Вы находитесь на странице: 1из 28

Directrices Seguridad de la

informacin
Modelo de Gestin de Documentos y Administracin de Archivos (MGD)
para la Red de transparencia y Acceso a la Informacin (RTA)

Diagrama
1. Presentacin y objetivos
1.1. Finalidad
1.2. Alcance y contenido
1.3. Documentos relacionados
2. Concepto de seguridad de la informacin
3. Principios de la seguridad de la informacin
4. Poltica integral de seguridad
4.1. Poltica de seguridad
4.2. Aspectos organizativos de la seguridad de la informacin
4.3. Seguridad ligada a los recursos humanos
4.4. Seguridad fsica y ambiental
4.5. Cumplimiento
4.6. Gestin de activos
4.7. Gestin de comunicaciones y operaciones
4.8. Control de acceso
4.9. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
4.10. Gestin de incidentes de seguridad de la informacin
4.11. Gestin de la continuidad del negocio
5. Cuadros de compromisos de cumplimiento
6. Trminos y referencias
6.1. Glosario
6.2. Referencias y bibliografa

Diagrama
Estas Directrices se integran en el MGD segn se especifica en el siguiente Diagrama de
relaciones:

1. Presentacin y objetivos

1.1. Finalidad
La finalidad de estas Directrices es proporcionar recomendaciones para la necesaria
seguridad de la informacin en el mbito de la administracin electrnica, con respeto a la
autonoma de las organizaciones y en el marco del Modelo de Gestin de Documentos y
administracin de archivos de la Red de Transparencia y Acceso a la informacin (RTA).

1.2. Alcance y contenido


Esta directriz sobre la Seguridad de la informacin se fundamenta en la norma ISO/IEC
27002:2013. Tecnologa de la informacin. Tcnicas de seguridad. Cdigo de buenas
prcticas para la gestin de la seguridad de la informacin, que es una reconversin de la
antigua norma ISO/IEC17799.
VILLALN HUERTA, A. 2004. Cdigos de buenas prcticas de seguridad. UNE-ISO/IEC 17799. Disponible en:

http://www.shutdown.es/ISO17799.pdf

De este modo, tras una relacin de los principios bsicos que afectan a la seguridad de la
informacin, las entradas del captulo dedicado a la Poltica de seguridad respetarn en su
estructura las clusulas contempladas en la norme ISO/IEC27002:2013, a saber:

Poltica de seguridad
Aspectos organizativos de la seguridad de la informacin
Gestin de activos
Seguridad ligada a los recursos humanos
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Gestin de incidentes de seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
1.3. Documentos relacionados

2. Concepto de seguridad de la informacin


Ante la imparable y necesaria interconexin, los sistemas y las redes de informacin
presentan una mayor vulnerabilidad. Su exposicin a una gran variedad de amenazas urge
a la resolucin de nuevos retos en el campo de la seguridad de la informacin. Se hace
necesaria una mayor concienciacin y comprensin de todos los aspectos relacionados con
dicha seguridad, que se deben conformar como premisas para una cultura de la seguridad.

Junto a la interoperabilidad, la seguridad adquiere un rol crtico en el marco de una


administracin electrnica, al deber soportar derechos como el de la garanta de la
seguridad y la confidencialidad de los datos contenidos en ficheros, sistemas y aplicaciones

3. Principios de la seguridad de la informacin


En un documento publicado en 2002, la Organizacin para la Cooperacin y el Desarrollo
Econmicos (OCDE) estimaba que los principios relativos a la seguridad se podan resumir
en nueve apartados, que son los siguientes:
1. Concienciacin. Hay que adquirir conciencia de la necesidad de disponer de
sistemas y redes de informacin seguros, al tiempo que conocer los medios para
ampliar la seguridad.
2. Responsabilidad. Todos los actores implicados en la gestin de los documentos
electrnicos son responsables de la seguridad de la informacin.
3. Respuesta. Hay que desarrollar actuaciones conjuntas y pertinentes para prevenir,
detectar y responder a los incidentes que afecten a la seguridad.
4. tica. Hay que contemplar los intereses legtimos de terceros.
5. Democracia. Hay que compatibilizar la seguridad y los valores esenciales de una
sociedad democrtica.
6. Evaluacin del riesgo. Hay que llevar a cabo evaluaciones de riesgo.
7. Diseo y realizacin de la seguridad. Hay que incorporar la seguridad como un
elemento esencial de los sistemas y redes de la informacin.
8. Gestin de la seguridad. Hay que adoptar una visin integral de la seguridad en la
administracin electrnica.
9. Reevaluacin. Hay que revisar y reevaluar la seguridad de la informacin y realizar
aquellas modificaciones pertinentes sobre polticas, prcticas, medidas y
procedimientos relativos a la seguridad.

4. Poltica integral de seguridad


La informacin que se gestiona mediante sistemas o redes, en el mbito de la
administracin electrnica, bsicamente se encuentra en tres estados: transmisin,
almacenamiento y proceso.

Con independencia de su estado, sea cual sea la forma que adquiera y los medios utilizados
en cualquier situacin, esa informacin debe protegerse de manera correcta.

La poltica de seguridad debe garantizar las siguientes caractersticas fundamentales de la


informacin:

Confidencialidad. Seguridad de prevencin frente a la disposicin, la comunicacin


y la divulgacin de informacin a terceros no autorizados
Integridad. Seguridad de prevencin ante la transformacin o la modificacin no
autorizada durante su tratamiento o el almacenamiento de la informacin, con la
exigencia de una rpida observacin de alteraciones
Disponibilidad. Seguridad de facilitar el acceso a la informacin por parte de quien
est autorizado y seguridad de prevencin contra denegaciones a accesos
autorizados
Autenticidad. Seguridad frente a la identidad del productor o emisor de la
informacin
Conservacin. Seguridad frente al deterioro de la informacin, mediante medidas
preventivas y de preservacin durante todo el ciclo de vida de los documentos
Trazabilidad. Seguridad frente al conocimiento de operaciones, consultas o
modificaciones de la informacin.

4.1. Poltica de seguridad


Los equipos directivos de las organizaciones marcarn las directrices en materia de
seguridad de la informacin, de modo que se alineen con los objetivos de sus propios
servicios. Dichos equipos demostrarn su apoyo y su compromiso con la publicacin y
mantenimiento de una poltica de seguridad de la informacin en sus organizaciones, que
deber garantizar la confidencialidad, la integridad, la disponibilidad, la autenticidad, la
conservacin y la trazabilidad.

Esta voluntad poltica de la seguridad se materializar en un documento que recoja las


disposiciones vigentes sobre la materia, los estndares y los procedimientos de las
organizaciones, de modo que se defina un marco de aplicacin. Este documento debe ser
aprobado al ms alto nivel directivo y comunicado a toda la organizacin de modo
comprensible. Los contenidos del documento pueden ser:

Definicin, objetivos y alcance


Compromiso directivo
Marco referencial, con objetivos de control y evaluacin del riesgo
Principios, estndares y requerimientos de la seguridad
Definicin de responsabilidades

La poltica de seguridad de la informacin de las organizaciones se actualizar


peridicamente, en funcin de los cambios legislativos, del anlisis de riesgos, de los
cambios estructurales o como el fruto de la misma experiencia, en aras de su idoneidad, su
eficiencia y su efectividad. Para ello se establecern cronogramas o perodos de revisin.
4.2. Aspectos organizativos de la seguridad de la
informacin
En el aspecto organizativo, se distinguir entre la gestin de la seguridad de la informacin
en el seno de la propia administracin y la seguridad que se mantenga respecto de los
activos de informacin que sean accesibles por usuarios externos u otras organizaciones.

En la primera de las situaciones, se parte de un documento formalmente aprobado y la


posterior asignacin de los roles de seguridad, as como la coordinacin y revisin de la
implementacin en toda la organizacin.

Compromiso del equipo directivo con la seguridad. La mejor declaracin de


compromiso es la asignacin especfica de roles, la asignacin de los recursos
necesarios y el inicio de planes de concienciacin.
Coordinacin de la seguridad. La coordinacin dentro de la organizacin requiere
de participacin de diferentes sectores, con roles y funciones relevantes.
Asignacin de roles. Es necesario que se definan las responsabilidades sobre la
seguridad. Las tareas pueden delegarse, pero no eximir de la responsabilidad.
Revisin independiente de la seguridad. La revisin del enfoque sobre la gestin de
la seguridad es necesario que se lleve a cabo por personal externo, para que se
considere realmente independiente.

En la segunda, se debe controlar el acceso, el tratamiento y la comunicacin de la


informacin efectuados por externos. La seguridad de la informacin y de sus medios de
tratamiento no debe reducirse ante la introduccin de productos o servicios externos.

En este sentido, se considerar lo siguiente:

Identificacin de los riesgos. Para lo cual se deben introducir controles apropiados


antes de permitir el acceso. Adems, cabe la firma de un contrato en el que se
definan los trminos y condiciones para la conexin y el acceso.
Tratamiento de la seguridad. Se tratarn los trminos de seguridad antes de
permitir cualquier acceso a los activos de la organizacin, que dependern segn
los medios de tratamiento y la informacin a la que se d acceso. Al igual que en el
punto anterior, se considerar la oportunidad de gestionar las condiciones
mediante la firma de acuerdos que contemplen requerimientos especficos de
seguridad sobre la tecnologa y las actividades.

4.3. Seguridad ligada a los recursos humanos


En este punto, el objetivo principal es asegurar que cualquier persona que participe en la
organizacin conozca y acepte la responsabilidad que conlleva la seguridad de la
informacin, de sus sistemas y sus redes. Se cubrir la confidencialidad con el recurso de
clusulas especficas, que refieran obligaciones y responsabilidades. De manera
subsidiaria, se perseguir la disminucin de fraudes o acciones malintencionadas. (Vase
la directriz G01/D03/G. Roles, responsabilidades y competencias).

El apartado de seguridad de la informacin respecto de los recursos humanos va ligado a


la necesidad de formacin del personal y el desarrollo de planes de concienciacin. Un
conocimiento de la importancia de la seguridad conllevar un mejor conocimiento de las
propias responsabilidades y de las medidas de control.

En cuanto a la seleccin del personal, estas medidas se orientarn a:

Roles y responsabilidades. Definicin y comunicacin documentada de los roles y


las responsabilidades de la seguridad a todo posible empleado de la organizacin
durante el proceso de seleccin de personal.
Trminos y condiciones del empleo. Inclusin de trminos y condiciones de
seguridad en el contenido de los contratos, donde se refieran las
responsabilidades.
En cuanto al personal activo, estas medidas se orientarn a:
Responsabilidades del equipo directivo. Requerirn a todo el personal (interno y
externo) que apliquen por igual la seguridad, segn la poltica procedimientos
establecidos. Deben asegurarse de que el personal est apropiadamente informado
de sus roles, las expectativas de seguridad, adems de fomentar una concienciacin
que suponga una motivacin aadida.
Capacitacin en seguridad. El personal de la organizacin debe ser capacitado en
materia de seguridad de la informacin y sus conocimientos sobre polticas y
procedimientos deben actualizarse. Esta capacitacin incluir los requerimientos
de seguridad, las responsabilidades legales, el uso de los medios de tratamiento y
la informacin de los posibles procesos disciplinarios consecuentes a una
deficiente praxis. Esta capacitacin ser adecuada a los roles que desarrollen en la
organizacin, porque el objetivo ltimo es reconocer problemas y responder a las
necesidades.

En cuanto al personal saliente, estas medidas se orientarn a:

Responsabilidades finales. Definicin de responsabilidades relacionadas tras el


abandono del puesto en la organizacin, con recordatorio de las relativas a la
seguridad y las legales, como pudieran ser acuerdos de confidencialidad.
Devolucin de activos. La terminacin de un contrato laboral implicar la
devolucin de aquellos activos que el personal saliente pudiera tener en su
posesin, bien software o documentos corporativos.
Retirada de derechos de acceso. De igual manera, debieran retirarse todos los
derechos de acceso tras la terminacin de contrato laboral al personal saliente.
Haber considerado documentalmente la relacin entre el acceso y la vigencia del
contrato, significar slo el recordatorio del cumplimiento de la legalidad.

4.4. Seguridad fsica y ambiental


Este apartado se centra en la proteccin de los activos fsicos a travs del control de acceso
y la proteccin contras posibles contingencias externas.

La infraestructura que sustentan las aplicaciones informticas que soportan la tramitacin,


como tambin los soportes de almacenamiento, bien se hallen en la misma sede de la
organizacin o bien externalizados, requieren de proteccin mediante un control de acceso
fsico que garantice un acceso del personal autorizado.

Para ello, la infraestructura se ubicar en reas de acceso restringido mediante niveles de


seguridad. Todo acceso se registrar por los mecanismos de control de acceso, como
posible prueba ante auditoras. Pero los sistemas y la informacin soportada tambin
deben protegerse ante amenazas fsicas o ambientales.

Las reas seguras son aqullas donde se encuentran los medios de tratamiento de
informacin crtica o confidencial y estn protegidas por permetros de seguridad, adems
de barreras y controles de entrada.
Permetro de seguridad fsica. Protegen las reas que contienen informacin y
medios de tratamiento de informacin. La proteccin fsica se conseguir creando
barreras fsicas alrededor de los locales. Los permetros tendrn, entre otras, las
siguientes caractersticas: definicin, solidez fsica, control fsico de acceso, salidas
de emergencia con alarma.
Controles de ingreso fsico. Permiso de ingreso slo a personal autorizado, con
control horario, limitaciones a salas con informacin sensible, uso de
acreditaciones y actualizacin de permisos.
Seguridad de oficinas y medios. Especial diseo de los lugares con especial control
del acceso.
Proteccin contra amenazas externas e internas. Proteccin contra daos
motivados por el fuego, inundaciones, terremotos, explosiones, revueltas u otros
desastres naturales o causados por el hombre.
reas de acceso pblico, entrega y carga. Control de los puntos de acceso donde
transiten personas externas a la organizacin, para evitar su acceso a zonas no
autorizadas.

En cuanto a la seguridad del equipo, el objetivo es evitar sustracciones o prdidas de los


activos y actividades de la organizacin. La proteccin sopesar amenazas fsicas y
ambientales.

Ubicacin y proteccin del equipo. Reduccin de amenazas, peligros ambientales y


accesos no autorizados. Algunas acciones sern, entre otras, las siguientes:
reduccin del acceso, monitoreo de las condiciones ambientales, especial
proteccin de equipos con informacin confidencial.
Servicios pblicos de soporte. Proteccin ante posibles fallas o interrupciones de
energa. Las rutinas de inspeccin y el desarrollo de planes de contingencia pueden
minimizar sus riesgos.
Seguridad del cableado. Proteccin ante su intercepcin o dao. Se considera
dedicarle una atencin y proteccin especial, ante posibles hurtos, interferencias o
manipulacin no autorizada.
Mantenimiento de equipos. Garantizar su integridad y continua disponibilidad.
Cabr seguir las indicaciones del proveedor, ordenar las reparaciones a personal
cualificado, registrar las incidencias, programar su mantenimiento...
Seguridad del equipo fuera de la organizacin. Atender a los riesgos para la
organizacin. En todo caso, el uso externo debe autorizarse por el equipo directivo.
Y en cualquier caso, los equipos nunca sern desatendidos y se evaluarn los
riesgos de dicho uso.

4.5. Cumplimiento
Este apartado recuerda la necesidad del cumplimiento del marco normativo y de todo
requisito de seguridad que en l est implcito. En esta misma lnea de legalidad, la
organizacin tender a optimizar esta efectividad a travs del recurso de una auditora
sobre las infraestructuras y las aplicaciones.

Cumplimiento de los requisitos legales. Garanta de control sobre cualquier


violacin de las disposiciones legales vigentes, los estatutos propios, los contratos
o los requisitos de seguridad de la informacin. Se considerar que el diseo, la
operacin, el uso y la gestin de los sistemas de informacin pueden estar sujetos
a requisitos de seguridad. Se valorar la incorporacin de asesores legales
especializados en la materia, ya que la complejidad de cuestiones como son la
propiedad intelectual, la proteccin de datos y la privacidad lo requieren. Sin
olvidar que es responsabilidad de todas las reas de la organizacin el
conocimiento de la legislacin vigente en sus respectivos mbitos.
Cumplimiento de las polticas y estndares de seguridad y cumplimiento tcnico.
Garanta del cumplimiento con las polticas y estndares internos de seguridad en
la gestin de los sistemas de informacin. La evolucin de las polticas de
seguridad, la tecnologa y los propios sistemas de informacin necesitarn de una
revisin en el cumplimiento de los requisitos de seguridad.
Consideraciones de auditora de los sistemas de informacin. Garanta de
maximizar la efectividad del proceso de auditora y de minimizar las interferencias
del propio sistema de informacin. Se considerar la existencia de controles
durante el proceso de auditora que salvaguarden la integridad de las
herramientas de la auditora y que prevengan de su mal uso.

4.6. Gestin de activos


La gestin de los activos tiene como objetivo responsabilizarse de los activos mediante una
proteccin que incluya la identificacin de los propietarios; tambin asegurar la
clasificacin, segn un nivel adecuado de proteccin.

En cuanto a la responsabilidad de los activos, stos deben identificarse y ser gestionados


mediante el mantenimiento de unos controles adecuados.

Inventario de los activos. La organizacin debe identificar los activos y documentar


su importancia, para una mejor gestin en caso de desastres. No hay que duplicar
innecesariamente otro tipo de inventarios, pero s asegurar unos contenidos
consolidados. La responsabilidad tambin debe documentarse.
Responsabilidad de los activos. La informacin y los activos asociados con los
medios de tratamiento deben ser responsabilidad de la organizacin que, como tal,
debe velar por su correcta clasificacin y definir y revisar sus restricciones.
Aunque se delegue la custodia, la responsabilidad permanece en la organizacin
propietaria.
Uso de los activos. Todo aquel que se relacione con la informacin debe seguir unas
pautas en su uso y sus activos asociados con los medios de tratamiento. Para ello,
el equipo directivo promover reglas especficas.
En el campo de la clasificacin se garantizar que la informacin recibe un nivel correcto
de proteccin. Los activos se clasifican segn su sensibilidad y criticidad para la
organizacin. La informacin tiene grados de confidencialidad que se regularn en un
esquema de clasificacin, que marcar niveles de proteccin y difundir las medidas
especiales de uso.

Lineamientos de clasificacin. La informacin se clasificar segn el valor, los


requerimientos legales, la sensibilidad y la criticidad para la organizacin. Estos
lineamientos incluirn protocolos de revisin. Toda clasificacin debe ser
ponderada y proporcionada.
Etiquetado y manejo. La gestin de la informacin deber ser concordante con su
clasificacin. El etiquetado reflejar la clasificacin de acuerdo con los protocolos
establecidos. A su vez, cada nivel de proteccin debe aparejar unos procedimientos
de manejo determinados, incluyndose el tratamiento, el almacenamiento, la
transmisin, la desclasificacin y la eliminacin, si cabe. El etiquetado y manejo de
la informacin son claves para el intercambio de informacin clasificada.
4.7. Gestin de comunicaciones y operaciones
Este apartado persigue garantizar una segura y controlada explotacin de la
infraestructura, con su pertinente supervisin y registro de incidencias. Para lo cual existe
el propsito de controlar:

Procedimientos y responsabilidades operacionales. Garanta de una correcta


operacin de los medios de tratamiento de la informacin, mediante el
establecimiento de responsabilidades y procedimientos para la gestin y la
operacin de todos los medios de tratamiento.
Gestin de servicios de terceros. Garantizar un nivel apropiado de seguridad tras
acuerdos de entrega de servicios a terceros. Cabr un chequeo y monitorizacin,
por parte de la organizacin, de la implementacin de los acuerdos y del
cumplimiento de los estndares para asegurarse de que los entregables sean
satisfactorios.
Planificacin y aceptacin de sistemas. Minimizar el riesgo de fallas. La
planificacin asegurar la capacidad y la disponibilidad de los recursos necesarios.
La proyeccin de capacidad futura prevendr riesgo de sobrecarga con el tiempo.
Todo sistema nuevo, antes de ser aceptado y utilizado, documentar y probar los
requerimientos.
Proteccin contra cdigos maliciosos. Proteger la integridad del software con la
toma de precauciones ante cdigos maliciosos y cdigos mviles no autorizados.
El personal estar informado de los peligros y el equipo directivo introducir
controles para su eliminacin.
Copias de seguridad. Garanta de la integridad y la disponibilidad de la informacin
y sus medios de tratamiento. Establecimiento de procedimientos de rutina para
implementar el back-up y la estrategia de copias. Tambin se ensayar la
restauracin.
Gestin de la seguridad de red. Garanta de la proteccin de la informacin en redes
y su infraestructura de soporte. Cabr considerar cuestiones legales y monitoreo,
adems de un control adicional respecto de la informacin confidencial. Se debe
vigilar una posible suplantacin del emisor y una posible prdida de informacin.
Gestin de dispositivos de almacenamiento. Control de la divulgacin no
autorizada, la modificacin o la interrupcin de actividades. Cabr un control y
proteccin fsicos.
Intercambio de informacin entre organizaciones. Garanta de la seguridad en el
intercambio de informacin y software, al respaldarse en una poltica formal
seguida de lneas de acuerdos, as como del cumplimiento de las disposiciones
legales vigentes.
Servicio de correo electrnico. Garanta de seguridad en el servicio y su uso seguro.
Cabr considerar la integridad y la disponibilidad de la informacin publicada
electrnicamente, as como las implicaciones de la seguridad asociada al correo
electrnico.
Monitorizacin de sistemas. Control sobre actividades de tratamiento de
informacin no autorizadas. Cabr el monitoreo de los sistemas y los informes de
incidentes de seguridad de la informacin, adems del propio chequeo de la
efectividad de los controles.

4.8. Control de acceso


El control de acceso a los sistemas de informacin se considera uno de los campos cruciales
en la seguridad de la informacin. En este campo se establecern procedimientos de control
que permitan el acceso segn la poltica de la organizacin, con especial atencin a los
accesos privilegiados y al acceso de software malicioso.

Requisitos del negocio para el control del acceso. Garanta del acceso a la
informacin. Los requisitos de la organizacin marcarn y sern la base del acceso
a la informacin. Las pautas de control del acceso respetarn la poltica de
divulgacin del propio organismo.
Gestin del acceso de los usuarios. Garanta de un acceso autorizado a los sistemas
de informacin y control ante el acceso no autorizado. Cabrn procedimientos
formales para controlar los derechos de acceso. Dichos procedimientos abarcarn
todo el ciclo del acceso, desde el registro de nuevos usuarios hasta el borrado de
aqullos que ya no requieren acceso. Se tender a minimizar el acceso restringido
a la informacin confidencial.
Responsabilidades del usuario. Garanta de control ante accesos no autorizados y
vigilancia ante el peligro que corre la informacin en su tratamiento. Cabr
concienciar a los usuarios autorizados de lo importante de su cooperacin en la
consolidacin de la seguridad de la informacin. Los usuarios deben ser
responsables parciales de la efectividad de los controles, por ejemplo mediante el
correcto uso de sus claves secretas, personales e intransferibles, y una correcta
atencin de los equipos.
Control de acceso de red. Garanta de control ante el acceso no autorizado a los
servicios de las redes, internas y externas. El acceso autorizado a las redes no
comprometer la seguridad de los servicios, por lo que se vigilar la:
a. Existencia de interfaces apropiadas

b. Aplicacin de mecanismos de autenticacin adecuados

c. Obligacin del control de acceso del usuario a la informacin

Control de acceso del sistema operativo. Garanta de control ante el acceso no


autorizado a los sistemas operativos. Se considerar el uso de medios de seguridad
para restringir el acceso a usuarios no autorizados. Estos medios deben ser
capaces de:
a. Autenticacin de usuarios autorizados, segn poltica de control de acceso definida.

b. Registro de intentos, fallidos y exitosos, de autenticacin del sistema.

c. Registro del uso de privilegios especiales del sistema.

d. Emisin de alarmas ante la violacin de las polticas de seguridad del sistema.

e. Proporcionar los medios de autenticacin apropiados.

f. Restriccin, en su caso, del tiempo de conexin de los usuarios.

Control de acceso a las aplicaciones y a la informacin. Garanta de control ante


accesos no autorizados a la informacin de las aplicaciones. Se considerar el uso
de medios de seguridad para la restriccin del acceso a la informacin y a las
aplicaciones. Las aplicaciones debern estar capacitadas para:
a. Control del acceso del usuario a la informacin y a las aplicaciones, segn la poltica de
control de acceso definida.
b. Proporcionar proteccin ante accesos no autorizados al software del sistema de
operacin y de software malicioso que supere los controles del sistema.

c. No comprometer a otros sistemas con los que se comparten recursos.

Teletrabajo y movilidad. Garanta de la seguridad de la informacin ante el uso de


medios mviles. La proteccin ser proporcional al riesgo de estos modos de
trabajo, como puedan ser los ambientes desprotegidos, en el caso de la movilidad,
y la proteccin especfica del lugar, en el caso del teletrabajo.

4.9. Adquisicin, desarrollo y mantenimiento de


los sistemas de informacin
En este apartado se trata de garantizar la integridad de la seguridad de la informacin en
los sistemas.

Requisitos de seguridad que afectan a los sistemas. Garanta de que la seguridad


forme parte integral de los sistemas de informacin. Los sistemas de informacin
pueden incluir sistemas de operacin, infraestructura o servicios, y aplicaciones
desarrolladas por el usuario. Por ello, el diseo del sistema debe identificar y
acordar requisitos de seguridad antes de su propio desarrollo.
Correcto tratamiento de las aplicaciones. Garanta contra errores, prdida,
modificacin no autorizada o mal uso de la informacin de las aplicaciones. Se
considerar el diseo de controles adecuados en las aplicaciones, incluyendo una
validacin de los datos de entrada y de salida. Se aplicar especial atencin al
tratamiento de la informacin confidencial mediante controles adicionales.
Controles criptogrficos. Garanta de la confidencialidad, la autenticidad o la
integridad por el uso de medios criptogrficos. Se considerar el desarrollo de una
poltica organizacional sobre los controles criptogrficos, como refuerzo a una
posible proteccin inadecuada por parte de otros controles.
Seguridad en los sistemas de ficheros. Garanta de seguridad e integridad de los
sistemas de ficheros. Se considerar el control del acceso a estos sistemas y del
cdigo fuente del programa.
Seguridad en los procesos de desarrollo y soporte. Garanta para el mantenimiento
de la seguridad del software y la informacin de las aplicaciones. Los responsables
de las aplicaciones cobrarn responsabilidad sobre la seguridad de los proyectos y
del soporte. Se estima bsica la revisin de cualquier cambio que se proyecte sobre
el sistema de informacin, para evitar colisionar con la seguridad.
Gestin de vulnerabilidades tcnicas. Garanta de reduccin de riesgos
sobrevenidos de la explotacin de vulnerabilidades tcnicas. La gestin de la
vulnerabilidad tcnica debe ser sistemtica, confirmando su efectividad tras la
obtencin de la oportuna informacin de los sistemas de informacin.

4.10. Gestin de incidentes de seguridad de la


informacin
En este apartado, se persigue garantizar que los registros de incidencias y las debilidades
en la seguridad de la informacin y de sus sistemas se comuniquen de manera pertinente,
como medio que posibilite la debida correccin.

Informe de los eventos y debilidades de la seguridad de la informacin. Garanta de


que una correcta comunicacin de los eventos y debilidades de la seguridad,
asociados al sistema, permiten medidas correctoras. Se considerar el
establecimiento de procedimientos formales de informe, que afectarn a todo el
personal de la organizacin. Se requerir rapidez en la comunicacin de aquellos
informes de eventos que impacten en la seguridad de la informacin a travs de
los canales adecuados.
Gestin de los incidentes y mejoras en la seguridad de la informacin. Garanta de
aplicacin de un enfoque consistente en la gestin de los incidentes de seguridad.
Se considerar el establecimiento de responsabilidades y procedimientos para
gestionar con eficacia los eventos y las debilidades de la seguridad. Cabr un
proceso de mejora continua para la respuesta al monitoreo, su evaluacin y la
gestin de incidentes.

4.11. Gestin de la continuidad del negocio


Este apartado considera la importante cuestin de la disponibilidad de la informacin que
soportan las aplicaciones en caso de desastres. Para ello, el objetivo se centra en el
establecimiento de un plan de accin que minimice los efectos de cualquier catstrofe. La
organizacin debe saber responder a una interrupcin en sus actividades, proteger sus
procesos crticos y garantizar una pronta reanudacin de sus funciones.
Se considerar la implementacin de un proceso de gestin de la continuidad del negocio,
que minimice impactos y permita una rpida recuperacin de prdidas de activos de
informacin a niveles aceptables. El proceso deber identificar procesos crticos e integrar
los requisitos de la gestin de la seguridad de la informacin de la continuidad del negocio
en otros requisitos de continuidad parciales.

Las consecuencias de los desastres merecen un anlisis de su impacto en la organizacin.


De lo que se deriva que la seguridad de la informacin deber integrarse en el proceso
general de continuidad de negocio en toda organizacin.

Incluir la seguridad de la informacin en el proceso de gestin de continuidad del


negocio. Se considerar el desarrollo y el mantenimiento de un proceso integral
para la continuidad del negocio, en toda la organizacin, que trate los requisitos de
seguridad de la informacin.
Continuidad del negocio y evaluacin del riesgo. Se considerar la identificacin de
aquellos eventos que puedan interrumpir procesos de la organizacin, sopesando
su impacto y sus consecuencias.
Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la
informacin. Se considerar el desarrollo y la implementacin de planes que
aseguren la disponibilidad de la informacin en niveles aceptables y en plazos de
tiempo razonables, en caso de interrupcin del negocio.
Marco referencial de los planes de continuidad del negocio. Se considerar la
opcin de mantener un nico marco referencial en cuanto a los planes de
continuidad del negocio, para que los planes parciales sean consistentes respecto
de la seguridad de la informacin
Prueba, mantenimiento y reevaluacin de los planes de continuidad del negocio.
Los planes de continuidad del negocio sern debidamente probados y actualizados
para asegurar su efectividad. Se considerar la designacin de un responsable en
las revisiones regulares de cada plan de negocio que, con un proceso formal de
control de cambios parciales, dotar al plan completo de mayor consistencia y
eficacia.

5. Cuadro de compromisos de cumplimiento


Este cuadro identifica aquellos compromisos establecidos en las lneas de actuacin de la
Gua de Implementacin de Administracin electrnica y unas recomendaciones sobre
cmo cumplir con los mismos.

El nmero representado es el mismo con el que se identifica dicho compromiso en la Gua


de Implementacin.

N Compromisos Cmo cumplir con los compromisos

4.1 Adoptar una poltica de seguridad Elaborar, los equipos directivos, una
de la informacin poltica de seguridad de la informacin

Publicar y difundir en la organizacin un


documento que defina el marco de
aplicacin

Revisar y actualizar el documento, en


bsqueda de su mayor idoneidad, eficiencia
y efectividad

4.2 Observar una buena gestin de los A nivel interno:


aspectos organizativos de la
- Asumir, el equipo directivo, la
seguridad de la informacin, tanto
importancia de la seguridad
de la participacin interna como
externa - Coordinar la seguridad

- Asignar roles

- Revisar con carcter independiente la


seguridad

A nivel externo:

- Identificar los riesgos


N Compromisos Cmo cumplir con los compromisos

- Tratar la seguridad

4.3 Conocer y aceptar, el personal de Para la seleccin de personal:


la organizacin, la
- Definir los roles y responsabilidades
responsabilidad que conlleva la
seguridad de la informacin - Incluir trminos y condiciones de
seguridad en el contenido de los contratos

Para el personal interno:

- Requerir a todo el personal la


aplicacin de la seguridad, segn la poltica
procedimientos establecidos.

- Capacitar en materia de seguridad de


la informacin y actualizar los
conocimientos sobre polticas y
procedimientos

Para el personal saliente:

- Definir las responsabilidades tras el


abandono del puesto en la organizacin

- Devolver activos, quien pudiera tener


en su posesin, bien software o documentos
corporativos

- Retirar derechos de acceso

4.4 Garantizar la proteccin fsica y Proteger las reas seguras, donde se


ambiental de los activos fsicos a encuentran los medios de tratamiento de
travs del control de acceso informacin crtica o confidencial
N Compromisos Cmo cumplir con los compromisos

- Proteger las reas que contienen


informacin y medios de tratamiento de
informacin

- Permitir el ingreso slo a personal


autorizado

- Disear los lugares con especial


control del acceso

- Proteger contra amenazas externas e


internas

- Controlar el trnsito de personas


externas

4.5 Cumplir el marco normativo y de Cumplir con los requisitos legales, mediante
todo requisito de seguridad que el control sobre cualquier violacin de las
en l est implcito disposiciones legales vigentes, estatutos
propios, contratos o requisito de seguridad
de la informacin

Cumplir con las polticas y estndares de


seguridad y cumplimiento tcnico

Considerar auditoras de los sistemas de


informacin

4.6 Gestionar los activos como medio Identificar y gestionar los activos mediante
para cobrar responsabilidad el mantenimiento de unos controles
mediante una proteccin que adecuados:
incluya la identificacin de los
- Identificar los activos y documentar
propietarios; tambin para
su importancia
N Compromisos Cmo cumplir con los compromisos

asegurar la clasificacin, segn un - Velar por su correcta clasificacin y


nivel adecuado de proteccin definir y revisar sus restricciones

- Seguir unas pautas en el uso

Garantizar que la informacin recibe un


nivel correcto de proteccin:

- Clasificar de manera ponderada y


proporcionada.

- Etiquetar y manejar, para un mejor


intercambio de informacin clasificada

4.7 Garantizar una segura y Establecer los siguientes controles:


controlada explotacin de su
- Establecer responsabilidades y
infraestructura, con una
procedimientos para la gestin y la
pertinente supervisin y registro
operacin de todos los medios de
de incidencias
tratamiento

- Chequear y monitorizar los servicios


de terceros

- Asegurar la capacidad y la
disponibilidad de los recursos necesarios

- Proteger la integridad del software


con la toma de precauciones ante cdigos
maliciosos y cdigos mviles no
autorizados
N Compromisos Cmo cumplir con los compromisos

- Establecer procedimientos de rutina


para implementar el back-up y la estrategia
de copias

- Gestionar la seguridad de red


mediante el monitoreo y la consideracin
de cuestiones legales

- Controlar y proteger fsicamente los


dispositivos de almacenamiento

- Intercambiar la informacin entre


organizaciones, como una poltica formal

- Considerar la integridad y la
disponibilidad de la informacin publicada
electrnicamente

- Monitorear los sistemas y los


informes de incidentes de seguridad de la
informacin

4.8 Considerar el control de acceso a Establecer los siguientes controles:


los sistemas de informacin como
- Marcar los requisitos del negocio para
uno de los campos cruciales en la
el control del acceso
seguridad de la informacin
- Controlar los derechos de acceso de
los usuarios

- Concienciar a los usuarios


autorizados de lo importante de su
cooperacin en la consolidacin de la
seguridad de la informacin
N Compromisos Cmo cumplir con los compromisos

- Controlar el acceso no autorizado a


los servicios de las redes, internas y
externas

- Usar medios de seguridad para


restringir el acceso a usuarios no
autorizados

- Usar medios de seguridad para la


restriccin del acceso a la informacin y a
las aplicaciones.

- Proteger proporcionalmente ante el


riesgo del teletrabajo y movilidad

4.9 Garantizar la integridad de la Establecer los siguientes controles:


seguridad de la informacin en los
- Disear los requisitos de seguridad
sistemas
que afectan a los sistemas

- Disear controles adecuados en las


aplicaciones, incluyendo una validacin de
los datos de entrada y de salida

- Desarrollar una poltica


organizacional sobre los controles
criptogrficos

- Controlar el acceso a los sistemas de


ficheros y del cdigo fuente del programa

- Mantener la seguridad del software y


la informacin de las aplicaciones.
N Compromisos Cmo cumplir con los compromisos

- Gestionar la vulnerabilidad tcnica


sistemticamente

4.10 Garantizar que los registros de Establecer los siguientes controles:


incidencias y las debilidades en la
- Establecer procedimientos de
seguridad de la informacin y de
informe, que afectarn a todo el personal de
sus sistemas se comuniquen de
la organizacin.
manera pertinente, como medio
que posibilite la debida correccin - Establecer responsabilidades y
procedimientos para gestionar con eficacia
los eventos y debilidades de la seguridad

4.11 Implementar un plan de Incluir la seguridad de la informacin en el


continuidad del negocio que proceso de gestin de continuidad del
responda a la interrupcin de sus negocio
actividades y proteja sus procesos
Asegurar la continuidad del negocio y una
crticos, garantizando una pronta
evaluacin del riesgo
reanudacin de sus funciones
Desarrollar e implementar los planes de
continuidad incluyendo la seguridad de la
informacin

Establecer un marco referencial en los


planes de continuidad del negocio

Probar, mantener y reevaluar los planes de


continuidad del negocio

6. Trminos y referencias
6.1. Glosario
Activo de informacin: cualquier recurso de informacin o datos con valor para el
desarrollo de las funciones de una organizacin, que puede ser comprendido y tratado
como una nica unidad a efectos de gestin, uso, proteccin e intercambio. Aunque puede
designar piezas aisladas de informacin (una imagen incluida en un documento, un registro
de una base de datos), suele emplearse para identificar y tratar conjuntos de informacin o
datos, como agrupaciones documentales, bases de datos, sitios web, colecciones de
metadatos... En el mbito de la seguridad de la informacin se emplea tambin para
designar el hardware y software utilizado para su procesamiento o almacenamiento, los
servicios utilizados para su transmisin o recepcin y las herramientas y/o utilidades para
el desarrollo y soporte de sistemas de informacin.
Amenaza: causa potencial de un incidente no deseado, que puede provocar dao a un
sistema o a una organizacin.
Autenticacin: situacin en la cual se puede verificar que un documento ha sido elaborado
(o pertenece) a quien el documento dice. Aplicado a la verificacin de la identidad de un
usuario, la autenticacin se produce cuando el usuario puede verificar que es quien dice ser
y, por ello, pasa a ser considerado un usuario autorizado.
Control: medio para gestionar un riesgo, incluyendo polticas, procedimientos,
lineamientos, prcticas o estructuras de la organizacin, que pueden ser tcnicas, de
gestin o naturaleza legal. Tambin puede ser sinnimo de salvaguarda.
Medios de tratamiento de la informacin: cualquier sistema, servicio o infraestructura
de tratamiento de la informacin, o bien los locales fsicos donde se alojan.
No repudio: servicio de seguridad, estrechamente relacionado con la autenticacin, que
permite probar la participacin de las partes en una comunicacin. La diferencia esencial
con la autenticacin es que la primera se produce entre las partes que establecen la
comunicacin y el servicio de no repudio se produce frente a un tercero, de este modo,
existirn dos posibilidades: no repudio en origen y no repudio en destino. Si la autenticidad
prueba quin es el autor de un documento y cul es su destinatario, el no repudio prueba
que el autor envi la comunicacin (vase No repudio en origen) y que el destinatario la
recibi (vase No repudio en destino).
No repudio en destino: servicio de seguridad mediante el cual el receptor no puede negar
que recibi el mensaje porque el emisor tiene pruebas de la recepcin. Este servicio
proporciona al emisor la prueba de que el destinatario legtimo de un envo, realmente lo
recibi, evitando que el receptor lo niegue posteriormente. En este caso la prueba
irrefutable la crea el receptor y la recibe el emisor.
No repudio en origen: servicio de seguridad mediante el cual el emisor no puede negar
que envo porque el destinatario tiene pruebas del envo, el receptor recibe una prueba
infalsificable del origen del envo, lo cual evita que el emisor, de negar tal envo, tenga xito
ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el
destinatario.
Plan de continuidad del negocio: plan de proteccin dirigido a la solucin de los
incidentes que provoquen una interrupcin en la actividad de las organizaciones, reducir
la probabilidad de que se produzcan y garantizar la recuperacin de su empresa.
Riesgo: combinacin de la probabilidad de un evento y su ocurrencia.
Seguridad de la informacin: preservacin de la confidencialidad, la integridad y la
disponibilidad de la informacin, que tambin puede involucrar a otras propiedades como
la autenticidad, la trazabilidad, el no repudio y la fiabilidad.
Vulnerabilidad: debilidad de un activo que puede ser explotada por una amenaza.

6.2. Referencias y bibliografa


ESPAA. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica. Boletn Oficial de Estado [en
lnea], 29 de enero de 2010, 25. [Consulta: 15 diciembre 2014].

Disponible ac
ESPAA. GOBIERNO VASCO. 2010. Manual de seguridad [en lnea]. Vitoria-Gasteiz:
Departamento de Justicia y Administracin Pblica. [Consulta: 15 diciembre 2014].

Disponible ac
INTERNATIONAL ORGANIZATION FOR STANDARIZATION (ISO). 2013. ISO/IEC
27001:2013. Information technology - Security techniques - Information security
management systems - Requirements. Ginebra: ISO.

INTERNATIONAL ORGANIZATION FOR STANDARIZATION (ISO). 2013. ISO/IEC


27002:2013. Information technology - Security techniques - Code of practice for
information security controls. Ginebra: ISO.
ORGANIZACIN PARA LA COOPERACIN Y EL DESARROLLO ECONMICO (OCDE). 2004.
Directrices de la OCDE para la seguridad de sistemas y redes de informacin. Hacia una
cultura de la seguridad [en lnea]. Pars: OCDE; Madrid: Ministerio de Administraciones
Pblicas. [Consulta: 15 diciembre 2014].

Disponible ac
UNIN EUROPEA. 2001. Decisin 2001/264/CE del Consejo, de 19 de marzo de 2001, por
la que se adoptan las normas de seguridad del Consejo [en lnea]. Diario Oficial de las
Comunidades Europeas, 11 de abril de 2001, L 101. [Consulta: 15 diciembre 2015].

Disponible ac
VILLALN HUERTA, A. 2004. Cdigos de buenas prcticas de seguridad. UNE-ISO/IEC
17799 [en lnea]. En: El Sistema de Gestin de Seguridad de la Informacin. La nueva norma
UNE 71502, Valencia, Espaa. Septiembre, 2004. [Consulta: 15 diciembre 2014].

Вам также может понравиться