UNIVERSIDAD NACIONAL DEL SANTA

ESCUELA DE INGENIERIA DE SISTEMAS E INFORMATICA

AUDITORIA DE SISTEMAS

ISO 27002 CAPITULO 9 al CAPITULO 12

Docente:
Camilo Surez Rebaza
Alumnos:

Lozano Mantilla Edwin Christian

Avalos Vega Brecia Sandra

NUEVO CHIMBOTE - PER

2015

AUDITORIA DE SISTEMAS

9 CONTROL DE ACCESO
9.1 Los requisitos de negocio de control de acceso
Objetivo: limitar el acceso a las instalaciones de procesamiento
de la informacin y de la informacin.

9.1.1 Poltica de control de Acceso

Controlar
Una poltica de control de acceso debe ser establecida, documentado y revisado
en base a los requisitos de seguridad de negocios y de informacin.
Gua de implementacin
Los propietarios de activos deben determinar las reglas de control de acceso
apropiado, derechos de acceso y restricciones para las funciones especficas de
los usuarios con respecto a sus activos, con la cantidad de detalle y el rigor de
los controles que reflejan los riesgos de seguridad de informacin asociados.
Los controles de acceso son a la vez lgica y fsica (vase el numeral 11) y
estos deben ser considerados en conjunto. Los usuarios y los proveedores de
servicios deben tener una declaracin clara de los requerimientos del negocio
que deben cumplir los controles de acceso.
La poltica debe tener en cuenta lo siguiente:
a) los requisitos de seguridad de las aplicaciones de negocio;
b) Polticas para la difusin de informacin y la autorizacin, por ejemplo, la
necesidad de conocer los niveles de principio y de seguridad de la
informacin y clasificacin de la informacin (vase 8.2);
c) La coherencia entre los derechos de acceso y polticas de clasificacin de la
informacin de los sistemas y redes;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
d) la legislacin pertinente y las obligaciones contractuales relativas a la
limitacin de acceso a los datos o servicios (vase 18.1);
e) La gestin de los derechos de acceso en un entorno distribuido y en red que
reconoce todos los tipos de conexiones disponibles;
f) la segregacin de las funciones de control de acceso, por ejemplo solicitud
de acceso, autorizacin de acceso, administracin de acceso;
g) los requisitos para la autorizacin formal de las solicitudes de acceso (vase
9.2.1 y 9.2.2);
h) Los requisitos para la revisin peridica de los derechos de acceso (vase
9.2.5);
i) la eliminacin de los derechos de acceso (vase 9.2.6);
j) el archivo de los expedientes de todos los hechos relevantes sobre el uso y
gestin de identidades de los usuarios y la informacin secreta de
autenticacin;
k) roles con acceso privilegiado (ver 9.2.3).
Otra informacin
ISO/IEC 27002:2013(E)
Se debe tener cuidado al especificar reglas de control de acceso a la cuenta:
a) el establecimiento de reglas basadas en la premisa "Todo est generalmente
prohibido a menos que expresamente permitido" y no la regla ms dbil "Todo
est generalmente permitido a menos expresamente prohibido";
b) cambios en las etiquetas de informacin (vase 8.2.2) que se inician
automticamente por las instalaciones de procesamiento de la informacin y las
iniciadas a discrecin de un usuario;
c) los cambios en los permisos de usuario que se inician automticamente por el
sistema de informacin y las iniciadas por un administrador;
d) las normas que requieren la aprobacin especfica antes de la promulgacin y
las que no lo hacen.
Reglas de control de acceso deben ser apoyados por procedimientos formales
(ver 9.2, 9.3, 9.4) y se definen responsabilidades (ver 6.1.1, 9.3).

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
Control de acceso basado en roles es un enfoque utilizado con xito por muchas
organizaciones para vincular los derechos de acceso a las funciones de negocio.
Dos de los principios frecuentes que dirigen la poltica de control de acceso
son:
a) Necesidad-a-saber: slo se le concede acceso a la informacin que necesita
para llevar a cabo sus tareas (diferentes tareas / papeles significan diferente
necesidad de conocer y por lo tanto diferente perfil de acceso);
b) Necesidad de usar: slo se le concede acceso a las instalaciones de
procesamiento

de

informacin

(equipos

informticos,

aplicaciones,

procedimientos, salas) que necesita para realizar su tarea / trabajo / papel.

9.1.2 El acceso a las redes y los servicios de red
Controlar
Los usuarios slo deben contar con acceso a los servicios de red y de la red que
han sido autorizados especficamente para su uso.
Gua de implementacin
Una poltica debe formularse en relacin con el uso de las redes y los servicios
de red. Esta poltica debe cubrir:
a) las redes y los servicios de red que estn autorizados a acceder;
b) Los procedimientos de autorizacin para determinar quin se le permite el
acceso que las redes y los servicios en red;
c) Los controles y procedimientos para proteger el acceso a las conexiones de
red y servicios de red de gestin;
d) Los medios utilizados para redes de acceso y servicios de red (por ejemplo,
uso de VPN o red inalmbrica);

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
e) Los requisitos de autenticacin de usuario para acceder a varios servicios de
red;
f) el seguimiento de la utilizacin de los servicios de red.
La poltica sobre el uso de los servicios de red debe ser coherente con la poltica
de control de acceso de la organizacin (ver 9.1.1).
Otra informacin
Conexiones no autorizadas e inseguras a servicios de red pueden afectar a toda
la organizacin. Este control es particularmente importante para las conexiones
de red a las aplicaciones de negocio sensibles o crticos, o para los usuarios en
lugares de alto riesgo, por ejemplo, reas comunes o externos que estn fuera
de la gestin de seguridad de la informacin de la organizacin y control.
9.2 Gestin de acceso de usuario
Objetivo: Garantizar el acceso de usuarios autorizados y para
evitar el acceso no autorizado a los sistemas y servicios.
9.2.1 Registro de usuarios y de la matrcula
Controlar
Un proceso formal de registro de usuario y la cancelacin de la matrcula debe
ser implementado para permitir la asignacin de derechos de acceso.
Gua de implementacin
El proceso para la gestin de los ID de usuario debe incluir:
a) utilizar los ID de usuario nicas para que los usuarios puedan estar
vinculados a y responsable de sus actos; el uso de identificaciones compartidas
slo se permitir cuando sean necesarias por razones de negocios o de
funcionamiento y deben ser aprobados y documentados;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
b) inmediatamente deshabilitar o quitar los ID de usuario de los usuarios que
han abandonado la organizacin (vase 9.2.6);
c) identificar peridicamente y eliminacin o desactivacin del ID de usuario
redundantes;
d) asegurarse de que los ID de usuario redundantes no se emiten a otros
usuarios.
Otra informacin
Proporcionar o revocar el acceso a la informacin o de las instalaciones de
procesamiento de informacin es por lo general un procedimiento de dos pasos:
a) la asignacin y propicio, o revocar, un ID de usuario;
b) proporcionar, o la revocacin, los derechos de acceso a dicha identificacin
de usuario (vase 9.2.2).
9.2.2 Acceso aprovisionamiento de usuarios
Controlar
Un proceso de aprovisionamiento acceso de los usuarios formal debe ser
implementado para asignar o revocar los derechos de acceso para todos los
tipos de usuario a todos los sistemas y servicios.

Gua de implementacin
El proceso de aprovisionamiento para asignar o revocar los derechos de acceso
concedido a los ID de usuario debe incluir:
a) obtener la autorizacin del propietario del sistema de informacin o servicio
para el uso del sistema o servicio de informacin (vase el control 8.1.2);

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
aprobacin separada para los derechos de acceso de administracin tambin
puede ser apropiado;
b) comprobar que el nivel de acceso concedido es adecuada a las polticas de
acceso (vase 9.1) y es consistente con otros requisitos, tales como la
separacin de funciones (vase 6.1.2);
c) garantizar que los derechos de acceso no estn activados (por ejemplo, por
los proveedores de servicios) antes de que se completaron los procedimientos
de autorizacin;
d) el mantenimiento de un registro central de los derechos de acceso concedidos
a un ID de usuario para acceder a los sistemas y servicios de informacin;
e) la adaptacin de los derechos de acceso de los usuarios que han cambiado de
roles o puestos de trabajo y la eliminacin o el bloqueo de los derechos de
acceso de los usuarios que han abandonado la organizacin de inmediato;
f) revisar peridicamente los derechos de acceso con los propietarios de los
sistemas o servicios (vase 9.2.5) de informacin.
Otra informacin
Se debera considerar la posibilidad de establecer los roles de acceso de usuario
basado en los requerimientos del negocio que resumen una serie de derechos de
acceso a los perfiles tpicos de acceso de usuario. Solicitudes de acceso y las
revisiones (vase 9.2.4) se gestionan ms fcil a nivel de esas funciones que en
el mbito de los derechos particulares.
Se debera considerar la posibilidad de incluir clusulas en los contratos de
personal y contratos de servicio que especifican sanciones en caso de acceso no
autorizado se intenta por personal o contratistas (ver 7.1.2, 7.2.3, 13.2.4,
15.1.2).
9.2.3 Gestin de derechos de acceso privilegiados
Controlar

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
La asignacin y utilizacin de los derechos de acceso privilegiados deben ser
restringidas y controladas.
Gua de implementacin
La asignacin de derechos de acceso privilegiado debe ser controlada a travs
de un proceso formal de autorizacin de conformidad con la poltica de control
de acceso correspondiente (vase el control 9.1.1). Los siguientes pasos deben
ser considerados:
a) los derechos de acceso privilegiados asociados con cada sistema o proceso,
por ejemplo, sistema, sistema de gestin de base de datos y cada aplicacin y
los usuarios operar a los que necesitan ser asignados deben ser identificados;
b) los derechos de acceso privilegiados deben ser asignados a los usuarios en
base a la necesidad de usar y sobre una base de caso byevent en lnea con la
poltica de control de acceso (ver 9.1.1), es decir, basado en el requisito mnimo
para sus roles funcionales;
c) se deben mantener un proceso de autorizacin y un registro de todos los
privilegios asignados. Derechos de acceso privilegiados no deben concederse
hasta que el proceso de autorizacin se ha completado;
d) requisitos para la caducidad de los derechos de acceso privilegiados deben
ser definidos;
e) los derechos de acceso privilegiados deben ser asignados a un ID de usuario
diferente de los que se utilizan para las actividades regulares de trabajo.
Actividades comerciales regulares no deben realizarse a partir privilegiada ID;
f) las competencias de los usuarios con derechos de acceso privilegiados deben
revisarse peridicamente con el fin de verificar si estn de acuerdo con sus
funciones;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
g) los procedimientos especficos debe establecerse y mantenerse para evitar el
uso no autorizado de los ID de usuario de administracin genricos, de acuerdo
a las capacidades de configuracin de los sistemas;
h) para el ID de usuario de administracin de genricos, la confidencialidad de
la informacin secreta de autenticacin debe mantenerse cuando se comparte
(por ejemplo, cambiar las contraseas con frecuencia y tan pronto como sea
posible cuando una hojas de usuarios privilegiados o cambios de trabajo, que se
comunican entre ellos a los usuarios privilegiados con mecanismos adecuados).
Otra informacin
El uso inapropiado de los privilegios de administracin del sistema (cualquier
caracterstica o instalacin de un sistema de informacin que permite al usuario
anular sistema o aplicaciones controles) es un importante factor que contribuye
a las fallas o incumplimientos de los sistemas.
9.2.4 Gestin de la informacin de autenticacin de secreto de los usuarios
Controlar
La asignacin de la informacin secreta de autenticacin debe ser controlada a
travs de un proceso de gestin formal.
Gua de implementacin
El proceso debe incluir los siguientes requisitos:
a) los usuarios deben ser obligados a firmar una declaracin para mantener la
informacin de autenticacin de secreto personal confidencial y para mantener
el grupo (es decir, compartida) informacin secreta de autenticacin nicamente
dentro de los miembros del grupo; esta declaracin firmada se puede incluir en
los trminos y condiciones de empleo (vase 7.1.2);
b) cuando los usuarios estn obligados a mantener su propia informacin de
autenticacin secreta se les debe proporcionar inicialmente con informacin los

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
autenticacin segura temporal secreta, que se ven obligados a cambiar a partir
del primer uso;
c) se establezca un procedimiento para verificar la identidad de un usuario antes
de proporcionar nuevos, sustitutivos o informacin temporal de autenticacin
secreta;
d) la informacin temporal de autenticacin secreta se debe dar a los usuarios
de una manera segura; el uso de partes externas o (texto sin cifrar) los mensajes
de correo electrnico sin proteccin debe evitar;
e) la informacin temporal de autenticacin secreta debe ser nica para un
individuo y no debe ser de adivinar;
f) los usuarios deben acusar recibo de la informacin secreta de autenticacin;
g) proveedor por defecto la informacin de autenticacin secreta debe ser
alterada despus de la instalacin de sistemas o software.
Otra informacin
Las contraseas son un tipo de informacin secreta de autenticacin de uso
comn y son un medio comn de verificar la identidad de un usuario. Otros
tipos de informacin secreta de autenticacin son claves criptogrficas y otros
datos almacenados en tokens de hardware (por ejemplo, tarjetas inteligentes)
que produzcan cdigos de autenticacin.
9.2.5 Revisin de los derechos de acceso de usuario
Controlar
Los propietarios de activos deben revisar los derechos de acceso de los usuarios
a intervalos regulares.
Gua de implementacin
La revisin de los derechos de acceso debe considerar lo siguiente:

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
a) los derechos de acceso de los usuarios deben ser revisados peridicamente y
despus de cualquier cambio, como la promocin, la degradacin o la
terminacin del empleo (vase la clusula 7);
b) los derechos de acceso de usuario deben ser revisados y re-asignados al pasar
de una funcin a otra dentro de la misma organizacin;
c) las autorizaciones de los derechos de acceso privilegiados deberan revisarse
a intervalos ms frecuentes;
d) las asignaciones de privilegios deben ser revisados peridicamente para
asegurarse de que no se han obtenido privilegios no autorizados;
e) cambios en las cuentas privilegiadas deben ser registrados para su revisin
peridica.
Otra informacin
Este control compensa las posibles debilidades en la ejecucin de los controles
9.2.1, 9.2.2 y 9.2.6.

9.2.6 Retiro o el ajuste de los derechos de acceso

Controlar
Los derechos de acceso de todos los empleados y usuarios parte externa a las
instalaciones de procesamiento de informacin y la informacin debe ser
retirada a la terminacin de su empleo, contrato o convenio, o ajustarse al
cambio.
Gua de implementacin

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
Tras la rescisin, los derechos de acceso de un individuo a la informacin y los
activos asociados a las instalaciones y servicios de procesamiento de
informacin deben ser removidos o suspendidos. Esto determinar si es
necesario para eliminar los derechos de acceso. Los cambios de empleo deben
reflejarse en la eliminacin de todos los derechos de acceso que no fueron
aprobados para el nuevo empleo. Los derechos de acceso que deben ser
eliminados o ajustados incluyen los de acceso fsico y lgico. La eliminacin o
el ajuste se pueden hacer mediante la retirada, revocacin o sustitucin de
llaves, tarjetas de identificacin, instalaciones de procesamiento de informacin
o suscripciones. Cualquier documentacin que identifica los derechos de acceso
de los empleados y contratistas debe reflejar la supresin o ajuste de los
derechos de acceso. Si un empleado que se marcha o usuario parte externa ha
conocido las contraseas para los ID de usuario permanecen activas, stas se
deben cambiar a la terminacin o cambio de empleo, contrato o acuerdo.
Derechos de acceso para la informacin y los activos asociados a las
instalaciones de procesamiento de informacin deben ser reducidos o
eliminados antes de que el empleo termina o cambia, dependiendo de la
evaluacin de los factores de riesgo como:
a) si la terminacin o el cambio se inicia por el empleado, el usuario externo
partido o por la administracin, y la razn de la terminacin;
b) las responsabilidades actuales del empleado, el usuario parte externa o
cualquier otro usuario;
c) el valor de los activos actualmente accesibles.
Otra informacin
En determinadas circunstancias, los derechos de acceso pueden ser asignados
sobre la base de estar disponible a ms gente que el empleado que se marcha o
usuario parte externa, por ejemplo, ID de grupo. En tales circunstancias, las
personas que salen deben ser retiradas de las listas de acceso de grupo y se

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
deben hacer arreglos para asesorar a todos los dems empleados y usuarios de
partidos externos implicados para no compartir esta informacin con la persona
de partir.
En los casos de terminacin de la gestin iniciada, descontentos empleados o
usuarios agente externo pueda deliberadamente informacin corrupta o sabotaje
de las instalaciones de procesamiento de informacin. En los casos de personas
dimitir o ser despedidos, ellos pueden tener la tentacin de recoger informacin
para su uso futuro.
9.3 Responsabilidades del usuario
Objetivo: hacer que los usuarios responsables de salvaguardar
su informacin de autenticacin.
9.3.1 Uso de la informacin secreta de autenticacin
Controlar
Los usuarios deben ser obligados a seguir las prcticas de la organizacin en el
uso de informacin secreta de autenticacin.
Gua de implementacin
Todos los usuarios deben ser advertidos de:
a) mantener la informacin secreta de autenticacin confidencial, asegurando
que no es divulgada a otras partes, incluidas las personas de autoridad;
b) evitar mantener un registro (por ejemplo, en papel, archivo de software o
dispositivo de mano) de informacin secreta de autenticacin, a menos que esto
se puede almacenar de forma segura y el mtodo de almacenamiento ha sido
aprobado (por ejemplo bveda de contrasea);
c) cambiar la informacin secreta de autenticacin cuando se produzca algn
indicio de su posible compromiso;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
d) cuando las contraseas se utilizan como informacin de autenticacin
secreta, contraseas seleccione calidad con longitud mnima suficiente, que son:
1) fcil de recordar;
2) no se basa en nada a alguien ms poda adivinar fcilmente u obtener
utilizando la informacin persona relacionada, por ejemplo, nombres, nmeros
de telfono y fechas de nacimiento, etc .;
3) no es vulnerable a ataques de diccionario (es decir, no consisten en palabras
incluidas en los diccionarios);
4) libre de caracteres idnticos, todo-numrica o alfabtica todo consecutivos;
5) si es temporal, cambiado en el primer inicio de sesin;
e) no compartir informacin de autenticacin secreta del usuario individual;
f) garantizar una adecuada proteccin de las contraseas cuando las contraseas
se utilizan como informacin de autenticacin secreta en automatizada de inicio
de sesin en los procedimientos y se almacenan;
g) No utilice la misma informacin secreta de autenticacin para fines
comerciales y no comerciales.
Otra informacin
Provisin de Single Sign On (SSO) u otras herramientas de gestin de la
informacin secreta de autenticacin reduce la cantidad de informacin secreta
de autenticacin que los usuarios estn obligados a proteger y por lo tanto
puede aumentar la eficacia de este control. Sin embargo, estas herramientas
tambin pueden aumentar el impacto de la divulgacin de informacin secreta
de autenticacin.
9.4 Sistema de control de acceso y aplicacin
Objetivo: evitar el acceso no autorizado a los sistemas y
aplicaciones.

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS

9.4.1 Restriccin de acceso de la Informacin

Controlar
El acceso a las funciones de informacin y sistema de aplicacin debe ser
restringido, de acuerdo con la poltica de control de acceso.
Gua de implementacin
Restricciones de acceso deben basarse en las necesidades individuales de
aplicaciones empresariales y de acuerdo con la poltica de control de acceso
definido.
A continuacin se debe considerar con el fin de apoyar los requisitos de
restriccin de acceso:
a) proporcionar mens para controlar el acceso a las funciones del sistema de
aplicacin;
b) controlar qu datos pueden ser accedidos por un usuario en particular;
c) el control de los derechos de acceso de los usuarios, por ejemplo, leer,
escribir, borrar y ejecutar;
d) el control de los derechos de acceso de otras aplicaciones;
e) la limitacin de la informacin contenida en las salidas;
f) proporcionar controles de acceso fsicos o lgicos para el aislamiento de
aplicaciones sensibles, datos de aplicacin, o sistemas.
9.4.2 los procedimientos de registro-en seguros
Controlar

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
Cuando lo exija la poltica de control de acceso, el acceso a los sistemas y
aplicaciones debe ser controlado por un procedimiento de inicio de sesin
seguro.
Gua de implementacin
Una tcnica de autenticacin adecuada debe ser elegida para justificar la
identidad reivindicacin de un usuario.
Cuando se requiere una slida autenticacin y verificacin de identidad,
mtodos de autenticacin alternativa a las contraseas, tales como medios
criptogrficos, tarjetas inteligentes, tokens o medios biomtricos, se debe
utilizar.
El procedimiento para iniciar sesin en un sistema o aplicacin debe ser
diseado para reducir al mnimo la posibilidad de que el acceso no autorizado.
Por tanto, el procedimiento de inicio de sesin debe revelar el mnimo de
informacin sobre el sistema o aplicacin, con el fin de evitar proporcionar un
usuario no autorizado toda la asistencia necesaria. Un buen procedimiento de
log-on debe:
a) no se muestren sistema o aplicaciones identificadores hasta que el proceso de
inicio de sesin se ha completado con xito;
b) mostrar un aviso general de advertencia de que el equipo slo debe acceder
los usuarios autorizados;
c) no proporciona mensajes de ayuda durante el procedimiento de inicio de
sesin que ayudara un usuario no autorizado;
d) validar la informacin de inicio de sesin en la nica en la terminacin de
todos los datos de entrada. Si se presenta una condicin de error, el sistema no
debera indicar qu parte de los datos son correctos o incorrectos;
e) proteger contra la fuerza bruta log-on intentos;
f) registrar los intentos fallidos y exitosos;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
g) elevar un evento de seguridad si un potencial intento o violacin exitosa de
inicio de sesin en los controles se detecta;
h) muestra la siguiente informacin sobre la terminacin de un inicio de sesin
con xito:
1) Fecha y hora de la exitosa inicio de sesin anterior;
2) detalles de cualquier intento de inicio de sesin fallidos desde el
ltimo inicio de sesin con xito;
i) no se muestre una contrasea se ingres;
j) no transmite las contraseas en texto claro sobre una red;
k) terminar sesiones inactivas despus de un perodo definido de inactividad,
especialmente en lugares de alto riesgo, tales como las zonas comunes o
externos fuera de la gestin de seguridad de la organizacin o en los
dispositivos mviles;
l) restringir los tiempos de conexin para proporcionar seguridad adicional para
aplicaciones de alto riesgo y reducir la ventana de oportunidad para el acceso
no autorizado.
Otra informacin
Las contraseas son una forma comn de proporcionar la identificacin y la
autenticacin basada en un secreto que slo el usuario conoce. El mismo
tambin se puede lograr con medios criptogrficos y protocolos de
autenticacin. La fortaleza de la autenticacin de usuario debe ser apropiado
para que se accede a la clasificacin de la informacin.
Si las contraseas se transmiten en texto claro durante el inicio de sesin de la
sesin a travs de una red, pueden ser capturados por un programa "sniffer" de
red.
9.4.3 sistema de gestin de contrasea

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
Controlar
Sistemas de gestin de contrasea deben ser interactivos y deben asegurarse de
contraseas de calidad.
Gua de implementacin
Un sistema de gestin de contraseas deben:
a) imponer el uso de identificadores de usuario y contraseas individuales para
mantener la rendicin de cuentas;
b) permitir a los usuarios seleccionar y cambiar sus propias contraseas e
incluyen un procedimiento de confirmacin para permitir errores de entrada;
c) hacer cumplir la opcin de contraseas de calidad;
d) Los usuarios de la fuerza para cambiar sus contraseas en la primera
conexin a la comunicacin;
e) hacer cumplir los cambios regulares de contrasea y, segn sea necesario;
f) mantener un registro de las contraseas utilizadas anteriormente y evitar la
reutilizacin;
g) no se muestren las contraseas en la pantalla cuando se introduzcan;
h) almacenar archivos de contraseas por separado de los datos de sistema de
aplicacin;
i) almacenar y transmitir las contraseas en forma protegida.
Otra informacin
Algunas aplicaciones requieren contraseas de usuario que se asignar por una
autoridad independiente; en tales casos, los puntos b), d) ye) de la gua anterior
no se aplican. En la mayora de los casos se seleccionan las contraseas y
mantenidos por los usuarios.

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
9.4.4 El uso de los programas de servicios pblicos privilegiados
Controlar
El uso de programas de utilidades que podran ser capaces de anular sistema y
de aplicaciones controles debe ser restringido y estrechamente controlado.
Gua de implementacin
Las siguientes pautas para el uso de programas de utilidad que podra ser capaz
de anular se debe considerar los controles del sistema y de las aplicaciones:
a) el uso de identificacin, procedimientos de autenticacin y autorizacin para
los programas de servicios pblicos;
b) la segregacin de los programas de utilidad de software de aplicaciones;
c) la limitacin de la utilizacin de programas de utilidad para el nmero
mnimo necesario de confianza, los usuarios autorizados (vase 9.2.3);
d) la autorizacin para el uso especial de los programas de servicios pblicos;
e) la limitacin de la disponibilidad de programas de utilidad, por ejemplo, para
la duracin de un cambio autorizado;
f) el registro de todo el uso de los programas de servicios pblicos;
g) la definicin y documentacin de los niveles de autorizacin para los
programas de servicios pblicos;
h) la eliminacin o desactivacin de todos los programas de servicios pblicos
innecesarios;
i) no hacer programas de utilidad disponible para los usuarios que tienen acceso
a las aplicaciones en sistemas donde se requiere la separacin de funciones.
Otra informacin

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
La mayora de las instalaciones de ordenador tienen uno o ms programas de
utilidades que podran ser capaces de anular sistemas y aplicaciones de control.
9.4.5 Control de acceso al cdigo fuente del programa
Controlar
El acceso al cdigo fuente del programa debe ser restringido.
Gua de implementacin
El acceso al cdigo fuente del programa y de elementos asociados (tales como
diseos, especificaciones, planos de verificacin y planes de validacin) debe
ser estrictamente controlada, con el fin de prevenir la introduccin de la
funcionalidad no autorizado y evitar cambios no intencionales, as como a
mantener la confidencialidad de la valiosa intelectual propiedad. Para el cdigo
de fuente del programa, esto se puede lograr por almacenamiento central
controlada de dicho cdigo, preferiblemente en las bibliotecas de programas
fuente. Las siguientes directrices deberan entonces ser considerados para
controlar el acceso a este tipo de bibliotecas de cdigo del programa con el fin
de reducir las posibilidades de corrupcin de los programas de ordenador:
a) cuando sea posible, las bibliotecas de programas fuente no deben ser
considerados en los sistemas operativos;
b) el cdigo fuente del programa y las bibliotecas de programas fuente deben
ser manejados de acuerdo a los procedimientos establecidos;
c) El personal de apoyo no deben tener acceso sin restricciones a las bibliotecas
de programas fuente;
d) la actualizacin de las bibliotecas de programas fuentes y elementos afines y
la emisin de fuentes de programas a los programadores slo debe realizarse
despus de la autorizacin apropiada haya recibido;
e) las listas de programas deben celebrarse en un entorno seguro;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
f) un registro de auditora se debe mantener de todos los accesos a las
bibliotecas de programas de cdigo;
g) el mantenimiento y la copia de las bibliotecas de programas fuente deben
estar sujetos a los procedimientos de control de cambios estrictas (vase
14.2.2).
Si se destina el cdigo fuente del programa que se publicar, controles
adicionales para ayudar a conseguir garantas sobre su integridad (por ejemplo,
la firma digital) debe ser considerado.

10 Criptografa
10.1 controles criptogrficos
Objetivo: garantizar el uso adecuado y eficaz de la criptografa
para proteger la confidencialidad, autenticidad y / o integridad
de la informacin.

10.1.1 Poltica sobre el uso de controles criptogrficos

Controlar
Una poltica sobre el uso de controles criptogrficos para la proteccin de la
informacin debe ser desarrollada e implementada.
Gua de implementacin

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
En el desarrollo de una poltica criptogrfica lo siguiente debe ser considerado:
a) el enfoque de gestin hacia el uso de controles criptogrficos en toda la
organizacin, incluyendo los principios generales en que la informacin
comercial debe ser protegida;
b) sobre la base de una evaluacin de riesgos, el nivel requerido de proteccin
debe ser identificado teniendo en cuenta el tipo, la fuerza y la calidad del
algoritmo de cifrado requerido;
c) el uso de cifrado para la proteccin de la informacin transportada por los
dispositivos de medios mviles o desmontables oa travs de lneas de
comunicacin;
d) el enfoque de la gestin de claves, incluyendo los mtodos para hacer frente
a la proteccin de claves criptogrficas y la recuperacin de la informacin
cifrada en el caso de prdida de llaves, comprometidos o daados;
e) las funciones y responsabilidades, por ejemplo, que es responsable de:
1) la aplicacin de la poltica;
2) la gestin de claves, incluyendo la generacin de claves (ver 10.1.2);
f) las normas que se adopten para la aplicacin efectiva en toda la organizacin
(que la solucin se utiliza para que los procesos de negocio);
g) el impacto de la utilizacin de la informacin codificada en los controles que
se basan en la inspeccin de contenido (por ejemplo, la deteccin de malware).
En la aplicacin de la poltica criptogrfica de la organizacin, se debe
considerar a las regulaciones y restricciones nacionales que podran aplicarse a
la utilizacin de tcnicas criptogrficas en diferentes partes del mundo y de los
problemas de flujo transfronterizo de informacin encriptada (ver 18.1.5) .
Controles criptogrficos se pueden utilizar para lograr diferentes objetivos de
seguridad de la informacin, por ejemplo:

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
a) la confidencialidad: mediante el cifrado de la informacin para proteger la
informacin sensible o crtica, ya sea almacenada o transmitida;
b) la integridad / autenticidad: el uso de firmas digitales o cdigos de
autenticacin de mensajes para verificar la autenticidad o integridad de la
informacin sensible o crtica almacenada o transmitida;
c) no repudio: el uso de tcnicas criptogrficas para proporcionar evidencia de
la ocurrencia o no ocurrencia de un evento o accin;
d) Autenticacin: el uso de tcnicas criptogrficas para autenticar usuarios y
otras entidades del sistema que soliciten el acceso o transacciones con los
usuarios del sistema, entidades y recursos.

Otra informacin
Tomar una decisin en cuanto a si una solucin criptogrfica es apropiado debe
ser visto como parte del proceso ms amplio de evaluacin de riesgos y la
seleccin de los controles. Esta evaluacin se puede utilizar para determinar si
un control criptogrfico es el caso, qu tipo de control se deben aplicar y para
los procesos de lo que de propsito y de negocios.
Una poltica sobre el uso de controles criptogrficos es necesario maximizar los
beneficios y minimizar los riesgos del uso de tcnicas criptogrficas y para
evitar el uso inadecuado o incorrecto.
Asesoramiento especializado debe buscarse en la seleccin de los controles
criptogrficos apropiados para cumplir con los objetivos de la poltica de
seguridad de la informacin.
10.1.2 Gestin de claves
Controlar

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
Una poltica sobre el uso, la proteccin y la duracin de las claves de cifrado
debe ser desarrollada e implementada a travs de todo su ciclo de vida.
Gua de implementacin
La poltica debe incluir los requisitos para la gestin de claves criptogrficas
aunque todo su ciclo de vida incluyendo la generacin, almacenamiento,
archivar, recuperar, distribuir, retirndose y la destruccin de las llaves.
Los algoritmos criptogrficos, longitudes de clave y prcticas de uso deben ser
seleccionados de acuerdo a las mejores prcticas.
Gestin de claves apropiado requiere procesos seguros para generar, almacenar,
archivar, recuperar, distribuir, retirndose y la destruccin de claves
criptogrficas.
Todas las claves criptogrficas deben ser protegidas contra toda alteracin y
prdida. Adems, claves secretas y privadas necesitan proteccin contra el uso
no autorizado, as como la divulgacin. El equipo utilizado para generar,
almacenar y archivar claves debe protegerse fsicamente.
Un sistema de gestin de claves debe basarse en un conjunto de normas,
procedimientos y mtodos seguros para:
a) generacin de claves para los diferentes sistemas criptogrficos y diferentes
aplicaciones;
b) la emisin y la obtencin de certificados de clave pblica;
c) la distribucin de claves para entidades destinadas, incluyendo cmo se
deben activar las teclas cuando se reciben;
d) el almacenamiento de claves, incluyendo cmo los usuarios autorizados
obtener acceso a las claves;
e) a cambiar o actualizar las claves incluidas las normas sobre cuando las llaves
se deben cambiar y cmo se har;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
f) tratar con claves comprometidas;
g) revocar claves incluyendo cmo teclas deben ser retiradas o desactivadas,
por ejemplo, cuando las llaves se han comprometido o cuando un usuario deja
una organizacin (en el que las claves de caso tambin deben archivarse);
h) la recuperacin de claves que se pierden o daados;
i) llaves copias de seguridad o archivado;
j) la destruccin de teclas;
k) el registro y la auditora de las actividades de gestin relacionados con la
clave.
Con el fin de reducir la probabilidad de un uso inadecuado, fechas de activacin
y desactivacin de claves deben ser definidas para que las teclas se pueden
utilizar solamente para el perodo de tiempo definido en la poltica de gestin
de claves asociado.
Adems de gestionar de forma segura las claves secretas y privadas, de la
autenticidad de las claves pblicas tambin debe ser considerado. Este proceso
de autenticacin se puede hacer utilizando certificados de clave pblica, que
normalmente son emitidos por una autoridad de certificacin, que debe ser una
organizacin reconocida con los controles y procedimientos adecuados en el
lugar para proporcionar el grado necesario de confianza.
El contenido de los acuerdos de nivel de servicio o contratos con proveedores
externos de servicios criptogrficos, por ejemplo, con una entidad de
certificacin, debera abarcar cuestiones de responsabilidad, la fiabilidad de los
servicios y tiempos de respuesta para la prestacin de servicios (vase 15.2).
Otra informacin
La gestin de claves criptogrficas es esencial para el uso eficaz de tcnicas
criptogrficas. ISO / IEC 11770 [2] [3] [4] proporciona ms informacin sobre
la gestin de claves.

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
Las tcnicas criptogrficas tambin pueden ser utilizadas para proteger las
claves criptogrficas.
Pueden necesitar ser considerados para tramitar las solicitudes legales para el
acceso a claves criptogrficas, por ejemplo Procedimientos informacin cifrada
puede ser obligado a ponerse a disposicin en una forma no cifrada como
prueba en un proceso judicial.

11 La seguridad fsica y ambiental

11.1 reas seguras
Objetivo: Para evitar el acceso no autorizado fsica, dao e
interferencia de la informacin y las instalaciones de
procesamiento de informacin de la organizacin.

11.1.1 Permetro de seguridad fsica

Controlar
Permetros de seguridad deben ser definidas y utilizan para proteger reas que
contienen la informacin y procesamiento de la informacin, ya sea
instalaciones sensibles o crticos.
Gua de implementacin
Las siguientes pautas deben ser consideradas y aplicadas en su caso de los
permetros de seguridad fsica:
a) permetros de seguridad deben ser definidos, y la ubicacin y la fuerza de
cada uno de los permetros deben depender de los requisitos de seguridad de los
activos dentro del permetro y los resultados de una evaluacin de riesgos;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
b) permetros de un edificio o sitio contienen instalaciones de procesamiento de
informacin deben estar fsicamente sonido (es decir, no debe haber lagunas en
el permetro o reas en las que podra ocurrir fcilmente un robo); tejado
exterior, paredes y suelos del sitio debe ser de construccin slida y todas las
puertas exteriores debern estar debidamente protegidos contra el acceso no
autorizado a los mecanismos de control, (por ejemplo, barras, alarmas,
cerraduras); puertas y ventanas deben estar cerradas cuando la proteccin
desatendida y externa debe ser considerado para ventanas, sobre todo a nivel
del suelo;
c) una zona de recepcin tripulada u otros medios para controlar el acceso fsico
al lugar o edificio debe estar en su lugar; el acceso a los sitios y edificios debe
limitarse slo al personal autorizado;
d) las barreras fsicas deben, en su caso, ser construida para impedir el acceso
fsico no autorizado y la contaminacin del medio ambiente;
e) todas las puertas del fuego en un permetro de seguridad deben alarmarse,
monitoreados y evaluados en conjunto con las paredes para establecer el nivel
requerido de la resistencia de conformidad con las normas regionales,
nacionales e internacionales adecuadas; deben operar de acuerdo con el cdigo
local de bomberos de una manera a prueba de fallos;
f) sistemas de deteccin de intrusos adecuada deben instalarse a las normas
nacionales, regionales o internacionales y regularmente probado para cubrir
todas las puertas exteriores y ventanas accesibles; reas desocupadas deben
alarmarse en todo momento; cubierta tambin debe preverse otras reas, por
ejemplo, habitaciones sala de informtica o de comunicaciones; instalaciones
g) de procesamiento de informacin gestionada por la organizacin deben estar
separados fsicamente de los gestionados por entidades externas.
Otra informacin

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
La proteccin fsica se puede lograr mediante la creacin de una o ms barreras
fsicas alrededor de las instalaciones de la organizacin y las instalaciones de
procesamiento de informacin. El uso de mltiples barreras da una proteccin
adicional, donde se ve comprometida inmediatamente el fallo de una sola
barrera no significa que la seguridad.
Un rea segura puede ser una oficina con llave o varias habitaciones rodeadas
por una barrera de seguridad fsica interna continua. Se pueden necesitar
barreras y permetros de control de acceso fsico, adems, entre las zonas con
diferentes requisitos de seguridad dentro del permetro de seguridad. Especial
atencin a la seguridad de acceso fsico se debe dar en el caso de edificios que
sostienen activos para mltiples organizaciones.
La aplicacin de los controles fsicos, especialmente para las reas de
seguridad, debe adaptarse a las circunstancias tcnicas y econmicas de la
organizacin, como se establece en la evaluacin del riesgo.
11.1.2 Controles de entrada fsica
Controlar
reas seguras deberan estar protegidos por controles de entrada adecuados
para garantizar que se permite el acceso slo el personal autorizado.
Gua de implementacin
Las siguientes pautas deben ser consideradas:
a) la fecha y hora de entrada y salida de los visitantes deben registrarse, y todos
los visitantes deben ser supervisados a menos que su acceso ha sido
previamente aprobado; que slo deben tener acceso para fines especficos,
autorizados y deben ser emitidos con instrucciones sobre los requisitos de
seguridad de la zona y sobre los procedimientos de emergencia. La identidad de
los visitantes debe ser autenticada por un medio adecuado;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
b) el acceso a las zonas donde la informacin confidencial se elaboren o
almacenen debe restringirse a las personas autorizadas nicamente mediante la
implementacin de controles de acceso adecuados, por ejemplo, mediante la
implementacin de un mecanismo de autenticacin de dos factores, tales como
una tarjeta de acceso y el PIN secreto;
c) un libro de registro fsico o pista de auditora electrnica de todos los accesos
deben estar bien mantenidos y supervisados;
d) todos los empleados, contratistas y agentes externos deben ser obligados a
llevar algn tipo de identificacin visible y deben notificar inmediatamente al
personal de seguridad si se encuentran con los visitantes sin escolta y cualquier
persona que no lleve identificacin visible;
e) el personal de servicios de apoyo parte externa deben tener acceso restringido
a reas seguras o instalaciones de procesamiento de informacin confidencial
slo cuando sea necesario; este acceso debe ser autorizado y supervisado;
f) derechos de acceso a zonas seguras deben revisa y actualiza regularmente, y
revocadas cuando sea necesario (vase 9.2.5 y 9.2.6).
11.1.3 Proteccin de oficinas, habitaciones e instalaciones
Controlar
La seguridad fsica para oficinas, salas e instalaciones deben ser diseadas y
aplicadas.
Gua de implementacin
Las siguientes pautas deben ser consideradas para asegurar oficinas, salas e
instalaciones:
a) instalaciones clave deberan estar situados para evitar el acceso por parte del
pblico;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
b) en su caso, los edificios deben ser discretos y dar una indicacin mnima de
su propsito, sin signos obvios, fuera o dentro del edificio, la identificacin de
la presencia de actividades de procesamiento de la informacin;
c) Las instalaciones deben estar configurados para evitar que la informacin o
actividades confidenciales de ser visible y audible desde el exterior. Blindaje
electromagntico tambin debe ser considerado en su caso;
d) los directorios y guas telefnicas internas que identifican la ubicacin de las
instalaciones de procesamiento de informacin confidencial no debe estar
fcilmente accesible a cualquier persona no autorizada.
11.1.4 Proteccin contra amenazas externas y ambientales
Controlar
La proteccin fsica contra los desastres naturales, ataques maliciosos o
accidentes debe ser diseada y aplicada.
Gua de implementacin
Asesoramiento especializado debe obtenerse sobre cmo evitar daos por
incendio, inundacin, terremoto, explosin, disturbios civiles y otras formas de
desastres naturales o de origen humano.
11.1.5 Trabajar en zonas seguras
Controlar
Procedimientos para trabajar en reas de seguridad deben ser diseadas y
aplicadas.
Gua de implementacin
Las siguientes pautas deben ser consideradas:
a) slo el personal deben ser conscientes de la existencia de todo tipo de
actividades en el interior, un rea segura en una necesidad de conocimiento;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
b) trabajo sin supervisin en reas seguras se debe evitar tanto por razones de
seguridad y para evitar que las oportunidades para actividades maliciosas;
c) las zonas seguras vacantes deben ser bloqueados fsica y revisarse
peridicamente;
d) fotogrfico, vdeo, audio o cualquier otro equipo de grabacin, como
cmaras en los dispositivos mviles, no se debe permitir, salvo autorizacin.
Las modalidades de trabajo en reas seguras incluyen controles para los
empleados y usuarios de partidos externos que trabajan en el rea de seguridad
y cubren todas las actividades que tienen lugar en la zona segura.
11.1.6 Zonas de entrega y carga
Controlar
Los puntos de acceso como las zonas de entrega y de carga y otros puntos en
los que personas no autorizadas puedan entrar en los locales deben ser
controlados y, si es posible, aislada de las instalaciones de procesamiento de
informacin para evitar el acceso no autorizado.
Gua de implementacin
Las siguientes pautas deben ser consideradas:
a) el acceso a un rea de entrega y carga desde el exterior del edificio debe estar
restringido a personal identificado y autorizado;
b) la zona de entrega y carga debe ser diseado de modo que los suministros
pueden ser cargadas y descargadas sin personal de administracin tengan
acceso a otras partes del edificio;
c) las puertas externas de un rea de entrega y carga deben ser asegurados
cuando se abren las puertas de interior;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
d) el material entrante debe ser inspeccionado y examinado en busca de
explosivos, productos qumicos u otros materiales peligrosos, antes de que se
mueve de una zona de entrega y carga;
e) el material entrante debe ser registrado de acuerdo con los procedimientos de
gestin de activos (vase el captulo 8) a la entrada al sitio;
f) los envos entrantes y salientes deben estar fsicamente separados, cuando sea
posible;
g) el material entrante debe ser inspeccionado por evidencia de manipulacin en
el camino. Si se descubre como la manipulacin debe ser reportado
inmediatamente al personal de seguridad.
11.2 Equipo
Objetivo: Para evitar la prdida, dao, robo o el compromiso de
los activos y la interrupcin de las operaciones de la
organizacin.

11.2.1 Localizacin y proteccin de Equipos

Controlar
El equipo debe estar situado y protegido para reducir los riesgos de las
amenazas ambientales y los riesgos y oportunidades para el acceso no
autorizado.
Gua de implementacin
Las siguientes pautas deben ser consideradas para proteger el equipo:
a) el equipo debe estar situado para minimizar el acceso innecesario en las reas
de trabajo;
b) las instalaciones de procesamiento de informacin de manejo de datos
sensibles deben colocarse cuidadosamente para reducir el riesgo de la
informacin que se est viendo por personas no autorizadas durante su uso;
c) las instalaciones de almacenamiento deben ser asegurados para evitar el
acceso no autorizado;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
d) los elementos que requieren proteccin especial deben ser salvaguardados
para reducir el nivel general de proteccin requerido;
e) los controles deben ser adoptadas para minimizar el riesgo de posibles
amenazas fsicas y ambientales, por ejemplo, robo, fuego, explosivos, el humo,
el agua (o la falta de suministro de agua), polvo, vibraciones, efectos qumicos,
la interferencia suministro elctrico, la interferencia de comunicaciones, la
radiacin electromagntica y el vandalismo;
f) pautas para comer, beber y fumar en las proximidades de las instalaciones de
procesamiento de informacin deben ser establecidas;
g) las condiciones ambientales, como la temperatura y la humedad, deben ser
monitoreados para las condiciones que puedan afectar negativamente al
funcionamiento de las instalaciones de procesamiento de la informacin;
Proteccin h) rayo se debe aplicar a todos los edificios y filtros de proteccin
contra rayos deben ser instalados en toda la energa entrante y lneas de
comunicaciones;
i) el uso de mtodos de proteccin especiales, tales como membranas de
teclado, debe ser considerado para el equipo en entornos industriales;
j) los equipos de procesamiento de informacin confidencial debe ser protegido
para minimizar el riesgo de fuga de informacin debido a la emanacin
electromagntica.
11.2.2 Utilidades de apoyo
Controlar
El equipo debe ser protegido de fallas de energa y otros trastornos causados
por fallas en el apoyo a los servicios pblicos.
Gua de implementacin
Apoyo a los servicios pblicos (por ejemplo, electricidad, telecomunicaciones,
suministro de agua, gas, alcantarillado, ventilacin y aire acondicionado) debe:
a) cumplir con las especificaciones del fabricante del equipo y los requisitos
legales locales;
b) ser evaluado regularmente por su capacidad para cumplir con el crecimiento
del negocio y de las interacciones con otros servicios de apoyo;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
c) ser inspeccionados y probados con regularidad para asegurar su buen
funcionamiento;
d) si es necesario, se alarme para detectar fallos de funcionamiento;
e) en caso necesario, tener mltiples alimentos con diversa enrutamiento fsico.
El alumbrado de emergencia y las comunicaciones deben ser proporcionados.
Interruptores de emergencia y vlvulas para cortar el suministro de energa,
agua, gas u otros servicios pblicos deben estar ubicados cerca de las salidas de
emergencia o las salas de mquinas.
Otra informacin
Redundancia adicional para la conectividad de red puede ser obtenida por
medio de mltiples rutas desde ms de un proveedor de servicios pblicos.
11.2.3 Seguridad de Cableado
Controlar
Poder y telecomunicaciones de cableado que transporta datos o el apoyo a los
servicios de informacin debe ser protegida de intercepcin, interferencia o
daos.
Gua de implementacin
Las siguientes directrices para la seguridad de cableado deben ser consideradas:
a) la energa y de telecomunicaciones lneas en las instalaciones de
procesamiento de informacin deben estar bajo tierra, cuando sea posible, o
sujetas a proteccin alternativa adecuada;
b) los cables de alimentacin deben estar separados de los cables de
comunicaciones para evitar interferencias;
c) para los sistemas sensibles o crticos controles ms a considerar incluyen:
1) instalacin del conducto blindado y habitaciones o cajas de inspeccin y de
terminacin de los puntos de bloqueo;
2) el uso de blindaje electromagntico para proteger los cables;
3) la iniciacin de barridos tcnicos e inspecciones fsicas de dispositivos no
autorizados estn conectados a los cables;
4) el acceso controlado a los paneles de conexin y salas de cable.

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
11.2.4 Mantenimiento de equipos
Controlar
El equipo debe mantenerse correctamente para asegurar su disponibilidad e
integridad continua.
Gua de implementacin
Las siguientes pautas para el mantenimiento del equipo deben ser considerados:
a) equipo deber mantenerse de acuerdo con los intervalos de servicio
recomendados por el proveedor y especificaciones;
b) el personal de mantenimiento nicamente autorizado debe llevar a cabo las
reparaciones y equipos de servicio;
c) los registros deben mantenerse de todas las fallas presuntos o reales, y de
todo el mantenimiento preventivo y correctivo;
d) los controles adecuados deben aplicarse cuando el equipo est programado
para el mantenimiento, teniendo en cuenta si este mantenimiento se lleva a cabo
por el personal en el lugar o no a la organizacin; en su caso, la informacin
confidencial debe ser eliminado del equipo o el personal de mantenimiento
deben ser despejaron lo suficiente;
e) todos los requisitos de mantenimiento impuestas por las plizas de seguro
deben cumplirse;
f) antes de poner el equipo de nuevo en funcionamiento despus de su
mantenimiento, se debe inspeccionar para asegurar que el equipo no ha sido
manipulado y no funcione correctamente.
11.2.5 Eliminacin de los activos
Controlar
Equipo, informacin o software no deben tomarse fuera de las instalaciones sin
autorizacin previa.
Gua de implementacin
Las siguientes pautas deben ser considerados:
a) los empleados y los usuarios externos del partido que tienen autoridad para
permitir la retirada fuera de las instalaciones de los activos debe ser
identificado;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
b) los plazos para la eliminacin de activos deben establecerse y vuelve
verifican el cumplimiento;
c) cuando sea necesario y apropiado, los activos deben registrarse como ser
retirado fuera de sitio y grabado cuando regres;
d) la identidad, el papel y la afiliacin de cualquier persona que maneja o usa
los activos deben ser documentados y esta documentacin regresaron con el
equipo, la informacin o el software.
Otra informacin
Controles sobre el terreno, realizadas para detectar la retirada no autorizada de
los activos, tambin se pueden realizar para detectar dispositivos de grabacin
no autorizadas, armas, etc., y para impedir su entrada y salida de, el sitio. Tales
controles sobre el terreno deben llevarse a cabo de conformidad con la
legislacin y los reglamentos pertinentes.
Las personas deben ser conscientes de que controles sobre el terreno se llevan a
cabo, y las verificaciones slo deben realizarse con la debida autorizacin de
los requisitos legales y reglamentarios.
11.2.6 Seguridad de equipo y activos fuera del establecimiento
Controlar
Seguridad debe ser aplicado a los activos fuera de las instalaciones, teniendo en
cuenta los diferentes riesgos de trabajar fuera de los locales de la organizacin.
Gua de implementacin
El uso de cualquier informacin almacenamiento y equipo de procesamiento
fuera de los locales de la organizacin debe ser autorizado por la direccin. Esto
se aplica a los equipos de propiedad de la organizacin y que el equipo de
propiedad privada y se utiliza en nombre de la organizacin.
Las siguientes pautas deben ser considerados para la proteccin de los equipos
fuera de las instalaciones:
a) los equipos y medios de comunicacin toman fuera de las instalaciones no
deben quedar sin vigilancia en lugares pblicos;
b) las instrucciones del fabricante para la proteccin de equipos deben ser
observados en todo momento, por ejemplo, proteccin contra la exposicin a
los campos electromagnticos fuertes;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
c) los controles para ubicaciones fuera de las instalaciones, tales como el
trabajo a domicilio, teletrabajo y sitios temporales deben ser determinados por
una evaluacin de riesgos y los controles adecuados aplicados segn el caso,
por ejemplo, archivadores con llave, la poltica de escritorio limpio, controles
de acceso para los ordenadores y la comunicacin segura con la oficina (vase
tambin la norma ISO / IEC 27033 [15] [16] [17] [18] [19]);
d) cuando fuera de las instalaciones de equipos se transfiere entre diferentes
individuos o entidades externas, un registro debe mantenerse que define la
cadena de custodia de los equipos incluyendo al menos los nombres y las
organizaciones de los que son responsables de los equipos.
Los riesgos, por ejemplo, de dao, robo o espionaje, puede variar
considerablemente entre localidades y deben tenerse en cuenta para determinar
los controles ms adecuados.
Otra informacin
Informacin de almacenamiento y equipos de procesamiento incluye todas las
formas de los ordenadores personales, organizadores, telfonos mviles, tarjetas
inteligentes, de papel o de otro tipo, que se mantiene durante el trabajo en casa
o ser transportado lejos del lugar de trabajo normal.
Ms informacin sobre otros aspectos de la proteccin de los equipos mviles
se puede encontrar en el apartado 6.2.
Puede ser apropiado para evitar el riesgo de desalentar a ciertos empleados de
trabajar fuera de sitio o mediante la restriccin de su uso de equipos
informticos porttiles;
11.2.7 eliminacin segura o la reutilizacin de equipos
Controlar
Todos los elementos del equipo que contiene los medios de almacenamiento
deben ser verificados para asegurar que los datos sensibles y software con
licencia se ha eliminado o sobrescrito de forma segura antes de su eliminacin o
reutilizacin.
Gua de implementacin
El equipo debe ser verificada para asegurar si es o no un medio de
almacenamiento est contenido antes de su eliminacin o reutilizacin.
Soporte de almacenamiento que contienen informacin confidencial o con
derechos de autor deben ser destruidos fsica o la informacin deben ser

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
destruidos, borrados o sobrescritos utilizando tcnicas para hacer que la
informacin original no recuperables en lugar de utilizar el estndar de eliminar
o funcin de formato.
Otra informacin
Aparatos que contengan medios de almacenamiento daados pueden requerir
una evaluacin de riesgos para determinar si los elementos deben ser destruidos
fsicamente en lugar de enviarse para su reparacin o descartados. La
informacin puede verse comprometida por la eliminacin descuidada o
reutilizacin de los equipos.
Adems de asegurar el borrado de disco, cifrado de todo el disco reduce el
riesgo de divulgacin de informacin confidencial cuando el equipo se enajena
o redistribuido, siempre que:
a) el proceso de cifrado es suficientemente fuerte y cubre todo el disco
(incluyendo el espacio de holgura, archivos de intercambio, etc.);
b) las claves de cifrado son lo suficientemente largos para resistir ataques de
fuerza bruta;
c) las claves de cifrado son ellos mismos confidenciales (por ejemplo, nunca se
almacena en el mismo disco).
Para ms consejos sobre encriptacin, consulte la Clusula 10.
Las tcnicas para sobrescribir de forma segura los medios de almacenamiento
difieren segn la tecnologa de los medios de almacenamiento. Herramientas
Sobrescribir deben ser revisados para asegurarse de que son aplicables a la
tecnologa de los medios de almacenamiento.
11.2.8 equipo de usuario desatendida
Controlar
Los usuarios deben asegurarse de que el equipo desatendido tiene la proteccin
adecuada.
Gua de implementacin
Todos los usuarios deben ser conscientes de los requisitos de seguridad y
procedimientos para la proteccin de equipos sin supervisin, as como sus
responsabilidades para la aplicacin de dicha proteccin. Los usuarios deben
ser advertidos de:

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
a) terminar sesiones activas cuando termine, a menos que puedan ser
asegurados por un mecanismo de bloqueo apropiado, por ejemplo un protector
de pantalla protegido por contrasea;
b) log-off de aplicaciones o servicios de red cuando ya no son necesarios;
c) los equipos de seguridad o dispositivos mviles de uso no autorizado de una
cerradura con llave o un control equivalente, por ejemplo, la contrasea de
acceso, cuando no est en uso.
11.2.9 escritorio despejado y la poltica de pantalla transparente
Controlar
Una poltica de escritorio limpio de papeles y soportes de almacenamiento
extrables y una poltica pantalla clara para las instalaciones de procesamiento
de la informacin se deben adoptar.
Gua de implementacin
La recepcin clara y poltica pantalla clara deberan tener en cuenta las
clasificaciones de la informacin (vase 8.2), legales y requisitos contractuales
(vase 18.1) y los riesgos correspondientes y los aspectos culturales de la
organizacin. Las siguientes pautas deben ser consideradas:
a) la informacin comercial sensible o crtica, por ejemplo, en papel o en
soporte de almacenamiento electrnico, debe ser encerrado (idealmente en una
caja fuerte o gabinete u otras formas de los muebles de seguridad) cuando no es
necesario, sobre todo cuando se dej vacante el cargo.
b) los equipos y terminales se deben dejar cerrado sesin o protegidas con un
mecanismo de bloqueo de la pantalla y el teclado controlado por una
contrasea, el mecanismo de autenticacin de usuario ficha o similar cuando
desatendido y debe ser protegida por bloqueos claves, contraseas u otros
controles cuando no est en uso;
c) el uso no autorizado de las fotocopiadoras y otras tecnologas de la
reproduccin (por ejemplo, escneres, cmaras digitales) debe evitarse;
d) los medios de comunicacin que contienen informacin sensible o
clasificada deben ser retirados de las impresoras de inmediato.

Otra informacin

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39

AUDITORIA DE SISTEMAS
Un escritorio de la poltica de pantalla transparente / clara reduce el riesgo de
acceso no autorizado, prdida y daos a la informacin durante y fuera de las
horas normales de trabajo. Cajas fuertes u otras formas de instalaciones de
almacenamiento seguro tambin puede proteger la informacin almacenada en
el mismo contra los desastres tales como incendio, terremoto, inundacin o
explosin.
Considere el uso de impresoras con funcin de cdigo PIN, por lo que los
autores son los nicos que pueden obtener sus impresiones y slo cuando est
de pie junto a la impresora.

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Pgina 39