sencilla interfaz, la configuracin y
soporte automtico en marcha por una mquina virtual en
cuestin de minutos. Los empleados tambin se benefician, ya que
significa que no hay ms tickets o esperas a que el servicio de
apoyo atienda sus peticiones.
Nervepoint

11.2.4 Revisin de los derechos de acceso de usuario.

Control:
El rgano de Direccin debera revisar con regularidad los derechos de acceso de los usuarios,
siguiendo un procedimiento formal.
(consultar 11.2.1)
(consultar 11.2.2)

11.3 Responsabilidades de usuario.

Impedir el acceso de usuarios no autorizados y el compromiso o robo de informacin y recursos
para el tratamiento de la informacin.
La cooperacin de los usuarios autorizados es esencial para una seguridad efectiva.
Los usuarios deberan ser conscientes de sus responsabilidades en el mantenimiento de controles
de acceso eficaces, en particular respecto al uso de contraseas y seguridad en los equipos
puestos a su disposicin.
Se debera implantar una poltica para mantener mesas de escritorio y monitores libres de
cualquier informacin con objeto de reducir el riesgo de accesos no autorizados o el deterioro de
documentos, medios y recursos para el tratamiento de la informacin.
Asegrese de que se establecen las responsabilidades de seguridad y que son entendidas por el
personal afectado.
Una buena estrategia es definir y documentar claramente las responsabilidades relativas a
seguridad de la informacin en las descripciones o perfiles de los puestos de trabajo.
Son imprescindibles las revisiones peridicas para incluir cualquier cambio.
Comunique regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisin anual
de objetivos), para recordarles sus responsabilidades y recoger cualquier cambio.
Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de
la informacin (a) totalmente documentadas y (b) formalmente aceptadas.

11.3.1 Uso de contraseas.

Control:
Se debera exigir a los usuarios el uso de las buenas prcticas de seguridad en la seleccin y uso de las
contraseas.
RANDOW PASSWORD
GENERATOR
Random Password Generator (freeware) is designed to help you create secure
Random passwords that are extremely difficult to crack or guess, with a
combination of random lower and upper case letters, numbers and punctuation
symbols. And these random generated passwords will be saved for memo. You
can give a mark to the generated random password for later check.
Password generator
KEEPASS
KeePass es una aplicacin free open source para la gestin de contraseas que
sirve de ayuda para gestionar las contraseas de un modo seguro. Puedes
almacenar todas las contraseas en una nica base de datos, la cual permanece
accesible mediante una nica clave maestra o fichero. Por tanto, slo se tiene
que recordar una nica contrasea o seleccionar el fichero clave para acceder a
la base de datos cifrada mediante algoritmo robusto (AES y Twofish).
Keepass
PASSWORD GENERATOR Generador on-line de contraseas. Password.es
0PHCRACK
Ophcrack is a free Windows password cracker based on rainbow tables. It is a
very efficient implementation of rainbow tables done by the inventors of the
method. It comes with a Graphical User Interface and runs on multiple
platforms. Utilidad para verificar la fortaleza de las contraseas en uso y
determinar polticas y frecuencias en la renovacin de las contraseas.
ophcrack
OXID
Cain & Abel is a password recovery tool for Microsoft Operating Systems. It
allows easy recovery of various kind of passwords by sniffing the network,
cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis
attacks, recording VoIP conversations, decoding scrambled passwords,
recovering wireless network keys, revealing password boxes, uncovering cached
passwords and analyzing routing protocols. Utilidad para verificar la fortaleza de
las contraseas en uso y determinar polticas y frecuencias en la renovacin de
las contraseas.
Cain & Abel
JOHN THE RIPPER
John the Ripper is free and Open Source software, distributed primarily in
source code form. If you would rather use a commercial product tailored for
your specific operating system, please consider John the Ripper Pro, which is
distributed primarily in the form of "native" packages for the target operating
systems and in general is meant to be easier to install and use while delivering
optimal performance.Utilidad para verificar la fortaleza de las contraseas en
uso y determinar polticas y frecuencias en la renovacin de las contraseas.
John the Ripper

11.3.2 Equipo de usuario desatendido.

Control:
Los usuarios deberan garantizar que los equipos desatendidos disponen de la proteccin
apropiada.
(consultar tambin 11.3.3)

11.3.3 Poltica de puesto de trabajo despejado y pantalla limpia.

Control:
Polticas para escritorios y monitores limpios de informacin
(consultar 7.2)
(consultar 15.1)
OISSG
Posters are utilized to efficiently and effectively educate numerous
staff on new security topics each and every month. Our eye-
catching, entertaining, posters will help increase the security
awareness level in your workplace.
OISSG

11.4 Control de acceso a la red.

Impedir el acceso no autorizado a los servicios en red.
Se deberan controlar los accesos a servicios internos y externos conectados en red.
El acceso de los usuarios a redes y servicios en red no debera comprometer la seguridad de los
servicios en red si se garantizan:
a) que existen interfaces adecuadas entre la red de la Organizacin y las redes pblicas o
privadas de otras organizaciones;
b) que los mecanismos de autenticacin adecuados se aplican a los usuarios y equipos;
c) el cumplimiento del control de los accesos de los usuarios a los servicios de informacin.
Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN),
frente a controles de seguridad en aplicaciones (defensa en profundidad).
Estadsticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido
bloqueadas (p. ej., intentos de acceso a pginas web prohibidas; nmero de ataques potenciales
de hacking repelidos, clasificados en insignificantes/preocupantes/crticos).

11.4.1 Poltica de uso de los servicios en red.

Control:
Se debera proveer a los usuarios de los accesos a los servicios para los que han sido
expresamente autorizados a utilizar.
(consultar 11.1)

11.4.2 Autenticacin de usuario para conexiones externas

Control:
Se deberan utilizar mtodos de autenticacin adecuados para el control del acceso remoto de los
usuarios.
INTECO
En esta Gua se sealan los diferentes pasos y procesos existentes
en un sistema de autenticacin y sus problemticas especficas, as
como las indicaciones y requisitos que marca la normativa en el
caso de la firma electrnica. Por su parte, las buenas prcticas
recomendadas se clasifican segn estn dirigidas a usuarios o a los
desarrolladores y administradores que definen y configuran todas
las opciones existentes en los procesos de autenticacin.
Gua INTECO

11.4.3 Identificacin de los equipos en las redes.

ontrol:
Se debera considerar la identificacin automtica de los equipos como un medio de autenticacin
de conexiones procedentes de lugares y equipos especficos.
IPVoid
Permite a los usuarios escanear una direccin IP mediante mltiples motores de
comprobacin de reputacin y de blacklists para facilitar la deteccin de posibles
IP peligrosas.
IPVoid
NIST CPE es un esquema de nomenclatura estructurado para sistemas de tecnologa
de la informacin, software y parches de seguridad. Sobre la base de la sintaxis
Official Common Platform
Enumeration (CPE)
genrica de los identificadores de recursos uniformes (URI), CPE incluye un
formato de nombre formal, un mtodo para comprobar los nombres en un
sistema y un formato de descripcin de texto vinculante a un nombre. El
diccionario en XML proporciona una lista con nomenclatura oficialmente
aprobada de nombres CPE y est abierta a todo el pblico.
Dictionary
PAGLO
Herramienta bajo demanda para el descubrimiento de toda la informacin de
negocio dependiente de TI y la obtencin de respuestas intantaneas en relacin
a preguntas sobre sus ordenadores, red y seguridad.
Paglo
SPICEWORKS
Solucin completa para la gestin de de la monitorizacin, helpdesk, inventario
de PCs y generador de informes muy prctico y dirigido a la gestin TI en
Spiceworks
TRASIR
En base a una direccin IP, DNS, e-mail o URL aporta informacin relevante de
identificacin para la verificacin.
Spiceworks
URLVoid
Permite a los usuarios escanear una direccin URL mediante mltiples motores
de comprobacin de reputacin y de blacklists para facilitar la deteccin de
posibles Web peligrosas.
URLVoid

11.4.4 Proteccin de los puertos de diagnstico y configuracin remotos.

Control:
Se debera controlar la configuracin y el acceso fsico y lgico a los puertos de diagnstico.

11.4.5 Segregacin de las redes.

Control:
Se deberan segregar los grupos de usuarios, servicios y sistemas de informacin en las redes.
(consultar 11.4.6 y 11.4.7)
(consultar 11.1)
(consultar 10.1)
CYBERGHOST
La comunicacin entre el ordenador del usuario de CyberGhost VPN y el
servidor de anonimizacin tambin est protegida para impedir una
interceptacin de las transmisiones de datos. Esta proteccin se crea en dos
pasos con el establecimiento de la conexin: la conexin se establece mediante
cifrado SSL de 1.024 bits y se proporciona una clave AES de 128 bits, que es
Solucin VPN
nica por conexin.
ULTRAVPN
Utilizado para la proteccin de la privacidad de datos en LAN o en puntos de
conexin pblicos.
Solucin VPN
LOKI NETWORK PROJECT
Proyecto Loki Network es un servicio VPN basado en SSL. Es una oportunidad
para proteger sus datos privados (direcciones IP, contraseas de e-
mail/FTP/HTTP, sitios web visitados, ficheros subidos/descargados, entre otros).
Solucin VPN
LOGMEIN
LogMeIn Hamachi ofrece conectividad de dispositivos de confianza y redes
privadas a travs de redes pblicas. Cree redes virtuales seguras basadas en
Internet mediante solicitud sin hardware dedicado o infraestructura de TI
adicional.
Redes

11.4.6 Control de la conexin a la red.

Control:
En el caso de las redes compartidas, especialmente aquellas que se extienden ms all de los
lmites de la propia Organizacin, se deberan restringir las competencias de los usuarios para
conectarse en red segn la poltica de control de accesos y necesidad de uso de las aplicaciones
de negocio.
(consultar 11.1)
(consultar 11.1.1)
SECURITY ONION
Security Onion distro Linux para IDS (Deteccin de intrusiones) y NSM
(Monitorizacin de la seguridad de la red). Est basada en Ubuntu y contiene
Snort, Suricata, Bro, Sguil, Squert, Snorby, Xplico, NetworkMiner, entre otras
muchas herramientas. Dispone de un men de inicio rpido que permite
construir sensores distribuidos para tu organizacin en minutos.
Main page
SPICEWORKS
Spiceworks
11.4.7 Control de encaminamiento (routing) de red.

Control:
Se deberan establecer controles de enrutamiento en las redes para asegurar que las conexiones
de los ordenadores y flujos de informacin no incumplen la poltica de control de accesos a las
aplicaciones de negocio.
(consultar 11.1)
BACKSCATTERER
Simply use this list via DNS at ips.backscatterer.org for scoring or rejecting
bounces and sender callouts from abusive systems.
Backscatterer
BGP MONITOR
BGPmon monitoriza tus prefijos de red y te alert en el caso de sospechosos
cambios en las rutas. Soporte para IPv6
BGPMon
CYCLOPS
Cyclops es capaz de detectar diversas formas de ataque a rutas de
comunicaciones, p.ej. cuando las rutas en Internet son maliciosamente redirigidas
desde su estado original.
UCLA
FOUNDSTONE Herramienta que se utiliza para redireccin de puertos y bypass de Firewall. FPIPE
I2P ANONYMOUS
NETWORK
I2P es un red para el anonimato que ofrece una capa para las aplicaciones
sensibles a la identificacin de modo que se pueda establecer una comunicacin
segura. Todos los datos se encapsulan con varias capas de cifrado y la red sirve
para su distribucin y cambio de nodos de modo dinmico.
I2P
MXTOOLBOX Herramienta para comprobacin de DNS Blacklisting on line. Website
MULTI RBL Herramienta para comprobacin FCrDNS (Forward Confirmed reverse DNS). Website
NETWORK-TOOLS
Freeware employee monitoring. Network-Tools owner sues Microsoft, Cisco,
Comcast and TRUSTe over IP Address Blacklisting. Suit alleges eavdropping,
privacy policy fraud, breach of contract and defamation.
NetworkTools
NTA Herramienta que permite escanear IPs activas en la red. ARP scan
PRIVOXY
Utilidad que se basa en TOR para garantizar la privacidad y que ofrece un
avanzado web proxy desde el que controlar los accesos o administrar las cookies.
Privoxy
SQUID Utilidad Proxy con optimizacin de uso de ancho de banda en las conexiones. Webpage
STUNNEL
Utilidad Proxy con funcionalidad de Tunneling SSL para POP2, POP3, IMAP sin
necesidad de modificaciones en los programas.
Webpage
WEBFILTER
Herramienta que tiene el uso de proxy pero permite adicionalmente filtrar
aquellos contenidos no deseables como publicidad, entre otros.

11.5 Control de acceso al sistema operativo.

Impedir el acceso no autorizado al sistema operativo de los sistemas.
Se deberan utilizar las prestaciones de seguridad del sistema operativo para permitir el acceso
exclusivo a los usuarios autorizados.
Las prestaciones deberan ser capaces de:
a) la autenticacin de los usuarios autorizados, de acuerdo a la poltica de control de accesos
definida;
b) registrar los intentos de autenticacin correctos y fallidos del sistema;
c) registrar el uso de privilegios especiales del sistema;
d) emitir seales de alarma cuando se violan las polticas de seguridad del sistema;
e) disponer los recursos adecuados para la autenticacin;
f) restringir los horarios de conexin de los usuarios cuando sea necesario.
Implante estndares de seguridad bsica para todas las plataformas informticas y de
comunicaciones, recogiendo las mejores prcticas de CIS, NIST, fabricantes de sistemas, etc.
Estadsticas de vulnerabilidad de sistemas y redes, como n de vulnerabilidades conocidas
cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por
prioridades/categoras del fabricante o propias).

11.5.1 Procedimientos seguros de inicio de sesin. Conexiones a terminales.

Control:
Debera controlarse el acceso al sistema operativo mediante procedimientos seguros de conexin.
11.5.2 Identificacin y autenticacin de usuario.

Control:
Se deberan utilizar mtodos de autenticacin adecuados para el control del acceso remoto de los
usuarios.
INTECO
En esta Gua se sealan los diferentes pasos y procesos existentes
en un sistema de autenticacin y sus problemticas especficas, as
como las indicaciones y requisitos que marca la normativa en el
caso de la firma electrnica. Por su parte, las buenas prcticas
recomendadas se clasifican segn estn dirigidas a usuarios o a los
desarrolladores y administradores que definen y configuran todas
las opciones existentes en los procesos de autenticacin.
Gua INTECO

11.5.3 Sistema de gestin de contraseas.

Control:
Los sistemas de gestin de contraseas deberan ser interactivos y garantizar la calidad de las
contraseas.
(consultar 11.3.1)
(consultar 11.2.3)
RANDOW PASSWORD
GENERATOR
Generador aleatorio de contraseas (freeware) diseado para crear contraseas
seguras de modo aleatorio que son difciles de crackear or adivinar mediante la
combinacin de maysculas, minsculas, nmeros y smbolos de puntuacin.
Password generator
KEEPASS
KeePass es una aplicacin free open source para la gestin de contraseas que
sirve de ayuda para gestionar las contraseas de un modo seguro. Puedes
almacenar todas las contraseas en una nica base de datos, la cual permanece
accesible mediante una nica clave maestra o fichero. Por tanto, slo se tiene que
Keepass
recordar una nica contrasea o seleccionar el fichero clave para acceder a la
base de datos cifrada mediante algoritmo robusto (AES y Twofish).
PASSWORD
GENERATOR
Generador on-line de contraseas. Password.es
PASSWORD SAFE
Password Safe es una aplicacin de software libre, creada en su da por Bruce
Schneier, que permite gestionar de modo seguro en una nica base de datos
cifrada todas las contraseas del usuario.
Password Safe

11.5.4 Uso de los recursos del sistema.

Control:
Se debera restringir y controlar muy de cerca el uso de programas de utilidad del sistema que
pudieran ser capaces de eludir los controles del propio sistema y de las aplicaciones.
WINDOWS WORMS
DOORS CLEANER
Herramienta para detectar los servicios habilitados mediante el chequeo del
registro del sistema, los puertos locales abiertos y los servicios en ejecucin.
Propone acciones de parcheo y deshabilitacin directamente una vez realizado el
chequeo para que el usuario fcilmente pueda valorar tomar acciones de
proteccin pertinentes.
Softpedia
WINLOCKLESS
herramienta para prevenir (en lo posible) que el malware se ejecute de nuevo en
el inicio del sistema (y as pueda bloquearlo). til contra aplicaciones como el
malware que buscan modificar los registros del sistema operativo.
Hispasec

11.5.5 Desconexin automtica de sesin.

Control:
Se deberan desconectar las sesiones tras un determinado periodo de inactividad.

11.5.6 Limitacin del tiempo de conexin.

Control:
Se deberan utilizar limitaciones en el tiempo de conexin que proporcionen un nivel de seguridad
adicional a las aplicaciones de alto riesgo.
11.6 Control de acceso a las aplicaciones y a la informacin.

Impedir el acceso no autorizado a la informacin mantenida por los sistemas de las aplicaciones.
Se deberan utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y
sus contenidos.
Se debera restringir el acceso lgico a las aplicaciones software y su informacin nicamente a
usuarios autorizados.
Los sistemas de aplicacin deberan:
a) controlar el acceso de los usuarios a la informacin y funciones de los sistemas de aplicaciones,
en relacin a la poltica de control de accesos definida;
b) proporcionar proteccin contra accesos no autorizados derivados del uso de cualquier utilidad,
software del sistema operativo y software malicioso que puedan traspasar o eludir los controles del
sistema o de las aplicaciones;
c) no comprometer otros sistemas con los que se compartan recursos de informacin.
Implante estndares de seguridad bsica para todas las aplicaciones y middleware, recogiendo las
mejores prcticas y checklists de CIS, NIST, fabricantes de software, etc.
Porcentaje de plataformas totalmente conformes con los estndares de seguridad bsica
(comprobado mediante pruebas independientes), con anotaciones sobre los sistemas no
conformes (p. ej., "Sistema de finanzas ser actualizado para ser conforme en cuarto trimestre)".
11.6.1 Restriccin del acceso a la informacin.

Control:
Se debera restringir el acceso de los usuarios y el personal de mantenimiento a la informacin y
funciones de los sistemas de aplicaciones, en relacin a la poltica de control de accesos definida.
(consultar 11.1)

11.6.2 Aislamiento de sistemas sensibles.

Control:
Los sistemas sensibles deberan disponer de un entorno informtico dedicado (propio).
(consultar 7.1.2)

La biblioteca TechNet Library es un recurso esencial para los
profesionales de TI que usan los productos, herramientas y
tecnologa de Microsoft.
technet library

11.7 Ordenadores porttiles y teletrabajo.

Garantizar la seguridad de la informacin en el uso de recursos de informtica mvil y teletrabajo.
La proteccin exigible debera estar en relacin a los riesgos especficos que ocasionan estas
formas especficas de trabajo. En el uso de la informtica mvil deberan considerarse los riesgos
de trabajar en entornos desprotegidos y aplicar la proteccin conveniente.
En el caso del teletrabajo, la Organizacin debera aplicar las medidas de proteccin al lugar
remoto y garantizar que las disposiciones adecuadas estn disponibles para esta modalidad de
trabajo.
Tenga polticas claramente definidas para la proteccin, no slo de los propios equipos
informticos porttiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la informacin
almacenada en ellos.
Por lo general, el valor de la informacin supera con mucho el del hardware.
Asegrese de que el nivel de proteccin de los equipos informticos utilizados dentro de las
instalaciones de la organizacin tiene su correspondencia en el nivel de proteccin de los equipos
porttiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc.
"Estado de la seguridad en entorno porttil / teletrabajo", es decir, un informe sobre el estado actual
de la seguridad de equipos informticos porttiles (laptops, PDAs, telfonos mviles, etc.), y de
teletrabajo (en casa de los empleados, fuerza de trabajo mvil), con comentarios sobre incidentes
recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier
riesgo creciente, despliegue de configuraciones seguras, antivirus, firewalls personales, etc.

11.7.1 Ordenadores porttiles y comunicaciones mviles.

Control:
Se debera establecer una poltica formal y se deberan adoptar las medidas de seguridad
adecuadas para la proteccin contra los riesgos derivados del uso de los recursos de informtica
mvil y las telecomunicaciones.
(Consultar tambin 12.3, 10.4, 11.4, 9.2.5).
Consejo Nacional
Consultivo de
CyberSeguridad
Informe sobre Malware en Smartphones que tiene por objeto exponer la
problemtica del malware en este tipo de dispositivos y desde diversos puntos de
vista (aspectos tcnicos, econmicos e histricos)
Gua CNCCS
Computerworld
Gua en ingls sobre seguridad de equipos porttiles y mviles editada por
Blackberry
Gua seguridad mvil
ENISA Directorio con diversas soluciones recopiladas para el acceso remoto. Enlace
Google groups
iso27001security
Checklist de revisin de controles para equipos porttiles, trabajo en movilidad,
teletrabajo y redes inalmbricas (ingls)
iso27001security
INTECO
Gua de Inteco para proteger y usar de forma segura el telfono mvil as como
en relacin a aspectos de geolocalizacin
Gua Celular
Gua Geolocalizacin
PATRIOT NG
cambios en sistemas Windows o ataques de red. Permite monitorizar el uso y
acesso de escritorio remoto entre otras utilidades.
Website
PREY Project
Prey permite mantener trazabilidad de tu telfono o porttil en todo momento
para poder encontrarlo en caso de prdida o robo. Es una aplicacin ligera, open
source y de libre uso.
Prey Project

11.7.2 Teletrabajo.

Control:
Se debera desarrollar e implantar una poltica, planes operacionales y procedimientos para las
actividades de teletrabajo.
ENISA Directorio con diversas soluciones recopiladas para el acceso remoto. Enlace
NIST Gua NIST de seguridad para teletrabajo y acceso remoto. NIST SP800-46
OSWA
La herramienta gratuita OSWA-Assistant sirve para hacer auditoras de
seguridad de WIFI, Bluetooth y RFID.
OSWA
PATRIOT NG
cambios en sistemas Windows o ataques de red. Permite monitorizar el uso y
acesso de escritorio remoto entre otras utilidades.
Website
SME Toolkit
Plantilla con checklist y acuerdo para puesto de trabajo en el hogar (general, no
centrada slo en seguridad)
Acuerdo Teletrabajo

12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIN.
12.1 Requisitos de seguridad de los sistemas de informacin.

Garantizar que la seguridad es parte integral de los sistemas de informacin.
Dentro de los sistemas de informacin se incluyen los sistemas operativos, infraestructuras,
aplicaciones de negocio, aplicaciones estndar o de uso generalizado, servicios y aplicaciones
desarrolladas por los usuarios.
El diseo e implantacin de los sistemas de informacin que sustentan los procesos de negocio
pueden ser cruciales para la seguridad. Los requisitos de seguridad deberan ser identificados y
consensuados previamente al desarrollo y/o implantacin de los sistemas de informacin.
Todos los requisitos de seguridad deberan identificarse en la fase de recogida de requisitos de un
proyecto y ser justificados, aceptados y documentados como parte del proceso completo para un
sistema de informacin.
Involucre a los "propietarios de activos de informacin" en evaluaciones de riesgos a alto nivel y
consiga su aprobacin de los requisitos de seguridad que surjan.
Si son realmente responsables de proteger sus activos, es en inters suyo el hacerlo bien.
Est al tanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e
identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias
ofrecen orientacin sobre la implementacin, como, p. ej., OWASP.

Similar a 11.1
12.1.1 Anlisis y especificacin de los requisitos de seguridad.

Control:
Las demandas de nuevos sistemas de informacin para el negocio o mejoras de los sistemas ya
existentes deberan especificar los requisitos de los controles de seguridad.
Applipedia
Base de datos proporcionada en abierto por Palo Alto Network Research y su
equipo de investigacin para que aprender ms sobre el nivel de riesgo de las
aplicaciones que utilizan la red. El equipo de investigacin continuamente
actualiza las aplicaciones (mediante una tecnologa pendiente de patente) el
trfico de la clasificacin, con aplicaciones nuevas y emergentes a una tasa
promedio de cuatro por semana. La base de datos identifica cada aplicacin
adems de ofrecer una descripcin de la aplicacin, los puertos que utiliza,
caractersticas de comportamiento, entre otros.
Application Research
Center
Cabinet Office UK
Comparativa realizada por el Gobierno Britnico sobre las alternaticas Open
Source a soluciones propietario y en el que se incluyen soluciones de seguridad
junto a comentarios pertinentes que permiten una valoracin inicial de referencia
antes de introducir posibles cambios.
Open Source Options
CSIRT Comunitat
Valenciana
Informes sobre realizados por CSIRT-CV con guas para la configuracin segura
de servicios como Dropbox o dispositivos mviles entre otros.
Informes Csirt-CV
CVE Details
La web proporciona un fcil utilizar el interfaz web para los datos de
vulnerabilidades CVE. Se puede buscar por proveedores, productos y versiones, y
ver las entradas CVE y vulnerabilidades relacionadas con ellos. Puede ver las
estadsticas sobre proveedores, productos y versiones de los productos.
Base de datos CVE
ENISA
El presente documento en espaol permite realizar una evaluacin informada de
los riesgos y ventajas para la seguridad que presenta el uso de la computacin en
Evaluacin de riesgos
Cloud
nube, y ofrece orientaciones sobre proteccin para los usuarios actuales y futuros
de la computacin en nube.
FFIEC
Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls,
sobre cmo implantar un proceso de desarrollo y adquisicin de TI eficaz en una
organizacin. La acompaa una lista de verificacin -checklist-, til para auditar
dicho proceso.
FFIEC D&A IT
Handbook
ISO
ISO/IEC 21827 es la norma, en ingls, que especifica el "Systems Security
Engineering - Capability Maturity Model", que describe las caractersticas
esenciales del proceso de ingeniera de seguridad en una organizacin. ISO/IEC
21827 no prescribe un proceso o secuencia particular, sino que recoge las
prcticas generales del sector.
ISO/IEC 21827
Mtrica 3
La metodologa MTRICA Versin 3 ofrece a las organizaciones un instrumento
til para la sistematizacin de las actividades que dan soporte al ciclo de vida del
software. Est promovida por el Gobierno espaol.
Mtrica v3
NIST
El documento publicado resume la justificacin de un Protocolo de Uso (EUP) de
la Historia Clnica Electrnica (EHR) y describe los procedimientos para la
evaluacin del diseo y pruebas de rendimiento de los usuarios de estos sistemas.
Documento
OWASP
La gua de desarrollo de OWASP (Open Web Application Security Project)
ayuda a crear aplicaciones web seguras. Disponible tambin en espaol.

12.2 Tratamiento correcto de las aplicaciones.

Evitar errores, prdidas, modificaciones no autorizadas o mal uso de la informacin en las
aplicaciones.
Se deberan disear controles apropiados en las propias aplicaciones, incluidas las desarrolladas
por los propios usuarios, para asegurar el procesamiento correcto de la informacin. Estos
controles deberan incluir la validacin de los datos de entrada, el tratamiento interno y los datos de
salida.
Podran ser requeridos controles adicionales para los sistemas que procesan o tienen algn efecto
en activos de informacin de carcter sensible, valioso o crtico. Dichos controles deberan ser
determinados en funcin de los requisitos de seguridad y la estimacin del riesgo.
Siempre que sea posible, utilice libreras y funciones estndar para necesidades corrientes como
validacin de datos de entrada, restricciones de rango y tipo, integridad referencial, etc.
Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validacin
y chequeo cruzado (p. ej., sumas totalizadas de control).
Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para
comprobar cuestiones habituales como desbordamientos de memoria, inyeccin SQL, etc.
Porcentaje de sistemas para los cuales los controles de validacin de datos se han (a) definido y
(b) implementado y demostrado eficaces mediante pruebas.

12.2.1 Validacin de los datos de entrada.

Control:
Se deberan validar los datos de entrada utilizados por las aplicaciones para garantizar que estos
datos son correctos y apropiados.
(consultar 10.10.1)

12.2.2 Control del procesamiento interno.

Control:
Se deberan incluir chequeos de validacin en las aplicaciones para la deteccin de una posible
corrupcin en la informacin debida a errores de procesamiento o de acciones deliberadas.
(consultar 12.2.1)
(consultar 10.10.1)
Adops Tools
Proporciona escaneo de ficheros flash y realiza un informe completo y
exhaustivo sobre el contenido de la versin, dimensiones, tamao, listado
de getURL y de actionscripts, detectando agujeros de seguridad y
presencia de malware.
Adops Tools
FORTIFY SOFTWARE INC.
Rough Auditing Tool for Security (RATS) is an automated code review
tool, provided originally by Secure Software Inc, who were acquired by
Fortify Software Inc. It scans C, C++, Perl, PHP and Python source code
and flags common security related programming errors such as buffer
overflows and TOCTOU (Time Of Check, Time Of Use) race conditions.
The tool performs a rough analysis of the source code.
RATS
JUST ANOTHER HACKER
(Eldar "Wireghoul" Marcussen
blog)
Graudit is a simple script and signature sets that allows you to find
potential security flaws in source code using the GNU utility grep. It's
comparable to other static analysis applications like RATS, SWAAT and
flaw-finder while keeping the technical requirements to a minimum and
being very flexible. Graudit supports scanning code written in several
languages; asp, jsp, perl, php and python.
GRAudit
MICROSOFT
Code Analysis Tool .NET is a binary code analysis tool that helps identify
common variants of certain prevailing vulnerabilities that can give rise to
common attack vectors such as Cross-Site Scripting (XSS), SQL Injection
and XPath Injection.
CAT .NET
PE Analysis Toolkit
PEV puede utilizarse por programadores, administradores o analistas de
seguridad para el anlisis de ficheros EXE/DLL de Windows, generar
firmas de malwares, control de versiones ejecutables, estudio de PE,
ingeniera inversa de cdido, entre otros.
Pev
OllyDbg
Debugger para anlisis de cdigo a nivel ensamblador, incluso cuando el
cdigo fuente no est disponible.
OllyDbg
SuRGeoNix
Conjunto de herramientas para pruebas de seguridad de aplicaciones web.
Fue diseado por auditores de seguridad como ayuda en la planificacin de
las aplicaciones web y su explotacin. En la actualidad, se utiliza un Web
Crawler eficiente, rpido y estable, Archivo / Dir forcer Bruto, Fuzzer para
la explotacin avanzada de vulnerabilidades conocidas y poco comunes,
tales como inyecciones SQL, Cross Site Scripting (XSS), fuerza bruta en
accesos, identificacin de las reglas de filtrado en cortafuegos, ataques
DOS y Web Proxy para analizar, interceptar y manipular el trfico entre el
navegador y la aplicacin web de destino.
WebSurgery
US HOMELAND SECURITY
The 2010 CWE/SANS Top 25 Most Dangerous Programming Errors is a
list of the most widespread and critical programming errors that can lead to
serious software vulnerabilities.
CWE
WEBSECURIFY
Herramienta para entornos de prueba de seguridad de las aplicaciones web
diseada para propociornar la mejores combinaciones de tecnologas de
WebSurgery
testeo de vulnerabilidades manuales y automticas.

12.2.3 Integridad de los mensajes.

Control:
Se deberan identificar los requisitos para asegurar la autenticidad y proteccin de la integridad del
contenido de los mensajes en las aplicaciones, e identificar e implantar los controles apropiados.
12.2.4 Validacin de los datos de salida.

Control:
Se deberan validar los datos de salida de las aplicaciones para garantizar que el procesamiento
de la informacin almacenada es correcto y apropiado a las circunstancias.

12.3 Controles criptogrficos.

Proteger la confidencialidad, autenticidad o integridad de la informacin con la ayuda de tcnicas
criptogrficas.
Se debera desarrollar una poltica de uso de controles criptogrficos.
Se debera establecer una gestin de claves que de soporte al uso de tcnicas criptogrficas.
Utilice estndares formales actuales tales como AES, en lugar de algoritmos de cosecha propia.
La implementacin es crucial!
Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han
implantado totalmente controles criptogrficos apropiados (periodo de reporte de 3 a 12 meses).

12.3.1 Poltica de uso de los controles criptogrficos.

Control:
Se debera desarrollar e implantar una poltica de uso de controles criptogrficos para la proteccin
de la informacin.
Guas:

Free Open-Source Disk Encryption Software truecrypt

Modelo de poltica de encriptacin (ingls) Sans

Low cost, easy to use and highly secure encryption and digital
signature solutions for every one from big companies to individual
users
MXC

Albalia

Implementation of the OpenPGP standard as defined by RFC4880 .
GnuPG allows to encrypt and sign your data and communication,
features a versatile key managment system as well as access
modules for all kind of public key directories. Version 2 of GnuPG
also provides support for S/MIME.
GNU project

Tabla resumen descriptiva de productos y sus funcionalidades de
cifrado.
Northwestern

12.3.2 Gestin de claves. Cifrado.

Control:
Se debera establecer una gestin de las claves que respalde el uso de las tcnicas criptogrficas
en la Organizacin.
Albalia
AlbaliaFirma.zip
Asistente DNI
El Asistente de Instalacin del DNIe es un programa que te
permitir:
- Comprobar el estado de una instalacin anterior del DNI
Electrnico en su ordenador;
- Instalar todos los elementos necesarios para poder utilizar el DNI
Electrnico;
- Utilizar el DNIe en los navegadores ms habituales (Internet
Explorer, Firefox y Chrome);
- Validar los certificados del DNI Electrnico;
- Desinstalar el DNI Electrnico en su equipo Windows o Linux
(Ubuntu).
Zona TIC
Crytool
JCrypTool (JCT) es una plataforma open-source y de e-learning que
permite experimentar con aspectos de cifrado en Linux, MAC OS X
y Windows
Acceso pgina
MANDOS
Mandos es un sistema que permite que los servidores con sistemas
de archivos raz cifrados puedan ser reiniciados de forma
desatendida y/o remota.
Descarga Mandos
TrueCrypt Software gratuito de cifrado de discos y particiones

12.4 Seguridad de los archivos de sistema.

Garantizar la seguridad de los sistemas de ficheros.
Se debera controlar el acceso a los sistemas de ficheros y cdigo fuente de los programas.
Los proyectos TI y las actividades de soporte deberan ser dirigidos de un modo seguro.
Se debera evitar la exposicin de datos sensibles en entornos de prueba.
Aplique consistentemente estndares de seguridad bsica, asegurando que se siguen las
recomendaciones de CIS, NIST, fabricantes de sistemas, etc.
Porcentaje de sistemas evaluados de forma independiente como totalmente conformes con los
estndares de seguridad bsica aprobados, respecto a aquellos que no han sido evaluados, no
son conformes o para los que no se han aprobado dichos estndares.

12.4.1 Control del software en explotacin.

Control:
Se deberan establecer procedimientos con objeto de controlar la instalacin de software en
sistemas que estn operativos.
(consultar 12.4.3)
(consultar 10.1.4)
CENTRE FOR THE
PROTECTION OF
NATIONAL
INFRASTRUCTURE
This document is a guide to patch management, defined as the process of
controlling the deployment and maintenance of interim software releases into
operational environments.
CPNI
NATIONAL
INSTITUTE OF
STANDARDS AND
TECHNOLOGY
This document provides guidance on creating a security patch and vulnerability
management program and testing the effectiveness of that program.
NIST
MICROSOFT
TECHNET
Guas de seguridad para la gestin de actualizaciones Guia MICROSOFT

12.4.2 Proteccin de los datos de prueba del sistema.

Control:
Se deberan seleccionar, proteger y controlar cuidadosamente los datos utilizados para las
pruebas.

Guidelines for the Use of Personal Data in System Testing
(Second Edition)
http://shop.bsigroup.com

12.4.3 Control de acceso al cdigo fuente de los programas.

Control:
Se debera restringir el acceso al cdigo fuente de los programas.
(consultar tambin 11)
(consultar 10.7.4)
(consultar 12.5.1)

12.5 Seguridad en los procesos de desarrollo y soporte.
Mantener la seguridad del software del sistema de aplicaciones y la informacin.
Se deberan controlar estrictamente los entornos de desarrollo de proyectos y de soporte.
Los directivos responsables de los sistemas de aplicaciones deberan ser tambin responsables de
la seguridad del proyecto o del entorno de soporte. Ellos deberan garantizar que todas las
propuestas de cambio en los sistemas son revisadas para verificar que no comprometen la
seguridad del sistema o del entorno operativo.
Incorpore la seguridad de la informacin al ciclo de vida de desarrollo de sistemas en todas sus
fases, desde la concepcin hasta la desaparicin de un sistema, por medio de la inclusin de
"recordatorios" sobre seguridad en los procedimientos y mtodos de desarrollo, operaciones y
gestin de cambios.
Trate el desarrollo e implementacin de software como un proceso de cambio. Integre las mejoras
de seguridad en las actividades de gestin de cambios (p. ej., documentacin y formacin
procedimental para usuarios y administradores).
"Estado de la seguridad en sistemas en desarrollo", es decir, un informe sobre el estado actual de
la seguridad en los procesos de desarrollo de software, con comentarios sobre incidentes
recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier
riesgo creciente, etc.

12.5.1 Procedimientos de control de cambios.
Control:
Se debera controlar la implantacin de cambios mediante la aplicacin de procedimientos formales
de control de cambios.
(Consultar tambin 10.1.2 y 10.1.1)
OCS Inventory NG
OCS Inventory es una herramienta gratuita de
creacin automtica de inventarios de HW, escaneo
de red y distribucin de paquetes de software.
OCS
Genos Open Source
GMF es una implementacin de las recomendaciones
ITIL (IT Infrastructure Library) para la gestin de
servicios de TI (IT Service Management o ITSM).
GMF es un producto de software libre distribuido
bajo licencia GPL e incluye mdulos de gestin de
incidencias (Trouble Ticketing), gestin de inventario,
gestin del cambio (Change Management), SLA y
reporting.
GMF - GenosOrg
Distribucin de SW
Diversas herramientas de pago de distribucin de
paquetes de software en una red: Altiris, Enteo
NetInstall, Microsoft System Center Configuration
Manager.
Altiris, Enteo, Microsoft SCCM

12.5.2 Revisin tcnica de las aplicaciones tras efectuar cambios en el
sistema operativo.

Control:
Se deberan revisar y probar las aplicaciones crticas de negocio cuando se realicen cambios en el
sistema operativo, con objeto de garantizar que no existen impactos adversos para las actividades
o seguridad de la Organizacin
(consultar clusula 14)
(consultar 12.6)

12.5.3 Restricciones a los cambios en los paquetes de software.

Control:
Se debera desaconsejar la modificacin de los paquetes de software, restringindose a lo
imprescindible y todos los cambios deberan ser estrictamente controlados.
(consultar 12.6)

12.5.4 Fugas de informacin. Canales encubiertos y cdigo troyano.

Control:
Se debera prevenir las posibilidades de fuga de informacin.
SEINHE
Artculo de introduccin a las tecnologas de prevencin de fuga de informacin
DLP (Data Loss Prevention o Data Leak Prevention).
Artculo de SEINHE
ISO
ISO/IEC 15408: Criterios de evaluacin de seguridad TI. Software desarrollado
bajo un proceso evaluado y certificado debera ser menos sensible a la fuga de
informacin por vulnerabilidades.
ISO 15408

12.5.5 Externalizacin del desarrollo de software.

Control:
Se debera supervisar y monitorizar el desarrollo del software subcontratado por la Organizacin.
(Consultar tambin 6.2.1, 6.2.3, 6.1.5, 10.2, 15.1.2)
FFIEC
Gua del FFIEC (Federal Financial Institutions Examination Council), en
ingls, para la adecuada supervisin de proveedores de servicios TI. La
acompaa una lista de verificacin -checklist-, til para auditar dicho
proceso.
FFIEC IT providers
superivision booklet
OllyDbg
Debugger para anlisis de cdigo a nivel ensamblador, incluso cuando el
cdigo fuente no est disponible.
OllyDbg

12.6 Gestin de la vulnerabilidad tcnica.

Reducir los riesgos originados por la explotacin de vulnerabilidades tcnicas publicadas.
Se debera implantar una gestin de la vulnerabilidad tcnica siguiendo un mtodo efectivo,
sistemtico y cclico, con la toma de medidas que confirmen su efectividad.
Se deberan considerar sistemas operativos, as como todas las aplicaciones que se encuentren en
uso.
Haga un seguimiento constante de parches de seguridad mediante herramientas de gestin de
vulnerabilidades y/o actualizacin automtica siempre que sea posible (p. ej., Microsoft Update o
Secunia Software Inspector).
Evale la relevancia y criticidad o urgencia de los parches en su entorno tecnolgico.
Pruebe y aplique los parches crticos, o tome otras medidas de proteccin, tan rpida y
extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y
que estn siendo explotadas fuera activamente.
Evite quedarse tan atrs en la rutina de actualizacin de versiones que sus sistemas queden fuera
de soporte por el fabricante.
Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los
sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos
sistemas, tales como porttiles fuera de la empresa o almacenados-).

12.6.1 Control de las vulnerabilidades tcnicas.

Control:
Se debera obtener informacin oportuna sobre la vulnerabilidad tcnica de los sistemas de
informacin que se estn utilizando, evaluar la exposicin de la organizacin ante tal vulnerabilidad
y tomar las medidas adecuadas para hacer frente a los riesgos asociados.
(Consultar tambin, entre otros, 7.1, 12.5.1, 13.2, 11.4.5)
Belarc
Belarc Advisor construye un perfil detallado del software y hardware instalado, el
inventario de la red, la falta de revisiones en productos de Microsoft, el estado de
anti-virus, puntos de referencia de seguridad, y muestra los resultados en el
explorador Web. Toda la informacin del perfil del PC se mantiene privada y no
se enva a servidores de la web.
Belarc Advisor
Burp Suite Plataforma integrada para el desarrollo de test de seguridad de aplicaciones web. Burp Suite
DELL KACE KBox
Solucin para pequeas y grandes empresas con el objetivo de ahorrar tiempo y
dedicacin en labores de administracin TI en la deteccin y actualizacin de los
equipos conectados de la organizacin. Disponible diverso material informativo y
una versin de prueba de 30 das.
KACE
Digital Encode
Ejemplo, en ingls, de un informe resultante de un anlisis de vulnerabilidades y
test de penetracin realizado para una empresa ficticia.
Vulnerability
Assessment &
Penetration Test
Report template
Cloud Cracker
Servicio de cracking de contraseas para test de penetracin y audtitores de red
que necesitan chequear la securidad de protecciones WPA2-PSK en redes
wireless, crack hashes o romper cifrados de documentos.
Servicio Cloud
ENISA
Directorio con diversas soluciones recopiladas para la comprobacin de
vulnerabilidades y auditora de sistemas.
Enlace
FileHippo
Update Checker revisar el software instalado en tu ordenador, comprobar las
versiones y despus enviar esta informacin a FileHippo.com para ver si hay
nuevas versiones. stas se muestran ordenadamente en tu navegador para que las
descargues. Versin gratuita.
FileHippo
FileFuzz
FileFuzz ha sido diseado para automatizar la creacin de formatos de fichero
anormales en la ejecucin de aplicaciones. FileFuzz dispone adicionalmente de
capacidades de debugging para detectar excepciones como resultados de las
pruebas.
SecuriTeam
Fuzzdb Base de datos con patrones para los casos ms habituales de ataque. Fuzzdb
GFI
GFI LANguard es una herramienta, en espaol, que permite hacer gestin de
actualizaciones, gestin de vulnerabilidades, auditora de red y de software,
inventario, gestin de cambios y anlisis de riesgos y cumplimiento. Versin
gratuita para uso no comercial para hasta 5 IPs.
GFI LANguard
Gizmo's freeware Enorme repositorio de soluciones tcnicas en seguridad. Repositorio
Google Code Escner de vulnerabilidades en aplicaciones web, de Google. Skipfish
HackArmoury Repositorio con mltiples herramientas y recursos para pentesting. Repositorio
INSECURITY RESEARCH
Esta solucin de auditora de intrusin y solucin de testeo de software est
diseada para permitir a las organizaciones de cualquier tamao mitigar,
monitorizar y gestionar las ltimas vulnerabilidades en seguridad para implantar
polticas de seguridad activa mediante la realizacin de tests de intrusin en si
infraestrustura y aplicaciones.
INSECT PRO
InfosecWriters
Documento de ejemplo, en ingls, de un proceso de anlisis de vulnerabilidades
para una empresa ficticia.
Testing Process
INTECO Cert
CONAN es una analizador de vulnerabilidades en PCs gratuito, en espaol,
desarrollado por INTECO.
CONAN
LUMENSION
Gestin integrada y proactiva de gestin de parches y evaluacin de
vulnerabilidades de software. Administracin completa de vulnerabilidades
usando un proceso de validacin de mercado que incluye el descubrimiento e
inventario de activos a travs de exploraciones basadas en agentes locales y de
red; una remediacin automatizada e inteligente y una auditora de conformidad
continua. Solucin de pago pero dispone de una versin de prueba.
Vulnerability
Management tool
NTA Herramienta que permite testar servidores IPsec VPN. ike-scan
Matriux
Matriux es una distribucin open source que incluye un conjunto de herramientas
para tests de penetracin, hacking tico, administracin de sistemas y redes,
informtica forense, anlisis de vulnerabilidades, etc.
Matriux
OpenVAS
Open Vulnerability Assessment System (OpenVAS) es un conjunto de servicios y
herramientas de software libre en ingls que proporcionan una solucin de
escaneado y gestin de vulnerabilidades.
OpenVAS
QUALYS
QUALYS Browser check permite realizar un test a su navegador y localizar
posibles desactualizaciones y vulnerabilidades en la versin utilizada as como en
plugins instalados (java, flash, pdf, ...) .
Test de
vulnerabilidades de
Navegador
QUALYS
Este servicio gratuito online realiza un anlisis en profundidad de la
configuracin de cualquier servidor web SSL disponible pblicamente en
Internet. Genera un informe en detalle de las comprobaciones realizadas adems
del catalogar el site segn un ranking documentado (rating guide).
SSL Labs on-line
tool

Rating guide
RAPID7
NeXpose Community Edition es una herramienta, en ingls, de gestin de
vulnerabilidades para pequeas organizaciones. Es gratuita hasta un lmite de 32
IPs.
NeXpose
RETINA
Retina Network Community, es un potente escaner de vulnerabilidades free hasta
128 IPs para desarrollar valoraciones en todo tu entorno.
eEye
SECUNIA
Secunia proporciona una serie de herramientas de escaneo de vulnerabilidades
software y gestin de parches. Dispone de versiones gratuitas para uso personal
no comercial.
Secunia
SECURE DATABASE
Panel de informacin con las vulnerabilidades en productos y que se actualiza
constantemente. La seccin de herramientas permite consultar posibles soluciones
de manera extensa y en materia de seguridad.
Dashboard y tools
Sleuth Kit
sleuthkit.org es la web oficial para The Sleuth Kit (TSK) y Autopsy Browser,
ambas herramientas open source para la investigacin forense y ejecutables en
entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD,
OpenBSD, y Solaris).
Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y
UFS2 entre otros tipos de volmenes. TSK consiste en una librera C y una
coleccin de herramientas desde ventana de comandos. Autopsy es un interace
grfico para TSK. TSK es integrable de varias formas con sistemas forenses
automatizados. The Sleuth Kit Hadoop Framework es un framework que
incorpora TSK en cloud computing para el anlisis de grandes volmenes de
datos.
TSK
SQLMap
SQLmap es una herramienta open source, en ingls, que automatiza el proceso de
deteccin y explotacin de vulnerabilidades de inyeccin SQL.
SQL Map

13. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN.

13.1 Notificacin de eventos y puntos dbiles de seguridad de la informacin.

Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de
informacin se comuniquen de modo que se puedan realizar acciones correctivas oportunas.
Debera establecerse el informe formal de los eventos y de los procedimientos de escalado.
Todos los empleados, contratistas y terceros deberan estar al tanto de los procedimientos para
informar de los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad
de los activos organizacionales.
Se les debera exigir que informen de cualquier evento o debilidad en la seguridad de informacin
lo ms rpido posible y al punto de contacto designado.
Establezca y d a conocer una hotline (generalmente, el helpdesk habitual de TI) para que la gente
pueda informar de incidentes, eventos y problemas de seguridad.
Estadsticas del helpdesk de TI, con anlisis sobre el nmero y tipos de llamadas relativas a
seguridad de la informacin (p. ej., cambios de contrasea; porcentaje de preguntas acerca de
riesgos y controles de seguridad de la informacin respecto al total de preguntas).
A partir de las estadsticas, cree y publique una tabla de clasificacin por departamentos (ajustada
segn el nmero de empleados por departamento), mostrando aquellos que estn claramente
concienciados con la seguridad, frente a los que no lo estn.

13.1.1 Notificacin de los eventos de seguridad de la informacin.

Control:
Se deberan comunicar los eventos en la seguridad de informacin lo ms rpido posible mediante
canales de gestin apropiados.
(Consultar tambin 8.2.2, 10.10.5, 13.2.3)
Para mayor informacin sobre el reporte de eventos y la gestin de incidentes en la seguridad de
informacin se puede consultar la norma ISO/IEC TR 18044.
ENISA
Esta gua complementa el actual conjunto de guas de ENISA para el apoyo de
CERTs. En l se describen las buenas prcticas y proporciona informacin y
orientaciones prcticas para la gestin de incidentes de seguridad desde la red y la
informacin con nfasis en la gestin de incidentes.
ENISA
ENISA
ENISA CERT Ejercicios y material de de formacin en gestin de incidentes con
guas en espaol.
ENISA
GENOS
GMF es una implementacin de las recomendaciones ITIL (IT Infrastructure
Library) para la gestin de servicios de TI (IT Service Management o ITSM).
GMF es un producto de software libre distribuido bajo licencia GPL e incluye
mdulos de gestin de incidencias (Trouble Ticketing), gestin de inventario,
gestin del cambio (Change Management), SLA y reporting.
GMF - GenosOrg
SANS Guas y Modelos para la comunicacin y gestin de incidentes (ingls).
Formatos de registro

Gua para PYMES

Articulos y
documentacin
SPICEWORKS
de problemas de red, creacin automtica de mapas de red, helpdesk (gestin de
tickets), inventario de HW y SW (descubrimiento automtico, gestin de
Spiceworks
Web Help Desk
Web Help Desk es una herramienta de gestin de soporte a usuarios -incluyendo
el registro de incidencias automtico va correo electrnico-, que dispone de una
versin gratuita.
Web Help Desk

13.1.2 Notificacin de puntos dbiles de seguridad.

Control:
Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de
informacin deberan anotar y comunicar cualquier debilidad observada o sospechada en la
seguridad de los mismos.

13.2 Gestin de incidentes y mejoras de seguridad de la informacin.

Garantizar que se aplica un enfoque consistente y eficaz para la gestin de los incidentes en la
seguridad de informacin.
Deberan establecerse las responsabilidades y procedimientos para manejar los eventos y
debilidades en la seguridad de informacin de una manera efectiva y una vez que hayan sido
comunicados.
Se debera aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y
gestionar en su totalidad los incidentes en la seguridad de informacin.
Cuando se requieran evidencias, stas deben ser recogidas para asegurar el cumplimiento de los
requisitos legales.
Las revisiones post-incidente y los casos de estudio para incidentes serios, tales como fraudes,
ilustran los puntos dbiles de control, identifican oportunidades de mejora y conforman por s
mismos un mecanismo eficaz de concienciacin en seguridad.
Nmero y gravedad de incidentes; evaluaciones de los costes de analizar, detener y reparar los
incidentes y cualquier prdida tangible o intangible producida.
Porcentaje de incidentes de seguridad que han causado costes por encima de umbrales
aceptables definidos por la direccin.
13.2.1 Responsabilidades y procedimientos.
Control:
Se deberan establecer las responsabilidades y procedimientos de gestin para asegurar una
respuesta rpida, efectiva y ordenada a los incidentes en la seguridad de informacin.
(Consultar tambin 13.1 , 10.10.2 , 10.4.1 , 14.1.3 , 13.2.2 , 13.2.3 y 6.2)
Agencia Europea de Seguridad
de las Redes y de la
Informacin (ENISA)
La respuesta temprana para los incidentes de la seguridad se presenta en dos
partes: documento maestro para el tutor (Manual) y los documentos para los
estudiantes con ejercicios. Este material tiene la intencin de ayudar a una
respuesta temprana "CERT" mediante equipos capacitados para reaccionar a los
eventos cotidianos y especiales. El material contiene 12 ejercicios en diversos
escenarios, que van desde actividades CERT internos a las actividades de
coordinacin durante los ataques cibernticos a gran escala contra pases
enteros.
ENISA Manual
ENISA Toolset
INTECO
A travs de esta gua bsica esperamos ofrecer informacin de utilidad a las
organizaciones y las empresas, de manera que puedan tomar las mejores
decisiones, con el objetivo de minimizar las consecuencias y el impacto de un
incidente de fuga de informacin.
Gua INTECO
NIST
Este documento proporciona ayuda a las organizaciones para establecer una
respuesta y gestin efectiva de los incidentes de seguridad en sistemas TI.
SP800-61
SEINHE Consideraciones sobre la gestin de incidentes de seguridad de la informacin.
Gestin de
incidentes de
seguridad

13.2.2 Aprendizaje de los incidentes de seguridad de la informacin.

Control:
Debera existir un mecanismo que permitan cuantificar y monitorear los tipos, volmenes y costes
de los incidentes en la seguridad de informacin.
(consultar 5.1.2)
CERT UK
Gua de respuesta a incidentes del GovCertUK, organismo responsable del
soporte a los departamentos gubernamentales del Reino Unido en los incidentes
de seguridad.
Incident Response
Guidelines
NTA Herramienta que permite valorar el coste potencial de una parada en los servicios. Downtime
Calculator
13.2.3 Recopilacin de evidencias.
Control:
Cuando una accin de seguimiento contra una persona u organizacin, despus de un incidente en
la seguridad de informacin, implique accin legal (civil o criminal), la evidencia debe ser
recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la
jurisdiccin relevante.
AVG
AVG Rescue CD es un poderoso juego de herramientas indispensable
para rescatar y reparar equipos infectados.
AVG CD rescate
BSI SHOP
Closed circuit television (CCTV). Management and operation. Code of
practice
Gua BSI
CAINE
CAINE (Computer Aided INvestigative Environment) is an Italian
GNU/Linux live distribution created as a project of Digital Forensics.
CAINE offers a complete forensic environment that is organized to
integrate existing software tools as software modules and to provide a
friendly graphical interface.
Caine
ConexinInversa Blog con post de recopilacin de 101 utilidades forenses. 101 Utilidades forenses
CYBEX Coleccin de jurisprudencia espaola sobre evidencia electrnica. Cybex
DRADIS
Marco Open source para poder compartir en un repositorio centralizado la
informacin y trazabilidad de las auditoras de seguridad en sistemas y en
aplicaciones web, as como en tests de intrusin.
dradis
ENISA
Directorio con diversas soluciones recopiladas por ENISA para la
recogida ed informacin y anlisis de evidencias.
Enlace
FROST
Forensic Recovery of Scrambled Telephone es una herramienta que
permite ataques de arranque en fro y ecuperar informacin sensible,
tales como listas de contactos, visitas a sitios Web y fotos, directamente
desde la RAM, a pesar de que el gestor de arranque est bloqueado.
Enlace
ISO/IEC 27037
Estndar que propociona directrices para las actividades relacionadas
con la identificacin, recopilacin, consolidacin y preservacin de
evidencias digitales potenciales localizadas en telfonos mviles, tarjetas
de memoria, dispositivos electrnicos personales, sistemas de
navegacin mvil, cmaras digitales y de video, redes TCP/IP, entre otros
dispositvos y para que puedan ser utilizadas con valor probatorio y en el
intercambio entre las diferentes jurisdicciones.
ISO
MANDIANT
MANDIANT Memoryze es un software forense para memorias de libre
uso que ayuda en la respuesta de un incidente mediante la bsqueda en
actividad maliciosa en la memoria del computador. Memoryze puede
obtener y/o analizar imgenes y sistemas en activo y puede incluir
ficheros paginados en sus anlisis.
Memoryze
MATRIUX
Fully featured security distribution consisting of a bunch of powerful, open
source and free tools that can be used for various purposes including, but
not limited to, penetration testing, ethical hacking, system and network
administration, cyber forensics investigations, security testing,
vulnerability analysis, and much more.
Matriux
MICROSOFT
TECHNET
Gua de planeamiento de supervisin de la seguridad y deteccin de
ataques. Aporta dos ventajas principales para las organizaciones,
independientemente de su tamao: la capacidad de identificar ataques de
forma instantnea y la capacidad de realizar anlisis forenses de los
sucesos ocurridos antes, durante y despus de un ataque.
Guia MICROSOFT
NIST
Este documento proporciona ayuda para la integracin del anlisis
forense con los mecanismos de una respuesta y gestin efectiva de los
SP800-86
incidentes de seguridad.
OS FORENSICS
OSForensics puede obtener informacin sobre accesos recientes a
aplicaciones, documentos, dispositivos de almacenamiento y redes
mediente el escaneo del registro. La informacin se recoge y muestra en
paneles de un modo til y sencillo.
PassMark Software
RadioGraPhy
Radiography es una herramienta forense que recoge la mayor
informacin posible de sistemas Windows dentro de las claves de registro
del proceso de arranque y del navegador IE, cuentas del sistema y
propiedades, ficheros de inicio, servicios del sistemas, drivers, procesos
ocultos, informacin de red, entre otros.
Proyecto de desarrollo
SANS
The SANS SIFT Workstation is a VMware Appliance that is pre-configured
with all the necessary tools to perform a detailed digital forensic
examination. It is compatible with Expert Witness Format (E01), Advanced
Forensic Format (AFF), and raw (dd) evidence formats. The brand new
version has been completely rebuilt on an Ubuntu base with many
additional tools and capabilities that can match any modern forensic tool
suite.
SANS
Sleuth Kit
sleuthkit.org es la web oficial para The Sleuth Kit (TSK) y Autopsy
Browser, ambas herramientas open source para la investigacin forense
y ejecutables en entornos Windows y Unix (tales como Linux, OS X,
Cygwin, FreeBSD, OpenBSD, y Solaris).
Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3,
UFS1, y UFS2 entre otros tipos de volmenes. TSK consiste en una
librera C y una coleccin de herramientas desde ventana de comandos.
Autopsy es un interace grfico para TSK. TSK es integrable de varias
formas con sistemas forenses automatizados. The Sleuth Kit Hadoop
Framework es un framework que incorpora TSK en cloud computing para
el anlisis de grandes volmenes de datos.

14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO.
14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del
negocio.

Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente a
desastres o grandes fallos de los sistemas de informacin.
Se debera implantar un proceso de gestin de continuidad del negocio para reducir, a niveles
aceptables, la interrupcin causada por los desastres y fallos de seguridad (que, por ejemplo,
puedan resultar de desastres naturales, accidentes, fallas de equipos o acciones deliberadas)
mediante una combinacin de controles preventivos y de recuperacin.
Este proceso debera identificar los procesos crticos de negocio e integrar los requisitos de gestin
de la seguridad de informacin para la continuidad del negocio con otros requisitos de continuidad
relacionados con dichos aspectos como operaciones, proveedores de personal, materiales,
transporte e instalaciones.
Se deberan analizar las consecuencias de los desastres, fallas de seguridad, prdidas de servicio
y la disponibilidad del servicio y desarrollar e implantar planes de contingencia para asegurar que
los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales.
La seguridad de informacin debera ser una parte integral del plan general de continuidad del
negocio y de los dems procesos de gestin dentro de la organizacin.
La gestin de la continuidad del negocio debera incluir adicionalmente al proceso de evaluacin,
controles para la identificacin y reduccin de riesgos, limitar las consecuencias de incidencias
dainas y asegurar la reanudacin a tiempo de las operaciones esenciales.
Considere la gestin de continuidad de negocio como un proceso con entradas procedentes de
diversas funciones (alta direccin, TI, operaciones, RRHH, etc.) y actividades (evaluacin de
riesgos, etc.).
Asegure la coherencia y concienciacin mediante personas y unidades organizativas relevantes en
los planes de continuidad de negocio.
Deberan llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros,
pruebas de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la confianza de
la direccin en los planes y (c) familiarizar a los empleados relevantes con sus funciones y
responsabilidades bajo condiciones de desastre.
Obtenga consejos de implantacin en BS 25999 - Gestin de la Continuidad de Negocio.
Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida
(requerido / especificado / documentado / probado).
Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido
adecuadamente (a) documentados y (b) probados mediante tests apropiados en los ltimos 12
meses.
14.1.1 Inclusin de la seguridad de la informacin en el proceso de gestin de la
continuidad del negocio.

Control:
Se debera desarrollar y mantener un proceso de gestin de la continuidad del negocio en la
organizacin que trate los requerimientos de seguridad de la informacin necesarios para la
continuidad del negocio.
(Consultar tambin 14.1.2, 7.1.1, 14.1.3, 14.1.5, 6.1.1)
AENOR UNE 71599-1: Norma espaola de buenas prcticas en gestin de UNE 71599-1:2010
contiuidad de negocio, basada en BS 25999-1:2006.
AENOR
UNE 71599-2: Norma espaola que establece los requisitos para un
sistema de gestin de continuidad de negocio, basada en BS 25999-
2:2007.
UNE 71599-2:2010
ASIS International Gua de continuidad de negocio de ASIS International (en ingls).
ASIS Business Continuity
Guideline
BCI
Gua en ingls de buenas prcticas de continuidad de negocio del
Business Continuity Institute.
BCI Good Practices
BSI
(Federal Office for Information
Security de Alemania)
El estndar BSI 100-4 describe un mtodo sistemtico para
desarrollar, establecer y mantener un sistema de gestin para la
continuidad del negocio e integrado con estndares como BS
25999, ISO 27001, ISO 20000, PAS 99, GPG del BCI entre otros
marcos de refencia.
BSI Standard 100-4
DRII
Buenas prcticas de gestin de continuidad de negocio del Disaster
Recovery Institute International - DRII (en ingls).
DRII Professional Practices
FFIEC
Gua de planificacin de continuidad de negocio, en ingls, del
Federal Financial Institutions Examination Council. La acompaa
una lista de verificacin -checklist-, til para auditar el proceso.
FFIEC BCP
FIST Conference
Presentacin en espaol de Manuel Ballester, de introduccin a la
continuidad de negocio, realizada en las Conferencias FIST.
FISTconference.org
Government of Saskatchewan
Gua de gestin de continuidad de negocio publicada por el
gobierno de la provincia canadiense de Saskatchewan (en ingls).
BCM Planning Guidelines
INTECO
Gua prctica para pymes en espaol de cmo implantar un plan de
continuidad de negocio, editada por Inteco y Deloitte.
Gua pymes continuidad de
negocio
ISO
Norma ISO en ingls que sustituye al estndar britnico BS 25999,
con directrices y requisitos para la implantacin de un sistema de
gestin de la continuidad de negocio (SGCN). ISO 22301 es la
parte certificable.
ISO 22301 (requisitos de un
SGCN)
ISO 22300 (Terminologa)
ISO 22313 (Buenas prcticas)
ISO
ISO/IEC 27031: Norma ISO en ingls, de la serie 27000, con
directrices para la continuidad de TICs
ISO/IEC 27031
ISO
ISO/IEC 24762: Directrices para servicios de recuperacin de
desastres TIC (en ingls).
ISO/IEC 24762
NIST
Estndar NIST SP 800-34 sobre planificacin de contingencias para
sistemas de informacin (en ingls).
NIST SP 800-34
The IIA
GTAG 10, Gua de gestin de continuidad de negocio del Institute
of Internal Auditors (en ingls).
GTAG 10 - Business Continuity
Management

14.1.2 Continuidad del negocio y evaluacin de riesgos.
Control:
Se deberan identificar los eventos que puedan causar interrupciones a los procesos de negocio
junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad
de informacin.
direct.gov.uk
Informacin sobre continuidad de negocio del gobierno del Reino
Unido.
direct.gov.uk
Government of
Saskatchewan
"Business Continuity Planning Workbook" del gobierno de la
provincia canadiense de Saskatchewan, con especial incidencia en
el anlisis de impactos. En ingls.
BC Planning Workbook
Talking Business
Continuity
Plantilla en ingls para la realizacin de un BIA (anlisis de
impacto en el negocio).
BIA Tool
SANS Reading Room
Consejos para la realizacin de un Business Impact Analysis (BIA),
en ingls.

14.1.3 Desarrollo e implantacin de planes de continuidad que incluyan la
seguridad de la informacin.

Control:
Se deberan desarrollar e implantar planes de mantenimiento o recuperacin de las operaciones
del negocio para asegurar la disponibilidad de la informacin en el grado y en las escalas de
tiempo requeridos, tras la interrupcin o fallo de los procesos crticos de negocio.
BCI
Documento del Business Continuity Institute, en ingls,
describiendo las competencias y tareas de los responsables de
continuidad de negocio.
BCI-Professional Competence
BSI
PD 25111: documento en ingls de BSI que da directrices sobre
aspectos de continuidad de negocio relativos a las personas.
PD 25111:2010
Canadian Centre for
Emergency Preparedness
Documento en ingls que propone una estructura y tareas para un
equipo de gestin de emergencias.
Emergency Management Team Set Up
Canadian Centre for
Plantilla en ingls de estrategia de continuidad para un
determinado escenario de impacto.
Strategy Worksheet
Canadian Centre for
Documento en ingls con directrices y ejemplos para la
preparacin de un plan de comunicacin de crisis.
Crisis communication plan
Canadian Centre for
Plantilla en ingls de plan de continuidad de negocio y ejemplo
correspondiente.
BCP Template
Sample
Continuity Central
Checklist de continuidad de negocio para pequeas empresas, en
ingls.
Business continuity and disaster
recovery checklist for small business
owners
Continuity Central
Repositorio de artculos sobre gestin de crisis, en ingls, de
Continuity Central.
Crisis Management: Advanced
resources
Continuity Central
Repositorio de artculos sobre continuidad TI, en ingls, de
Continuity Central.
IT Continuity: Advanced
resources
INEI
Gua Prctica para el Desarrollo de Planes de Contingencia de
Sistemas de Informacin del Gobierno de Per.
Gua contingencia INEI
Redbooks IBM System Storage Business Continuity: Part 1 Planning Guide.
IBM System Storage Business
Continuity: Part 1 Planning Guide
Redbooks IBM System Storage Business Continuity: Part 2 Solutions Guide.
IBM System Storage Business
Continuity: Part 2 Solutions Guide
TalkingBusinessContinuity
Checklist para pymes, en ingls, sobre aspectos a considerar en los
planes de continuidad de negocio.
BCM Checklist Tool

14.1.4 Marco de referencia para la planificacin de la continuidad del negocio.

Control:
Se debera mantener un esquema nico de planes de continuidad del negocio para garantizar que
dichos planes son consistentes, para tratar los requisitos de seguridad y para identificar las
prioridades de prueba y mantenimiento.
GARTNER
Documento con las 10 mejores prcticas para aplicar la continuidad
de negocio y evitar los errores ms frecuentes (ingls)
Descarga PDF

14.1.5 Pruebas, mantenimiento y reevaluacin de planes de continuidad.

Control:
Se deberan probar regularmente los planes de continuidad del negocio para garantizar su
actualizacin y eficacia.
BSI Shop
PD 25666:2010 es una gua en ingls publicada por BSI, que
establece buenas prcticas para la realizacin de pruebas de planes
de continuidad de negocio.
PD 25666:2010
Canadian Centre for
Documento en ingls con checklists y consejos para el diseo,
gestin y evaluacin de pruebas de planes de continuidad de
negocio.
EPCB Exercise/Test
Methodology
Canadian Centre for
Ejemplo en ingls de plantilla de evaluacin del desarrollo de
pruebas de planes de continuidad de negocio.
Exercise Evaluation Form
Continuity Central
Diversos artculos en ingls de Continuity Central acerca de la
prueba de planes de continuidad de negocio.
Continuity Central
Disaster Recovery Journal
Documento en ingls que establece pautas para la realizacin de
"pruebas de escritorio" (o sobre el papel, sin simulacro real) para
verificacin de planes de continuidad de negocio.
Disaster Recovery Journal
SISTESEG
Presentacin de la empresa colombiana SISTESEG sobre auditora
de planes de continuidad de negocio y recuperacin de desastres (en
entorno TI).
Presentacin de SISTESEG

15. CUMPLIMIENTO.
15.1 Cumplimiento de los requisitos legales. Conformidad

Evitar incumplimientos de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier
requisito de seguridad.
El diseo, operacin, uso y gestin de los sistemas de informacin pueden ser objeto de requisitos
estatutarios, reguladores y de seguridad contractuales.
Los requisitos legales especficos deberan ser advertidos por los asesores legales de la
organizacin o por profesionales adecuadamente cualificados.
Los requisitos que marca la legislacin cambian de un pas a otro y pueden variar para la
informacin que se genera en un pas y se transmite a otro pas distinto (por ej., flujos de datos
entre fronteras).
Obtenga asesoramiento legal competente, especialmente si la organizacin opera o tiene clientes
en mltiples jurisdicciones.
Nmero de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas por su
estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de otra forma
admisible, han sido considerados conformes.

15.1.1 Identificacin de la legislacin aplicable.

Control:
Todos los requisitos estatutarios, de regulacin u obligaciones contractuales relevantes, as como
las acciones de la Organizacin para cumplir con estos requisitos, deberan ser explcitamente
definidos, documentados y actualizados para cada uno de los sistemas de informacin y la
Organizacin.
Agencia Espaola
Proteccin de Datos
Publicaciones en espaol sobre cuestiones y legislacin relevante en la
prestacin de servicios e intercambio de informacin con especial atencin a los
datos de carcter personal y a la proteccin de la privacidad de los individuos.
Guas
BSA
Gua en espaol de la Business Software Alliance de argumentos jurdicos
relacionados con los riesgos de utilizar software no legal en las organizaciones.
Argumentos jurdicos
SW legal
Centro Nacional para la
Proteccin de las
Infraestructuras Crticas
CNPIC es el rgano director y coordinador de cuantas actividades relacionadas
con la proteccin de las infraestructuras crticas tiene encomendadas la
Secretara de Estado de Seguridad del Ministerio del Interior, a la que est
adscrito. El principal objetivo es prestar una eficaz colaboracin para mantener
seguras las infraestructuras crticas espaolas que proporcionan los servicios
esenciales a nuestra sociedad. Legislacin aplicable, enlaces nacionales e
internacionales desde la web del centro.
CNPIC
COMISION DEL
MERCADO DE LAS
TELECOMUNICACIONES
Normativa espaola y europea relevante a los datos personales,
telecomunicaciones y comercio electrnico entre otros.
CMT
COMISION DEL
MERCADO DE LAS
TELECOMUNICACIONES
La situacin legal de los programas criptolgicos vara segn los pases, y las
leyes que rigen el uso y comercio de estos programas evolucionan con rapidez.
Wikitel es un proyecto promovido por la Comisin del Mercado de las
Telecomunicaciones (CMT).
Wikitel
COMISION DEL
MERCADO DE LAS
TELECOMUNICACIONES
El comercio electrnico, basado en el tratamiento electrnico y la transmisin
de datos, abarca actividades muy diversas que van desde el intercambio de
bienes y servicios a la entrega en lnea de informacin digital, pasando por la
transferencia electrnica de fondos, la actividad burstil, la contratacin
pblica.
Normativa de comercio
electrnico
COMISION DEL
MERCADO DE LAS
TELECOMUNICACIONES
Fundamentos de Seguridad en las telecomunicaciones y marco jurdico y
legislacin para su uso.
Marco jurdico de la
firma electrnica
CRIMINALIDAD Sobre el Fiscal de sala de criminalidad informtica y las secciones de Instruccin 2/2011
INFORMTICA DE LAS
FISCALAS
criminalidad informtica de las fiscalas.
CSIRT Comunitat
Valenciana
Listado de legislacin vigente realizada por el Centro de Seguridad TIC de
Comunidad Valenciana.
Informes Csirt-CV
DGONZALEZ.NET
En este captulo desarrollado por Diego Gonzlez se hace un breve repaso por
el estado de los sistemas legales del mundo, en el marco legal de Europa y en el
de Espaa.
Se comentan los aspectos legales relacionados con delitos informticos, y ms
concretamente, los relacionados con los Sistemas de Deteccin de Intrusiones.
dgonzalez.net
ENISA
Sumario de legislacin relevante a incidentes y medidas relacionadas con la
Ciberseguridad.
Cyber Incident
Reporting in the EU
Esquema Nacional de
Seguridad (Espaa)
El mbito de aplicacin del Esquema Nacional de Seguridad es el de las
Administraciones Pblicas, los ciudadanos en sus relaciones con las mismas y
el de las relaciones entre ellas, segn se establece en el artculo 2 de la Ley
11/2007. Estarn excluidos de su mbito de aplicacin los sistemas que tratan
informacin clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos
Oficiales y sus normas de desarrollo de la Agencia Espaola de Proteccin de
Datos y del Consejo de Estado.
CCN-CERT
EUROPA - Official site
La Comisin Europea propone una serie de medidas tendentes a reforzar la
prevencin, la preparacin y la respuesta de la Unin ante ataques terroristas
contra infraestructuras crticas.
Proteccin de
infraestructuras crticas
INFORMATION SHIELD
Enlace a una lista de leyes internacionales de privacidad por pas y regin.
(ingls)
informationshield
INTECO
Gua publicada por INTECO para empresarios acerca de los requisitos legales
bsicos que se deben cumplir a la hora de iniciar un negocio en Internet.
Gua INTECO
Ministerio de Industria,
Turismo y Comercio
Informacin general sobre la Ley de Servicios de la Sociedad de la Informacin
y de Comercio Electrnico (LSSI), que ha sido elaborada por la Secretara de
Estado de Telecomunicaciones y para la Sociedad de la Informacin del
Ministerio de Industria, Turismo y Comercio.
Portal LSSI
Portal de la Administracin
Pblica
El Portal de la Administracin Electrnica tiene como objetivo ser el punto
nico de atencin para los ciudadanos, empresas y Administraciones Pblicas,
coordinando los esfuerzos de contenidos, tecnologa y personas hacia la
consecucin del punto nico de informacin de Administracin electrnica.
Incluye documentos correspondientes a proyectos de normas tcnicas
relacionadas con el mbito de la gestin documental, el intercambio de asientos
registrales, la firma electrnica y la conexin a la Red de comunicaciones de las
Administraciones Pblicas espaolas.
PAe
RED IBEROAMERICA DE
PROTECCION DE DATOS
La Red Iberoamericana de Proteccin de Datos (RIPD), surge con motivo del
acuerdo alcanzado en el Encuentro Iberoamericano de Proteccin de Datos
(EIPD) con la asistencia de representantes de 14 pases iberoamericanos. Desde
su portal se puede localizar informacin de la legislacin relevantes y agencias
de los 14 pases.
Red Iberoamericana de
proteccin de datos

15.1.2 Derechos de propiedad intelectual (DPI).
Control:
Se deberan implantar procedimientos adecuados que garanticen el cumplimento de la legislacin,
regulaciones y requisitos contractuales para el uso de material con posibles derechos de propiedad
intelectual asociados y para el uso de productos software propietario.
100% legal
Portal del Ministerio de Industria espaol con informacin sobre software legal,
enlaces a software libre, etc.
Todosconsoftwarelegal.es
Belarc
Belarc Advisor construye un perfil detallado del software y hardware instalado, el
inventario de la red, la falta de revisiones en productos de Microsoft, el estado de
anti-virus, puntos de referencia de seguridad, y muestra los resultados en el
Belarc Advisor
explorador Web. Toda la informacin del perfil del PC se mantiene privada y no
se enva a servidores de la web.
BSA
Gua en espaol de la Business Software Alliance de argumentos jurdicos
relacionados con los riesgos de utilizar software no legal en las organizaciones.
Argumentos jurdicos SW
legal
BSA
Gua de buenas prcticas en espaol, de la Business Software Alliance, para el
control corporativo de activos de software y sus correspondientes licencias.
BSA Best practices
Copyscape
Copyscape es una herramienta online que permite detectar plagios de una pgina
web (tiene una versin gratuita).
Copyscape
Creative Commons
Las licencias Creative Commons propocionan alternativas estandarizadas al
sistema habitual de propiedad intelectual de "todos los derechos reservados".
Creative Commons
EducaRed
La aplicacin Antiplagio, de EducaRed, permite localizar e identificar
documentos plagiados a partir del anlisis de diferentes fuentes.
Antiplagio
Free Software
Foundation
La Licencia Pblica General GNU (GNU GPL) es la licencia de software libre
ms utilizada.
GNU GPL
Frontrange
Herramienta de realizacin de inventarios de HW y SW en una red. La versin de
prueba de 30 das permite hacer un inventario gratuito de hasta 25 PCs.
Frontrange Discovery
ISO
Especificaciones para el etiquetado de software con el objeto de optimizar su
identificacin y gestin. (ingls).
Estndar ISO/IEC 19770-
2:2009
Ministerio de Cultura Ley de propiedad intelectual espaola.
Ley de propiedad
intelectual
Ministerio de Cultura
Gua del Ministerio de Cultura espaol sobre cmo implantar medidas en una red
informtica para garantizar el cumplimiento del derecho de propiedad intelectual.
Gua propiedad intelectual
Ministerio de la
Presidencia
Modificacin de la Ley Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal.
Ley Orgnica 5/2010, de
22 de junio
ManageEngine
Herramienta de gestin de activos en red, que ayuda, entre otras cosas, a la
gestin de licencias. La versin gratuita tiene un lmite de 25 nodos. La versin
de prueba de 30 das, un lmite de 250.
ManageEngine
AssetExplorer
Microsoft
Microsoft Software Inventory Analyzer es una herramienta que permite hacer un
inventario automatizado de todo el software de Microsoft instalado en un equipo
o en una red.
Microsoft Software
Inventory Analyzer
Microsoft
Gua en espaol, publicada por Microsoft, sobre aspectos relacionados con el
software legal: conceptos, legislacin, herramientas, etc.
Gua Microsoft SW legal
SANS
Modelos para la comunicacin y gestin de incidentes contra la propiedad
intelectual (ingls).
Sans.org
Software Legal
Portal argentino con informacin, legislacin, enlaces, consejos, etc., sobre
software legal.
Software Legal
Wikipedia Grfico que establece un mapa conceptual del software libre.
Mapa conceptual del
software libre

15.1.3 Proteccin de los documentos de la organizacin.

Control:
Los registros importantes se deberan proteger de la prdida, destruccin y falsificacin, de
acuerdo a los requisitos estatutarios, regulaciones, contractuales y de negocio.
INTECO
Gua de INTECO sobre la respuesta jurdica frente a ataques de seguridad de la
informacin.
Gua Inteco

15.1.4 Proteccin de datos y privacidad de la informacin de carcter personal.

Control:
Se debera garantizar la proteccin y privacidad de los datos y segn requiera la legislacin,
regulaciones y, si fueran aplicables, las clusulas relevantes contractuales.
AGENCIA
ESPAOLA DE
PROTECCION DE
DATOS
Herramienta de diagnstico basado en un autotest basado en preguntas con
respuesta mltiple. Al final, la Agencia Espaola de Proteccin de Datos, le
facilita un informe con indicaciones y recursos que le orienten, en su caso, para
cumplir con lo dispuesto en la LOPD.
EVALUA LOPD
AGENCIA ESPAOLA
DE PROTECCION DE
DATOS
Canal de documentacin de la Agencia de Proteccin de Datos espaola, con
legislacin, recomendaciones, informes jurdicos, resoluciones, sentencias,
cdigos tipo, etc., relacionados con la Ley Orgnica de Proteccin de Datos de
Carcter Personal.
Canal documentacin
AGPD
Asociacin Profesional
Espaola de Privacidad
(APEP)
La Asociacin Profesional Espaola de Privacidad publica una gua para
empresas sobre lo que debera cubrir un servicio de consultora externa de
adecuacin a la LOPD espaola, con el objetivo de ayudar a detectar servicios de
consultora fraudulentos o inadecuados.
Definicin de servicio de
consulta LOPD
BOE
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal (LOPD). Legislacin espaola.
Texto LOPD
BOE
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de
proteccin de datos de carcter personal. Legislacin espaola.
Texto RDLOPD
ELECTRONIC
PRIVACY
INFORMATION
CENTER
EPIC es un centro de investigacn de inters pblico establecido en 1994 que
dedica especial atencin a la proteccin de la privacidad y libertades civiles.
EPIC ha recibido premios por la publicacin de sus noticias, adems de
reportajes, libros entre otros asuntos de inters.
EPIC
Gua de Privacidad en
Espaol
IDENTITY FINDER
Sistema de proteccin de identidad en el ordenador con versin gratuita. Identity
Finder localiza nmeros de tarjetas de crdito y contraseas que son vulnerables
al robo de identidad y fraude. Permite buscar los archivos que pueden contener
informacin personal privada como Word, Excel, PowerPoint, Adobe PDF, texto
y HTML. Una vez encontrado, el uso de las herramientas permite eliminar
definitivamente los archivos, eliminar las contraseas de Firefox e Internet
Explorer para Windows y asegurar la informacin sensible. El uso adicional de
herramientas integradas de seguridad, como la bveda de identidad File Finder y
Shredder para asegurarse de que su identidad est a salvo en su ordenador.
identityfinder
INTECO Gua Legal sobre Privacidad en Internet. Gua Inteco privacidad
INTECO
Gua sobre la Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD)
y su correspondiente Reglamento (RDLOPD).
Gua Inteco LOPD
INTECO
Gua para Pymes sobre cmo adaptarse a la normativa sobre proteccin de datos
personales.
Gua Inteco LOPD pymes
INTECO
Gua para entidades locales sobre cmo adaptarse a la normativa sobre proteccin
de datos personales.
Gua Inteco LOPD
admon. local
INTECO
Gua destinada a informar a los ciudadanos y a los responsables de ficheros sobre
los requisitos legales que deben cumplir a la hora de instalar cmaras de
videovigilancia. Se desarrolla la Instruccin 1/2006 de la AEPD.
Gua Inteco
videovigilancia
INTECO
Gua legal sobre la proteccin del derecho al honor, a la intimidad y a la propia
imagen en Internet.
Gua Inteco imagen en
Internet
Red Iberoamericana de
Proteccin de Datos
(RIPD)
Surge con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de
Proteccin de Datos (EIPD) celebrado en La Antigua, Guatemala, del 1 al 6 de
junio de 2003, con la asistencia de representantes de 14 pases iberoamericanos.
La RIPD se constituye como una respuesta a la necesidad de fomentar, mantener
y fortalecer un estrecho y constante intercambio de informacin, experiencias y
conocimientos entre los Pases Iberoamericanos, a travs del dilogo y
colaboracin en materia de proteccin de datos de carcter personal. La RIPD se
encuentra abierta a todos los pases iberoamericanos que deseen promover y
Directorio y Legislacin
por pas
ejecutar iniciativas y proyectos relacionados con esta materia.
Documentacin, acuerdos y legislacin relevante a cada pas disponible desde el
portal.
SAFE HARBOR
La directiva de la comisin de la Unin Europea (con efecto desde Octubre de
1998) que prohbe la transferencia de datos de carcter personal a aquellos pases
externos a la propia UE que no renan los estndares "adecuados" para la
proteccin de la privacidad y considerando que los Estados Unidos consideran un
enfoque de proteccin distinto al de la UE se determin cumplir con un marco
denominado "Safe Harbor" que favorezca de manera fluida que las empresas
establecidas en EEUU puedan cumplir con las directivas europeas.
Este website provee la informacin que una organizacin necesitara contemplar
(y posteriormente cumplir) en relacin al programa U.S.-EU Safe Harbor adems
de consejeras comerciales disponibles para consulta en todo el mundo
S Department of
Commerce - SAFE
HARBOR
Consejera comercial de
los EEUU en Espaa

15.1.5 Prevencin del uso indebido de recursos de tratamiento de la informacin.

Control:
Se debera disuadir a los usuarios del uso de los recursos dedicados al tratamiento de la
informacin para propsitos no autorizados.
(Consultar tambin 6.1.3 , 8.2.3 , 13.2.3 , 8.1.3 y 7.1.3).
INTECO
Gua de INTECO en espaol sobre la utilizacin de las tecnologas de la
informacin en el mbito laboral y sus consideraciones legales.
Gua Inteco

15.1.6 Regulacin de los controles criptogrficos.

Control:
Se deberan utilizar controles cifrados en conformidad con todos acuerdos, leyes y regulaciones
pertinentes.
COMISION DEL
MERCADO DE LAS
TELECOMUNICACIONES
La situacin legal de los programas criptolgicos vara segn los pases, y las
leyes que rigen el uso y comercio de estos programas evolucionan con rapidez.
Wikitel

15.2 Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico.

Garantizar la conformidad de los sistemas con las polticas y estndares de seguridad de la
Organizacin.
Se deberan realizar revisiones regulares de la seguridad de los sistemas de informacin.
Las revisiones se deberan realizar segn las polticas de seguridad apropiadas y las plataformas
tcnicas y sistemas de informacin deberan ser auditados para el cumplimiento de los estndares
adecuados de implantacin de la seguridad y controles de seguridad documentados.
Alinee los procesos de auto-evaluacin de controles de seguridad con las auto-evaluaciones de
gobierno corporativo, cumplimiento legal y regulador, etc., complementados por revisiones de la
direccin y verificaciones externas de buen funcionamiento.
Nmero de cuestiones o recomendaciones de poltica interna y otros aspectos de cumplimiento,
agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o
nivel de riesgo (alto, medio o bajo).
Porcentaje de revisiones de cumplimiento de seguridad de la informacin sin incumplimientos
sustanciales.
15.2.1 Cumplimiento de las polticas y normas de seguridad. Conformidad con la
poltica de Seguridad.

Control:
Los directivos se deberan asegurar que todos los procedimientos de seguridad dentro de su rea
de responsabilidad se realizan correctamente y cumplen con los estndares y polticas de
seguridad.
(consultar 6.1.8)

15.2.2 Comprobacin del cumplimiento tcnico.

Control:
Se debera comprobar regularmente la conformidad de los sistemas de informacin con los
estndares de implantacin de la seguridad.
ENISA
Directorio con diversas soluciones recopiladas para la auditora de
sistemas.
Enlace
THE CENTER FOR
INTERNET SECURITY
CIS offers a variety of audit tools for assessing compliance with CIS
Benchmarks.
CIS Benchmarks
MICROSOFT
TECHNET
Gua de planeamiento de supervisin de la seguridad y deteccin de ataques.
Aporta dos ventajas principales para las organizaciones, independientemente de
su tamao: la capacidad de identificar ataques de forma instantnea y la
Guia MICROSOFT
capacidad de realizar anlisis forenses de los sucesos ocurridos antes, durante y
despus de un ataque.
CSIRT-cv
Gua en espaol, publicada por INTECO-CERT y el CSIRT-cv titulado
Pentest: Information Gathering, sobre tcnicas de recopilacin de informacin
para tests de penetracin.
PenTest

15.3 Consideraciones sobre las auditoras de los sistemas de informacin.

Maximizar la efectividad del proceso de auditora de los sistemas de informacin y minimizar las
intromisiones a/desde ste proceso.
Deberan existir controles para proteger los sistemas en activo y las herramientas de auditora
durante el desarrollo de las auditoras de los sistemas de informacin.
Tambin se requiere la proteccin para salvaguardar la integridad y prevenir el mal uso de las
herramientas de auditora.
Invierta en auditora TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estndares y
mtodos de buenas prcticas similares como referencias de comparacin.
Examine ISO 19011 "Directrices para la auditora de los sistemas de gestin de la calidad y/o
ambiental" como fuente valiosa para la realizacin de auditoras internas del SGSI.
ISO 19011 proporciona un marco excelente para crear un programa de auditoras internas y
contiene asimismo las cualificaciones del equipo de auditora interna.
Nmero de cuestiones o recomendaciones de auditora, agrupadas y analizadas por su estado
(cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
Porcentaje de hallazgos de auditora relativos a seguridad de la informacin que han sido resueltos
y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de
resolucin/cierre de recomendaciones, respecto a los plazos acordados por la direccin al final de
las auditoras.
15.3.1 Controles de auditora de los sistemas de informacin.
Control:
Se deberan planificar y acordar cuidadosamente los requisitos y actividades de auditora que
impliquen comprobaciones en los sistemas en activo con objeto de minimizar el riesgo de
interrupciones de los procesos de negocio.
THE CENTER FOR
INTERNET SECURITY
CIS offers a variety of audit tools for assessing compliance with CIS
Benchmarks.
CIS Benchmarks
MICROSOFT
TECHNET
Guas de seguridad para la auditora y la monitorizacin Guia MICROSOFT

15.3.2 Proteccin de las herramientas de auditora de los sistemas de
informacin.
Control:
Se deberan proteger los accesos a las herramientas de auditora de los sistemas de informacin
con objeto de prevenir cualquier posible mal uso o compromiso.
OSSA
This is a VA / PT report for a fictitious bank called eClipse Bank PLC carried out
by another fictitious company Cynergi Solutions Inc. All names, URLs, IPs, etc
are fictitious
Vulnerability Assessment
& Penetration Test Report
template
OSSIM
Open Source Security Information Management: Coleccin de herramientas bajo
la licencia BSD, diseadas para ayudar a los administradores de red en la
seguridad de las computadoras, deteccin de intrusos y prevencin.
OSSIM
DSNIFF
Collection of tools for network auditing and penetration testing. dsniff, filesnarf,
mailsnarf, msgsnarf, urlsnarf, and webspy passively monitor a network for
interesting data (passwords, e-mail, files, etc.). arpspoof, dnsspoof, and macof
facilitate the interception of network traffic normally unavailable to an attacker
(e.g, due to layer-2 switching). sshmitm and webmitm implement active monkey-
in-the-middle attacks against redirected SSH and HTTPS sessions by exploiting
weak bindings in ad-hoc PKI.
Dsniff
L0pht HOLDINGS Password auditing and recovery. 15 days trial. l0phtcrack
BACKTRACK
BackTrack is intended for all audiences from the most savvy security
professionals to early newcomers to the information security field. BackTrack
promotes a quick and easy way to find and update the largest database of security
tool collection to-date.
BackTrack
MATRIUX
Fully featured security distribution consisting of a bunch of powerful, open
source and free tools that can be used for various purposes including, but not
limited to, penetration testing, ethical hacking, system and network
administration, cyber forensics investigations, security testing, vulnerability
analysis, and much more.
Matriux
SANS
The SANS SIFT Workstation is a VMware Appliance that is pre-configured with
all the necessary tools to perform a detailed digital forensic examination. It is
compatible with Expert Witness Format (E01), Advanced Forensic Format
(AFF), and raw (dd) evidence formats. The brand new version has been
completely rebuilt on an Ubuntu base with many additional tools and capabilities
that can match any modern forensic tool suite.
SANS
IDA PRO
IDA Pro is a Windows or Linux hosted multi-processor disassembler and
debugger that offers so many features it is hard to describe them all.
IDA Pro

http://www.iso27000.es/download/ControlesISO27002-2013.pdf

Cloud Computing
Controlar la gestin y proteccin de la informacin y del mantenimiento de los requisitos de
seguridad de los servicios en la nube.
El diseo, operacin, uso y gestin de los servicios en la nube pueden ser objeto de requisitos
estatutarios, reguladores y de seguridad contractuales.
Los requisitos especficos de los clientes deberan ser advertidos por los proveedores de servicios
en la nube y compensados con medidas de seguridad adicionales por parte de los clientes cuando
sea necesario.
Los requisitos deben corresponder con la clasificacin e importancia de la informacin,
aplicaciones e infraestructuras prestadas desde la nube.
Obtenga asesoramiento tcnico competente y adicionalmente jurdico cuando la organizacin y el
prestador de los servicios opera o tiene clientes en mltiples jurisdicciones.
Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de otra forma
admisible, han sido considerados conformes.
3.1 Auditora
Proceso sistemtico, independiente y documentado para obtener evidencias de la auditora (3.3)
y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios
de auditora

3.2 Criterios de auditoria
Conjunto de polticas, procedimientos o requisitos usados como referencia frente a la cual se
compara la evidencia de la auditora (3.3)

3.3 Evidencia de la auditora
Registros, declaraciones de hechos o cualquier otra informacin que es pertinente para los
criterios de auditora (3.2) y que es verificable

3.4 Hallazgos de la auditora
Resultados de la evaluacin de la evidencia de la auditora (3.3) recopilada frente a los criterios
de auditora (3.2)

3.5 Conclusiones de la auditora
Resultado de una auditora (3.1), tras considerar los objetivos de la auditora y todos los hallazgos
de la auditora (3.4)

3.6 Cliente de la auditora
Organizacin o persona que solicita una auditora (3.1)

3.7 Auditado
Organizacin que es auditada

3.8 Auditor
persona que lleva a cabo una auditora (3.1)

3.9 Equipo auditor
uno o ms auditores (3.8) que llevan a cabo una auditora (3.1), con el apoyo, si es necesario, de
expertos tcnicos (3.10).

3.10 Experto tcnico

Persona que aporta conocimientos o experiencia especficos al equipo auditor (3.9)

3.11 Observador

Persona que acompaa al equipo auditor (3.9) pero que no audita.

3.12 Gua

Persona designada por el auditado (3.7) para asistir al equipo auditor (3.9)

3.13 Programa de auditora

Detalles acordados para un conjunto de una o ms auditoras (3.1) planificadas para un periodo
de tiempo determinado y dirigidas hacia un propsito especfico.

3.14 Alcance de la auditora
Extensin y lmites de una auditora (3.1)

3.15 Plan de auditora
Descripcin de las actividades y de los detalles acordados de una auditora (3.1)

3.16 Riesgo
Efecto de la incertidumbre sobre los objetivos

3.17 Competencia

Capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos

3.18 Conformidad
Cumplimiento de un requisito

3.19 No conformidad
Incumplimiento de un requisito

3.20 Sistema de gestin
Sistema para establecer la poltica y los objetivos y para lograr dichos objetivos.

Principios:

a) Integridad
b) Presentacin imparcial:
c) Debido cuidado profesional:
d) Confidencialidad:
e) Independencia:
f) Enfoque basado en la evidencia:

PROGRAMA DE AUDITORIA

6 Realizacin de una auditora

A.7 Ejemplo ilustrativo de conocimientos y habilidades especficos de la
disciplina de los auditores de gestin de la seguridad de la informacin

Los conocimientos y habilidades relacionados con la disciplina y la aplicacin de mtodos,
tcnicas, procesos y prcticas especficos de la disciplina deberan ser los suficientes para permitir
al auditor examinar el sistema de gestin y generar los hallazgos y conclusiones de la auditora
apropiados.

Son ejemplos:
las directrices de normas tales como ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC
27003, ISO/IEC 27004 e ISO/IEC 27005;

la identificacin y evaluacin de los requisitos del cliente y de las partes interesadas;
las leyes y reglamentos que tratan la seguridad de la informacin (por ejemplo, propiedad
intelectual, contenido, proteccin y retencin de los registros de la organizacin; proteccin y
privacidad de datos; reglamentos de controles criptogrficos; antiterrorismo; comercio electrnico;
firma electrnica y digital;
Vigilancia en el puesto de trabajo; ergonoma del lugar de trabajo; intercepcin de las
telecomunicaciones y seguimiento de los datos (por ejemplo, correo electrnico), mal uso del
equipo informtico, recopilacin de evidencias electrnicas, ensayos de vulnerabilidad, etc.;
los procesos, la ciencia y la tecnologa subyacentes a la gestin de la seguridad de la
informacin; la evaluacin del riesgo (identificacin, anlisis y evaluacin) y tendencias en
tecnologa, amenazas y vulnerabilidades;
la gestin del riesgo en la seguridad de la informacin;
los mtodos y las prcticas para los controles (electrnicos y fsicos) de la seguridad de la
informacin;
los mtodos y las prcticas para la integridad y confidencialidad de la informacin;
los mtodos y las prcticas para la medicin y evaluacin de la eficacia del sistema de gestin
de la seguridad de la informacin y los controles asociados;
los mtodos y las prcticas para la medicin, seguimiento y registro del desempeo (incluyendo
pruebas, auditoras y revisiones).
NOTA Para ms informacin, vanse las normas relacionadas desarrolladas por el Subcomit Tcnico
ISO/IEC JTC 1/SC 27 sobre gestin de la seguridad de la informacin.

SO/IEC 27003 Gua para la implementacin de un Sistema de Gestin de Seguridad de la
Informacin.
17 enero, 2014
Escrito por admin
iso 27001:2013, Normas relacionadas
ISO 27003
ISO 27003 es un estndar internacional que constituye una gua para la implantacin de un
SGSI.
Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI
como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que
venan careciendo de un criterio normalizado.
ISO-27003 focaliza su atencin en los aspectos requeridos para un diseo exitoso y una
buena implementacin del Sistema de Gestin de Seguridad de la Informacin SGSI
segn el estndar ISO 27001.
- See more at: http://www.pmg-ssi.com/2014/01/isoiec-27003-guia-para-la-implementacion-de-
un-sistema-de-gestion-de-seguridad-de-la-informacion/#sthash.WcsgfVoe.dpuf
Contiene una descripcin del proceso de delimitacin del SGSI, y adems el diseo y
ejecucin de distintos planes de implementacin.
Especifica el proceso de conseguir una aprobacin para la implementacin de un SGSI,
define el proyecto para dicho acometido, el cual es llamado en la norma ISO 27003
proyecto de SGSI, y da instrucciones sobre cmo abordar la planificacin de la gestin para
implementar el SGSI.
La norma tiene el siguiente contenido:
1. Alcance.
2. Referencias Normativas.
3. Trminos y Definiciones.
4. Estructura de esta Norma.
5. Obtencin de la aprobacin de la alta direccin para iniciar un SGSI.
6. Definicin del alcance del SGSI, lmites y polticas.
7. Evaluacin de requerimientos de seguridad de la informacin.
8. Evaluacin de Riesgos y Plan de tratamiento de riesgos.
9. Diseo del SGSI.
Anexo A: lista de chequeo para la implementacin de un SGSI.
Anexo B: Roles y responsabilidades en seguridad de la informacin
Anexo C: Informacin sobre auditoras internas.
Anexo D: Estructura de las polticas de seguridad.
Anexo E: Monitoreo y seguimiento del SGSI.
- See more at: http://www.pmg-ssi.com/2014/01/isoiec-27003-guia-para-la-
implementacion-de-un-sistema-de-gestion-de-seguridad-de-la-
informacion/#sthash.WcsgfVoe.dpuf

2. La serie 27000

A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares.

Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

ISO 27000:

En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Contendr
trminos y definiciones que se emplean en toda la serie 27000.
La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que
evite distintas interpretaciones de conceptos tcnicos y de gestin.
Esta norma est previsto que sea gratuita, a diferencia de las dems de la serie, que tendrn
un coste.

ISO 27001:

Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los
requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS
7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los
SGSI de las organizaciones. Sustituye a la BS 7799-2, habindose establecido unas
condiciones de transicin para aquellas empresas certificadas en esta ltima. En su Anexo
A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO
27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que
sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser
obligatoria la implementacin de todos los controles enumerados en dicho anexo, la
organizacin deber argumentar slidamente la no aplicabilidad de los controles no
implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa
como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros pases donde
tambin est publicada en espaol son, por ejemplo, Colombia , Venezuela y Argentina. El
original en ingls y la traduccin al francs pueden adquirirse en ISO.org.

ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,
manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los
objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No
es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un
anexo que resume los controles de ISO 27002:2005. En Espaa, an no est traducida
(previsiblemente, a lo largo de 2008). Desde 2006, s est traducida en Colombia (como
ISO 17799) y, desde 2007, en Per (como ISO 17799; descarga gratuita). El original en
ingls y su traduccin al francs pueden adquirirse en ISO.org.

ISO 27003: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2009.
Consistir en una gua de implementacin de SGSI e informacin acerca del uso del
modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo
B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los
aos con recomendaciones y guas de implantacin.

ISO 27004: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de
2008. Especificar las mtricas y las tcnicas de medida aplicables para determinar la
eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan
fundamentalmente para la medicin de los componentes de la fase Do (Implementar y
Utilizar) del ciclo PDCA.

ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestin del
riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la
norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la
seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento
de los conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e
ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC
27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas
comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la
intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad
de la informacin. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 y
ISO/IEC TR 13335-4:2000. En Espaa, esta norma an no est traducida. El original
en ingls puede adquirirse en ISO.org.

ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la
acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de
la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de
entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021
(Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los
requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a
interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de
certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. En Espaa,
esta norma an no est traducida. El original en ingls puede adquirirse en ISO.org.

Consistir en una gua de auditora de un SGSI.

ISO 27011: En fase de desarrollo; su fecha prevista de publicacin es finales de 2008.
Consistir en una gua de gestin de seguridad de la informacin especfica para
telecomunicaciones, elaborada conjuntamente con la ITU (Unin Internacional de
Telecomunicaciones).

Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin
y comunicaciones.

ISO 27032: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009.
Consistir en una gua relativa a la ciberseguridad.

ISO 27033: En fase de desarrollo; su fecha prevista de publicacin es entre 2010 y 2011.
Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de
seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones
entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes
mediante VPNs y diseo e implementacin de seguridad en redes. Provendr de la revisin,
ampliacin y renumeracin de ISO 18028.

ISO 27034: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009.
Consistir en una gua de seguridad en aplicaciones.

ISO 27799: Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de
la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma,
al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit
tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y
aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de
esa norma.

ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas
prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones
sanitarias y otros custodios de la informacin sanitaria en base a garantizar un mnimo nivel
necesario de seguridad apropiado para la organizacin y circunstancias que van a mantener
la confidencialidad, integridad y disponibilidad de informacin personal de salud.

ISO 27799:2008 se aplica a la informacin en salud en todos sus aspectos y en cualquiera
de sus formas, toma la informacin (palabras y nmeros, grabaciones sonoras, dibujos,
vdeos y imgenes mdicas), sea cual fuere el medio utilizado para almacenar (de impresin
o de escritura en papel o electrnicos de almacenamiento ) y sea cual fuere el medio
utilizado para transmitirlo (a mano, por fax, por redes informticas o por correo), ya que la
informacin siempre debe estar adecuadamente protegida. El original en ingls o francs
puede adquirirse en ISO.org.

Beneficios
Si desea acceder a las normas completas, debe saber que stas no son de libre difusin sino
que han de ser adquiridas.
Para los originales en ingls, puede hacerlo online en la tienda virtual de la propia
organizacin: iso.org
Adicionalmente existe la opcin de una previsualizacin del ndice con los contenidos de
los originales publicados online en la tienda virtual oficial: webstore.iec.ch
Las normas en espaol pueden adquirirse en Espaa en AENOR, as como en otras
entidades de normalizacin nacionales y responsables de la publicacin traducida de los
estndares internacionales de mayor inters a nivel local. Esto explica la salida de
publicaciones traducidas tan dispar en el tiempo y segn el pas.
Las entidades de normalizacin responsables de la publicacin y venta de normas en cada
pas hispanoamericano (es decir, las homlogas del AENOR espaol) las puede encontrar
listadas en nuestra seccin de "Enlaces", bajo "Acreditacin y Normalizacin".
ISO/IEC 27000:
Publicada el 1 de Mayo de 2009, revisada con una segunda edicin de 01 de Diciembre de 2012 y una tercera edicin de 14 de
Enero de 2014. Esta norma proporciona una visin general de las normas que componen la serie 27000, indicando para cada
una de ellas su alcance de actuacin y el propsito de su publicacin. Recoge todas las definiciones para la serie de normas
27000 y aporta las bases de por qu es importante la implantacin de un SGSI, una introduccin a los Sistemas de Gestin de
Seguridad de la Informacin, una breve descripcin de los pasos para el establecimiento, monitorizacin, mantenimiento y
mejora de un SGSI (la ltima edicin no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el nico marco de
referencia para la mejora continua). Exiten versiones traducidas al espaol aunque hay que prestar atencin a la versin
descargada. El original en ingls y su traduccin al francs en su versin de 2014 puede descargarse gratuitamente de
standards.iso.org/ittf/PubliclyAvailableStandards.
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los
requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued
anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo
A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean
seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos
los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles
no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007
y puede adquirirse online en AENOR (tambin en lengua gallega). En 2009, se public un documento adicional de
modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est publicada en espaol son, por
ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001),
Chile (NCh-ISO27001), Mxico (NMX-I-041/02-NYCE) o Uruguay (UNIT-ISO/IEC 27001). El original en ingls y la
traduccin al francs pueden adquirirse en iso.org.

Actualmente, la ltima edicin de 2013 este estndar se encuentra en ingls y en francs tras su acuerdo de publicacin el 25
de Septiembre de 2013.
ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de
buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No
es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su
apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en
Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros pases donde
tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC
27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO
17799; descarga gratuita). El original en ingls y su traduccin al francs pueden adquirirse en iso.org.

Actualmente, la ltima edicin de 2013 este estndar ha sido actualizada a un total de 14 Dominios, 35 Objetivos de Control y
114 Controles publicndose inicialmente en ingls y en francs tras su acuerdo de publicacin el 25 de Septiembre de 2013.

ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra en los aspectos crticos necesarios para el
diseo e implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y
diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de
aprobacin por la direccin para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de
documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. En Espaa, esta norma
an no est traducida, pero s en Uruguay (UNIT-ISO/IEC 27003). El original en ingls puede adquirirse en iso.org.
ISO/IEC 27004:
Publicada el 15 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de
medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn
ISO/IEC 27001. En Espaa, esta norma an no est traducida, sin embargo s lo est en Argentina (IRAM-ISO-IEC 27004) o
Uruguay (UNIT-ISO/IEC 27004). El original en ingls puede adquirirse en iso.org
ISO/IEC 27005:
Publicada en segunda edicin el 1 de Junio de 2011 (primera edicin del 15 de Junio de 2008). No certificable. Proporciona
directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la
norma ISO/IEC 27001:2005 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada
en un enfoque de gestin de riesgos. Su primera publicacin revis y retir las normas ISO/IEC TR 13335-3:1998 e ISO/IEC
TR 13335-4:2000. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma no est traducida, sin embargo, s
lo est, para la versin de 2008, en pases como Mxico (NMX-I-041/05-NYCE), Chile (NCh-ISO27005), Uruguay (UNIT-
ISO/IEC 27005) o Colombia (NTC-ISO-IEC 27005).
ISO/IEC 27006:
Publicada en segunda edicin el 1 de Diciembre de 2011 (primera edicin del 1 de Marzo de 2007). Especifica los requisitos
para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una
versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que
aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos
especficos relacionados con ISO 27001:2005 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de
ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s
misma. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma no est traducida, sin embargo, s lo est, para
la versin de 2007, en Mxico (NMX-I-041/06-NYCE) o Chile (NCh-ISO27001). Actualmente ha iniciado un nuevo periodo
de revisin para una nueva versin 3.
ISO/IEC 27007:
Publicada el 14 de Noviembre de 2011. No certificable. Es una gua de auditora de un SGSI, como complemento a lo
especificado en ISO 19011. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org
ISO/IEC TR 27008:
Publicada el 15 de Octubre de 2011. No certificable. Es una gua de auditora de los controles seleccionados en el marco de
implantacin de un SGSI. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org
ISO/IEC 27009:
En estado de desarrollo. No certificable. Es una gua sobre el uso y aplicacin de los principios de ISO/IEC 27001 para el
sector servicios especifcos en emisin de certificaciones acreditadas de tercera parte.
ISO/IEC 27010:
Publicada el 20 de Octubre de 2012. Consiste en una gua para la gestin de la seguridad de la informacin cuando se
comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusin de
informacin sensible, tanto pblicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de
mercado o entre sectores. En particular, puede ser aplicable a los intercambios de informacin y participacin en relacin con
el suministro, mantenimiento y proteccin de una organizacin o de la infraestructura crtica de los estados y naciones.
ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la implementacin y gestin de la seguridad de la
informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002:2005. Est publicada tambin
como norma ITU-T X.1051. En Espaa, no est traducida. El original en ingls puede adquirirse en iso.org.
ISO/IEC 27013:
Publicada el 15 de Octubre de 2012. Es una gua de implementacin integrada de ISO/IEC 27001:2005 (gestin de seguridad
de la informacin) y de ISO/IEC 20000-1 (gestin de servicios TI).
ISO/IEC 27014:
Publicada el 23 de Abril de 2013. Consistir en una gua de gobierno corporativo de la seguridad de la informacin.
ISO/IEC TR 27015:
Publicada el 23 de Noviembre de 2012. Es una gua de SGSI orientada a organizaciones del sector financiero y de seguros y
como complemento a ISO/IEC 27002:2005.
ISO/IEC TR 27016:
En fase de desarrollo, con publicacin prevista en 2014. Consistir en una gua de valoracin de los aspectos financieros de la
seguridad de la informacin.
ISO/IEC TS 27017:
En fase de desarrollo, con publicacin prevista en 2014. Consistir en una gua de seguridad para Cloud Computing.
ISO/IEC 27018:
En fase de desarrollo, con publicacin prevista en 2014. Consistir en un cdigo de buenas prcticas en controles de
proteccin de datos para servicios de computacin en cloud computing.
ISO/IEC TR 27019:
Publicada el 17 de Julio de 2013. Gua con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control
especficos relacionados con el sector de la industria de la energa.
ISO/IEC 27031:
Publicada el 01 de Marzo de 2011. No certificable. Es una gua de apoyo para la adecuacin de las tecnologas de informacin
y comunicacin (TIC) de una organizacin para la continuidad del negocio. El documento toma como referencia el estndar
BS 25777. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org
ISO/IEC 27032:
Publicada el 16 de Julio de 2012. Proporciona orientacin para la mejora del estado de seguridad ciberntica, extrayendo los
aspectos nicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Informacin de
seguridad, seguridad de las redes, seguridad en Internet e informacin de proteccin de infraestructuras crticas (CIIP). Cubre
las prcticas de seguridad a nivel bsico para los interesados en el ciberespacio. Esta norma establece una descripcin general
de Seguridad Ciberntica, una explicacin de la relacin entre la ciberseguridad y otros tipos de garantas, una definicin de
las partes interesadas y una descripcin de su papel en la seguridad ciberntica, una orientacin para abordar problemas
comunes de Seguridad Ciberntica y un marco que permite a las partes interesadas a que colaboren en la solucin de
problemas en la ciberseguridad.
ISO/IEC 27033:
Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales
(publicada el 15 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseo e implementacin de seguridad
en redes (publicada el 27 de Julio de 2012 y disponible en iso.org); 27033-3, escenarios de referencia de redes (publicada el 3
de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways
de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs (publicada 29 de Julio de 2013 y disponible en
iso.org); 27033-6, convergencia IP (prevista para 2014); 27033-7, redes inalmbricas (prevista para 2014).
ISO/IEC 27034:
Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informticas, consistente en 6 partes: 27034-1,
conceptos generales (publicada el 21 de Noviembre de 2011 y disponible en iso.org); 27034-2, marco normativo de la
organizacin (sin previsin de publicacin); 27034-3, proceso de gestin de seguridad en aplicaciones (sin previsin de
publicacin); 27034-4, validacin de la seguridad en aplicaciones (sin previsin de publicacin); 27034-5, estructura de datos
y protocolos y controles de seguridad de aplicaciones (sin previsin de publicacin); 27034-6, gua de seguridad para
aplicaciones de uso especfico.
ISO/IEC 27035:
Publicada el 17 de Agosto de 2011. Proporciona una gua sobre la gestin de incidentes de seguridad en la informacin. En
Espaa, no est traducida. El original en ingls puede adquirirse en iso.org.
ISO/IEC 27036:
En fase de desarrollo, con publicacin prevista a partir de 2013. Consistir en una gua en cuatro partes de seguridad en las
relaciones con proveedores: 27036-1, visin general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la
cadena de suministro TIC (publicada el 08 de Noviembre de 2013 y disponible en iso.org); 27036-4, seguridad en entornos de
servicios Cloud.
ISO/IEC 27037:
Publicada el 15 de Octubre de 2012. Es una gua que propociona directrices para las actividades relacionadas con la
identificacin, recopilacin, consolidacin y preservacin de evidencias digitales potenciales localizadas en telfonos mviles,
tarjetas de memoria, dispositivos electrnicos personales, sistemas de navegacin mvil, cmaras digitales y de video, redes
TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes
jurisdicciones.
ISO/IEC 27038:
En fase de desarrollo, con publicacin prevista en 2014. Consistir en una gua de especificacin para seguridad en la
redaccin digital.
ISO/IEC 27039:
En fase de desarrollo, con publicacin prevista en 2014. Consistir en una gua para la seleccin, despliege y operativa de
sistemas de deteccin y prevencin de intrusin (IDS/IPS).
ISO/IEC 27040:
En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua para la seguridad en medios de
almacenamiento.
ISO/IEC 27041:
En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua para la garantizar la la idoneidad y
adecuacin de los mtodos de investigacin.
ISO/IEC 27042:
En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua con directrices para el anlisis e
interpretacin de las evidencias digitales.
ISO/IEC 27043:
En fase de desarrollo, con publicacin prevista no antes de 2014. Desarrollar principios y procesos de investigacin.
ISO/IEC 27044:
En fase de desarrollo, con publicacin prevista no antes de 2014. Gestin de eventos y de la seguridad de la informacin -
Security Information and Event Management (SIEM).
ISO 27799:
Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el
sector sanitario de ISO/IEC 27002:2005, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes.
Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. El
original en ingls o francs puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma est publicada en Espaa
como UNE-ISO/IEC 27799:2010 y puede adquirirse online en AENOR
A partir del 15 de julio las farmacias de la red de la Confederacin
Farmacutica Argentina que quieran trazar desde nuestra web debern hacerlo
exclusivamente a travs del Nuevo Sistema de Trazabilidad. Para ello deben
acceder a INGRESO A SERVICIOS (NCR) con su nmero de PAMI y clave
habitual y chequear que los datos de la trazabilidad sean correctos en la opcin
Cambiar Claves: esencialmente los tems GLN/Usuario y clave ANMAT.
Recordamos que esta nueva versin es ms simple para las farmacias ya que con solo
elegir un perodo el sistema devuelve todos los medicamentos que la droguera asigno a
la farmacia entre esas fechas. Luego con un simple click se traza la recepcin de dicho
medicamento; y para la dispensa se puede buscar el medicamento por nombre o Gtin y
con el requerimiento de un par de datos adicionales se traza.
Las farmacias que por no ser prestadoras del convenio PAMI a travs de la COFA no
tienen asignado un usuario y clave de INGRESO A SERVICIOS, pueden llamar a la Mesa
de Ayuda COFA (011-4331-3514) para que se le de el alta en el sistema.
Con la vigencia plena de este nuevo sistema, la anterior versin ha quedado
desactivada. Ingreso a Servicios COFA
1. Cules son los agentes alcanzados por el Sistema Nacional de Trazabilidad? El Sistema
Nacional de Trazabilidad de Medicamentos deber ser implementado por la totalidad de las
personas fsicas o jurdicas que intervengan en la cadena de comercializacin, distribucin y
dispensacin de especialidades medicinales (laboratorios, distribuidoras, operadores logsticos,
drogueras, farmacias, establecimientos asistenciales y laboratorios elaboradores de soluciones
nutricionales de uso inmediato).-

2. Qu especialidades medicinales se deben trazar? Todas aquellas incluidas en el Anexo I de la
Disposicin ANMAT N 3683/11 y de la Disposicin ANMAT N 1831/12, como as tambin toda
nueva especialidad medicinal que en el futuro se registre y que no tenga similar en el pas,
cualquiera sea su ingrediente farmacutico activo (IFA).

3. Desde dnde debe comenzar la trazabilidad? La trazabilidad debe comenzar desde el primer
eslabn en que se encuentre el producto terminado, sea ste importado o nacional. Por lo
general, ser el laboratorio titular. No obstante, en los casos en que el producto ingrese
directamente desde la aduana hasta la distribuidora, sta deber habilitar una estructura como
laboratorio de acondicionamiento secundario, donde se efectuar la colocacin del soporte con
el cdigo unvoco requerido por la normativa. Cada laboratorio que enve productos a dicho
espacio deber asignarle un GLN, siendo responsable por la colocacin y utilizacin de los
cdigos, sin perjuicio de la tercerizacin de la actividad efectuada. En caso contrario, debe partir
siempre del laboratorio titular.-

4. Cul es el primer evento a informar? No es necesario que se informen los movimientos
internos del laboratorio titular, sino desde que se produce un movimiento fsico de los
productos, sea entre plantas propias del laboratorio o a un tercero (p. ej. distribuidora). En caso
de que los productos sean enviados a un tercero en cuarentena, debe especificarse esta
situacin mediante un evento especfico previsto en el sistema. Si el producto importado o
elaborado localmente se encuentra dentro de la planta del laboratorio titular del registro en
carcter de cuarentena, y no registra movimientos fsicos hasta tanto se levante este estado, el
primer evento a informar ser la distribucin del producto a un eslabn posterior.- Si bien no
es obligatorio, el laboratorio puede informar la puesta en cuarentena y el levantamiento de la
misma dentro de su depsito.

5. Cmo debern codificar los laboratorios titulares de certificados de registro de las
especialidades medicinales alcanzados por el Sistema Nacional de Trazabilidad Los laboratorios
titulares debern colocar, en el empaque de cada una de las unidades de venta al pblico, un
soporte o dispositivo con capacidad para almacenar un cdigo unvoco, segn las
recomendaciones del estndar GS1, que contenga la siguiente informacin:
GTIN o cdigo comercial del producto Nmero de serie hasta veinte (20) caracteres
alfanumricos Los correspondientes identificadores de aplicacin: (01) para GTIN y (21) para
serie.

6. Si el que inicia la trazabilidad es el laboratorio titular de certificados de Registro de
Especialidades Medicinales incluidas en el Anexo I de las Disposiciones N 3683/2011 y
1831/2012 la droguera deber adicionar una nueva etiqueta de trazabilidad? Las drogueras
slo podrn identificar especialidades medicinales no alcanzadas por las normas mencionadas
cuando aqullas fueran adquiridas a laboratorios, distribuidoras u operadores logsticos,
debiendo en tal caso proceder de acuerdo a lo establecido en el artculo 3 de la Disposicin
ANMAT N 3683/2011, a saber:
GLN o cdigo de ubicacin fsica del establecimiento. Nmero de serie hasta siete (7)
caracteres alfanumricos. Los correspondientes identificadores de aplicacin: (414) para GLN y
(21) para serie.
Las drogueras no pueden implementar mecanismos y/o sistemas de trazabilidad que no se
ajusten a los requisitos establecidos en las normas antedichas, como as tambin la colocacin
del logo, nombre o cualquier otra identificacin del establecimiento de que se trate en el
soporte de trazabilidad utilizado, con excepcin de la indicacin del laboratorio titular.

7. Cules son los plazos previstos para la implementacin de la Disposicin N 3683/2011?
Desde laboratorio hasta droguera y desde droguera hasta farmacia, el plazo mximo para la
implementacin vence el 15 de Diciembre de 2011. Con fecha posterior a sta, no debern
recibirse los medicamentos alcanzados en el Anexo I de la Disposicin N 3683/2011 que no
posean identificacin unvoca de GTIN (Global Trade Item Number) + seriado.- Para la validacin
del sistema, desde el laboratorio titular hasta la dispensa al paciente, el plazo mximo para la
implementacin vence el 15 de junio de 2012.-

8. Los laboratorios titulares pueden utilizar cualquier portador de datos o se recomienda
alguno en particular? Los agentes alcanzados debern colocar, en el empaque de cada una de las
unidades de venta al pblico, un soporte o dispositivo con capacidad para almacenar un cdigo
univoco segn las recomendaciones del estndar GS1. En todos los casos, en adicin al portador,
se deber incorporar el cdigo visible, en caracteres alfanumricos para legibilidad humana, de
forma tal que permita la verificacin por parte de los pacientes. No obstante, los
establecimientos que incorporen los soportes o dispositivos fsicos con capacidad para
identificar unvocamente especialidades medicinales, debern garantizar que el mismo no
pueda ser removido sin dejar una marca evidente en el empaque, que permita advertir que este
ltimo ha sido violado.

9. Qu cdigos deben ser utilizados por las farmacias, los establecimientos asistenciales, los
laboratorios de mezclas intravenosas y los depsitos estatales, en lugar del GLN? Dichos agentes
podrn utilizar tambin un GLN otorgado por GS1 o un subGLN derivado del mismo, o bien
debern utilizar un Cdigo de Ubicacin Fsica de Establecimiento (CUFE) para poder interactuar
con el Sistema. En caso de no poseer an este cdigo, debern solicitarlo a travs de
trazabilidad@anmat.gov.ar o a la mesa de ayuda (0800-333-89633). El otorgamiento del CUFE se
efecta sin costo alguno, debiendo acreditar tan slo la habilitacin sanitaria respectiva que
califica al establecimiento para incorporarse al Sistema.

10. Qu datos sern ingresados al sistema de ANMAT cuando se realiza dispensa al paciente?
En el caso de provisin a pacientes, la farmacia o establecimiento asistencial proveedor deber
consignar que la entrega fue efectuada a un paciente, con los datos correspondientes a la obra
social o prepaga y el nmero de afiliado. Se omitirn sus datos personales por cuestiones de
reserva y confidencialidad, sin perjuicio de conservar por separado dicha informacin para el
caso de ser necesario contactar al paciente a los efectos de prevenir cualquier riesgo a su salud
y/o vida, o de realizar el recupero del mercado de unidades que le fueran entregadas.

11. Cules son los movimientos logsticos que debern informar los agentes alcanzados?
Cdigo deteriorado/destruido.- Envo y recepcin de productos en carcter de devolucin.-
Distribucin del producto a un eslabn posterior y recepcin del producto desde un eslabn
anterior.- Envo y recepcin de productos entre depsitos propios.- Envo y recepcin de
productos en cuarentena.- Producto destinado a muestra mdica.- Producto destinado a
ensayo clnico.- Producto destinado a exportacin.- Producto robado/extraviado.-
Reingreso del producto a stock.- Dispensacin del producto al paciente.- Levantamiento de
cuarentena.-
Los eventos de producto prohibido y retirado del mercado sern informados por la ANMAT y los
productos vencidos sern informados automticamente por el sistema, a fin de que el agente
proceda acorde a normativas sanitarias jurisdiccionales.-

12. Existe un software en particular a ser implementado por los agentes? El software puede ser
desarrollado por cada establecimiento, teniendo en cuenta los requerimientos tcnicos que
figuran en el link de trazabilidad, paso 1 (prueba de servicios y especificacin tcnica). Si el
agente trabaja con pocas unidades, tambin podr manejarse sin software propio mediante la
carga manual de datos a travs del portal (slo se requiere conexin a internet y usuario y
clave). En caso de contratar a terceros a los efectos de implementar el sistema, la empresa
resulta no obstante responsable por cualquier irregularidad o incumplimiento que se genere.

13. Quin genera el cdigo seriado? El cdigo seriado lo genera el software de cada agente.-

14. Qu datos deber informar cada agente a la Base de Datos? Los laboratorios y las personas
fsicas o jurdicas que intervengan en la cadena de distribucin y dispensacin de las
especialidades medicinales alcanzadas por el Sistema Nacional de Trazabilidad debern, para
poder comercializar, distribuir y dispensar las mismas, sin excepcin, asociar al cdigo unvoco
los siguientes datos de la distribucin:
Nmero de lote.- Fecha de vencimiento.- Cdigo del destinatario (GLN u otro, segn
corresponda).
En el caso de provisin a pacientes, la farmacia o establecimiento asistencial proveedor deber
consignar que la entrega fue efectuada a un paciente, cdigo RNOS y nmero de afiliado si fuera
con cobertura de salud. Los datos del mismo sern debidamente disociados y almacenados,
garantizando la confidencialidad necesaria.-
Domicilio del destinatario (domicilio efectivo de entrega).- Fecha de entrega.- Factura y
remito asociado a la operacin de distribucin o dispensa.-

15. Las obras sociales y empresas de medicina prepaga forman parte del Sistema? NO, estas
instituciones no son establecimientos sanitarios. Solamente debern verificar que las empresas
que contraten cumplan con las exigencias de trazabilidad, conforme surge de la Resolucin N
594/11 de la Superintendencia de Servicios de Salud.-

16. En el caso de medicamentos incluidos en el Sistema Nacional de Trazabilidad, los
establecimientos asistenciales que fraccionan especialidades medicinales y aquellos laboratorios
elaboradores de soluciones nutricionales de uso inmediato, podrn ingresar a la base de datos
de la ANMAT ms de un paciente destino? Para estos dos agentes est previsto que puedan
ingresar la totalidad de pacientes destinatarios en la base de datos de la ANMAT.-

17. Cmo debern informarse al sistema las muestras mdicas? El laboratorio, operador
logstico o distribuidora podr informar que determinadas series son destinadas a muestras
mdicas, informando los datos del agente de propaganda mdica que las recibe. Cabe recordar
que nicamente se deben trazar aquellas muestras mdicas que tienen la misma presentacin
que la unidad de venta.-

18. En los estudios clinicos se deben trazar los comparadores? Es obligatorio trazar los
comparadores incluidos en los protocolos de investigacin que tengan IFAS involucradas en las
disposiciones antes mencionadas.

19. Se deben trazar los productos destinados a exportacin? Queda a criterio del laboratorio
titular. En caso de trazarlo, est creado el evento para poder informarlo.

20. El sistema de trazabilidad reemplaza al troquel? La informacin contenida en el soporte de
trazabilidad, incorporado en funcin de las disposiciones ANMAT N 3683/2011 o N 1831/12,
reemplazar la informacin actualmente contenida en el troquel de las especialidades
medicinales alcanzadas, sustituyndolo en su utilizacin.

21. Se debe colocar algn tipo de precinto o etiqueta de seguridad a las especialidades
medicinales? TODAS las especialidades medicinales de VENTA BAJO RECETA debern contar con
un sistema de seguridad del envase, el cual deber ser inviolable e impedir la apertura de los
mismos hasta el momento de su uso y contar con medidas de seguridad que impidan su
replicacin, de manera de asegurar que el envase secundario contenga efectivamente el
producto elaborado por el titular.

22. Dnde pueden evacuarse dudas respecto del Sistema Nacional de Trazabilidad? Toda la
informacin disponible se encuentra en el link del Sistema Nacional de Trazabilidad
(http://www.anmat.gov.ar/trazabilidad/principal.asp). Para consultas por el marco regulatorio
o la aplicacin logstica o farmacutica de la normativa, es posible contactarse a
trazabilidad@anmat.gov.ar. Para consultas por cuestiones de aplicacin informtica, tambin
con la mesa de ayuda al 0800-333-89633.-

Volver
Gestin Administrativa Registro de Audiencias Accesibilidad Descargar Acrobat Reader
Avenida de Mayo 869 (C1084AAD) - Ciudad Autnoma de Buenos Aires - Argentina - Tel: 54-11-
4340-0800
Front-end y back-end traducibles al espaol como interfaz y motor, respectivamente
son trminos que se relacionan con el principio y el final de un proceso. Estos trminos
adquieren una relevancia mayor en ciertas reas particulares.
Informtica
En diseo de software el front-end es la parte del software que interacta con el o los
usuarios y el back-end es la parte que procesa la entrada desde el front-end. La separacin
del sistema en front-ends y back-ends es un tipo de abstraccin que ayuda a mantener las
diferentes partes del sistema separadas. La idea general es que el front-end sea el
responsable de recolectar los datos de entrada del usuario, que pueden ser de muchas y
variadas formas, y los transforma ajustandolos a las especificaciones que demanda el back-
end para poder procesarlos, devolviendo generalmente una respuesta que el front-end recibe
y expone al usuario de una forma entendible para este. La conexin del front-end y el back-
end es un tipo de interfaz.

Capas y niveles
1. Capa de presentacin: es la que ve el usuario (tambin se la denomina "capa de usuario"),
presenta el sistema al usuario, le comunica la informacin y captura la informacin del
usuario en un mnimo de proceso (realiza un filtrado previo para comprobar que no hay
errores de formato). Tambin es conocida como interfaz grfica y debe tener la
caracterstica de ser "amigable" (entendible y fcil de usar) para el usuario. Esta capa se
comunica nicamente con la capa de negocio.
2. Capa de negocio: es donde residen los programas que se ejecutan, se reciben las
peticiones del usuario y se envan las respuestas tras el proceso. Se denomina capa de
negocio (e incluso de lgica del negocio) porque es aqu donde se establecen todas las
reglas que deben cumplirse. Esta capa se comunica con la capa de presentacin, para
recibir las solicitudes y presentar los resultados, y con la capa de datos, para solicitar al
gestor de base de datos almacenar o recuperar datos de l. Tambin se consideran aqu
los programas de aplicacin.
3. Capa de datos: es donde residen los datos y es la encargada de acceder a los mismos. Est
formada por uno o ms gestores de bases de datos que realizan todo el almacenamiento
de datos, reciben solicitudes de almacenamiento o recuperacin de informacin desde la
capa de negocio.
ava EE
Java Platform, Enterprise Edition o Java EE (anteriormente conocido como Java 2
Platform, Enterprise Edition o J2EE hasta la versin 1.4; traducido informalmente como
Java Empresarial), es una plataforma de programacinparte de la Plataforma Java
para desarrollar y ejecutar software de aplicaciones en el lenguaje de programacin Java.
Permite utilizar arquitecturas de N capas distribuidas y se apoya ampliamente en
componentes de software modulares ejecutndose sobre un servidor de aplicaciones. La
plataforma Java EE est definida por una especificacin. Similar a otras especificaciones
del Java Community Process, Java EE es tambin considerada informalmente como un
estndar debido a que los proveedores deben cumplir ciertos requisitos de conformidad para
declarar que sus productos son conformes a Java EE; estandarizado por The Java
Community Process / JCP.
Java EE tiene varias especificaciones de API, tales como JDBC, RMI, e-mail, JMS,
Servicios Web, XML, etc y define cmo coordinarlos. Java EE tambin configura algunas
especificaciones nicas para Java EE para componentes. Estas incluyen Enterprise
JavaBeans, servlets, portlets (siguiendo la especificacin de Portlets Java), JavaServer
Pages y varias tecnologas de servicios web. Ello permite al desarrollador crear una
Aplicacin de Empresa portable entre plataformas y escalable, a la vez que integrable con
tecnologas anteriores. Otros beneficios aadidos son, por ejemplo, que el servidor de
aplicaciones puede manejar transacciones, la seguridad, escalabilidad, concurrencia y
gestin de los componentes desplegados, significando que los desarrolladores pueden
concentrarse ms en la lgica de negocio de los componentes en lugar de en tareas de
mantenimiento de bajo nivel.
En telecomunicaciones y en ingeniera informtica, la escalabilidad es la propiedad
deseable de un sistema, una red o un proceso, que indica su habilidad para reaccionar y
adaptarse sin perder calidad, o bien manejar el crecimiento continuo de trabajo de manera
fluida, o bien para estar preparado para hacerse ms grande sin perder calidad en los
servicios ofrecidos.
En general, tambin se podra definir como la capacidad del sistema informtico de cambiar
su tamao o configuracin para adaptarse a las circunstancias cambiantes.
1
Por ejemplo,
una Universidad que establece una red de usuarios por Internet para un edificio de docentes
y no solamente quiere que su sistema informtico tenga capacidad para acoger a los
actuales clientes que son todos profesores, sino tambin a los clientes que pueda tener en el
futuro dado que hay profesores visitantes que requieren de la red por algunas aplicaciones
acadmicas, para esto es necesario implementar soluciones que permitan el crecimiento de
la red sin que la posibilidad de su uso y reutilizacin disminuya o que pueda cambiar su
configuracin si es necesario.
La escalabilidad como propiedad de los sistemas es generalmente difcil de definir,
2
en
particular es necesario definir los requerimientos especficos para la escalabilidad en esas
dimensiones donde se crea que son importantes. Es una edicin altamente significativa en
sistemas electrnicos, bases de datos, ruteadores y redes. A un sistema cuyo rendimiento es
mejorado despus de haberle aadido ms capacidad hardware, proporcionalmente a la
capacidad aadida, se dice que pasa a ser un sistema escalable.
Dimensiones
La escalabilidad se puede medir en diferentes dimensiones.
Escalabilidad en carga
Un sistema distribuido nos hace fcil el ampliar y reducir sus recursos para acomodar (a
conveniencia), cargas ms pesadas o ms ligeras segn se requiera.
Escalabilidad geogrfica
Un sistema geogrficamente escalable, es aquel que mantiene su utilidad y usabilidad, sin
importar que tan lejos estn sus usuarios o recursos.
Escalabilidad administrativa
No importa qu tantas diferentes organizaciones necesiten compartir un solo sistema
distribuido, debe ser fcil de usar y manejar.
Por ejemplo, un sistema de procesamiento y transaccin en lnea o un sistema
administrador de base de datos escalable pueden ser actualizados para poder procesar ms
transacciones aadiendo por medio de nuevos procesadores, dispositivos y almacenamiento
que se pueden implementar fcil y transparentemente sin apagarlos.
Un protocolo enrutador es considerado escalable con respecto al tamao de la red, si el
tamao de la necesaria tabla enrutadora en cada nodo crece como una cota superior
asinttica (log N), donde N es el nmero de nodos en la red.
Por otro lado, una aplicacin de software es escalable si al incrementar los procesadores
donde se ejecuta, el rendimiento crece proporcionalmente. Por el contrario, una aplicacin
no es escalable si su rendimiento no "escala" o crece con el incremento de los procesadores.
Otro ejemplo es: en el CoE = 4
Tipos de escalabilidad
Escalabilidad vertical
Un sistema escala verticalmente o hacia arriba, cuando al aadir ms recursos a un nodo
particular del sistema, este mejora en conjunto. Por ejemplo, aadir memoria o un disco
duro ms rpido a una computadora puede mejorar el rendimiento del sistema global.
Escalabilidad horizontal
Un sistema escala horizontalmente si al agregar ms nodos al mismo, el rendimiento de ste
mejora. Por ejemplo, al aadir una computadora nueva a un sistema que balancee la carga
entre la antigua y la nueva puede mejorar el rendimiento de todo el sistema.
Qu soporte debo
poseer para iniciar la implementacin del Sistema de Trazabilidad?

Se deber contar con un sistema y una base de datos para almacenar la informacin en el
caso de operar via WebService o con una PC con conexin a internet en el caso de utilizar
el sistema de envio manual. Para utilizar el Sistema de Trazabilidad deber configurar una
resolucin mnima de pantalla de 1024x768.

Cmo debo empezar?
Realizar los pasos del 1 al 3 para estar habilitado para transaccionar.

Cmo debo identificar mi establecimiento?

Se deber utilizar el GLN. (Global Location Number)

Cmo debo identificar cada uno de mis productos?

Se deber utilizar el GTIN (Global Trade Item Number) y el nmero de serie..

Qu movimientos logsticos debo informar?
DISTRIBUCIN DEL PRODUCTO A UN ESLABN POSTERIOR
RECEPCIN DE PRODUCTO DESDE UN ESLABN ANTERIOR
ENVO TRASLADO ENTRE DEPOSITOS PROPIOS
RECEPCIN TRASLADO ENTRE DEPOSITOS PROPIOS
ENVIO DE PRODUCTO EN CARCTER DEVOLUCION
RECEPCIN DE PRODUCTO EN CARCTER DE DEVOLUCIN
PRODUCTO ROBADO/EXTRAVIADO
MUESTRA MEDICA
PRODUCTO DESTINADO A ENSAYO CLINICO
PRODUCTO DESTINADO A EXPORTACION
ENVIO DE PRODUCTO EN CARCTER DEVOLUCION POR VENCIMIENTO
RECEPCIN DE PRODUCTO EN CARCTER DE DEVOLUCIN POR
VENCIMIENTO
ENVIO DE PRODUCTO EN CARCTER DEVOLUCION POR PROHIBICION
RECEPCIN DE PRODUCTO EN CARCTER DE DEVOLUCIN POR
PROHIBICION
DESTRUCCION DE MEDICAMENTO POR PROHIBICION
DESTRUCCION DE MEDICAMENTO POR VENCIMIENTO
LEVANTAMIENTO DE CUARENTENA
ENVIO DE MERCADERIA EN CARACTER DE CUARENTENA

Qu datos debo transmitir?

CODIGO DE EVENTO: Cdigo de Evento
CODIGO COMERCIAL DE PRODUCTO GTIN: Cdigo Global Trade Item Number.
NUMERO DE SERIE: Nmero de serie de produccin.
NUMERO DE LOTE: Nmero de lote de producto.
VENCIMIENTO: Fecha de vencimiento de producto.
CODIGO ORIGEN: Cdigo de identificacin de origen. En general: Cdigo GLN
CUIT ORIGEN: Cdigo nico de Identificacin Tributaria de Facturacin/Remito.
CODIGO DESTINO: Cdigo de identificacin de origen. En general: Cdigo GLN
CUIT DESTINO: Cdigo nico de Identificacin Tributaria de Facturacin/Remito.
FECHA y HORA DE TRANSACCION: Fecha y hora del evento.
NUMERO DE FACTURA: Numero de Factura.
NUMERO DE REMITO: Numero de Remito

Cmo puedo conocer las especificaciones tcnicas?

Para obtener ms informacin podr consultar la Gua Tcnica desde nuestra home page,
ingresando en "Estndares".
Resolucin SENASA
Sistema de Trazabilidad de Productos Fitosanitarios y Veterinarios

El Servicio Nacional de Sanidad y Calidad Agroalimentaria ha creado el Sistema de
Trazabilidad de Productos Fitosanitarios y Veterinarios.
La Resolucin 369/2013,en concondarcia con la tendencia mundial de utilizar a la
trazabilidad como herramienta para impulsar el seguimiento de los productos y dar
respuesta a las exigencias de los consumidores resolvi dar carcter de obligatorio al
Sistema de Trazabilidad para los Productos Fitosanitarios y Veterinarios. Se encuentran
alcanzadas las personas fsicas o jurdicas que importen, elaboren, fraccionen,
comercialicen o exporten dichos productos.
Para dar cumplimiento a la Resolucin es necesario que cada unidad de producto trazable
sea identificada con un cdigo unvoco segn las recomendaciones de los Estndares del
Sistema GS1, pudiendo ser utilizados en forma optativa los Cdigos GS1-128 o GS1-
Datamatrix.

Preguntas Generales
1. Cul es el detalle de eventos que se utilizan en el sistema de Trazabilidad?

2. Con qu frecuencia deben los operadores cargar en el sistema la informacin sobre sus
movimientos? A qu se refiere con en tiempo real?

La frecuencia la decide el operador, dentro del trimestre y hasta 10 das hbiles posteriores
al vencimiento puede cargar los movimientos/eventos diariamente, semanalmente o
mensualmente.
Especificando en cada movimiento/evento cargado la fecha en la cual se concret.
Ejemplo: Si el operador realiz movimientos/eventos todos los das del trimestre podr
hasta el ltimo da de plazo cargar cada uno de dichos movimientos/eventos.
En tiempo real se refiere a que se cargan los eventos que sucedieron da tras da en el
sistema.

3. Debe obtenerse un solo CUFE por domicilio real (por ej. Planta y Laboratorio en un
mismo domicilio)?

S, ya que CUFE significa Cdigo de Ubicacin Fsica del Establecimiento. Si est todo en
un solo domicilio es un solo CUFE.

4. Cul es el momento en el cual se debe verificar si el cliente con el cual se opera se
encuentra o no inscripto en el RENPRE? En la emisin de la factura, del remito, cuando la
mercadera sale de la planta en el camin o cuando llega a la planta del cliente,
dependiendo de quin contrat al transportista?

En todos los momentos nombrados el sujeto debe estar inscripto ya que en caso contrario
existira una infraccin a la normativa vigente.

5. Productos de la Lista 3: Entendemos que sigue siendo no obligatorio presentar los
informes trimestrales para los movimientos de los mismos.

Sigue siendo no obligatorio lista 3 a excepcin de Nitroetano, Metilamina y Benzaldehdo
que s deben informarse.

6. Caso de una empresa que tiene una planta de produccin y un laboratorio de desarrollo
ubicados en lugares distintos. Las compras de insumos se reciben en la planta pero se
envan muestras o insumos en pequeas cantidades al laboratorio. Actualmente estn
inscriptos solo como operadores. Deben inscribirse tambin como transportistas cuando
se trata de estas cantidades mnimas? Deben tener dos CUFEs?

Se debe tener dos CUFES, uno de la planta y uno de laboratorio. Respecto del transporte,
hay dos formas: 1) Con vehculos de la empresa declarados en RENPRE por lo que no se
especifica un transportista y 2) Mediante un transportista habilitado inscripto en RENPRE
donde s se especifica en el evento el CUFE de dicha empresa transportista.

7. Cul es la prueba vlida y suficiente de que el cliente con el cual se opera se encuentra
inscripto en el RENPRE? La consulta por pgina web o el certificado?

Se consulta por pgina web www.renpre.gov.ar en la seccin Bsqueda de operadores

8. Cmo debo presentar el primer informe trimestral del 2014?

El primer informe trimestral de 2014 se presenta mediante el Sistema Nacional de
Trazabilidad. El mismo se emite desde la opcin informe trimestral de la aplicacin web.
Para ello deber cargar el stock inicial al principio de dicho perodo y luego registrar todos
los movimientos correspondientes al trimestre. El mismo se presentar impreso en el
registro, con todas sus hojas firmadas, junto con el formulario correspondiente que deber
ser adquirido previamente.

9. Dnde verifico a que categora de operador pertenezco?

El tipo de agente u operador se encuentra especificado en el certificado. Si en la
especificacin hay asteriscos es un operador general, en el resto de los casos est
expresamente identificado, como por ejemplo Pequeo operador, Transportista, etc.

10. Cundo cargo el stock inicial?

El stock inicial se carga una sola vez al inicio del uso del Sistema de Trazabilidad. Los
Eventos suman y restan el stock inicial cargado.

Fasoneo

11. Caso Producciones a Fason. Una empresa entrega a un tercero (fason) un producto
para su procesamiento o transformacin en otro producto que es devuelto al primero. El
primer operador tiene que tener un CUFE propio en la planta donde se realiza el fason
o utilizar el CUFE del segundo? Qu eventos debe informar cada una de las partes?

Todos los intervinientes tienen que tener CUFE puesto que el CUFE especifica una
ubicacin geogrfica donde hay sustancias o productos controlados.
En el fasoneo se utilizan los siguientes eventos:
Entrega para fasoneo: Lo informa la empresa que enva sustancia o producto para fasonear.
Recepcin para fasoneo: lo recibe el tercero quien elaborar la sustancia o producto.
Entrega de producto fasoneado: Lo carga el tercero cuando entrega la sustancia o producto
fasoneado.
Recepcin de producto fasoneado: lo carga la empresa cuando recibe la sustancia o
producto elaborado por el tercero.

Depsitos

12. Caso de una mercadera que se transporta desde la planta del fabricante/proveedor al
depsito de un tercero, donde permanece temporariamente. Luego la misma es
transportada desde el depsito a la planta del cliente. El proveedor debe obtener un
CUFE en el depsito del tercero?

S, el depsito de terceros debe estar registrado en trazabilidad como un
Establecimiento/sucursal (SubCUFE) del Fabricante/proveedor.

13. Si alquilo mi deposito a varias empresas debo estar registrado en Trazabilidad? En
caso afirmativo Qu eventos utilizo?

Si, debe estar registrado en el sistema de Trazabilidad, por lo que el dueo del depsito que
alquila a una o varias empresas debe poseer CUFE y debe utilizar los eventos :
Alta de stock inicial: para dar el alta inicial de todas las sustancias productos que posee en
el depsito sin importar quien es el dueo.
Recepcin para almacenamiento: Cuando recibe mercadera de cualquiera de los locatarios.
Entrega para almacenamiento: cuando retira mercadera cualquiera de los locatarios.

Transportistas

14. Obligaciones de los transportistas. Los depsitos del transportista deben tener CUFE?

Si, uno principal y si tiene sucursales subCUFEs.

15. Si por algn motivo excepcional un operador debe trasladar su mercadera a un
depsito propio en el cual esta queda durante unas pocas horas. Este depsito debe
tener CUFE?

Si, es un SubCUFE (Establecimiento/Sucursal ) del CUFE principal.

16. Como dador de carga, Debo informar el peso/cantidad neta que se debe transportar
al Transportista?

Si, al transportista se le debe informar el peso/cantidad neto y cul es el producto /sustancia
que transporta.

Comercio Exterior

17. Caso de importacin para reventa: cuando el contenedor se descarga del buque se lo
traslada a un depsito fiscal (no se desconsolida all, es decir que hay dentro del mismo
mercadera propia y de terceros). La empresa debe obtener un CUFE por la estada de su
mercadera en ese depsito fiscal de la aduana?

No, se declara como CUFE origen el del pas origen y destino el depsito a donde es
llevada la mercadera.

18. En el caso de las exportaciones el sistema solicita completar el campo Paso de
Frontera. Es obligatorio completarlo?

Si, es obligatorio, el listado se encuentra actualmente en el sistema:

Sustancias/Productos

19. Cul es la diferencia entre Producto y Sustancia?

Sustancia son los precursores de la lista I y II en estado puro.
Los productos son las mezclas que contienen una de las sustancias incluidas en las listas I y
II en una concentracin mayor al 30% p/v (peso en volumen) o una mezcla de sustancias
de la lista I y II cuando su sumatoria supere el 30% p/v.

20. Existen sustancias o mezclas que no se encuentran bien definidas, como por ejemplo el
cido clorhdrico o amonaco. Deberan tener el mismo concepto de sustancia o mezcla.

Las mezclas que posean cido clorhdrico o amonaco se controlan conforme lo dispuesto
en la respuesta anterior.
Las soluciones de cido clorhdrico y amonaco se controlarn cuando posean una
concentracin superior al 20% P/V.

21. Qu suceder con los productos que solo permite informar en kilos y los asociados los
trabajan en litros o viceversa?

Los productos heredan la unidad de medida de la sustancia que su utiliza para su
elaboracin y es necesario utilizar en todos los informes de movimientos dicha unidad.
Salvedades:
- En caso de haber 2 sustancias con unidades de medida diferentes, la unidad de medida
ser la de la sustancia con mayor porcentaje.
- En caso de haber productos con 2 sustancias con diferente U.M y mismos porcentajes
prevalece el Kg.
- En caso que se comercialicen en una unidad de medida diferente debern hacer la
conversin para su carga en el sistema.
De todas maneras la unidad de medida de cada producto puede consultarse en el catlogo
electrnico de datos.

22. Cuando se crea un producto propio, qu cdigo se debe utilizar? Lo da el RENPRE?

El cdigo de producto lo da el Sistema Nacional de Trazabilidad siempre y cuando est
declarado formalmente ante el RENPRE, mediante el trmite Alta de Producto.
En las operaciones de comercializacin de un producto fabricado por otro se utiliza el
cdigo de producto que se le asign al fabricante puesto que es l es quien realiza la
Fabricacin/Produccin del mismo.

23. Debo dar de alta los productos que yo fabrico?

Si, en RENPRE mediante el trmite Alta de Producto. Ese producto se ver reflejado en el
Sistema de Trazabilidad.

24. Debo dar de alta los productos que yo comercializo?

No, los productos que comercializa los debe dar de alta el Fabricante.

25. Cuando se da de alta un producto en RENPRE se debe revelar la frmula industrial del
mismo?

No, solo se debe denunciar la cantidad de sustancias controlada que el producto posee.

26. Cundo se considera que es una sustancia pura y no un producto?

Se considera que un producto es en realidad una sustancia pura cuando la concentracin
iguala o supera el 95%. Si no encuentra el producto en el sistema de trazabilidad y el
mismo tiene una concentracin mayor o igual al 95% de sustancia, debe cargar en el evento
la sustancia pura, cuyo cdigo comienza con 888 y est especificado en el nombre como
sustancia pura, por ejemplo: ACETONA (SUSTANCIA PURA).

27. Cmo registro los movimientos de Productos/Mezclas que no fabrico?

Para registrar movimientos de productos que Ud. No fabrica debe solicitarle el Cdigo de
dicho producto a su proveedor o puede buscarlo a travs de la opcin Catlogo electrnico
de datos-Consulta de Catalogo Electrnico por GTIN/Cdigo de producto. En el caso que
no encuentre el producto porqu ste an no fue dado de alta en RENPRE por su proveedor
deber adjuntar una nota en la que explique que la mezcla no fue dada de alta en el
RENPRE junto con un anexo 14 especificando los movimientos del producto en cuestin.
Ambos informes, el PDF que imprima desde Trazabilidad y el anexo 14 se presentarn con
un slo Formulario F04. Les recordamos que si un producto tiene una concentracin de
sustancia mayor o igual al 95%, se considerar SUSTANCIA PURA, las mismas tienen su
propio cdigo genrico y estn identificadas. Por ejemplo: ACETONA (SUSTANCIA
PURA).

28. Cmo cargo la Puesta en stock inicial cuando no tengo stock el producto/sustancia que
opero?

Si no tiene almacenado el producto o la sustancia al momento de cargar el evento ALTA
DE STOCK INICAL simplemente no se carga, el sistema de trazabilidad no permite cargas
en cero. El stock de ese producto/sustancia se incrementar automticamente cuando se
realice algn otro evento que sume stock como por ejemplo el evento de
COMERCIALIZACION COMPRA.

29. Cmo cargo un producto no dado de alta por mi proveedor?

Si su proveedor an no dio de alta el producto controlado no puede cargarlo en el sistema
de trazabilidad hasta que as sea, por lo que deber completar el Anexo 14 solo con los
movimientos del producto en cuestin e informar mediante nota que determinado
proveedor no dio de alta determinado producto. El resto de productos y sustancia puede
informarlos a travs del Sistema de Trazabilidad. Esta opcin est vigente solo para la
presentacin del primer trimestre de 2014.

30. Cmo informo cuando falta habilitar un establecimiento/sucursal (subCUFE)?

En los eventos que suman a su stock y el subCUFE origen no est dado de alta, seleccione
el CUFE principal de su proveedor. En este caso debe seleccionar como CUFE Destino su
establecimiento y si usted no lo tiene dado de alta, seleccione su CUFE principal y cuando
lo tenga dado de alta realice un evento de ENVIO PARA ALMACENAMIENTO y
RECEPCION PARA ALMACENAMIENTO segn corresponda para acomodar el stock en
el establecimiento donde se encuentra efectivamente la sustancia/producto. En los eventos
que restan a su stock y el subCUFE destino no est dado de alta, seleccione el CUFE
principal de su cliente/destinatario. En este caso debe seleccionar como CUFE Origen su
establecimiento de donde resta la sustancias/producto y si usted no lo tiene dado de alta,
seleccione su CUFE principal o subCUFE donde haya dado de alta el stock inicial y cuando
tenga dado de alta el establecimiento que le falta realice un evento de ENVIO PARA
ALMACENAMIENTO y RECEPCION PARA ALMACENAMIENTO segn corresponda
para acomodar el stock donde se encuentra efectivamente la sustancia/producto.

31. Cmo registro la fabricacin de un producto NO controlado?

Si usted fabrica con sustancias/productos controlados un producto no controlado utiliza el
evento CONSUMO PARA FABRICACION PRODUCCIN que resta de su stock para la
fabricacin de producto no controlado y no carga otro evento puesto que no se controla el
stock de productos no controlados.

32. Cmo registro la fabricacin de un producto controlado?

Si usted fabrica con sustancias/productos controlados un producto no controlado utiliza el
evento CONSUMO PARA FABRICACION PRODUCCIN que resta de su stock para la
fabricacin de producto controlado y utiliza el evento FABRICACION/PRODUCCIN
para sumar stock del producto fabricado controlado. Si usted fabrica sustancias/productos
controlados con elementos no controlados utiliza el evento
FABRICACIN/PRODUCCIN para aumentar su stock.

33. Los componentes de mi producto son qumicamente inseparables y podra no cargarlo
en Trazabilidad. Qu trmite debo realizar para dicha excepcin?

Est especificado en el manual del RENPRE
http://www.renpre.gov.ar/pdfs/tutoriales/manual-proc-renpre.pdf, pgina 7 punto 10
Mezclas - Resolucin SEDRONAR 764/11, incisos c-d y e.

34. Cmo doy de alta un producto en Trazabilidad?

Los productos en trazabilidad migran automticamente desde sistema del RENPRE por lo
que si no estn en Trazabilidad deben darlo de alta en RENPRE adjuntando el Anexo 4 (
http://www.renpre.gov.ar/pdfs/tutoriales/anexo_4_productos_a-b-m.pdf ) en cualquier
rmite de Inscripcin, Reinscripcin o Trimestral (F01, F02 o F04) en el trmino de 48hs
estar vigente.

35. Cmo registro la venta cuando el producto o sustancia va directo desde mi proveedor
al cliente?

En este caso el vendedor no puede quedar fuera de la transaccin en trazabilidad por lo que
debe informar primero la compra a su proveedor, a su vez su proveedor informara la venta
hacia usted, luego debe usted informar la venta a su cliente y su cliente informar la compra
que le realiz a usted. El resultado final es que le resta el producto/sustancia al proveedor y
le suma sustancia/producto a su cliente y queda registrada la venta.
Copyright 2014. RENPRE | Todos los derechos res

1. Dnde debo realizar el entrenamiento del sistema?

Para realizar el entrenamiento debe ingresar aqu y registrarse en el sistema. Puede realizar el
entrenamiento con el usuario y contrasea obtenidos al momento de la registracin e
incorporando el set de datos de prueba disponible en la documentacin que se encuentra en la
pgina. Si no posee CUFE (Cdigo de Ubicacin Fsica de Establecimiento) deber obtenerlo
comunicndose con la mesa de ayuda al 0800-333-89633.

2. Debo seguir presentando los informes trimestrales en papel o es obligatorio realizarlo a travs
del nuevo sistema de trazabilidad de precursores?

En el ao 2013 la presentacin a travs del sistema es opcional, pero vlida en caso de que se
realice por este medio. De no utilizarlo, deber seguir presentando la documentacin en papel
como lo haca hasta este momento.
A partir del ao 2014, la utilizacin del sistema y la presentacin digital de los informes ser
obligatoria.

3. Usuarios de Entrenamiento y Final Dnde conseguirlos?

Para obtener su usuario de entrenamiento deber registrarse en el sitio web (click aqu) o ingrese
en el paso 2.1. En cuanto al usuario final (entorno Definitivo), ser comunicado por un Operador
luego de finalizar el entrenamiento, realizar la registracin en el paso 3.2 y enviar la
documentacin solicitada en el paso 3.3. Una vez recibido el usuario final, deber efectuar la carga
de Subglns y productos si correspondiera y posteriormente el cierre de alineacin e impresin de
PDF. Cumplimentado lo anterior deber aguardar la habilitacin del usuario por parte de
SEDRONAR.

4. Qu debo hacer si el sistema bloquea mi contrasea o no puedo acceder con mis datos?

Tanto s su usuario fue deshabilitado por intentos fallidos de acceso, o cuando Ud. no recuerde los
datos proporcionados al momento de la registracin, podr solicitar una nueva contrasea
directamente desde la pgina web, desde la opcin 'Desbloquear cuenta o generar nueva
contrasea.'. Previamente, corrobore estar accediendo a la pgina web correcta, ya sea se trate de
Entrenamiento o Final. Recuerde que el usuario y contrasea puede ser diferente segn la etapa
en la que se encuentra.

5. Qu debo hacer si mi organizacin o un tercero no tiene CUFE para transaccionar?
a) Si mi organizacin no posee CUFE: Podr solicitarlo comunicndose a la mesa de ayuda
(le ser requerido su CUIT, Razn Social, Direccin, Localidad y tipo de agente)
b) Si un tercero no posee CUFE: deber efectuar la solicitud de CUFE provisorio desde la opcin
'solicitud agente' desde el SNT ingresando con su usuario o comunicndose a la mesa de ayuda.

6. Existe un error en el catlogo electrnico de datos (agente o precursor)

Deber informar dicho error y datos correctos a la mesa de ayuda o al e-mail
contactotrazabilidadsedronar@pami.org.ar. El mismo ser corregido luego de la validacin de los
datos correspondientes y previa autorizacin de SEDRONAR.

7. Cmo debo hacer para registrar mi stock en el sistema para poder transaccionar con dichos
precursores?
Deber informar un evento para registracin de todos estos productos con los datos
correspondientes. En el caso del stock preexistente, se deber utilizar el evento denominado
PUESTA EN STOCK INICIAL. Una vez registrado, por primera vez, todo su stock en el
sistema, podr comenzar a transaccionar con l.
Recuerde que puede verificar su stock en tiempo real de todos los movimientos registrados
desde la opcin Movimientos / Stock del sistema nacional de trazabilidad.

8. Usuario y contrasea para la capa de transporte del WS

Si desea realizar la trazabilidad utilizando los WebServices, tenga en cuenta que los datos
para la capa de transporte son los siguiente: Usuario: testwservice / Contrasea:
testwservicepsw. Estos datos son independientes de su usuario y contrasea del sistema, y
son los mismos tanto para Entrenamiento como para el entorno Definitivo.
Cristina Kirchner avanzar pronto con cambios en la Administracin de Programas Especiales
(APE), un organismo que recibe fondos de todas las obras sociales y los distribuye para
tratamientos de alta complejidad.
Noticias relacionadas
08.04.2011Cristina le sac a Moyano el manejo de los fondos de las obras sociales
13.04.2011El kirchnerismo impidi que una auditora sobre APE vaya a la justicia
11.03.2011Cristina analiza disolver la APE, asediada por la causa de los medicamentos

Este sistema qued en el centro de las sospechas ante las denuncias sobre falsificacin de
troqueles para disponer de fondos como tambin de la provisin de medicamentos en mal
estado, que derivaron en las causas de la denominada mafia de los medicamentos.

El conflicto complic a sobremanera el funcionamiento de APE debido a que los directivos
se vienen negando a firmar los expedientes por temor a tener que rendir cuentas en la
justicia. Tal como adelant LPO, por esa complicacin en el Gobierno evaluaron disolver el
organismo, tal como hicieron con la ONCCA.

Segn publica La Nacin, la presidenta tiene a la firma un decreto que modificara el
funcionamiento de APE, cuyo presupuesto asciende a los 1.100 millones de pesos. Los
sindicatos denuncian una deuda atrasada de casi 9.000.

La idea sera que ahora incorpore un sistema de trazabilidad para controlar la produccin de
los medicamentos y tambin la prestacin de los servicios y no meramente el manejo de
fondos.

De esta manera las obras sociales sindicales perdan la atribucin de comprar productos y
luego reclamar el reintegro por esa erogacin, mecanismo que, segn las causas judiciales
vigentes, habra sido distorsionado para apoderarse de millones de pesos.

Los cambios intentaran hacerse sin confrontar con las obras sociales. Para eso el ministro
de Salud Juan Manzur se comprometi con Hugo Moyano a discutir un nuevo esquema de
salud.

La primera medida es apurar la sancin del marco regulatorio a la medicina prepaga que
espera la sancin en Diputados. La CGT quiere luego frenar el traspaso de afiliados de
mejores ingresos a esas empresas.

Gestión de La Seguridad de La Información

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Gestión de La Seguridad de La Información

Загружено:

Авторское право:

Доступные форматы

Gestin de la Seguridad de la Informacin

Para el fin de preservar la informacin, se ha demostrado que no es suficiente la

Вам также может понравиться