Articles-51683 Intro Instrumentos 2016-18-05

27001-2009
27001-2013
REF. DS-83
CONTROL
CONTROL
DOMINIO
NCh-ISO
ISO
A.5 POLITICA DE SEGURIDAD
A.5.1 POLITICA DE SEGURIDAD DE LA INFORMACION
Política de Seguridad
Proveer orientacion y apoyo de la direccion para la seguridad de la informacion, de acuerdo con

Objetivo: requisitos del negocio, y con las regulaciones y leyes pertinentes.
A.5.1.1 Art. 11, letras A.5.1.1.
a,b,c
A.5
A.5.1.2 A.5.1.2
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION

A.6.1 ORGANIZACIÓN INTERNA
Objetivo Gestionar la seguridad de la información dentro de la organización.
A.6.1.1 Art. 12 ELIMINADO
Organización de la Seguridad de la Información
A.6.1.2 ELIMINADO
A.6.1.3 Art. 12, a,b A.6.1.1
A.6.1.7 Art. 12 Letra c A.6.1.4

A.6.1.6 A.6.1.3
A.6.1.4 ELIMINADO
A.6.1.5 A.13.2.4
A.6.1.8 A.18.2.1
A.6.2 ORGANIZACIÓN INTERNA
Objetivo Gestionar la seguridad de la información dentro de la organización.
A.6.2.1 Art. 10 Letra a ELIMINADO
A.6.2.2 Art. 10 Letra a-b- ELIMINADO
c
A.6.2.3 Art. 10 Letra a-b- A.15.1.2
c
A.7 GESTION DE ACTIVOS

A.7.1 RESPONSABILIDAD SOBRE LOS ACTIVOS
Objetivo Implementar y mantener una adecuada protección sovre los activos de la organización.
A.7.1.1. Art. 13 A.8.1.1
ION DE ACTIVOS
GESTION DE ACTIVOS
A.7.1.2 Art. 14 A.8.1.2
A.7.1.3 Art 15 A.8.1.3
A.7.2 CLASIFICACION DE LA INFORMACION

Objetivo Asegurar que la informacion recibe el nivel de proteccion adecuado.
A.7.2.1 Art 13 A.8.2.1
A.7.2.2 Art. 15 A.8.2.2

Art. 16
A.8 SEGURIDAD RELATIVA A RECURSOS HUMANOS

A.8.1 PREVIO AL EMPLEO
Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades, y que sean aptospara los roles en los cuales estan siendo considerados, y pa
Objetivo reducir el riego de hurto, fraude o mal uso de las instalaciones.
SEGURIDAD RELATIVA A RECURSOS HUMANOS
A.8.1.1 A.6.1.1
A.8.1.2 A.7.1.1
A.8.1.3 Art. 21 A.7.1.2
A.8.2 DURANTE EL EMPLEO

Asegurar que los empleados, contratistas y usuarios de terceras partes sean conscientes de las
amenazas y la pertinencia de la seguridad de la información, de sus responsabilidades y obligaci
y estén equipados para apoyar la politica de seguridad de la organización en el curso de su traba
Objetivo normal , y para reducir el riesgo de errores humanos.
A.8.2.1 Art. 20 A.7.2.1
A.8.2.2 A.7.2.2
A.8.2.3 A.7.2.3
A.8.3 FINALIZACION O CAMBIO DE LA RELACION LABORAL O EMPLEO

Asegurar que los empleados, contratistas o usuarios de terceras partes se desvinculen de una
Objetivo organización o cambien su relacion laboral de una forma ordenada.
A.8.3.1 A.7.3.1
A.8.3.2 A.8.1.4
A.8.3.3 A.9.2.6
A.9 SEGURIDAD FISICA Y DEL AMBIENTE

A.9.1 AREAS SEGURAS
Se deberían utilizar perímetros de seguridad (barreras tales como paredes, puertas de entrada
controladas por tarjeta o recepcionista) para proteger las areas que contienen información e
Objetivo instalaciones de procesamiento de información.
A.9.1.1 Art. 17 A.11.1.1
A.9.1.2 Art. 17 A.11.1.2
A.9.1.3 Art. 19 Letra a-b A.11.1.3

SEGURIDAD FISICA Y DEL AMBIENTE
A.9.1.4 Art. 17 A.11.1.4
A.9.1.5 Art. 17 A.11.1.5
A.9.1.6 Art. 17 A.11.1.6
A.9.2 SEGURIDAD DEL EQUIPAMIENTO

Prevenir pérdidas, daños, hurtos o comprometer los activos así como la interrupción de las activi
Objetivo de la instituicion.
A.9.2.1 Art.17 A.11.2.1
Art.18, letra a,c
A.9.2.2 Art. 17 A.11.2.2
A.9.2.3 Art. 10 Letra a A.11.2.3
A.9.2.4 A.11.2.4
A.9.2.5 A.11.2.6
A.9.2.6 Art. 26 Letra e A.11.2.7
A.9.2.7 A.11.2.5
A.10 GESTION DE COMUNICACIONES Y OPERACIONES
A.10.1 PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES

Objetivo Asegurar la operación correcta y segura de las instalaciones de procesamiento de la información
A.10.1.1 Art. 7 Letra b-c A.12.1.1
A.10.1.2 A.12.1.2
A.10.1.3 Art. 7 Letra f A.6.1.2
A.10.1.4 A.12.1.4
A.10.2 GESTION DE LA ENTREGA DEL SERVICIO DE TERCERAS PARTES
Clausula 8.1*
Implementar y mantener un nivel adecuado de la seguridad de la información y la entrega del se
Objetivo acorde con los acuerdos de entrega del servicio de terceras partes.
A.10.2.1 Clausula 8.1 (*)
A.10.2.2 A.15.2.1
Clausula 8.1 (*)
A.10.2.3 A.15.2.2
Clausula 8.1 (*)
A.10.3 PLANIFICACION Y ACEPTACION DEL SISTEMA.

Objetivo Minimizar el riesgo de falla de los sistemas
A.10.3.1 A.12.1.3
A.10.3.2 A.14.2.9
A.10.4 PROTECCION CONTRA EL CODIGO MALICIOSO Y CODIGO MOVIL

Objetivo Proteger la integridad del software y de la información.
A.10.4.1 Art. 22, c A.12.2.1
Art. 26, a
A.10.5 RESPALDO
Objetivo Mantener la integridad y disponibilidad de la informacion y de las instalaciones de procesamiento
informacion.
A.10.5.1 Art. 24 Letras A.12.3.1
a-b-c-d-e-f-g
Gestión de comunicaciones y operaciones
A.10.6 GESTION DE LA SEGURIDAD DE RED

Objetivo Asegurar la proteccion de la información en redes y la proteccion de la infraestructura de soporte
A.10.6.1 A.13.1.1
A.10.6.2.Párr.1 A.13.1.2
A.10.6.2.Párr.2
A.10.6.2.Párr.3
A.10.7 MANEJO DE LOSno
Evitar divulgacion MEDIOS
autorizada, modificacion, borrado o destruccion de los activos e interrupcion
Objetivo las actividades de negocio.
A.10.7.1 Art. 24 Letra e A.8.3.1
A.10.7.2 Art. 15 A.8.3.2

Letra d
A.10.7.3 Art. 15 A.8.2.3
A.10.7.4 ELIMINADO
A.10.8 INTERCAMBIO
Manterner DE INFORMACION
la seguridad de la informacion y software intercambiado dentro de una organización y
Objetivo cualquier otra entidad.
A.10.8.1 Art. 9 A.13.2.1
Art. 10 Letra a
A.10.8.2 Art. 10 Letra a A.13.2.2
A.10.8.3 A.8.3.3
A.10.8.4 Art. 25 Letras A.13.2.3

a-b-c-d-e-f-g-h-i.
Art. 26 Letras
a-c-d.
A.10.8.5 Art. 7, Letras ELIMINADO
a-b-c. Art. 9.
A.10.9 SERVICIOS DE COMERCIO ELECTRONICO

La informacion involucrada en el comercio electronico sobre redes publicas deberia ser protegida
Objetivo actividades fraudulentas, disputas contractuales, y su divilgacion o modificacion no autorizada.
A.10.9.1 A.14.1.2
A.10.9.3 Art. 26 Letra b
A.10.9.2 A.14.1.3
A.10.10 SEGUIMIENTO
Objetivo Detectar actividades de procesamiento de informacion no autorizadas.
A.10.10.1 Art. 23 A.12.4.1
A.10.10.2 Art. 7
A.10.10.5 Letra d
A.10.10.3 Art. 23 A.12.4.2
A.12.4.3
A.10.10.4 A.12.4.3
A.10.10.6 A.12.4.4
A.11 CONTROL DE ACCESO

A.11.1 REQUISITOS DEL NEGOCIO PARA EL CONTROL DE ACCESO
Objetivo Controlar el acceso a la informacion.
A.11.1.1 Art. 28 A.9.1.1
Letra a-b-c-d-e-f-
g-h-i-j
A.11.2 GESTION DEL ACCESO DE USUARIOS

Objetivo Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas de
informacion
A.11.2.1 Art. 27 A.9.2.1
Art. 28
Art. 29
A.11.2.1 A.9.2.2
A.11.2.2 Art. 30 A.9.2.3
A.11.2.3 Art. 32 A.9.2.4
A.11.2.4 A.9.2.5
A.11.3 RESPONSABILIDADES DEL USUARIO

Objetivo Prevenir el acceso de usuario no autorizado, y el robo o compromiso de la información y de las
instalaciones de procesamiento de la informacion.
A.11.3.1 Art. 27 A.9.3.1
A.11.3.2 Art. 31 A.11.2.8

Letra a-b
A.11.3.3 Art. 18 Letra c A.11.2.9

Art. 31
A.11.4 CONTROL DE ACCESO A LA RED

Objetivo Prevenir el acceso de usuario no autorizado a los servicios de red
A.11.4.1 Art. 33, Letra a. A.9.1.2
Art. 27.
Control de acceso

Letra a
A.11.4.4 ELIMINADO
A.11.4.5 Art. 33 Letras A.13.1.3

b, c.
A.11.4.6 Art. 33 Letra c. ELIMINADO
A.11.4.7 ELIMINADO
A.11.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO

Objetivo Evitar el acceso no autorizado a los sistemas operativos.
A.11.5.1 Art. 27 A.9.4.2
A.11.5.2 Art. 27 A.9.2.1
A.11.5.3 Art. 27 A.9.4.3

A.11.5.4 A.9.4.4
A.11.5.5 Art. 31 Letra b A.9.4.2
A.11.5.6
A.11.6 CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACION
Objetivo Evitar el acceso no autorizado a la información contenida en los sistemas de aplicación.
A.11.6.1 A.9.4.1
A.11.6.2 ELIMINADO
A.11.7 INFORMATICA
Garantizar MOVIL Yde
la seguridad TRABAJO REMOTO
la información cuando se usan dispositivos de informática móvil y trab
Objetivo remoto.
A.11.7.1 Art. 7, Letra a A.6.2.1
Art. 9
A.11.7.2 A.6.2.2
A.12 ADQUISICION DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION
A.12.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION

Objetivo Asegurar que la seguridad es parte integral de los sitemas de información.
A.12.1.1 10.1.1 A.14.1.1
A.12.2 PROCESAMIENTO CORRECTO EN LAS APLICACIONES

Objetivo Prevenir errores, perdida, modificacion no autorizada o mal uso de información en aplicaciones.
A.12.2.1 10.2.1 ELIMINADO
A.12.2.3.Párr.1 10.2.3 ELIMINADO

mantenimiento de los sistemas de información
A.12.2.3.Párr.2 ELIMINADO
A.12.3 CONTROLES CRIPTOGRAFICOS

Objetivo Proteger la confidencialidad, autenticidad o integridad de la informacion por medios criptograficos
A.12.3.1 10.3.1 A.10.1.1
A.12.3.2 10.3.1.b A.10.1.2
A.12.4 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA

Objetivo Garantizar la seguridad de los archivos del sistema
Adquisición, desarrollo y mantenimiento de l
A.12.4.1 10.4.1 A.12.5.1
A.12.4.2 10.4.2 A.14.3.1
A.12.4.3 10.4.3 A.9.4.5
A.12.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

Objetivo Mantener la seguridad del software del sistema de aplicación e infrmación.
A.12.5.1 10.5.1 A.14.2.2
Clausula 8.1 (*)
A.12.5.2 10.5.2 A.14.2.3
Clausula 8.1 (*)
A.12.5.3 10.5.3 A.14.2.4
Clausula 8.1 (*)

A.12.5.5 10.5.5 A.14.2.7
A.12.6 GESTION DE VULNERABILIDAD TECNICA

Objetivo Reducir los riesgos resultantes de la explotacion de vulnerabilidades tecnicas publicadas.
A.12.6.1 A.12.6.1
Clausula 8.1*
A.13 GESTION DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACION

A.13.1 Informar debilidades y eventos de seguridad de la informacion.
Gestión de un incidente en la seguridad
Asegurar que las debilidades y eventos de seguridad de la informacion asociados a sistemas de

Objetivo información son comunicados de manera de permitir tomar acciones correctivas a tiempo.
A.13.1.1 Art. 12 Letra b A.16.1.2
de la información
A.13.1.2 A.16.1.3
A.13.2
Objetivo
A.13.2.1 Art. 12 Letra b A.16.1.1
A.13.2.2 A.16.1.6
A.13.2.3 A.16.1.7
A.14 GESTION DE LA CONTINUIDAD DE NEGOCIO

A.14.1 Aspectos de la seguridad de la información en la gestion de la continuidad del negocio
inuidad del
Gestión de la continuidad del Contrarrestar interrupciones a las actividades del negocio y proteger los procesos criticos del neg
contra los efectos de fallas importantes en los sistemas de informacion o contra desastres, y ase
Objetivo su restauración oportuna.
A.14.1.1 A.17.1.2
negocio
A.14.1.3 Art. 35
A.14.1.4
A.14.1.2 Art. 7 A.17.1.1
Letra d
Art. 8
A.14.1.5 A.17.1.3
A.15 CUMPLIMIENTO
A.15.1 Cumplimiento
Evitar de los requisitos
el incumplimiento legales
de cualquier ley, estatuto, regulacion u obligacion contractual, y de cualq
Objetivo requisito de seguridad.
A.15.1.1 A.18.1.1
A.15.1.2 Art. 22 A.18.1.2

Letra b
A.15.1.3 A.18.1.3
A.15.1.4 A.18.1.4
A.15.1.5 ELIMINADO
Cumplimiento
A.15.1.6 A.18.1.5
A.15.2 Cumplimiento de la política y las normas de seguridad, y cumplimiento técnico.

Objetivo Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la oganización.
A.15.2.1 Art. 7 A.18.2.2
Letra c
A.15.2.2 A.18.2.3
A.15.3 Consideraciones
Maximizar sobre ladeauditoría
la efectividad de sistemas
la interferencia, de información
y reducirla al mínimo, desde o hacia el proceso de au
Objetivo del sistema de información.
A.15.3.1 A.12.7.1
A.15.3.2 ELIMINADO
NOTA
(*) Los controles señalados se mapean al menos parcialmente contra requerimien
Por ejemplo, la clausula 8.1 en ISO 27001-2013 requiere que la organización s
debe asegurar de que los procesos externalizados se determinan y controlan.
OBJETIVO DE CONTROL
D DE LA INFORMACION
o de la direccion para la seguridad de la informacion, de acuerdo con los
on las regulaciones y leyes pertinentes.
Políticas de seguridad de la información
Revisión de las políticas de seguridad de la información
SEGURIDAD DE LA INFORMACION
a información dentro de la organización.
Roles y responsabilidades de la seguridad de la información.
Contacto con grupos especiales de interés.

Contacto con autoridades
Acuerdos de confidencialidad o no divulgacion

Revisión independiente de la seguridad de la información
a información dentro de la organización.
Abordar la seguridad dentro de los acuerdos del proveedor.
RE LOS ACTIVOS
na adecuada protección sovre los activos de la organización.
Inventario de activos
Propiedad de los activos
Uso aceptable de los activos
NFORMACION
n recibe el nivel de proteccion adecuado.
Clasificación de la información.
Etiquetado de la información
RECURSOS HUMANOS
os, contratistas y usuarios de terceras partes entiendan sus

ean aptospara los roles en los cuales estan siendo considerados, y para
aude o mal uso de las instalaciones.
Roles y responsabilidades de la seguridad de la informacion.
Selección.
Términos y condiciones de la relacion laboral.
os, contratistas y usuarios de terceras partes sean conscientes de las

de la seguridad de la información, de sus responsabilidades y obligaciones,
oyar la politica de seguridad de la organización en el curso de su trabajo
esgo de errores humanos.
Responsabilidades de la dirección
Concientización, educación y formación en seguridad de la
información.
Proceso disciplinario
O DE LA RELACION LABORAL O EMPLEO

os, contratistas o usuarios de terceras partes se desvinculen de una
relacion laboral de una forma ordenada.
Responsabilidades en la desvinculacion o cambio de empleo
Devolución de activos
Eliminacion o ajuste de los derechos de acceso
L AMBIENTE
tros de seguridad (barreras tales como paredes, puertas de entrada

cepcionista) para proteger las areas que contienen información e
iento de información.
Perímetro de seguridad física.
Controles de acceso físico.
Seguridad de oficinas, salas e instalaciones.
Protección contra amenazas externas y del ambiente.
Trabajo en áreas seguras.
Áreas de entrega y carga
hurtos o comprometer los activos así como la interrupción de las actividades
Ubicación y protección del equipamiento
Elementos de soporte
Seguridad en el cableado
Mantenimiento del equipamiento
Seguridad del equipamiento y los activos fuera de las

instalaciones.
Seguridad en la reutilizacion o descarte de equipos.
Retiro de Activos.
CIONES Y OPERACIONES
RACIONALES Y RESPONSABILIDADES
ecta y segura de las instalaciones de procesamiento de la información
Procedimientos de operación documentados
Gestión de cambios
Segregación de funciones
Separación de los ambientes de desarrollo, prueba y

operacionales.
GA DEL SERVICIO DE TERCERAS PARTES
Control y Planificacion operacional.

n nivel adecuado de la seguridad de la información y la entrega del servicio,
e entrega del servicio de terceras partes.
(Cotrol y Planificacion operacional)
Supervision y revision de los servicios del proveedor.
(Control y Planificacion operacional)

Gestion de cambios a los servicios del proveedor.
(Cotrol y Planificacion operacional)
TACION DEL SISTEMA.

de los sistemas
Gestión de la capacidad
Prueba de aprobación del sistema
EL CODIGO MALICIOSO Y CODIGO MOVIL

oftware y de la información.
Controles contra código malicioso
sponibilidad de la informacion y de las instalaciones de procesamiento de la
Respaldo de la información
DAD DE RED
a información en redes y la proteccion de la infraestructura de soporte.
Controles de red
Seguridad de los servicios de red
izada, modificacion, borrado o destruccion de los activos e interrupcion de

.
Gestión de los medios removibles
Eliminacion de los medios.
Manejo de activos
la informacion y software intercambiado dentro de una organización y con

Políticas y procedimientos de transferencia de información.
Acuerdos sobre transferencia de información.
Transferencia física de medios.
Mensajería electrónica.
IO ELECTRONICO
en el comercio electronico sobre redes publicas deberia ser protegida ante
isputas contractuales, y su divilgacion o modificacion no autorizada.
Aseguramiento de servicos de aplicación en redes publicas.
Proteccion de las transacciones de servicios de aplicación.
ocesamiento de informacion no autorizadas.

Registro de Evento.
Protección de la información de registros.
Registros del administrador y operador
Registros del administrador y operador
Sincronización de relojes
CIO PARA EL CONTROL DE ACCESO

ormacion.
Política de control del acceso
DE USUARIOS
arios autorizados y prevenir el acceso no autorizado a los sistemas de
Registro y cancelacion de registro de usuario.

Asignacion de acceso de usuario.
Gestión de derechos de acceso privilegiados.
Gestión de informacion secreta de autenticacion de usuarios.
Revisión de los derechos de acceso de usuario
EL USUARIO
ario no autorizado, y el robo o compromiso de la información y de las
iento de la informacion.
Uso de informacion de autenticacion secreta.
Equipo de usuario desatendido
Política de escritorio y pantalla limpios
ario no autorizado a los servicios de red

Accesos a las Redes y a los servicios de la red.
Separacion en las redes.
L SISTEMA OPERATIVO
ado a los sistemas operativos.
Procedimientos de inicio de sesión seguro.
Registro y cancelacion de registro de usuario.
Sistema de gestión de contraseñas

Uso de programas utilitarios privilegiados.
Procedimientos de inicio de sesion seguro.
LAS APLICACIONES Y A LA INFORMACION

ado a la información contenida en los sistemas de aplicación.
Restricción del acceso a la información
eRABAJO REMOTO
la información cuando se usan dispositivos de informática móvil y trabajo
Política de dispositivos móviles.
Trabajo Remoto.
LLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION
DAD DE LOS SISTEMAS DE INFORMACION

es parte integral de los sitemas de información.
Análisis y especificación de requisitos de seguridad de la
información.
ECTO EN LAS APLICACIONES

modificacion no autorizada o mal uso de información en aplicaciones.
d, autenticidad o integridad de la informacion por medios criptograficos.

Política sobre el uso de controles criptográficos
Gestión de claves
CHIVOS DEL SISTEMA

los archivos del sistema
Instalacion del software en sistemas operacionales.
Protección de datos de prueba.
Control de acceso al código fuente de los programas
OCESOS DE DESARROLLO Y SOPORTE

software del sistema de aplicación e infrmación.
Procedimientos de control del cambios del sistema.

Revisión técnica de las aplicaciones después de los cambios en
la plataforma de operación.
Restricciones sobre los cambios en los paquetes de software.

Filtración de información
Desarrollo tercerizado.

ILIDAD TECNICA
ntes de la explotacion de vulnerabilidades tecnicas publicadas.
Control de las vulnerabilidades técnicas
S DE LA SEGURIDAD DE LA INFORMACION
ntos de seguridad de la informacion.
es y eventos de seguridad de la informacion asociados a sistemas de
dos de manera de permitir tomar acciones correctivas a tiempo.
Informe de eventos de seguridad de la información.
Informe de las debilidades de seguridad de la información.
Responsabilidades y procedimientos.
Aprendizaje de los incidentes de seguridad de la información.
Recolección de evidencia.
UIDAD DE NEGOCIO
de la información en la gestion de la continuidad del negocio
s a las actividades del negocio y proteger los procesos criticos del negocio
importantes en los sistemas de informacion o contra desastres, y asegurar
Implementación de la continuidad de la seguridad de la

información.
Planificacion de la continuidad de la Seguridad de la Información.
Verificacion, revision y evaluacion de la continuidad de la

seguridad de la información.
sitos legales
cualquier ley, estatuto, regulacion u obligacion contractual, y de cualquier
Identificación de la legislación vigente y los requisitos

contractuales.
Derechos de propiedad intelectual.
Protección de los registros.
Privacidad y protección de la información de identificación

personal.
Regulación de los controles criptográficos.
y las normas de seguridad, y cumplimiento técnico.

cumplen con las normas y políticas de seguridad de la oganización.
Cumplimiento con las políticas y normas de seguridad.
Verificación del cumplimiento técnico.
eauditoría de sistemas
la interferencia, de información
y reducirla al mínimo, desde o hacia el proceso de auditoría
.
Controles de auditoría de sistemas de información.
Protección de las herramientas de auditoría de los sistemas de

información
oles señalados se mapean al menos parcialmente contra requerimientos del SGSI.

plo, la clausula 8.1 en ISO 27001-2013 requiere que la organización se
gurar de que los procesos externalizados se determinan y controlan.
27001-2009
27001-2013
CONTROL
CONTROL
NCh-ISO
ISO
OBJETIVO DE CONTROL REQUISITO de CONTROL
A.10.2.1 Entrega del servicio Se debiera asegurar que los controles de

seguridad, definiciones del servicio y niveles de
entrega incluidos en el acuerdo de entrega del
servicio de terceros se implementen, operen y
mantengan.
Clausula 8.1 (*)
Control y Planificacion (La organización se debe asegurar de que los procesos
operacional. externalizados se determinan y controlan)
A.5.1.1 A.05.01.01 Políticas de seguridad de La Dirección debe definir, aprobar, publicar y

la información comunicar a todos los empleados y a la partes
externas pertinentes un grupo de políticas para
la seguridad de la información.
A.5.1.2 A.05.01.02 Revisión de las políticas Se deben revisar las políticas de seguridad de
de seguridad de la la información a intervalos planificados o si se
información producen cambios significativos, para asegurar
su conveniencia, suficiencia y eficacia
contínuas.
A.8.1.1 A.06.01.01 Roles y responsabilidades Todas las responsabilidades de la seguridad de
de la seguridad de la la informacion deben ser definidas y asignadas.
informacion.
A.6.1.3
D06
A.10.1.3 A.06.01.02 Segregación de funciones Se deben segregar las funciones y las areas de
responsabilidad para reducir las oportunidades
de modificaciones no autorizadas o no
intencionales, o el uso inadecuado de los
activos de la organizacion.
A.6.1.6 A.06.01.03 Contacto con autoridades Se deben mantener los contactos apropiados
con las autoridades pertinentes.
A.6.1.7 A.06.01.04 Contacto con grupos Se deben mantener contactos apropiados con
especiales de interés. los grupos especiales de interés u otros foros
especializados en seguridad, así como
asociaciones de profesionales.
A.06.01.05 Seguridad de la Se debe abordar la seguridad de la información
información en la gestión en la gestión de proyecto, sin importar el tipo de
de proyecto. proyecto.
A.11.7.1 A.06.02.01 Política de dispositivos Se debe adoptar una politica y medidas de

móviles. apoyo a la seguridad para gestionar los riesgos
introducidos al usar dispositivos móviles.
A.11.7.2 A.06.02.02 Trabajo Remoto. Se debe implementar una política, y medidas

de apoyo a la seguridad para proteger la
informacion a la que se accede, procesa o
almacena en los lugares de trabajo remoto.
A.8.1.2 A.07.01.01 Selección. Se debe realizar la verificación de

antecedentes en todos los candidatos al
empleo, de acuerdo con las leyes, regulaciones
y normas éticas relevantes y en proporcion a
los requisitos del negocio, la clasificación de la
información a ser accedida, y los riesgos
percibidos.
A.8.1.3 A.07.01.02 Términos y condiciones Los acuerdos contractuales con los empleados
de la relacion laboral. y contratistas deben indicar sus
responsabilidades y las de la organizacion en
cuanto a la seguridad de la información.
A.8.2.1 A.07.02.01 Responsabilidades de la La dirección debe solicitar a todos los

dirección empleados y contratistas que apliquen la
seguridad de la informacion de acuerdo con las
políticas y procedimientos establecidos por la
organización.
A.8.2.2 A.07.02.02 Concientización, Todos los empleados de la organización, y en
educación y formación en donde sea pertinente los contratistas, deben
seguridad de la recibir formación adecuada en concientización
información. y actualizaciones regulares en políticas y
procedimientos organizacionales, pertinentes
para su función laboral.
A.8.2.3 A.07.02.03 Proceso disciplinario Debe existir un proceso disciplinario formal y

sabido por los empleados para tomar acciones
en contra de los los empleados que han
cometido una infracción a la seguridad de la
información.
A.8.3.1 A.07.03.01 Responsabilidades en la Se deben definir y comunicar las
desvinculacion o cambio responsabilidades y funciones de la seguridad
de empleo de la información que siguen en vigor después
de la desvinculación o cambio de la relación
laboral.
A.7.1.1 A.08.01.01 Inventario de activos Los activos asociados a la información y a las

instalaciones de procesamiento de la
información deben ser identificados y se deben
mantener y realizar un inventario de dichos
activos.
A.7.1.2 A.08.01.02 Propiedad de los activos Los activos que se mantienen en inventario
deben pertenecer a un dueño.
A.7.1.3 A.08.01.03 Uso aceptable de los Se deben identificar, documentar e implementar

activos las reglas para el uso aceptable de la
información y los activos asociados con la
información y las instalaciones de
procesamiento de informacion.
A.8.3.2 A.08.01.04 Devolución de activos Todos los empleados y usuarios de terceras

partes deben devolver todos los activos
pertenecientes a la organizacion que estén en
su poder como consecuencia de la finalizacion
de su relacion laboral, contrato o acuerdo.
A.7.2.1 A.08.02.01 Clasificación de la La información debe ser clasificada en
información. términos de requisitos legales, criticidad y
sensibilidad para la divulgacion o modificacion
sin autorizacion.
A.7.2.2 A.08.02.02 Etiquetado de la Se debe desarrollar e implementar un conjunto

información apropiado de procedimientos para el etiquetado
de la información, de acuerdo al esquema de
clasificación de información adoptado por la
organizacion.
A.10.7.3 A.08.02.03 Manejo de activos Se deben desarrollar e implementar los

procedimientos para el manejo de activos, de
acuerdo al esquema de clasificacion de
informacion adoptado por la organización.
A.10.7.1 A.08.03.01 Gestión de los medios Se deben implementar los procedimientos para
removibles la gestión de los medios removibles, de
acuerdo al esquema de clasificacion adoptado
por la organización.
A.10.7.2 A.08.03.02 Eliminacion de los Se deben eliminar los medios de forma segura
medios. y sin peligro cuando no se necesiten más,
usando procedimientos formales.
A.10.8.3 A.08.03.03 Transferencia Física de Los medios que contengan información se

medios. deben proteger contra accesos no autorizados,
uso inadecuado o corrupción durante el
transporte.
A.11.1.1 A.09.01.01 Política de control del Se debe establecer, documentar y revisar una
acceso política de control de acceso basados en los
requisitos de negocio y de seguridad de la
información.
A.11.4.1 A.09.01.02 Accesos a las Redes y a Los usuarios sólo deben tener acceso directo a
los servicios de la red a la red y a los servicios de la red para los
cuales han sido autorizados.
A.11.5.2 A.09.02.01 Registro y cancelacion de Se debe implementar un proceso de registro y

registro de usuario. cancelacion de registro de usuario para habilitar
A.11.2.1 los derechos de acceso.
A.11.2.1 A.09.02.02 Asignacion de acceso de Debe existir un procedimiento formal de

usuario. asignación de acceso de usuario para asignar o
revocar lo derechos de acceso para todos los
tipos de usuario, a todos los sistemas y
servicios.
A.11.2.2 A.09.02.03 Gestión de derechos de Se debe restringir y controlar la asignación y
acceso privilegiados. uso de los derechos de acceso privilegiados.
A.11.2.3 A.09.02.04 Gestión de informacion Se debe controlar la asignación de informacion
secreta de autenticacion de autenticacion secreta mediante un proceso
de usuarios. de gestión formal.
A.11.2.4 A.09.02.05 Revisión de los derechos Los propietarios de activos deben revisar los
de acceso de usuario derechos de acceso de los usuarios de manera
periodica.
A.8.3.3 A.09.02.06 Eliminacion o ajuste de Se deben retirar los derechos de acceso de
los derechos de acceso todos los empleados, y usuarios externos a la
información y a las instalaciones de
procesamiento de información, una vez que
termine su relacion laboral, contrato o acuerdo
o se ajuste segun el cambio.
A.11.3.1 A.09.03.01 Uso de informacion de Se debe exigir a los usuarios el cumplimiento

autenticacion secreta. de las prácticas de la organización en el uso de
la informacion de autenticacion secreta.
A.11.6.1 A.09.04.01 Restricción del acceso a Se debe restringir el acceso a la información y

la información a las funciones del sistema de aplicaciones, de
acuerdo con la politica de control de acceso.
A.11.5.1 A.09.04.02 Procedimientos de inicio Cuando lo exija la politica de control de acceso,
de sesión seguro. el acceso a los sistemas y aplicaciones debe
A.11.5.5 ser controlado por un procedimiento de inicio
de sesión seguro
A.11.5.3 A.09.04.03 Sistema de gestión de Los sistemas de gestion de contraseñas deben

contraseñas ser interactivos y deben asegurar contraseñas
de calidad.
A.11.5.4 A.09.04.04 Uso de programas Se debiera restringir y controlar estrictamente

utilitarios privilegiados. el uso de los programas utilitarios que pueden
estar en capacidad de anular el sistema y los
controles de la aplicacion.
A.12.4.3 A.09.04.05 Control de acceso al Se debe restringir el acceso al código fuente de

código fuente de los los programas.
programas
A.12.3.1 A.10.01.01 Política sobre el uso de Se debe desarrollar e implementar una política
controles criptográficos sobre el uso de controles criptográficos para la
protección de la información.
A.12.3.2 A.10.01.02 Gestión de claves Se debe desarrollar e implementar una politica

sobre el uso, protección y vida util de las claves
criptograficas, a traves de todo su ciclo de vida.
A.9.1.1 A.11.01.01 Perímetro de seguridad Se debieran definir y utilizar perímetros de
física seguridad para proteger las áreas que
contienen ya sea información sensible o crítica
y las instalaciones de procesamiento de
información.
A.9.1.2 A.11.01.02 Controles de ingreso Las áreas seguras deben estar protegidas por
físico controles de entrada apropiados que aseguren
que sólo se permite el acceso a personal
autorizado.
A.9.1.3 A.11.01.03 Asegurar Seguridad de Se debiera diseñar y aplicar la seguridad física
oficinas, salas e en oficinas salas e instalaciones.
instalaciones.
A.9.1.4 A.11.01.04 Protección contra Se debe diseñar y aplicar la protección física
amenazas externas y del contra daño por desastre natural, ataque
ambiente. malicioso o accidentes.
A.9.1.5 A.11.01.05 Trabajo en áreas seguras. Se deben diseñar y aplicar procedimientos para
trabajar en áreas seguras.
A.9.1.6 A.11.01.06 Áreas de entrega y carga. Se deben controlar los puntos de acceso tales
como áreas de entrega y de carga y otros
puntos donde las personas no autorizadas
puedan acceder a las instalaciones y, si es
posible, aislarlas de las instalaciones de
procesamiento de información para evitar el
acceso no autorizado.
A.9.2.1.Párr A.11.02.01 Ubicación y protección del El equipamiento se debe ubicar y proteger

.1 equipamiento para reducir los riesgos provocados por
amenazas y peligros ambientales, y
oportunidades de acceso no autorizado.
A.9.2.2 A.11.02.02 Elementos de soporte Se debe proteger el equipamiento contra fallas

en el suministro de energía y otras
interrupciones causadas por fallas en los
elementos de soporte.
A.9.2.3 A.11.02.03 Seguridad en el cableado. Se debe proteger el cableado de energía y
telecomunicaciones que transporta datos o
brinda soporte a servicios de información
contra interceptación, interferencia o daños.
A.9.2.4 A.11.02.04 Mantenimiento del El equipamiento debe recibir el mantenimiento
equipamiento correcto para asegurar su permanente
disponibilidad e integridad.
A.9.2.7 A.11.02.05 Retiro de Activos. El equipamiento, la información o el software no
se debe retirar del local de la organización sin
autorización previa.
A.9.2.5 A.11.02.06 Seguridad del Se deben asegurar todos los activos fuera de
equipamientoy los activos las instalaciones, teniendo en cuenta los
fuera de las instalaciones. diferentes riesgos de trabajar fuera de las
instalaciones de la organizacion.
A.9.2.6 A.11.02.07 Seguridad en la Todos los elementos del equipamiento que
reutilizacion o descarte de contenga medios de almacenamiento deben
equipos. ser revisados para asegurar que todos los
datos sensibles y software licenciado se hayan
removido o se haya sobreescrito con seguridad
antes de su descarte o reutilización.
A.11.3.2 A.11.02.08 Equipo de usuario Los usuarios se deben asegurar de que a los
desatendido equipos desatendidos se les da protección
apropiada.
A.11.3.3 A.11.02.09 Política de escritorio y Se debe adoptar una política de escritorio
pantalla limpios limpio para papeles y medios de
almacenamiento removibles y una política de
pantalla limpia para las instalaciones de
procesamiento de la información.
A.10.1.1 A.12.01.01 Procedimientos de Los procedimientos de operación se deben
operación documentados documentar, y poner a disposición de todos los
usuarios que los necesiten.
A.10.1.2 A.12.01.02 Gestión de cambios Se deben controlar los cambios a la

organización, procesos de negocio,
instalaciones de procesamiento de la
información, y los sistemas que afecten la
seguridad de la informacion.
Clausula 8.1 (*) Control y Planificacion (La organización se debe asegurar de que los procesos
operacional. externalizados se determinan y controlan)
A.10.3.1 A.12.01.03 Gestión de la capacidad Se debe supervisar y adaptar el uso de los

recursos y se deben hacer proyecciones de los
futuros requisitos de capacidad para asegurar
el desempeño requerido del sistema.
A.10.1.4 A.12.01.04 Separación de los Los ambientes para desarrollo, prueba y
ambientes de desarrollo, operación se deben separar para reducir los
prueba y operaciónales riesgos de acceso no autorizado o cambios al
ambiente de operación.
A.10.4.1.Pá A.12.02.01 Controles contra código Se deben implantar controles de detección,

rr.1 malicioso prevención y recuperación para protegerse
contra códigos maliciosos, junto con los
procedimientos adecuados para concientizar a
los usuarios.
A.10.5.1.Pá A.12.03.01 Respaldo de información Se deben hacer copias de respaldo y pruebas
rr.1 de la información, del software y de las
imágenes del sistema con regularidad, de
acuerdo con la politica de respaldo acordada.
A.10.10.1 A.12.04.01 Registro de Evento. Se deben generar, mantener y revisar con

A.10.10.2 regularidad los registros de eventos de las
A.10.10.5 actividades del usuario, excepciones, faltas y
eventos de seguridad de la informacion.
A.10.10.3 A.12.04.02 Protección de la Las instalaciones de registro y la informacion

información de registros. de registro se deben proteger contra
alteraciones y accesos no autorizados.
A.10.10.4 A.12.04.03 Registros del Se debieran registrar las actividades del

A.10.10.3 administrador y operador operador y del administrador del sistema, los
registros se deben proteger y revisar con
regularidad.
A.10.10.6 A.12.04.04 Sincronización de relojes Los relojes de todos los sistemas de
procesamiento de información pertinentes
dentro de una organización o dominio de
seguridad deben estar sincronizados con una
sola fuente horaria de referencia.
A.12.4.1 A.12.05.01 Control del software Se deben implementar los procedimientos para
operacional controlar la instalación de software en los
sistemas operacionales.
A.12.6.1 A.12.06.01 Control de las Se debiera obtener oportunamente la
vulnerabilidades técnicas información sobre las vulnerabilidades técnicas
de los sistemas de información que se están
utilizando, evaluar la exposición de la
organización a estas vulnerabilidades, y se
deben tomar las medidas apropiadas para
abordar el riesgo asociado.
A.12.06.02 Restricciones sobre la Se deben establecer e implementar las reglas

instalación de software que rigen la instalación de software por parte
de los usuarios.
A.15.3.1 A.12.07.01 Controles de auditoría de Los requisitos y las actividades de auditoría que
sistemas de información involucran verificaciones de los sistemas
operacionales se deben planificar y acordar
cuidadosamente para minimizar el riesgo de
interrupciones en los procesos del negocio.
A.10.6.1 A.13.01.01 Controles de red Las redes se deben gestionar y controlar para
proteger la informacion en los sistemas y
aplicaciones.
A.10.6.2.Pá A.13.01.02 Seguridad de los servicios Los mecanismos de seguridad, los niveles de
rr.1 de la red servicio y los requisitos de la gestión de todos
los serviciosde red se deben identificar e incluir
A.10.6.2.Pá en los acuerdos de servicios de red, ya sea que
rr.2 estos servicios son prestados dentro de la
A.10.6.2.Pá organizacion o por terceros.
rr.3
A.11.4.5 A.13.01.03 Separacion en las redes Los grupos de servicios de información,
usuarios y sistemas de información se deben
separar en redes.
A.10.8.1 A.13.02.01 Políticas y procedimientos Las políticas, porcedmientos y controles de

de Transferencia de transferencia formal deben estar en efecto para
información proteger la transferencia de la información
mediante el uso de todos los tipos de
instalaciones de comunicación.
A.10.8.2 A.13.02.02 Acuerdos sobre la Los acuerdos deben abarcar la transferencia

transferencia de segura de la información de negocio entre la
información. organización y terceros.
A.10.8.4 A.13.02.03 Mensajería electrónica. La información involucrada en la mensajería

electrónica debe ser debidamente protegida.
A.6.1.5 A.13.02.04 Acuerdos de Se debe identificar y revisar regularmente los

confidencialidad o no requerimientos de confidencialidad o acuerdos
divulgacion de no divulgación que reflejan las necesidades
de protección de la informacion de la
organización.
A.12.1.1 A.14.01.01 Análisis y especificación Los requisitos relacionados a la seguridad de la
de requisitos de seguridad informacion deben ser incluidos en los
de la información. requisitos para los sistemas de informacion
nuevos o en las mejoras para los sistemas de
informacion existentes.
A.10.9.3 A.14.01.02 Aseguramiento de La información relacionada a servicios de

A.10.9.1 servicos de aplicación en aplicacion que pasa por redes públicas debe
redes publicas. ser protegida de la actividad fraudulenta,
disputas contractuales, y su divulgación y
modificación no autorizada.
A.10.9.2 A.14.01.03 Proteccion de las La información implicada en transacciones de
transacciones de servicios servicio de aplicacion se debe proteger para
de aplicación. evitar la transmisión incompleta, la omisión de
envío, alteración no autorizada del mensaje, la
divulgación no autorizada, la duplicación o
repetición no-autorizada del mensaje.
A.14.02.01 Política de desarrollo Las reglas para el desarrollo de software y de
seguro. sistemas deben ser establecidas y aplicadas a
los desarrollos dentro de la organización.
A.12.5.1 A.14.02.02 Procedimientos del Los cambios a los istemas dentro del ciclo de
control del cambios del desarrollo deben ser controlados mediante el
sistema. uso de procedimientos formales de control de
cambios.
Clausula 8.1 (*) Control y Planificacion

operacional.
A.12.5.2 A.14.02.03 Revisión técnica de las Cuando se cambian las plataformas de

aplicaciones después de operación, se deben revisar y poner a prueba
cambios en la plataforma las aplicaciones críticas de negocio para
de operación. asegurar que no hay impacto adverso en las
operaciones o en la seguridad de la
organización.

operacional.
A.12.5.3 A.14.02.04 Restricciones sobre los Se deben desalentar las modificaciones a los
cambios en los paquetes paquetes de software, que se deben limitar a
de software. los cambios necesarios, los que deben ser
controlados de manera estricta.

operacional.
A.14.02.05 Principios de Ingeniería Se deben establecer, documentar, mantener y
de Sistema Seguro. aplicar los principios para los sistemas seguros
de ingeniería para todos los esfuerzos de
implementacion del sistema de información.
A.14.02.06 Entorno de desarrollo Las organizaciones deben establecer y

seguro proteger los entornos de desarrollo seguro, de
manera apropiada, para el desarrollo del
sistema y los esfuerzos de integración que
cubren todo el ciclo de desarrollo del sistema.
A.12.5.5 A.14.02.07 Desarrollo tercerizado. La organización debe supervisar y monitorear

la actividad de desarrollo de sistemas
tercerizada.

operacional.
A.14.02.08 Prueba de seguridad del Durante el desarrollo se debe realizar la prueba
sistema. de funcionalidad de seguridad
A.10.3.2 A.14.02.09 Prueba de aceptación del Se deben definir los programas de prueba de
sistema aceptación y los criterios pertinentes para los
nuevos sistemas de información,
actualizaciones y o versiones nuevas.
A.12.4.2 A.14.03.01 Protección de datos de La datos de prueba se deben seleccionar,

prueba. proteger y controlar de manera muy rigurosa
A.15.01.01 Política de seguridad de Se deben acordar y documentar, junto con el

la información para las proveedor, los requisitos de seguridad de la
relaciones con el información para mitigar los riesgos asociados
proveedor al acceso del proveedor a los activos de la
organización.
A.6.2.3 A.15.01.02 Abordar la seguridad Todos los requisitos de seguridad de la
dentro de los acuerdos información pertinente, deben ser definidos y
del Proveedor. acordados con cada proveedor que pueda
acceder, procesar, almacenar, comunicar o
proporcionar componentes de infraestructura
de TI para la informacion de la organización.
A.15.01.03 Cadena de suministro de Los acuerdos con los proveedores deben inclu
tecnologías de la ir los requisitos para abordar los riesgos de
información y seguridad de la información asociados a los
comunicaciones servicios de la tecnología de la información y
las comunicaciones y la cadena de suministro
del producto
A.10.2.2.Pá A.15.02.01 Supervision y revision de Las organizaciones deben supervisar, revisar y

rr.1 los servicios del auditar la entrega del servicio.
proveedor.

operacional.
A.10.2.3 A.15.02.02 Gestion de cambios a los Se deben gestionar los cambios al suministro
servicios del proveedor. de servicios por parte de los proveedores,
incluido el mantenimiento y la mejora de las
políticas de seguridad de la información
existentes, procedimientos y controles al
considerar la criticidad de la informacion del
negocio los sistemas y procesos involucrados y
la re-evaluación de los riesgos.

operacional.
A.13.2.1 A.16.01.01 Responsabilidades y Se deben establecer responsabilidades y

procedimientos procedimientos de gestion para asegurar una
respuesta rápida, eficaz y metódica a los
incidentes de la seguridad de la información.
A.13.1.1 A.16.01.02 Informe de eventos en la Se deben informar, lo antes posible, los eventos
seguridad de la de seguridad de la información mediante
información canales de gestion apropiados.
A.13.1.2 A.16.01.03 Reporte de las Se debe requerir a todos los empleados y
debilidades en la contratistas que usen los sistemas
seguridad y servicios de información de la organización,
que observen e informen cualquier debilidad
(observada o que se sospeche) en la seguridad
de la informacion de los sistemas o los
servicios.
A.16.01.04 Evaluación y decisión Los eventos de seguridad de la información se

sobre los eventos de deben evaluar y decidir si van a ser clasificados
seguridad de la como incidentes de seguridad de la
información. información.
A.16.01.05 Respuesta ante Los incidentes de seguridad de la información

incidentes de seguridad deben ser atendidos de acuerdo a los
de la información. procedimientos documentados.
A.13.2.2 A.16.01.06 Aprendizaje de los Se debe utilizar conocimiento adquirido al

incidentes de seguridad analizar y resolver incidentes de seguridad de
de la información la información para reducir la probabilidad o el
impacto de incidentes futuros.
A.13.2.3 A.16.01.07 Recolección de evidencia La organizacion debe definir y aplicar los

procedimientos para la identificacion,
recolección, adquisición y conservación de
información que pueda servir de evidencia.
A.14.1.2 A.17.01.01 Planificacion de la La organización debe determinar sus
continuidad de la requerimientos de seguridad de la información
Seguridad de la y la continuidad de la gestion de la seguridad
Información. de la información en situaciones adversas, por
ejemplo durante una crisis o desastre.
A.14.1.1 A.17.01.02 Implementación de la La organización debe establecer, documentar,

A.14.1.3 continuidad de la implementar y mantener procesos,
A.14.1.4 seguridad de la procedimientos y controles para asegurar el
información. nivel necesario de continuidad para la
seguridad de la información durante una
situación adversa.
A.14.1.5 A.17.01.03 Verificacion, revision y La organización debe verificar, de manera

evaluacion de la periódica, los controles de la continuidad de la
continuidad de la seguridad de la información definida e
seguridad de la implementada para asegurar que ellos son
información. válidos y eficaces durante situaciones
adversas.
A.17.02.01 Disponibilidad de las Las instalaciones de procesamiento de la

instalaciones de información deben ser implementadas con la
procesamiento de la redundancia suficiente para cumplir con los
informacion. requisitos de disponibilidad.
A.15.1.1 A.18.01.01 Identificación de la Todos los requisitos estatutarios, regulatorios y
legislación vigente y los contractuales pertinentes y el enfoque de la
requisitos contractuales. organización para cumplirlos, se deben definir y
documentar explicitamente, y mantenerlos
actualizados para cada sistema de información
y para la organizacion.
A.15.1.2 A.18.01.02 Derechos de propiedad Se deben implementar procedimientos

intelectual. apropiados para asegurar el cumplimiento de
los requerimientos legislativos, regulatorios y
contractuales relacionados a los derechos de
propiedad intelectual y al uso de productos de
software patentados.
A.15.1.3 A.18.01.03 Protección de los Los registros se deben proteger contra pérdida,
registros. destrucción, falsificación, acceso sin
autorización, de acuerdo con los requisitos
legislativos, regulatorios, contractuales y del
negocio.
A.15.1.4 A.18.01.04 Privacidad y Protección Se debe asegurar la privacidad y proteccion de

de la información de la información de identificacion personal, como
identificación personal. se exige en la legislacion y regulaciones
pertinentes, donde corresponda.
A.15.1.6 A.18.01.05 Regulación de los Se deben utilizar controles criptográficos se
controles criptográficos debieran utilizar en que cumplan con todos los
acuerdos, leyes y regulaciones pertinentes.
A.6.1.8 A.18.02.01 Revisión independiente El enfoque de la organización para la gestión

de la seguridad de la de la seguridad de la información y su
información implementación (es decir, objetivos de
control,controles,políticas, procesos y
procedimientos para seguridad de la
información) se debe revisar de manera
independiente a intervalos planificados, o
cuando ocurran cambios significativos.
A.15.2.1 A.18.02.02 Cumplimiento con las Los gerentes deben revisar con regularidad el
políticas y normas de cumplimiento del procesamiento de la
seguridad información y los procedimientos de seguridad
que están dentro de su area de
responsabilidad, de acuerdo con las politicas de
seguridad, normas y requisitos de seguridad
pertinentes.
A.15.2.2 A.18.02.03 Verificación del Se deben verificar regularmente los sistemas
cumplimiento técnico de información en cuanto a su cumplimiento
con las políticas y normas de seguridad de la
información de la organización.
NOTA
(*) Los controles señalados se mapean al menos parcialmente contra
requerimientos del SGSI. Por ejemplo, la clausula 8.1 en NCh ISO
27001.Of 2013 requiere que la organización se debe asegurar de que los
procesos externalizados se determinan y controlan.
Control Nuevo en norma NCh ISO 27001.Of 2013
FE DE ERRATAS al 12-07-2015
(e1) Se detecta que control A.12.4.1, aparecia repetido en dos lineas de la

planilla, y vinculado a los tres controles correspondientes en la NCh-ISO
27001-Of.2009. Corregido: se deja una sola linea.
(e2) Se detecta texto en columna G, cuyo parrafo final decía:

"...cambio (ver A.2.1.2 y…" . Corregido a:
"…cambio (ver A.12.1.2 y …"
(e3) Se detecta Control nuevo omitido: A.12.6.2

Corregido: se incorpora nueva linea descriptiva en la planilla.
(e4) Control A.15.01.01: Textos descriptivos en columnas E,F,G, estaban

repetidos y correspondian a los de A.15.01.02.
Corregido: se ingresan textos correspondientes al control.
(e5) Se detecta control nuevo omitido: A.17.2.1

Corregido: se incorpora nueva linea descriptiva en la planilla
VERIFICACION del REQUISITO de CONTROL
(extracto de NCH-ISO 27002 Of2013) Fe de
Errata
La organización, ¿Se asegura de que los procesos externalizados se determinan y controlan?
Debe existir un documento denominado Política de Seguridad de la

Información, que esté aprobado por el Jefe de Servicio, y que refleja claramente
el compromiso, apoyo e interés en el fomento y desarrollo de una cultura de
seguridad institucional.
El documento Politica de Seguridad debe contener:
-una definición de seguridad de los activos de información, sus objetivos
globales, alcance e importancia.
-un párrafo que señale los medios de difusión de sus contenidos al interior de la
organización.
-un párrafo que señale cada cuánto tiempo se reevaluará (que debe ser cada 3
años como máximo), y debe explicitar con qué periodicidad se revisará su
cumplimiento.
El documento de Politica de Seguridad, debe ser publicado y comunicado a
todos los funcionarios y partes externas relevantes.
El documento Politica de Seguridad debe ser revisado en los intervalos

planeados o cuando ocurren cambios significativos para asegurar su continua
idoneidad, eficiencia y efectividad.
-La asignación de las responsabilidades de seguridad de la información debe
hacerse de acuerdo con la política de seguridad de la informacion (véase
A.5.1.1).
-Se deben identificar las responsabilidades para la protección de los activos
individuales, y para llevar a cabo procesos de seguridad de la información
específicos.
-Deben ser definidas las responsabilidades por las actividades de gestión de
riesgos en S.I. y, en particular, para la aceptación de los riesgos residuales.
Estas responsabilidades deben ser complementadas, cuando sea necesario,
con una orientación más detallada para sitios específicos e instalaciones de
procesamiento de la información.
El Jefe de Servicio:
-Debe designar mediante resolución al Encargado de Seguridad de la
Información.
-Debe designar mediante resolución al Comité de Seguridad de la Información,
designándole funciones específicas.
En la resolución de nombramiento del Encargado de Seguridad de la
Información, se deben explicitar las siguientes funciones:
-"Tener a su cargo el desarrollo inicial de las políticas de seguridad al interior de
su organización y el control de su implementación, y velar por su correcta
aplicación"
-"Coordinar la respuesta a incidentes que afecten a los activos de información
institucionales"
Se debería tener cuidado para que ninguna persona pueda acceder, modificar
ni utilizar activos sin autorización o detección.
El início de un evento se debería separar de su autorización. Se debería
considerar la posibilidad de colusión en el diseño de controles.
Las organizaciones pequeñas pueden encontrar la segregación de labores
como dificil de lograr, pero el principio se debería aplicar en la mayor medida
posible. Cuando sean difíciles de segregar, se deberían considerar otros
controles como el monitoreo de actividades, seguimientos de auditoría y
supervisión de la dirección.
Debe existir un procedimiento que especifique qué autoridades deben ser

contactadas (bomberos, carabineros, PDI, proveedor de Internet, etc), cuando
(bajo que circunstancias) y cómo (medios, canales, frecuencias, direcciones,
numeros telefonicos, etc.)
En la resolución de nombramiento del Encargado de Seguridad de la

Información: se deben explicitar la siguiente funcion: "Establecer puntos de
enlace con encargados de seguridad de otros organismos públicos y
especialistas externos que le permitan estar al tanto de las tendencias, normas
y métodos de seguridad pertinentes"
Se debería integrar la seguridad de la información en los métodos de
administración de proyectos de la organización para asegurarse de que se
identifican y abordan los riesgos de seguridad de la información como parte de
un proyecto, sin importar su carácter o tipo.
Se deberían definir y asignar las responsabilidades para la seguridad de la
información a los roles especificados definidos en los métodos de
administración del proyecto.
Los métodos de administración de proyectos en uso deberían requerir que:
a) se incluyan los objetivos de seguridad de la información en los objetivos del
proyecto.
b) se realice una evaluación de riesgos de seguridad de la información en una
etapa temprana del proyecto
para identificar los controles necesarios;
c) la seguridad de la información sea parte de todas las fases de la metodología
aplicada del proyecto.
Se debe establecer una política y adoptar medidas de apoyo a la seguridad

apropiadas para gestionar los riesgos que se presentan al usar dispositivos
móviles.
La politica de dispositivos moviles, debiera tomar en cuenta los riesgos para la
seguridad de la informacion del negocio, al trabajar con dispositivos moviles en
ambientes desprotegidos, y debiera considerar entre otros: el registro de los
dispositivos moviles; requerimientos de proteccion fisica; restriccion a la
instalacion de software; restriccion a la conexion de servicios de informacion;
uso de servicios web y aplicaciones web.
Se debe implementar una política y medidas de seguridad para proteger la

informacion accesada, procesada o almacenada en los lugares de trabajo
remoto. Dicha politica debe definir las condiciones y retricciones para utilizar la
modalidad de trabajo remoto, entre otros: la existencia de seguridad fisica en el
sitio de trabajo remoto; los requerimientos de seguridad en las
telecomunicaciones; la provision de acceso a escritorio virtual que prevenga el
procesamiento y/o almacenamiento de informacion en equipamiento de
propiedad privada; proteccion contra codigo malicioso y requerimientos de
firewall; una definicion del trabajo permitido, el horario de trabajo, la
clasificacion de la informacion, sistemas y servicios que el usuario remoto esta
autorizado a acceder.
La verificación debe tener en cuenta toda la privacidad relevante, la protección

de la informacion de identificacion personal y la legislación laboral vigente, y
debe, cuando esté permitido, incluir lo siguiente:
-Una verificación (por la integridad y exactitud) del curriculum vitae del
solicitante;
-La confirmación de las calificaciones académicas y profesionales declaradas
-La verificación de identidad independiente (pasaporte o documento de
identidad similar);
-Una verificación más detallada, como revisión de antecedentes créditicios o de
antecedentes penales.
Las obligaciones contractuales para empleados o contratistas deben reflejar las
políticas de la organización para seguridad de la información, y establecer
claramente:
-Responsabilidades y los derechos legales de los contratistas o de los
empleados, por ejemplo, respecto a las leyes de derechos de autor o legislación
de protección de datos (ver A.18.1.2 y A.18.1.4);
-Para los empleados y contratistas a quienes se les de acceso a información
con alto grado de confidencialidad, debiesen firmar un acuerdo de
confidencialidad o de no divulgación antes de ser dado el acceso a
instalaciones de procesamiento de la informacióni (ver A.13.2.4);
-Responsabilidades para la clasificación de la información y la gestión de los
activos de la organización asociado a la información, instalaciones de
procesamiento de información y servicios de información que maneja el
empleado o contratista (ver A.8);
-Responsabilidades del empleado o contratista para el manejo de la información
recibida de otras empresas o entidades externas;
-Las acciones que deben tomarse si el empleado o contratista desatiende los
requisitos de seguridad de la organización (Ver A.7.2.3).
Las Responsabilidades de la direccion deben incluir el aseguramiento de que

los empleados y contratistas:
-Se les informa adecuadamente sobre sus roles de seguridad de información y
responsabilidades antes de concederles
acceso a los sistemas de información o de información confidencial;
-Están dotados de directrices para establecer expectativas de seguridad de la
información de su rol dentro de la
organización;
-Se ajustan a los términos y condiciones de empleo, que incluye la política de
seguridad de la información de la organización y métodos adecuados de
trabajo;
-Siguen teniendo las competencias y cualificaciones apropiadas y son
educados de manera regular;
-Se les proporciona un canal de denuncia anónima para reportar violaciónes de
las politicas seguridad de la información, de los procedimientos y controles
("denuncia de irregularidades").
La administración debe demostrar el apoyo a las políticas de seguridad de la

información, procedimientos y controles, y
actuar como un modelo a seguir.
Se debe establecer un programa de sensibilizacion sobre la seguridad de
información para tratar de hacer que los empleados ( y a los contratistas
cuando sea relevante), sean conscientes de sus responsabilidades en materia
de seguridad de la información y los medios por los cuales los
responsabilidades se ejercen.
Caracteristicas del programa:
-Debe establecerse de acuerdo con las políticas de seguridad de la información
de la organizacion y los procedimientos pertinentes, teniendo en cuenta la
información de la organizacion que se debe proteger y los controles que se han
implementado para protegerla.
-Debería incluir una serie de actividades de sensibilización, como campañas, la
emisión de folletos o boletines informativos.
-El programa debería ser actualizado sobre una base regular para mantener su
alineamiento con las politicas organizacionales.
-El programa de sensibilización debe planificarse teniendo en cuenta los roles
de los empleados en la organización, y en caso de ser relevante, las
expectativas de la organización acerca de la sensibilzacion de los contratistas.
Caracteristicas del proceso disciplinario implementado:

-No debe iniciarse sin comprobación previa de que se ha producido violación
de la seguridad de la informacion (véase A.16.1.7).
-Debe garantizar un trato correcto y justo para los empleados que están bajo
sospecha de haber cometido violaciones de seguridad de la información.
-Debe proporcionar una respuesta gradual que toma en cuenta factores tales
como la naturaleza y la gravedad de la infracción y su impacto en la misión
institucional, si es primera falta o una repetición de infracción; si el infractor fue
debidamente capacitado; la legislación pertinente, y otros factores segun sea
necesario.
Las responsabilidades y deberes válidos, aún luego de la desvinculación o
cambios en las funciones, deben estar incluidas dentro de los contratos de
honorarios o resoluciones de nombramiento de empleados a contrata y planta,
asi como en aquellos contratos celebrados con contratistas externos.
-La comunicación del cese de responsabilidades debería incluir requisitos

vigentes de seguridad de la información y responsabilidades legales y, donde
corresponda, las responsabilidades contenidas en cualquier acuerdo de
confidencialidad (ver 13.2.4) y los términos y condiciones del empleo (ver 7.1.2)
que continúan por un período definido posterior al fin del empleo del empleado
o del contratista.
-Las responsabilidades y deberes que aun sigan siendo válidos después de la
finalizacion del empleo deberían incluirse en los términos y condiciones de
empleo del empleado o contratista (véase 7.1.2).
-Los cambios en las responsabilidades o en el empleo se deben manejar como
en la finalización de la responsabilidad actual o el empleo en combinación con
el inicio de la nueva responsabilidad o empleo.
Otra información:
La función de recursos humanos es generalmente ser responsable del proceso
de despido general y trabaja con el rol que supervisa
a la persona que abandona la organizacion, para administrar los aspectos de la
seguridad de la información de los procedimientos pertinentes. En el caso de un
contratista quien presta servicios a través de terceros, este proceso de despido
lo realizará la parte externa de conformidad con el contrato entre la
organización y la parte externa.
La organización debe identificar los activos relevantes en el ciclo de vida de la

información y documentar su importancia. El ciclo de vida de la información
debe incluir la creación, transformación, almacenamiento, transporte,
eliminación y la destrucción. La documentación debe ser mantenida en los
inventarios dedicados o existentes, según corresponda.
El inventario de activos debe ser exacta, actualizada, consistente y alineada
con otros inventarios. Para cada uno de los activos identificados, la propiedad
del activo debe ser asignada (ver A.8.1.2) y la clasificación debe ser identificada
(ver A.8.2).
Se debería asignar la propiedad de los activos cuando éstos se crean o cuando
se transfieren a la organización.
El propietario de un activo debería ser responsable de su administración
adecuada durante todo su ciclo de vida, y debería:
-garantizar que se haga un inventario de todos los activos;
-asegurarse de que los activos se clasifiquen y protejan adecuadamente;
-definir y revisar periódicamente las restricciones de acceso y clasificaciones
para los activos importantes,
considerando las políticas de control de acceso pertinentes;
-asegurarse de un manejo adecuado cuando se elimine o destruya un activo.
El propietario identificado puede ser una persona o una entidad que cuente con
responsabilidad de la dirección aprobada para controlar todo el ciclo de vida de
un activo. El propietario identificado no
necesariamente tiene derechos de propiedad del activo.
Generalmente se implementa un proceso para asegurar la asignación oportuna
de la propiedad de los activos.
Los empleados y los usuarios externos que usan o que tengan acceso a los
activos de la organización deben tomar conciencia de los requisitos de
seguridad de la información de los activos de la organización, relacionados con
la información y las instalaciones y recursos de procesamiento de la
información. Deben ser responsables del uso de cualquier recurso de
procesamiento de la información y cualquier uso desarrollado bajo su
responsabilidad.
Se deberían considerar las normas para almacenamiento, manipulacion y

destruccion de activos segun Ley 20.285.
El proceso de finalización de empleo se debería formalizar para incluir la

devolución de todos los activos físicos y electrónicos prevíamente entregados
de propiedad de (o encomendados a) la organización.
-En los casos donde un empleado o un externo compre el equipo de la
organización o utilice sus propios equipos personales, se deberían seguir los
procedimientos para garantizar que la información pertinente se transfiera a la
organización y que se elimine de manera segura del equipo (ver 11.2.7).
-En los casos donde el empleado o el usuario externo cuenta con conocimiento
importante para las operaciones continuas, dicha información se debería
documentar y transferir a la organización.
-Durante el período de aviso de despido, la organización debería controlar las
copias no autorizadas de la información pertinente (es decir, propiedad
intelectual) de los empleados y contratistas despedidos.
-Las clasificaciones y los controles de protección asociados de la información
deberían considerar las necesidades que tiene la organizacion de compartir o
restringir información, así como también los requisitos legales, en particular
aquellos establecidos en la Ley 20.285.
-Los propietarios de los activos de información deberían ser responsables de su
clasificación.
-El esquema de clasificación debería incluir las convenciones para la
clasificación y los criterios para la revisión de la clasificación con el tiempo. El
nivel de protección del esquema se debería evaluar mediante el análisis de la
confidencialidad, la integridad y la disponibilidad de cualquier otro requisito para
la información considerada. El esquema debería estar alineado con la política
de control de acceso (ver 9.1.1)
-Los procedimientos para el etiquetado de la información deberían cubrir la

información y sus activos relacionados en formatos físicos o electrónicos. El
etiquetado debería reflejar el esquema de clasificación establecido en 8.2.1.
-Los procedimientos deberían brindar orientación sobre dónde y cómo se
adhieren las etiquetas considerando cómo se accede a la información o cómo
se manejan los activos en función de los tipos de medios, y pueden acotar los
casos donde se omite el etiquetado (por ej. para la información no confidencial
con objeto de reducir las cargas de trabajo).
-Los empleados y contratistas deberían estar al tanto de los procedimientos de
etiquetado.
Se deberían crear procesos para el manejo, procesamiento, almacenamiento y

comunicación de la información conforme a su clasificación (ver 8.2.1),
considerando los siguientes elementos:
a) restricciones de acceso que apoyen los requisitos de protección para cada
nivel de clasificación;
b) mantenimiento de un registro formal de los receptores de activos
autorizados;
c) protección de copias temporales o permanentes de información a un nivel
coherente con la protección de la información original;
d) almacenamiento de los activos de TI de acuerdo con las especificaciones del
fabricante;
e) marcado claro de todas las copias de medios para la atención del receptor
autorizado.
Se deberían considerar las siguientes pautas para la administración de medios
extraíbles:
-Donde sea necesario y práctico, se debería requerir una autorización para los
medios retirados de la organización y se debería mantener un registro de tales
retiros para poder mantener un seguimiento de auditoría.
-Todos los medios se deberían almacenar en un entorno seguro y protegido, de
acuerdo con las especificaciones del fabricante.
-Si la confidencialidad o la integridad de los datos son consideraciones
importantes, se deberían utilizar técnicas criptográficas para proteger los datos
de los medios extraíbles;
-Se deberían almacenar varias copias de datos valiosos en medios separados
para reducir aún más el riesgo accidental de daños o pérdidas de datos.
-Se debería considerar un registro de medios extraíbles para limitar la
oportunidad de pérdidas de datos.
-Las unidades de medios extraíbles solo se deberían habilitar si existe una
razón comercial para ello;
-Donde exista la necesidad de utilizar medios extraíbles, se debería monitorear
la transferencia de información a dichos medios.
Se deberían documentar los procedimientos y los niveles de autorización.
Se deberían establecer procedimientos formales para la eliminación segura de

los medios, a fin de minimizar el riesgo de filtración de información confidencial
a personas no autorizadas.
Se deberían considerar los siguientes elementos:
-Los medios que contienen información confidencial se deberían almacenar y
eliminar de manera segura, es decir, mediante la incineración, o la destrucción
o bien a través del borrado de datos para el uso por parte de otra aplicación
dentro de la organización;
-Deberían existir procedimientos en vigencia para identificar los artículos que
pueden requerir de una eliminación segura especial;
-Es posible que sea más fácil realizar las disposiciones necesarias para que se
recopilen todos los artículos de medios y que se eliminen de manera segura en
vez de intentar separar los artículos sensibles;
-La eliminación de los artículos sensibles se debería registrar para mantener un
seguimiento de auditoría.
Pautas a considerar para proteger a los medios que contienen información que
se transporta:
-Se deberían utilizar servicios de transporte o courier confiables;
-Se deberían desarrollar procedimientos para verificar la identificación de
servicios de courier;
-El empaque debería ser suficiente para proteger los contenidos de daños
físicos que probablemente ocurran durante el tránsito de acuerdo con las
especificaciones del fabricante;
-Se deberían mantener registros, identificando el contenido de los medios, la
protección aplicada, así como también un registro de las veces en que se
transfirió a los custodios en tránsito y un recibo
en el lugar del destino.
Se debe establecer, documentar y revisar la política de control de acceso en

base a los requisitos de negocio y de seguridad de la información.
Debe existir una politica de uso de redes y servicios de red, que establezca
para los usuarios: las redes y servicios a los que se tiene acceso; los
procedimientos de autorizacion para determinar a quien se le permite acceder a
que redes y servicios con redes; los controles y procedimiento de
administracion para proteger el acceso a las conexiones de red y a los servicios
de red.
Se debe asignar a cada usuario tienen un identificador único (ID de usuario)

para su uso personal, de tal manera que se haga responsable por sus acciones
al utilizar la red, los servicios de red y sus sistemas.
Tales identificadores deben ser debidamente administrados y gestionados
mediante un procedimiento implementado.
Debe existir un procedimiento formal de asignacion de acceso de usuario.
Se debe restringir y controlar la asignación y uso de derechos de acceso

privilegiados.
Debe existir un proceso de gestion formal para controlar la asignación de
informacion de autenticacion secreta de usuarios.
Los propietarios de activos, deben revisar los derechos de acceso de los

usuarios a intervalos regulares.
Se debe implementar un procedimiento para retirar los derechos de acceso a la

información y a las instalaciones de procesamiento de la información de la
institucion, para todos los empleados y usuarios externos, al término de su
relacion laboral, contrato , o acuerdo, o bien se ajuste segun el cambio.
-Tras la desvinculación, los derechos de acceso de un individuo a la información
y a los activos asociados con instalaciones y servicios de procesamiento de
información deben ser removidos o suspendidos.
-Los cambios de empleo deben reflejarse en la eliminación de todos los
derechos de acceso que no fueron aprobados para el nuevo empleo.
-Los derechos de acceso que deben ser eliminados o ajustados incluyen las de
acceso físico y lógico. La eliminación o el ajuste se puede hacer por la retirada,
revocación o sustitución de llaves, tarjetas de identificación, instalaciones de
procesamiento de información o suscripciones.
-Cualquier documentación que identifica derechos de acceso de los empleados
y contratistas debe reflejar el desmontaje o el ajuste de los derechos de acceso.
Si un empleado que se marcha -o usuario de la parte externa- tiene
contraseñas conocidas para los ID de usuario que permanecen activas, éstas
se deben cambiar a la terminación o el cambio de empleo, contrato o acuerdo.
Se debe exigir a los usuarios el cumplimiento de las prácticas de la

organización en el uso de la informacion de autenticacion secreta.
El acceso de los usuarios a la información y las funciones del sistema de la

aplicación, se debe limitar en concordancia con una política de control de
acceso definida.
El acceso a los sistemas y apliaciones, debe ser controlado mediante un
procedimiento de inicio de sesión seguro.
Los sistemas para la gestion de contraseñas deben ser interactivos y asegurar

contraseñas de calidad.
Se debe restringir y controlar estrechamente el uso de los programas de utilidad

que tengan la capacidad de sobrepasar los controles del sistema y de la
aplicación: usar procedimiento de identificacion, autorizacion y autenticacion
para los programas utilitarios; segregar los programas de aplicacion de los
programas utilitarios; limitar el uso de programas utilitarios a un numero minimo
y practico de usuarios confiables y autorizados; limitacion de la disponibilidad
de los programas utilitarios.
El acceso al código fuente del programa e itemes asociados (como diseños,

especificaciones, planos de verificación y los planes de validación) deben ser
estrictamente controlados, con el fin de evitar la introducción de funcionalidad
no autorizada y para evitar cambios no intencionales, así como para mantener
la confidencialidad de propiedad intelectual valiosa. Se deben tomar en cuenta
las siguientes consideraciones básicas:
-Siempre que sea posible, las bibliotecas de programas fuentes no deben ser
mantenidas junto con los sistemas operativos.
-el código fuente del programa y las bibliotecas de programas fuente deben
gestionarse de acuerdo con
procedimientos establecidos.
-la actualización de las bibliotecas de programas fuentes y elementos afines y el
uso de fuentes de programa
por los programadores sólo deben realizarse bajo la debida autorización.
-el mantenimiento y la copia de bibliotecas de programas fuente deben estar
sujetos a procedimientos estrictos de control de cambios (véase A.14.2.2).
Cuando se desarrolle e implemente una política sobre el uso de controles

criptográficos para proteccion de la información, se deberia considerar al
menos:
-El enfoque de gestion para el uso de controles criptograficos en la
organización, incluyendo los principios generales bajos los cuales la
información de procesos de provision debiera ser protegida.
-Se debiera identificar el nivel requerido de proteccion (basado en la asignacion
de riesgos), tomando en cuenta el tipo, fortaleza y calidad del algoritmo de
encriptacion requerido.
-El uso de encriptación para la información transmitida por lineas de
comunicacion publicas, o para la informacion transportada en dispositivos de
medios removibles o móviles.
-Un enfoque para gestion de claves, incluyendo metodos para tratar con la
proteccion de claves criptograficas y recuperación de informacion encriptada en
caso de perdida, o daño de dichas claves.
-Roles y responsabilidades (ver A.10.1.2)
La politica debería incluir requisitos para la gestion de claves criptográficas,

incluyendo la generacion, almacenamiento, distribucion, retiro y destruccion de
tales dichas claves.
Pautas básicas a ser consideradas y aplicadas donde corresponda para los
perímetros de seguridad física:
-Los perímetros de seguridad deben ser definidos, y la ubicación y la fuerza de
cada uno de los perímetros debe depender de los requisitos de seguridad de
los activos dentro del perímetro y los resultados de una evaluación de riesgos;
-Se debe contar con una zona de recepción atendida por una o más personas,
u otros medios para controlar el acceso físico al lugar o edificio; el acceso a los
sitios y edificios debe restringirse sólo al personal autorizado;
-Se deben construir barreras físicas donde corresponda para impedir el acceso
físico no autorizado y la contaminación ambiental;
-Todas las puertas contra incendios en un perímetro de seguridad deben contar
con alarmas, se deben monitorear y evaluar en conjunto con las paredes
para establecer el nivel de resistencia requerido en conformidad con las
normativas a nivel regional, nacional y las normas internacionales, y deberían
operar de acuerdo con el código de incendios local de una manera a prueba de
fallos;
-Se deberían instalar sistemas de detección de intrusos, adecuados de
acuerdo con normativas nacionales, regionales o internacionales, y se
deberían probar regularmente para cubrir todas las puertas exteriores y
ventanas accesibles;
-Las instalaciones de procesamiento de información que administra la
organización deberían estar físicamente separadas de aquellas que son
gestionadas por entidades externas.
-La aplicación de controles físicos, en especial para las áreas seguras, se
debería adaptar a las circunstancias técnicas y económicas de la organización,
según se establece en la evaluación de riesgos.
-Se debería registrar la fecha y la hora de entrada y salida de las visitas y, se

debería supervisar a todas las visitas a menos que su acceso haya sido
aprobado anteriormente; solo se les debería otorgar acceso para propósitos
específicos y autorizados y se debería emitir de acuerdo a las instrucciones de
los requisitos de seguridad del área y a los procedimientos de emergencia. Se
debería autenticar la identidad de las visitas con un medio adecuado;
-El acceso a las áreas donde se procesa o almacena la información confidencial
se debería restringir a las personas autorizadas solo mediante la
implementación de controles de acceso adecuados, es decir, al implementar un
mecanismo de autenticación de dos factores como una tarjeta de acceso y un
PIN secreto;
-Se debería mantener y monitorear de manera segura un libro de registro físico
o una auditoría de seguimiento electrónica de todo el acceso;
-Todos los empleados, contratistas y partes externas deberían portar algún tipo
de identificación visible y se debería notificar inmediatamente al personal de
seguridad si encuentran visitas sin escolta y a cualquier persona que no porte
una identificación visible;
-Se le debería otorgar acceso restringido al personal de servicios de apoyo de
terceros a las áreas seguras o a las instalaciones de procesamiento de
información confidencial solo cuando sea necesario; este acceso se debería
autorizar y monitorear;
-los derechos de acceso a las áreas protegidas se deberían revisar y actualizar
de manera regular, y revocar cuando sea necesario (ver A.9.2.5 y A.9.2.6).
La autoridad (la direccion) debe impartir instrucciones de diseño y aplicación de
seguridad física a las oficinas, salas e instalaciones.
La institución debe contar con protección contra daños causados por desastre
natural (inundacion, terremoto, tsunami, tormenta electrica, etc.).
La institucion debe contar con protección contra daños causados por ataque
malicioso (explosión, revuelta civil, etc.).
La institución debe contar con protección contra accidentes u otras formas de
desastres por causa humana.
La autoridad (dirección) debe impartir lineamientos para trabajar en áreas

seguras.
¿La autoridad (direccion) debe impartir instrucciones respecto al control de las

áreas de acceso (entrega, carga, etc.).
-El equipamiento debe estar ubicado o protegido de forma que se reduzcan los
riesgos provocados por amenazas y peligros ambientales, y accesos no
autorizados.
-La autoridad (dirección) debe impartir instrucciones relativas al consumo de
alimentos, bebidas y tabaco en las cercanías de los medios de procesan y
soportan información.
-La autoridad debe promover prácticas de escritorio limpio.
El equipamiento institucional debe estar protegido contra fallas en el suministro

de energía y otras interrupciones causadas por fallas en los elementos de
soporte.
La autoridad (dirección) debe impartir instrucciones para proteger contra

interceptación, interferencia o daños el cableado usado para energía y
telecomunicaciones.
Se deben impartir instrucciones para asegurar que se haga el correcto

mantenimiento del equipamiento.
Debe existir una autorización formal previa al retiro (desde el local de la

organización) del equipamiento, información o software.
La autoridad (dirección) debe impartir instrucciones para que se aplique

seguridad a los activos fuera de las instalaciones de la organización.
Se debería verificar el equipo para asegurarse de que contiene o no medios de

almacenamiento antes de su eliminación o reutilización. Los medios de
almacenamiento que contienen información sensible o con
derecho de autor se deberían destruir físicamente o bien, la información se
debería destruir, eliminar o sobrescribir mediante técnicas para hacer que la
información original no se pueda recuperar en vez de utilizar la función de
eliminación o formateo normal
Se debe generar conciencia en los usuarios acerca de los requisitos de
seguridad y los procedimientos para proteger los equipos desatendidos.
Debe existir una política debidamente implementada que abarque topico de

"escritorio limpio" para papeles y medios de almacenaje removibles, y tópico de
"pantalla limpia" para las instalaciones de procesamiento de la información.
Se deberían preparar procedimientos documentados para las actividades

operacionales asociadas con las
instalaciones de procesamiento y comunicación de información, como
procedimientos de inicio y cierre de
sesión de computadores, respaldo, mantenimiento de equipos, manejo de
medios, salas de computación y
administración y seguridad de manejo de correo.
Dichos procedimientos deben estar vigentes y puestos a disposición de todos
los usuarios que los necesiten.

a) identificación y registro de cambios significativos;
b) planificación y pruebas de cambios;
c) evaluación de los posibles impactos, incluidos los impactos de seguridad en
la información, de dichos cambios;
d) procedimiento de aprobación formal para los cambios propuestos;
e) verificación de que se han cumplido los requisitos de seguridad;
f) comunicación de los detalles de los cambios a todas las personas
pertinentes;
g) procedimientos de retroceso, incluidos los procedimientos y
responsabilidades para abortar y recuperar
los cambios incorrectos y los eventos inesperados;
h) provisión de un proceso de cambio de emergencia para permitir la
implementación rápida y controlada de los cambios necesarios para resolver un
incidente (ver A.16.1).
-Se deberían identificar los requisitos de capacidad, considerando la criticidad

para el negocio de cada sistema involucrado.
-Se debería aplicar el procedimiento de ajuste y monitoreo del sistema para
garantizar y, donde sea necesario, mejorar la disponibilidad y la eficiencia de los
sistemas.
-Se deberían poner controles de detección en vigencia para indicar los
problemas a su debido tíempo.
-Las proyecciones sobre los requisitos futuros de capacidad deberían
considerar los nuevos requisitos del negocio y del sistema y las tendencias
actuales y proyectadas en las capacidades de procesamiento de información de
la organización.
-Se debería considerar un plan de administración de capacidad documentado
para los sistemas críticos para la misión institucional.
-Este control también aborda la capacidad de los recursos humanos, así como
también las oficinas e instalaciones.
a) se deberían definir y documentar las reglas de transferencia de software
desde un estado de desarrollo al operacional;
b) el software de desarrollo y operativo se debería ejecutar en distintos
sistemas o procesadores de computador y en distintos dominios y directorios;
c) se deberían probar los cambios a los sistemas operativos y aplicaciones en
un entorno de pruebas o etapas antes de aplicarlos a los sistemas
operacionales;
d) a no ser que sea bajo circunstancias excepcionales, no se deberían realizar
pruebas en los sistemas operativos;
e) los compiladores, editores y otras herramientas de desarrollo o utilidades del
sistema no deberían estar accesibles desde los sistemas operacionales cuando
no sea necesario;
f) los usuarios deberían utilizar distintos perfiles de usuario para los sistemas
operacionales y de prueba y se deberían mostrar menús para mostrar mensajes
de identificación adecuados para reducir el riesgo de errores;
g) los datos sensibles no se deberían copiar en el entorno del sistema de
pruebas a menos que se entreguen controles equivalentes para el sistema de
pruebas (ver A.14.3).
La protección contra el malware se debería basar en controles de software de

detección de malware y de reparación, la concientización sobre la seguridad de
la información, el acceso adecuado al sistema y la administración de cambios.
Se deberían considerar las siguientes pautas:
-Establecer una política formal que prohibe el uso de software no autorizado
(ver A.12.6.2 y A.14.2.);
-Implementar controles que evitan o detectan el uso de software no autorizado
(es decir, la creación de una lista blanca de aplicaciones);
-Implementar controles que eviten o detecten el uso de sitios web desconocidos
o que se sospecha son maliciosos (es decir, la elaboración de una lista negra).
-Reducción de las vulnerabilidades que se podrían desencadenar por el
malware, es decir, a través de la administración de vulnerabilidades técnicas
(ver A.12.6);
-Realizar revisiones periódicas del software y del contenido de los datos de los
sistemas que apoyan los procesos críticos del negocio; se debería investigar
formalmente la presencia de cualquier tipo de archivos o modificaciones no
autorizados;
-Instalación y actualización periódica de software de detección de malware y
reparación para analizar
computadores y medios como control de precaución o, de manera rutinaria;
-Preparar planes de continuidad adecuados para recuperarse contra ataques
de malware, incluidos todos los datos, respaldo de softvvare y disposiciones de
recuperación necesarios (ver A.12.3);
-Implementar procedimientos para verificar la información relacionada al
malware y asegurarse de que los boletines de advertencia son precisos e
informativos;
-Se debería establecer una política de respaldo para definir los requisitos de la
organización para el respaldo de información, del software y de los sistemas.
-La política de respaldo debería definir los requisitos de retención y protección.
-Se debería contar con instalaciones de respaldo adecuadas para garantizar
que toda la información y el software esencial se pueden recuperar después de
un desastre y ante una falla de los medios.
-Se debe revisar la consistencia de las copias realizadas con la politica de
respaldo establecida.
¿Se producen y mantienen registros de eventos de las actividades del usuario,

así como excepciones, faltas y eventos de seguridad de la información?
¿Se revisan con regularidad tales registros? Ver (e1)
¿Se protegen las instalaciones de registro y la información de registro, para

evitar alteraciones y accesos no autorizados?
¿Se revisa regularmente el registro de las actividades del operador y del

administrador del sistema?
¿Se protege adecuadamente dicho registro?
¿Se utiliza una sola fuente horaria para sincronizar los relojes de todos los
sistemas de procesamiento de información relevantes dentro de la organización
o dominio de seguridad?
El (los) procedimiento(s) implementado(s) deben considerar al menos:

-La actualizacion del software operacional, aplicaciones, y bibliotecas de
programas deben ser realizadas solo por administradores entrenados, con la
debida autorizacion (ver A.9.4.5).
-los sistemas operacionales solo deben contener codigo ejecutable aprobado, y
no codigo en desarrollo ni compiladores.
-las aplicaciones y el software operacional deben ser implementados despues
de una prueba extensiva y exitosa (ver A.12.1.4)
-Se debe usar un sistema de control de la configuracion, para mantener el
control de todo el software implementado, asi como la docuementacion de
sistemas.
Un inventario actual y completo de los activos (véase clausula A.8) es un
requisito previo para la gestión eficaz de vulnerabilidades técnicas. La
información específica necesaria para apoyar la gestión de vulnerabilidad
tecnica incluye el proveedor de software, números de versión, el estado actual
de despliegue (por ejemplo, qué software esta instalado en que sistemas) y
la(s) persona(s) dentro de la organización responsable(s) por el software.
La acción apropiada y oportuna debe ser tomada en respuesta a la
identificación de vulnerabilidades tecnicas potenciales.
La organizacion debe establecer un proceso de gestión para vulnerabilidades
técnicas.
En función de la urgencia necesaria para abordar una vulnerabilidad técnica,
las medidas adoptadas deben llevarse a cabo de acuerdo con los controles Ver (e2)
relacionados con la gestión del cambio (ver A.12.1.2) o siguiendo
procedimientos de respuesta a incidentes de seguridad de la informacion
(véase 16.1.5);
La gestión de vulnerabilidades técnicas puede ser vista como una sub-función
de la gestión del cambio, y como tal puede tomar ventaja de los procesos y
procedimientos de gestión del cambio (ver A.12.1.2 y A.14.2.2).
La organización debería definir y poner en vigencia una política estricta sobre

qué tipo de software pueden instalar los usuarios.
Se debería aplicar el principio de los menores privilegios. Si se les otorgan
ciertos privilegios, es posible que los usuarios tengan la capacidad de instalar
software.
La organización debería definir qué tipos de instalaciones de software se
permiten (es decir, actualizaciones y parches de seguridad al software Ver (e3)
existente) y qué tipos de instalaciones se prohíben (es decir, software que es
solo para el uso personal y software cuya categoría en cuanto a su posible
característica maliciosa es desconocida o sospechosa). Estos privilegios se
deberían otorgar considerando los roles de los usuarios involucrados.
a) los requisitos de auditoría de acceso a los sistemas y datos deben ser

acordados con la dirección que corresponda;
b) el alcance de las pruebas de auditoría tecnica deberían ser acordadas y
controladas;
c) las pruebas de auditoría deben limitarse al acceso de sólo lectura al software
y los datos;
d) Acceso distinto al de sólo lectura debe permitirse solamente para copias
aisladas de los archivos del sistema, los cuales deben ser borrados una vez
completada la auditoría, o darles una protección adecuada si es que hay una
obligación de mantener dichos archivos bajo los requisitos de documentación
de auditoría;
e) los requisitos para el procesamiento especial o adicional deben ser
identificados y acordados;
f) pruebas de auditoría que pudieren afectar a la disponibilidad del sistema se
deben ejecutar fuera de horas de oficina;
g) todo el acceso debe ser monitoreado y registrado para producir un rastro de
referencia.
Las redes, ¿son adecuadamente gestionadas y controladas para poder

proteger la información en los sistemas y aplicaciones?
En todo acuerdo de servicios de redes (interno o externo), ¿Se identifican e
incluyen los mecanismo de seguridad, los niveles de servicio y los requisitos de
gestion?
Los grupos de servicios de información, usuarios y sistemas de información

¿son segregados en distintas redes?
¿Se establecen políticas, procedimientos y controles de transferencia formal

para proteger la transferencia de información a través del uso de todos los tipos
de instalaciones de comunicación?
¿Se establecen acuerdos para la transferencia de información de negocio

entre la institución y terceros?
¿Se protege debidamente la información involucrada en la mensajería

electrónica?
En la actualidad: ¿utiliza el Servicio acuerdos de confidencialidad o no-

divulgación que reflejen las necesidades de protección de la información
institucional?
Los requisitos y controles de seguridad de la informacion deberían reflejar el

valor de negocio(mision) de la informacion involucrada (ver A.8.2) y el potencial
impacto negativo en el negocio (mision) que podría resultar de la falta de una
adecuada seguridad.
La identificacion y gestion de los requisitos de seguridad de informacion y los
procesos asociados deberían ser integrados en etapas tempranas de los
proyectos de sistemas de informacion.
La información relacionada a servicios de aplicación que pasa por redes

públicas, ¿se protege de la actividad fraudulenta, de disputas contractuales, así
como de su divulgación y modificacion no autorizadas?
¿Se protege la informaciónimplicada en las transacciones de servicio de

aplicacion para evitar la transmisión incompleta, la omision de envío, la
alteración / divulgación/ duplicación/ repetición no autorizada del mensaje?
Dentro de una política de desarrollo seguro se deberían considerar los
siguientes aspectos:
a) seguridad del entorno de desarrollo;
b) orientación sobre la seguridad del ciclo de vida del desarrollo de software:
b.1) seguridad en la metodología de desarrollo de software;
b.2) pautas de codificación segura para cada lenguaje de programación que
se utiliza;
c) requisitos de seguridad en la fase de diseño;
d) puntos de verificación de seguridad dentro de los hitos del proyecto;
e) repositorios seguros;
f) seguridad en el control de la versión;
g) conocimiento de seguridad de aplicación necesario;
h) capacidad de los desarrolladores de evitar, encontrar y solucionar la
vulnerabilidad.
La introducción de nuevos sistemas y los principales cambios a los sistemas

existentes deben seguir un proceso formal de
documentación, especificaciones, pruebas, control de calidad e implementacion
administrada.
Este proceso debe incluir una evaluación de riesgos, el análisis de los impactos
de los cambios y la especificación de
los controles de seguridad necesarios. Además se debe cautelar que los
procedimientos de seguridad y de control existentes no se vean
comprometidos, que los programadores de apoyo se les da acceso sólo a
aquellas partes del sistema
necesarias para su trabajo y que se obtiene acuerdo formal de aprobación de
cualquier cambio.
Siempre que sea posible (y practicable) se deben integrar, aplicación y los
procedimientos de control de cambios operacionales y de aplicacion (véase
A.12.1.2).
Cuando se hacen cambios a las plataformas operacionales, las aplicaciones

críticas de la organizacion deben ser revisadas y probadas para asegurar que
no hay impacto adverso en la seguridad u operaciones organizacionales. Para
ello se debe considerar la debida revision y actualizacion del Plan de
Continuidad Organizacional (ver A.17).
Plataformas de operación incluyen sistemas operativos, bases de datos y
plataformas de middleware. El control
también debe ser aplicado los cambios de las aplicaciones.
Si los cambios son necesarios, el software original debe conservarse y los

cambios aplicados a una copia designada. Un proceso de gestion de
actualizaciones de software se debe implementar para garantizar que los
parches aprobados y las actualizaciones de aplicacion más recientes son
instaladas para todo el software autorizado (ver A.12.6.1). Todos los cambios
deben ser totalmente probados y documentados, para que se puedan volver a
aplicar, si es necesario, para futuras actualizaciones del software. Si es
necesario, las modificaciones deben ser probados y validados por un órgano
independiente de evaluación.
Se deberían establecer, documentar y aplicar los procedimientos de ingeniería
de sistemas de información segura en base a los principios de ingeniería de
seguridad a las actividades de ingeniería del sistema de información interno. La
seguridad se debería diseñar en todos los niveles de la arquitectura (negocios,
datos, aplicaciones y tecnología) equilibrando la necesidad de la seguridad de
la información con la necesidad de la accesibilidad.
Se debería analizar la tecnología nueva para conocer sus riesgos de seguridad
y el diseño se debería revisar contra los patrones de ataque conocidos.
Estos principios y los procedimientos de ingeniería establecidos se deberían
revisar de manera regular para asegurarse de que contribuyen de manera
eficaz a las normas de seguridad mejoradas dentro del proceso de
ingeniería.
Un entorno de desarrollo seguro incluye a las personas, procesos y tecnologías

asociadas con el desarrollo e integración de sistemas.
Las organizaciones deberían evaluar los riesgos asociados con las labores de
desarrollo de sistemas individuales y establecer entornos de desarrollo seguro,
considerando lo siguientes elementos:
a) la sensibilidad de los datos que el sistema procesará, almacenará y
transmitirá;
b) los requisitos extemos e internos correspondientes, es decir, de las
normativas o políticas;
e) controles de seguridad que ya ha implementado la organización y que
soportan el desarrollo del sistema;
d) confiabilidad del personal que trabaja en el entorno (ver A.7.1.1);
e) el grado de externalización asociado al desarrollo del sistema;
f) la necesidad de contar con segregación entre distintos entornos de
desarrollo;
g) control del acceso al entorno de desarrollo;
h) monitoreo del cambio al entorno y al código que ahí se almacena;
i} que los respaldos se almacenen en ubicaciones fuera del sitio;
j} control sobre el movimiento de datos desde y hacia el entorno.
Una vez que se ha determinado el nivel de protección para un entorno de
desarrollo específico, las organizaciones deberían documentar los procesos
correspondientes en los procedimientos de desarrollo seguro y proporcionarlos
a todas las personas que los necesiten.
Cuando se subcontrata el desarrollo de sistemas, los siguientes puntos deben

ser considerados a través de la toda la cadena de suministro externo de la
organización:
-acuerdos de licencia, de propiedad de código y derechos de propiedad
intelectual relacionados con el contenido subcontratado (ver A.18.1.2);
-los requisitos contractuales para el diseño seguro, codificación y prácticas de
prueba (ver 14.2.1);
-las pruebas de aceptación de calidad y la precisión de los entregables;
-la provisión de evidencia de que las pruebas suficientes se han aplicado para
protegerse contra la presencia de contenido malicioso (intencional o no
intencional) sobre los entregables;
-el suministro de evidencia de que las pruebas suficientes se han aplicado para
proteger contra la presencia de vulnerabilidades conocidas.
Los sistemas nuevos y actualizados se deberían someter a pruebas y
verificaciones exhaustivas durante los procesos de desarrollo, incluida la
preparación de un programa de actividades detallado y entradas de
pruebas y los resultados esperados bajo una variedad de condiciones.
Las pruebas de aceptación independientes se deberían realizar (tanto para los
desarrollos internos y extemalizados) para garantizar que el sistema funciona
según se espera y solo como se espera (ver A.14.1.1 y A.14.1.9).
El alcance de las pruebas debería ser en proporción a la importancia y
naturaleza del sistema.
-Las pruebas de aceptación del sistema deberían incluir las pruebas de los
requisitos de seguridad de la
información (ver A.14.1.1 y A.14.1.2) y la adherencia a las prácticas de
desarrollo del sistema seguro (ver A.14.2.1).
-Las pruebas también se deberían realizar en los componentes y sistemas
integrados recibidos.
-Las pruebas se deberían realizar en un entorno de pruebas realista para
garantizar que el sistema no introducirá vulnerabilidades al entorno de la
organización y que las pruebas sean confiables.
El uso de los datos operativos que contengan información de identificación

personal o cualquier otra informacion confidencial
para propósitos de prueba, debe ser evitado. En caso de que información
sensible (personal o confidencial) sea utilizada para propósitos de prueba,
todos los detalles sensibles y contenidos deben ser protegido por eliminación o
modificación. (véase entre otras la ley 19.628)
Los procedimientos de control de acceso, que se aplican a los sistemas de
aplicación operativos, deben aplicarse también a
sistemas de aplicación de la prueba.
Se deben tener al menos las siguientes consideraciones:
a) los procedimientos de control de acceso, que se aplican a los sistemas de
aplicación operativos, también debe aplicarse en las pruebas de los sistemas
de aplicación;
b) se debe autorizar por separado cada vez que la información operativa se
copie en un entorno de prueba;
c) la información operativa debería ser borrada de un entorno de prueba
inmediatamente después de que la prueba se haya completado;
d) Para las actividades de copia y el uso de información operacional, se deberia
mantener un registro de su ejecución, para proporcionar una pista de
auditoría.
La organización debería identificar e imponer controles de seguridad de la

información para abordar especificamente el acceso de los proveedores a la
información de la organización en una política. Estos controles deberían
abordar los procesos y procedimientos que implementará la organización, así
como también aquellos procesos y procedimientos que la organización debería Ver (e4)
requerirle al proveedor que implemente.
Se deben establecer y documentar acuerdos con los proveedores, para
asegurar que no haya malentendidos entre la organización y el proveedor
respecto a las obligaciones de ambas partes para cumplir requisitos relevantes
de seguridad de la información.
Temas que deberían ser incluidos en los acuerdos con el proveedor sobre la
seguridad de la cadena de suministro:
-Definir los requisitos de seguridad de la información que se aplicarán a la
adquisición de tecnologías, productos o servicios de información y
comunicación además de los requisitos de seguridad de la
información para las relaciones con el proveedor;
-Implementación de un proceso de monitoreo y métodos aceptables para
validar que los productos y servicios de tecnología de información y
comunicación se adhieren a los requisitos de seguridad establecidos;
-Implementación de un proceso para identificar los componentes de los
productos o servicios que son fundamentales para mantener la funcionalidad y
que, por lo tanto, requiere una mayor atención y escrutinio cuando se
desarrollan fuera de la organización, especialmente si el proveedor del nivel
superior externalice los aspectos de los componentes de productos o servicios
a otros proveedores;
-Obtener la garantía de que los productos de tecnología de información y
comunicación entregados funcionan según lo esperado sin ninguna función
inesperada o no deseada;
El monitoreo y revisión de los servicios del proveedor debería garantizar que los
términos y condiciones de
seguridad de la información de los acuerdos se respeten y que los incidentes y
los problemas de seguridad de la información se gestionen correctamente.
Los servicios definidos, así como los reportes y registros provistos por terceros,
deben ser monitoreados y revisados regularmente.
La entrega del servicio definido con el proveedor se debe auditar.
La responsabilidad de administrar las relaciones con el proveedor se deberían

asignar a una persona o equipo de administración de servicios designado para
ello.
Se deberían tener disponibles las habilidades y los recursos técnicos suficientes
para monitorear que se cumplen los requisitos del acuerdo, en particular los
requisitos de seguridad de la información.
Se deberían tomar las medidas necesarias cuando se observen deficiencias en
la prestación de servicios.
Se deberían considerar los siguientes aspectos:
a) Cambios a los acuerdos del proveedor;
b) Los cambios realizados por la organización para implementar:
mejoras a sus servicios: desarrollo de cualquier nueva aplicación y sistemas;
las modificaciones o actualizaciones de las políticas y procedimientos de la
organización; controles nuevos o cambiados para resolver incidentes de
seguridad de la información y mejorar la seguridad;
c) Cambios en los servicios del proveedor para implementar: cambios y
mejoras en las redes; uso de nuevas tecnologías;
adopción de nuevos productos o nuevas versiones; nuevas herramientas y
entornos de desarrollo; cambios en la ubicación física de las instalaciones de
servicios; cambio de proveedores; subcontratación a otro proveedor.
En la actualidad: ¿el Servicio cuenta con procedimientos para manejar diversos

tipos de incidentes de seguridad de la información de forma rápida, eficaz y
metódica?
Se debería considerar los siguientes elementos:
a)Establecer las responsabilidades de gestión que permitan implementar:
a.1) procedimientos para la planificación de respuesta a incidentes y
preparación;
a.2) procedimientos de vigilancia, detección, análisis y presentación de informes
de eventos e incidentes de S.I.;
a.3) procedimientos para el registro de actividades de gestión de incidencias;
a.4) procedimientos para el manejo de las pruebas forenses;
a.5) los procedimientos para la evaluación y decisión sobre los eventos de
seguridad de la información y la evaluación de
debilidades de seguridad de la información;
a.6) los procedimientos de respuesta, incluyendo los de escalamiento,
recuperación controlada de un incidente
y comunicación a las personas u organizaciones internas y externas;
b) los procedimientos establecidos deben asegurar que:
b.1) personal competente maneja las cuestiones relacionadas con los
incidentes de seguridad de información dentro de la
organización;
b.2) se ha definido un punto de contacto para la detección y notificación de
incidentes de seguridad;
b.3) los contactos pertinentes con las autoridades, grupos de interés externos o
foros que se encargan de los asuntos
en relación con los incidentes de seguridad de la información se mantienen;
En la actualidad: ¿el Servicio cuenta con un procedimiento de reporte de

eventos que afecten a la seguridad de la información?
Todos los empleados y contratistas deben ser conscientes de su
responsabilidad de reportar los eventos de seguridad de la información lo antes
posible. También deben ser conscientes del procedimiento para reportar
eventos de seguridad de la información y el punto de contacto al que dichos
eventos deben ser reportados.
En la actualidad: ¿el Servicio cuenta con un mecanismo para que personal de
la institucion y sus contratistas puedan informar a la jefatura sobre debilidades
de seguridad de la informacion que detecten en los sistemas o servicios?
Todos los empleados y contratistas deben reportar las debilidades al punto de
contacto designado lo más rápido posible, en orden a prevenir incidentes de
seguridad de la información. El mecanismo de información debe ser lo más
fácil, accesible y disponible como sea posible. Los empleados y contratistas
deben ser advertidos de no tratar de demostrar las presuntas debilidades de
seguridad. El intento de comprobar debilidades podría ser interpretado como
un posible mal uso del sistema, y también podrían causar daños al sistema de
información o servicio y resultar en responsabilidad legal para el individuo que
realiza la prueba.
El punto de contacto debería evaluar cada evento de seguridad de la

información utilizando la escala de clasificación de eventos e incidentes de
seguridad de la información. La clasificación y la priorización de incidentes
pueden ayudar a identificar el impacto y el alcance de un incidente.
En los casos donde la organización tenga un equipo de respuesta ante
incidentes de seguridad (ISIRT, por sus siglas en inglés), la evaluación y la
decisión se puede enviar al ISIRT para su confirmación o reevaluación.
Se deberían registrar los resultados de la evaluación y la decisión en detalle
con fines de referencia y verificación futuros.
Un punto de contacto y otras personas pertinentes de la organización o partes

externas deberían responder ante los incidentes de seguridad de la información
(ver A.16.1.1). La respuesta debería incluir lo siguiente:
a) recopilar la evidencia lo más pronto posible después de la ocurrencia;
b) realizar análisis forenses de seguridad de la información, según sea
necesario (ver A.16.1.7);
c) escalamiento, según sea necesario;
d) asegurarse de que todas las actividades de respuesta se registren
correctamente para el posterior análisis;
e) comunicación de la existencia del incidente de seguridad de la información o
cualquier detalle pertinente a otras personas u organizaciones internas o
externas con una necesidad de saber;
f) manejar las debilidades de la seguridad de la información que causan o
contribuyen al incidente;
g) una vez que se ha manejado el incidente correctamente, se debería cerrar y
registrar formalmente.
Se debería realizar un análisis post-incidente, según sea necesario, para
identificar el origen del incidente
Se deben establecer mecanismos que permitan la cuantificacion y monitoreo

del tipo, volumen y costos de los incidentes de seguridad de la información.
Se deben desarrollar e implementar procedimientos internos para cuando se

tenga que lidiar con evidencia para efectos disciplinarios y de accion legal.
La organización debe determinar que la continuidad de la seguridad de la
información esta capturada en el proceso de gestion de continuidad de negocio,
o bien dentro del proceso de gestion de recuperacion de desastres.
Los requisitos de la Seguridad de la informacion debieran determinarse cuando
se este planificando la continuidad de negocio y la recuperacion de desatres.
Se recomienda capturar los de los aspectos de seguridad de la informacion en
el Analisis de impacto de negocio (BIA) del BCP o del DRP.
Nota: informacion adicional para la gestion de continudad de negocio pueder
ser encontrada en ISO/IEC 27031, ISO 22313 e ISO 22301.
La organización de asegurarse de que:

- Se cuenta con una estructura de gestion adecuada para estar preparados,
mitigar y responder a un evento disruptivo, usando personal con la necesaria
autoridad, experiencia y competencia.
-Se nomina a personal de respuesta a incidentes con la necesario autoridad,
experiencia y competencias.
-Se desarrollan y aprueban planes documentados, procedimientos de
recuperacion y respuesta, detallando como la organización manejará un evento
disruptivo y mentandra la seguidad de la información a un determinado nivel,
basado en objetivos de continuidad de S.I. debidamente aprobados por la
dirección (ver A.17.1.1)
Cualquier cambio que se realice en la organizacion, ya sea en un contexto

operacional o de continuidad, pueden conducir a cambios en los requerimientos
de continuidad de seguridad de la información. En tales casos, la continuidad
de los procesos, procedimientos y controles para la seguridad de la información
debe ser revisada contra dichos requerimientos.
Las organizaciones deben verificar su gestion de la continuidad de la seguridad
de la informacion a través de:
a) ejercitar y comprobación de la funcionalidad de los procesos de continuidad
de seguridad de la información, para asegurarse de que son coherentes con los
objetivos de continuidad de seguridad de la información;
b) ejercitar y probar el conocimiento y la rutina para operar los procesos de
continuidad de seguridad de la información,
para asegurar que su desempeño es consistente con los objetivos de la
continuidad de la seguridad de la información;
c) la revisión de la validez y efectividad de las medidas de continuidad de
seguridad de la información cuando
hay cambios en los sistemas de información, en los procesos de seguridad de
la información, en los procedimientos y controles, o en la gestion de
continuidad de negocio / recuperacion de desastres.
Las organizaciones deberían identificar los requisitos comerciales para la

disponibilidad de los sistemas de información. Cuando no se pueda garantizar
la disponibilidad a través de la arquitectura de sistemas existente, se deberían
considerar los componentes o arquitecturas redundantes.
Donde corresponda, se deberían probar los sistemas de información Ver (e5)
redundantes para garantizar que la conmutación por error de un componente a
otro funcione adecuadamente.
Los controles especificos y las responsabilidades individuales para satisfacer
estos requisitos deberían ser definidos y documentados.
Las siguientes directrices básicas deben ser consideradas para proteger

cualquier material que pueda ser considerado propiedad intelectual:
-la publicación de una política de cumplimiento de los derechos de propiedad
intelectual que define el uso legal de software y productos de información;
-la adquisición de software sólo a través de fuentes conocidas y de buena
reputación, para asegurar que los derechos de autor no son violados;
-el mantenimiento de la prueba de evidencia de la titularidad de las licencias,
discos maestros, manuales, etc;
-la aplicación de controles para asegurar que cualquier número máximo de
usuarios permitido dentro de la licencia no se supera;
-la realización de revisiones de que sólo los productos licenciados y software
autorizado han sido instalados;
-proporcionar una política para el mantenimiento apropiado de las condiciones
de la licenciamiento;
-no duplicar, ni convertir a otro formato o extrayendo de grabaciones
comerciales (película, audio) aquello que no sea permitido por la ley de
derechos de autor;
Al decidir sobre la protección de los registros organizacionales específicos, se

debe considerar la correspondiente clasificación basado en sistema de
clasificación de la organización. Los registros deben ser categorizados
en los tipos de registro, por ejemplo, registros contables, registros de bases de
datos, registros de transacciones, registros de auditoría y procedimientos
operacionales, cada uno con los detalles de los períodos de retención y el tipo
de medio de almacenamiento permitido, por ejemplo, papel,
microfichas, electro-magnético(digital), óptico, etc.
Todas las claves criptográficas relacionadas y programas asociados con
encriptado de archivos o firmas digitales (véase A.10), también deben
almacenarse para permitir el descifrado de los registros para la longitud de
tiempo se conservan los registros.
Cuando se eligen medios de almacenamiento electrónico, deben ser
establecidos los procedimientos para garantizar la capacidad de acceder a los
datos (tanto en medios como en el formato de lectura) durante todo el periodo
de retención para proteger contra pérdida debido a cambio de tecnología a
futuro.
Para logra lo anterior:
a) Deben establecerse las directrices sobre la retención, el almacenamiento,
manejo y eliminacion de los registros y la información; b) un programa de
retención debe elaborarse identificando los registros y sus periodos de
retencion; c) debe mantenerse un inventario de las fuentes de información
clave.
Se debe desarrollar e implementar una Política de datos de la organización

para la privacidad y protección de informacion de identificacion personal . Esta
política debe ser comunicada a todas las personas involucradas en el
tratamiento de la información de identificación personal (ver Ley 19.628)
Los siguientes itemes deben ser considerados para el cumplimiento de los
acuerdos pertinentes, leyes y regulaciones:
a) las restricciones a la importación o exportación de hardware y software para
realizar funciones criptográficas;
b) las restricciones a la importación o exportación de hardware y software que
está diseñado para tener funciones criptográficas añadidas;
c) las restricciones sobre el uso de encriptación;
d) los métodos de acceso de cumplimiento obligatorio o facultativo por las
autoridades de los países a la información encriptada por hardware o software,
para proveer la confidencialidad del contenido. Se debe buscar asesoramiento
jurídico para asegurar el cumplimiento de leyes y reglamentos pertinentes. De
igual forma, se debe tomar asesoramiento juridico previo a que la información
encriptada o controles criptográficos sean movidos a través de las fronteras
jurisdiccionales.
Se debe revisar el enfoque e implementación de seguridad de la información en

la institucion a intervalos regulares, o cuando ocurren cambios significativos y a
través de auditores externos o independientes.
La dirección debería establecer la revisión independiente. Una revisión
independiente es necesaria para asegurar la idoneidad, adecuación y
efectividad continua del enfoque de la organización para administrar la
seguridad de la información.
La revisión debería incluir la evaluación de oportunidades de mejora y la
necesidad de cambios en el enfoque de la seguridad, incluidos los objetivos de
política y control. Dicha revisión la deberían realizar personas independientes
del área bajo revisión, es decir, la función de auditoría interna, un gerente
independiente o una organización externa que se especialice en dichas
revisiones.
Las personas que realizan estas revisiones deberían contar con las habilidades
y experienciaadecuada.
Los resultados de la revisión independiente se deberían registrar e informar a la
dirección que inició esta revisión. Se deberían mantener estos registros.
Los directivos (jefaturas de área) deben identificar como revisar los

requerimientos de S.I. contenidos en la políticas, normas estándares y cualquier
otra regulación aplicable. Se deben considerar herramientas de reportabilidad
y medición automatizada, para lograr una revisión eficiente. En caso de
cualquier no- conformidad detectada en el proceso de revisión, se debe:
a) identificar las causas de la no-conformidad.
b) evaluar la necesidad de acciones para lograr cumplimiento.
c) implementar acciones correctivas apropiadas.
d) revisar las acciones correctivas tomadas para verificar su efectividad e
identificar cualquier deficiencia o debilidad.
La conformidad técnica debe revisarse preferentemente con la ayuda de
herramientas automatizadas, que generen informes técnicos para la posterior
interpretación por parte de un técnico especialista. Alternativamente, se pueden
realizar revisiones manuales por un ingeniero de sistemas con experiencia
(apoyadas por herramientas de software adecuadas, si es necesario).
Si se utilizan pruebas de penetración o evaluaciones de vulnerabilidad, se debe
tener precaución ya que tales actividades podría conducir a un compromiso de
la seguridad del sistema. Estas pruebas deben ser planificadas, documentados
y ser repetibles.
Otra revisiones de conformidad técnica implican el examen de los sistemas
operacionales para garantizar que los controles de software y hardware se han
aplicado correctamente. Este tipo de revisión de cumplimiento requiere
experiencia técnica especializada.
Nombre de la Institución:
DESCRIPCIÓN DE PROCESOS IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Nombre Responsable /
Proceso Subproceso Etapa relevante Tipo Ubicación
Activo dueño
MACIÓN ANÁLISIS DE CRITICIDAD
Persona
Soporte Autorizada Confidencialidad Integridad Disponibilidad Criticidad
para Manipular
CARACTERIZACIÓN DEL ACTIVO IDENTIFICACIÓN Y
Nombre
Proceso Confidencialidad Integridad Disponibilidad Criticidad Amenaza
Activo
IDENTIFICACIÓN Y CARACTERIZACION DE LOS RIESGOS MEDIDAS DE MITIGACION
Vulnerabilidad Probabilidad de Control para mitigar Nombre del producto

Descripción del Riesgo Impacto Severidad Cumplimiento
(Debilidad) ocurrencia el riesgo esperado
N
Nombre del Archivo

Evidencia
PROGRAMA DE TRABAJO
Responsable del Fecha Responsable de la
Producto Esperado Actividades o Hitos Fecha Inicio
Producto Término actividad
Difusión/Sensibilizaciòn
Capacitaciòn
Actividades de control básicas
PRODUCTOS A DESARROLLAR AÑO 2017 O POSTERIORES

Responsable del Fecha
Producto Esperado Justificación Fecha Inicio
Producto Término
Fecha Término Desviaciones

Productos esperados Actividades o Hitos
Estimada Real (días)
Difusión/Sensibilizaciòn
Capacitaciòn
Actividades de control básicas

Observaciones Nombre del Medio de Verificación

Articles-51683 Intro Instrumentos 2016-18-05

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Articles-51683 Intro Instrumentos 2016-18-05

Загружено:

Авторское право:

Доступные форматы

27001-2009

Proveer orientacion y apoyo de la direccion para la seguridad de la informacion, de acuerdo con

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION

A.6.1.7 Art. 12 Letra c A.6.1.4

A.7 GESTION DE ACTIVOS

A.7.1.3 Art 15 A.8.1.3

A.7.2 CLASIFICACION DE LA INFORMACION

A.7.2.2 Art. 15 A.8.2.2

A.8 SEGURIDAD RELATIVA A RECURSOS HUMANOS

A.8.1.3 Art. 21 A.7.1.2

A.8.2 DURANTE EL EMPLEO

A.8.3 FINALIZACION O CAMBIO DE LA RELACION LABORAL O EMPLEO

A.9 SEGURIDAD FISICA Y DEL AMBIENTE

A.9.1.3 Art. 19 Letra a-b A.11.1.3

A.9.1.4 Art. 17 A.11.1.4

A.9.1.5 Art. 17 A.11.1.5

A.9.1.6 Art. 17 A.11.1.6

A.9.2 SEGURIDAD DEL EQUIPAMIENTO

A.9.2.2 Art. 17 A.11.2.2

A.9.2.3 Art. 10 Letra a A.11.2.3

A.9.2.6 Art. 26 Letra e A.11.2.7

A.10 GESTION DE COMUNICACIONES Y OPERACIONES

A.10.1 PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES

A.10.1.3 Art. 7 Letra f A.6.1.2

A.10.2 GESTION DE LA ENTREGA DEL SERVICIO DE TERCERAS PARTES

Clausula 8.1 (*)

Clausula 8.1 (*)

A.10.3 PLANIFICACION Y ACEPTACION DEL SISTEMA.

A.10.4 PROTECCION CONTRA EL CODIGO MALICIOSO Y CODIGO MOVIL

A.10.6 GESTION DE LA SEGURIDAD DE RED

A.10.7.2 Art. 15 A.8.3.2

A.10.7.3 Art. 15 A.8.2.3

A.10.8.2 Art. 10 Letra a A.13.2.2

A.10.8.4 Art. 25 Letras A.13.2.3

A.10.9 SERVICIOS DE COMERCIO ELECTRONICO

A.11 CONTROL DE ACCESO

A.11.2 GESTION DEL ACCESO DE USUARIOS

A.11.2.2 Art. 30 A.9.2.3

A.11.2.3 Art. 32 A.9.2.4

A.11.3 RESPONSABILIDADES DEL USUARIO

A.11.3.2 Art. 31 A.11.2.8

A.11.3.3 Art. 18 Letra c A.11.2.9

A.11.4 CONTROL DE ACCESO A LA RED

A.11.4.3 Art. 33 ELIMINADO

A.11.4.5 Art. 33 Letras A.13.1.3

A.11.4.6 Art. 33 Letra c. ELIMINADO

A.11.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO

A.11.5.2 Art. 27 A.9.2.1

A.11.5.3 Art. 27 A.9.4.3

A.11.5.5 Art. 31 Letra b A.9.4.2

A.12 ADQUISICION DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION

A.12.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION

A.12.2 PROCESAMIENTO CORRECTO EN LAS APLICACIONES

A.12.2.2 10.2.2 ELIMINADO

A.12.2.3.Párr.1 10.2.3 ELIMINADO

A.12.2.4 10.2.4 ELIMINADO

A.12.3 CONTROLES CRIPTOGRAFICOS

A.12.3.2 10.3.1.b A.10.1.2

A.12.4 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA

A.12.4.2 10.4.2 A.14.3.1

A.12.4.3 10.4.3 A.9.4.5

A.12.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

Clausula 8.1 (*)

A.12.5.2 10.5.2 A.14.2.3