Академический Документы
Профессиональный Документы
Культура Документы
27001-2013
REF. DS-83
CONTROL
CONTROL
DOMINIO
NCh-ISO
ISO
A.5 POLITICA DE SEGURIDAD
A.5.1 POLITICA DE SEGURIDAD DE LA INFORMACION
Política de Seguridad
A.5.1.2 A.5.1.2
A.6.1.2 ELIMINADO
A.6.1.3 Art. 12, a,b A.6.1.1
A.8.1.1 A.6.1.1
A.8.1.2 A.7.1.1
A.8.2.3 A.7.2.3
A.8.3.3 A.9.2.6
A.9.2.4 A.11.2.4
A.9.2.5 A.11.2.6
A.9.2.7 A.11.2.5
A.10.1.2 A.12.1.2
A.10.1.4 A.12.1.4
Clausula 8.1*
Implementar y mantener un nivel adecuado de la seguridad de la información y la entrega del se
Objetivo acorde con los acuerdos de entrega del servicio de terceras partes.
A.10.2.1 Clausula 8.1 (*)
A.10.2.2 A.15.2.1
A.10.2.3 A.15.2.2
A.10.3.2 A.14.2.9
A.10.5 RESPALDO
Objetivo Mantener la integridad y disponibilidad de la informacion y de las instalaciones de procesamiento
informacion.
A.10.5.1 Art. 24 Letras A.12.3.1
a-b-c-d-e-f-g
Gestión de comunicaciones y operaciones
A.10.6.2.Párr.1 A.13.1.2
A.10.6.2.Párr.2
A.10.6.2.Párr.3
A.10.7 MANEJO DE LOSno
Evitar divulgacion MEDIOS
autorizada, modificacion, borrado o destruccion de los activos e interrupcion
Objetivo las actividades de negocio.
A.10.7.1 Art. 24 Letra e A.8.3.1
A.10.7.4 ELIMINADO
A.10.8 INTERCAMBIO
Manterner DE INFORMACION
la seguridad de la informacion y software intercambiado dentro de una organización y
Objetivo cualquier otra entidad.
A.10.8.1 Art. 9 A.13.2.1
Art. 10 Letra a
A.10.8.3 A.8.3.3
A.10.9.2 A.14.1.3
A.10.10 SEGUIMIENTO
Objetivo Detectar actividades de procesamiento de informacion no autorizadas.
A.10.10.1 Art. 23 A.12.4.1
A.10.10.2 Art. 7
A.10.10.5 Letra d
A.10.10.3 Art. 23 A.12.4.2
A.12.4.3
A.10.10.4 A.12.4.3
A.10.10.6 A.12.4.4
A.11.2.4 A.9.2.5
A.11.4.4 ELIMINADO
A.11.4.7 ELIMINADO
A.11.5.6
A.11.6 CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACION
Objetivo Evitar el acceso no autorizado a la información contenida en los sistemas de aplicación.
A.11.6.1 A.9.4.1
A.11.6.2 ELIMINADO
A.11.7 INFORMATICA
Garantizar MOVIL Yde
la seguridad TRABAJO REMOTO
la información cuando se usan dispositivos de informática móvil y trab
Objetivo remoto.
A.11.7.1 Art. 7, Letra a A.6.2.1
Art. 9
A.11.7.2 A.6.2.2
A.12.2.3.Párr.2 ELIMINADO
A.13.1.2 A.16.1.3
A.13.2
Objetivo
A.13.2.1 Art. 12 Letra b A.16.1.1
A.13.2.2 A.16.1.6
A.13.2.3 A.16.1.7
A.14.1.3 Art. 35
A.14.1.4
A.14.1.2 Art. 7 A.17.1.1
Letra d
Art. 8
A.14.1.5 A.17.1.3
A.15 CUMPLIMIENTO
A.15.1 Cumplimiento
Evitar de los requisitos
el incumplimiento legales
de cualquier ley, estatuto, regulacion u obligacion contractual, y de cualq
Objetivo requisito de seguridad.
A.15.1.1 A.18.1.1
A.15.1.3 A.18.1.3
A.15.1.4 A.18.1.4
A.15.1.5 ELIMINADO
Cumplimiento
A.15.1.6 A.18.1.5
A.15.2.2 A.18.2.3
A.15.3 Consideraciones
Maximizar sobre ladeauditoría
la efectividad de sistemas
la interferencia, de información
y reducirla al mínimo, desde o hacia el proceso de au
Objetivo del sistema de información.
A.15.3.1 A.12.7.1
A.15.3.2 ELIMINADO
NOTA
(*) Los controles señalados se mapean al menos parcialmente contra requerimien
Por ejemplo, la clausula 8.1 en ISO 27001-2013 requiere que la organización s
debe asegurar de que los procesos externalizados se determinan y controlan.
OBJETIVO DE CONTROL
D DE LA INFORMACION
o de la direccion para la seguridad de la informacion, de acuerdo con los
on las regulaciones y leyes pertinentes.
Políticas de seguridad de la información
SEGURIDAD DE LA INFORMACION
RE LOS ACTIVOS
na adecuada protección sovre los activos de la organización.
Inventario de activos
Propiedad de los activos
NFORMACION
n recibe el nivel de proteccion adecuado.
Clasificación de la información.
Etiquetado de la información
RECURSOS HUMANOS
Selección.
L AMBIENTE
Elementos de soporte
Seguridad en el cableado
Retiro de Activos.
CIONES Y OPERACIONES
RACIONALES Y RESPONSABILIDADES
ecta y segura de las instalaciones de procesamiento de la información
Procedimientos de operación documentados
Gestión de cambios
Segregación de funciones
Respaldo de la información
DAD DE RED
a información en redes y la proteccion de la infraestructura de soporte.
Controles de red
Manejo de activos
Mensajería electrónica.
IO ELECTRONICO
en el comercio electronico sobre redes publicas deberia ser protegida ante
isputas contractuales, y su divilgacion o modificacion no autorizada.
Aseguramiento de servicos de aplicación en redes publicas.
Sincronización de relojes
DE USUARIOS
arios autorizados y prevenir el acceso no autorizado a los sistemas de
EL USUARIO
ario no autorizado, y el robo o compromiso de la información y de las
iento de la informacion.
Uso de informacion de autenticacion secreta.
L SISTEMA OPERATIVO
ado a los sistemas operativos.
Procedimientos de inicio de sesión seguro.
eRABAJO REMOTO
la información cuando se usan dispositivos de informática móvil y trabajo
Trabajo Remoto.
Gestión de claves
Filtración de información
Desarrollo tercerizado.
S DE LA SEGURIDAD DE LA INFORMACION
ntos de seguridad de la informacion.
es y eventos de seguridad de la informacion asociados a sistemas de
dos de manera de permitir tomar acciones correctivas a tiempo.
Informe de eventos de seguridad de la información.
Responsabilidades y procedimientos.
Recolección de evidencia.
UIDAD DE NEGOCIO
de la información en la gestion de la continuidad del negocio
s a las actividades del negocio y proteger los procesos criticos del negocio
importantes en los sistemas de informacion o contra desastres, y asegurar
sitos legales
cualquier ley, estatuto, regulacion u obligacion contractual, y de cualquier
eauditoría de sistemas
la interferencia, de información
y reducirla al mínimo, desde o hacia el proceso de auditoría
.
Controles de auditoría de sistemas de información.
27001-2013
CONTROL
CONTROL
NCh-ISO
ISO
OBJETIVO DE CONTROL REQUISITO de CONTROL
A.5.1.2 A.05.01.02 Revisión de las políticas Se deben revisar las políticas de seguridad de
de seguridad de la la información a intervalos planificados o si se
información producen cambios significativos, para asegurar
su conveniencia, suficiencia y eficacia
contínuas.
A.8.1.1 A.06.01.01 Roles y responsabilidades Todas las responsabilidades de la seguridad de
de la seguridad de la la informacion deben ser definidas y asignadas.
informacion.
A.6.1.3
D06
A.10.1.3 A.06.01.02 Segregación de funciones Se deben segregar las funciones y las areas de
responsabilidad para reducir las oportunidades
de modificaciones no autorizadas o no
intencionales, o el uso inadecuado de los
activos de la organizacion.
A.6.1.6 A.06.01.03 Contacto con autoridades Se deben mantener los contactos apropiados
con las autoridades pertinentes.
A.6.1.7 A.06.01.04 Contacto con grupos Se deben mantener contactos apropiados con
especiales de interés. los grupos especiales de interés u otros foros
especializados en seguridad, así como
asociaciones de profesionales.
A.06.01.05 Seguridad de la Se debe abordar la seguridad de la información
información en la gestión en la gestión de proyecto, sin importar el tipo de
de proyecto. proyecto.
A.10.7.2 A.08.03.02 Eliminacion de los Se deben eliminar los medios de forma segura
medios. y sin peligro cuando no se necesiten más,
usando procedimientos formales.
A.11.1.1 A.09.01.01 Política de control del Se debe establecer, documentar y revisar una
acceso política de control de acceso basados en los
requisitos de negocio y de seguridad de la
información.
A.11.4.1 A.09.01.02 Accesos a las Redes y a Los usuarios sólo deben tener acceso directo a
los servicios de la red a la red y a los servicios de la red para los
cuales han sido autorizados.
A.12.3.1 A.10.01.01 Política sobre el uso de Se debe desarrollar e implementar una política
controles criptográficos sobre el uso de controles criptográficos para la
protección de la información.
A.9.1.2 A.11.01.02 Controles de ingreso Las áreas seguras deben estar protegidas por
físico controles de entrada apropiados que aseguren
que sólo se permite el acceso a personal
autorizado.
A.9.1.3 A.11.01.03 Asegurar Seguridad de Se debiera diseñar y aplicar la seguridad física
oficinas, salas e en oficinas salas e instalaciones.
instalaciones.
A.9.1.4 A.11.01.04 Protección contra Se debe diseñar y aplicar la protección física
amenazas externas y del contra daño por desastre natural, ataque
ambiente. malicioso o accidentes.
A.9.1.5 A.11.01.05 Trabajo en áreas seguras. Se deben diseñar y aplicar procedimientos para
trabajar en áreas seguras.
A.9.1.6 A.11.01.06 Áreas de entrega y carga. Se deben controlar los puntos de acceso tales
como áreas de entrega y de carga y otros
puntos donde las personas no autorizadas
puedan acceder a las instalaciones y, si es
posible, aislarlas de las instalaciones de
procesamiento de información para evitar el
acceso no autorizado.
Clausula 8.1 (*) Control y Planificacion (La organización se debe asegurar de que los procesos
operacional. externalizados se determinan y controlan)
A.15.3.1 A.12.07.01 Controles de auditoría de Los requisitos y las actividades de auditoría que
sistemas de información involucran verificaciones de los sistemas
operacionales se deben planificar y acordar
cuidadosamente para minimizar el riesgo de
interrupciones en los procesos del negocio.
A.10.6.1 A.13.01.01 Controles de red Las redes se deben gestionar y controlar para
proteger la informacion en los sistemas y
aplicaciones.
A.10.6.2.Pá A.13.01.02 Seguridad de los servicios Los mecanismos de seguridad, los niveles de
rr.1 de la red servicio y los requisitos de la gestión de todos
los serviciosde red se deben identificar e incluir
A.10.6.2.Pá en los acuerdos de servicios de red, ya sea que
rr.2 estos servicios son prestados dentro de la
A.10.6.2.Pá organizacion o por terceros.
rr.3
A.11.4.5 A.13.01.03 Separacion en las redes Los grupos de servicios de información,
usuarios y sistemas de información se deben
separar en redes.
A.12.5.1 A.14.02.02 Procedimientos del Los cambios a los istemas dentro del ciclo de
control del cambios del desarrollo deben ser controlados mediante el
sistema. uso de procedimientos formales de control de
cambios.
A.12.5.3 A.14.02.04 Restricciones sobre los Se deben desalentar las modificaciones a los
cambios en los paquetes paquetes de software, que se deben limitar a
de software. los cambios necesarios, los que deben ser
controlados de manera estricta.
A.10.3.2 A.14.02.09 Prueba de aceptación del Se deben definir los programas de prueba de
sistema aceptación y los criterios pertinentes para los
nuevos sistemas de información,
actualizaciones y o versiones nuevas.
A.15.01.03 Cadena de suministro de Los acuerdos con los proveedores deben inclu
tecnologías de la ir los requisitos para abordar los riesgos de
información y seguridad de la información asociados a los
comunicaciones servicios de la tecnología de la información y
las comunicaciones y la cadena de suministro
del producto
A.13.1.1 A.16.01.02 Informe de eventos en la Se deben informar, lo antes posible, los eventos
seguridad de la de seguridad de la información mediante
información canales de gestion apropiados.
A.13.1.2 A.16.01.03 Reporte de las Se debe requerir a todos los empleados y
debilidades en la contratistas que usen los sistemas
seguridad y servicios de información de la organización,
que observen e informen cualquier debilidad
(observada o que se sospeche) en la seguridad
de la informacion de los sistemas o los
servicios.
A.15.1.3 A.18.01.03 Protección de los Los registros se deben proteger contra pérdida,
registros. destrucción, falsificación, acceso sin
autorización, de acuerdo con los requisitos
legislativos, regulatorios, contractuales y del
negocio.
A.15.2.1 A.18.02.02 Cumplimiento con las Los gerentes deben revisar con regularidad el
políticas y normas de cumplimiento del procesamiento de la
seguridad información y los procedimientos de seguridad
que están dentro de su area de
responsabilidad, de acuerdo con las politicas de
seguridad, normas y requisitos de seguridad
pertinentes.
A.15.2.2 A.18.02.03 Verificación del Se deben verificar regularmente los sistemas
cumplimiento técnico de información en cuanto a su cumplimiento
con las políticas y normas de seguridad de la
información de la organización.
NOTA
(*) Los controles señalados se mapean al menos parcialmente contra
requerimientos del SGSI. Por ejemplo, la clausula 8.1 en NCh ISO
27001.Of 2013 requiere que la organización se debe asegurar de que los
procesos externalizados se determinan y controlan.
FE DE ERRATAS al 12-07-2015
Se debería tener cuidado para que ninguna persona pueda acceder, modificar
ni utilizar activos sin autorización o detección.
El início de un evento se debería separar de su autorización. Se debería
considerar la posibilidad de colusión en el diseño de controles.
Las organizaciones pequeñas pueden encontrar la segregación de labores
como dificil de lograr, pero el principio se debería aplicar en la mayor medida
posible. Cuando sean difíciles de segregar, se deberían considerar otros
controles como el monitoreo de actividades, seguimientos de auditoría y
supervisión de la dirección.
Los empleados y los usuarios externos que usan o que tengan acceso a los
activos de la organización deben tomar conciencia de los requisitos de
seguridad de la información de los activos de la organización, relacionados con
la información y las instalaciones y recursos de procesamiento de la
información. Deben ser responsables del uso de cualquier recurso de
procesamiento de la información y cualquier uso desarrollado bajo su
responsabilidad.
Pautas a considerar para proteger a los medios que contienen información que
se transporta:
-Se deberían utilizar servicios de transporte o courier confiables;
-Se deberían desarrollar procedimientos para verificar la identificación de
servicios de courier;
-El empaque debería ser suficiente para proteger los contenidos de daños
físicos que probablemente ocurran durante el tránsito de acuerdo con las
especificaciones del fabricante;
-Se deberían mantener registros, identificando el contenido de los medios, la
protección aplicada, así como también un registro de las veces en que se
transfirió a los custodios en tránsito y un recibo
en el lugar del destino.
La institución debe contar con protección contra daños causados por desastre
natural (inundacion, terremoto, tsunami, tormenta electrica, etc.).
La institucion debe contar con protección contra daños causados por ataque
malicioso (explosión, revuelta civil, etc.).
La institución debe contar con protección contra accidentes u otras formas de
desastres por causa humana.
-El equipamiento debe estar ubicado o protegido de forma que se reduzcan los
riesgos provocados por amenazas y peligros ambientales, y accesos no
autorizados.
-La autoridad (dirección) debe impartir instrucciones relativas al consumo de
alimentos, bebidas y tabaco en las cercanías de los medios de procesan y
soportan información.
-La autoridad debe promover prácticas de escritorio limpio.
¿Se utiliza una sola fuente horaria para sincronizar los relojes de todos los
sistemas de procesamiento de información relevantes dentro de la organización
o dominio de seguridad?
-Las pruebas de aceptación del sistema deberían incluir las pruebas de los
requisitos de seguridad de la
información (ver A.14.1.1 y A.14.1.2) y la adherencia a las prácticas de
desarrollo del sistema seguro (ver A.14.2.1).
-Las pruebas también se deberían realizar en los componentes y sistemas
integrados recibidos.
-Las pruebas se deberían realizar en un entorno de pruebas realista para
garantizar que el sistema no introducirá vulnerabilidades al entorno de la
organización y que las pruebas sean confiables.
Temas que deberían ser incluidos en los acuerdos con el proveedor sobre la
seguridad de la cadena de suministro:
-Definir los requisitos de seguridad de la información que se aplicarán a la
adquisición de tecnologías, productos o servicios de información y
comunicación además de los requisitos de seguridad de la
información para las relaciones con el proveedor;
-Implementación de un proceso de monitoreo y métodos aceptables para
validar que los productos y servicios de tecnología de información y
comunicación se adhieren a los requisitos de seguridad establecidos;
-Implementación de un proceso para identificar los componentes de los
productos o servicios que son fundamentales para mantener la funcionalidad y
que, por lo tanto, requiere una mayor atención y escrutinio cuando se
desarrollan fuera de la organización, especialmente si el proveedor del nivel
superior externalice los aspectos de los componentes de productos o servicios
a otros proveedores;
-Obtener la garantía de que los productos de tecnología de información y
comunicación entregados funcionan según lo esperado sin ninguna función
inesperada o no deseada;
El monitoreo y revisión de los servicios del proveedor debería garantizar que los
términos y condiciones de
seguridad de la información de los acuerdos se respeten y que los incidentes y
los problemas de seguridad de la información se gestionen correctamente.
Los servicios definidos, así como los reportes y registros provistos por terceros,
deben ser monitoreados y revisados regularmente.
La entrega del servicio definido con el proveedor se debe auditar.
Nombre Responsable /
Proceso Subproceso Etapa relevante Tipo Ubicación
Activo dueño
MACIÓN ANÁLISIS DE CRITICIDAD
Persona
Soporte Autorizada Confidencialidad Integridad Disponibilidad Criticidad
para Manipular
Nombre de la Institución:
CARACTERIZACIÓN DEL ACTIVO IDENTIFICACIÓN Y
Nombre
Proceso Confidencialidad Integridad Disponibilidad Criticidad Amenaza
Activo
IDENTIFICACIÓN Y CARACTERIZACION DE LOS RIESGOS MEDIDAS DE MITIGACION
PROGRAMA DE TRABAJO
Responsable del Fecha Responsable de la
Producto Esperado Actividades o Hitos Fecha Inicio
Producto Término actividad
Difusión/Sensibilizaciòn
Capacitaciòn
Difusión/Sensibilizaciòn
Capacitaciòn