Information Security Management System (ISMS).

SISTEMA DE GESTIÓN
SEGURIDAD DE INFORMACIÓN

SGSI



Material solo para capacitación
Para su uso licenciado comprar en www.iso.org







ISO 27001:2005
Ing. J aime Enrique López Hernández

Cel. 311 876 1474
J aimelopez27001@gmail.com

Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 2 de 29






3 TERMINOS Y DEFINICIONES

3.1 activos: Cualquier cosa que tiene valor para la organización.
3.2 disponibilidad: seguridad de que los usuarios autorizados tiene acceso a la
información y a los activos asociados cuando lo requieren
3.3 confidenciabilidad: seguridad de que la información no esta disponible o divulgada a
personas o entidades o procesos no autorizados
3.4 seguridad de la información: preservación de la confidencialidad, la integridad y la
disponibilidad de la información; adicionalmente, otras propiedades pueden también ser
involucradas tales como autenticidad, registro, no rechazo y credibilidad
3.5 evento de seguridad de la información: un caso identificado de un sistema, servicio
o estado de la red indicando una posible violación de las políticas de seguridad de la
información o falla de control, o una situación desconocida nuevamente que puede ser
importante en la seguridad
3.6 Incidente seguridad de la información: uno o una serie de eventos de seguridad de
la información no esperados que tienen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la información
3.7 sistema de gestión de la seguridad de la información SGSI: parte del sistema de
gestión global, basada en un enfoque de los riesgos de un negocio, para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
información.
3.8 integridad: protección de la exactitud y estado completo de los activos
3.9 riesgo residual: nivel restante de riesgo después de que se han tomado medidas de
tratamiento de riesgo
3.10 aceptación del riesgo: decisión de asumir el riesgo
3.11 análisis de riesgo: uso sistemático de la información para identificar las fuentes y
estimar el riesgo.
3.12 valoración del riesgo: proceso global de análisis y evaluación del riesgo
3.13 evaluación del riesgo: proceso de comparar el riesgo estimado contra el criterio de
riesgo establecido para determinar la importancia del riesgo
3.14 gestión del riesgo: actividades coordinadas para dirigir y controlar una organización
con respecto al riesgo
3.15 tratamiento de riesgo: proceso de selección e implementación de medidas para
modificar el riesgo
3.16 declaración de aplicabilidad: documento que describe los objetivos de control y los
controles pertinentes y aplicables para el SGSI de la organización.

Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 3 de 29



4 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN

4.1 REQUERIMIENTOS GENERALES
La organización debe establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI documento dentro del contexto global de las actividades del negocio y
las fases del riesgo de la organización.

Para el propósito de este estándar internacional el proceso esta basado en el modelo
PHVA.

4.2 ESTABLECIMIENTO Y GESTION DEL SGSI

4.2.1 Establecer el SGSI.

La organización debe hacer lo siguiente:

a) Definir el alcance y límites del SGSI en términos de características del negocio, la
organización, su ubicación, sus activos y tecnología, incluyendo detalles de la justificación
de cualquier exclusión del alcance (Ver 1.2).
b) Definir una política del SGSI en términos de las características del negocio, la
organización, su ubicación, activos y tecnología que:
1. incluya un marco de referencia para fijar sus objetivos y establecer un
sentido general de dirección y principios para la acción con relación a la
seguridad de la información.
2. Tener en cuenta los requisitos del negocio, los legales o reglamentario y las
obligaciones de seguridad contractuales.
3. Establezca el contexto organizacional estratégico y de gestión del riesgo en
el cual tendrá lugar el establecimiento y mantenimiento del SGSI.
4. Establezca los criterios contra los cuales evaluara los riesgos (Ver 4.2.1 c));
y
5. Haya sido aprobado por la dirección.
Nota: La política de seguridad de información puede ser descrita en un
documento.
c) Definir un enfoque hacia la valoración del riesgo.
1) Identificar la metodología para la valoración del riesgo que se ajuste al
SGSI a los requerimientos legales y a la seguridad del negocio.
2) Definir criterios para aceptar riesgos e identificar niveles de riesgo
aceptables. (Ver 5.1. f)).


Nota: Existen diferentes metodologías para la evaluación de riesgos. Ejemplos
pueden verse en ISO/IEC 13335-3.
d) Identificar los riesgos
1) Identificar los activos dentro del alcance del SGSI y los propietarios de
estos activos.
2) Identificar las amenazas de estos activos

Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 4 de 29



3) Identificar las vulnerabilidades que podrían ser aprovechadas por las
amenazas
4) Identificar el impacto que la perdida de confidencialidad, integridad y
disponibilidad pueden tener sobre los activos.
e) Análisis y evaluación de los riesgos
1) Valorar el impacto que causa la falta de seguridad, teniendo en cuenta las
consecuencias por la perdida de confidencialidad, integridad o
disponibilidad de los activos
2) Valorar la posibilidad de que ocurra una falla en la seguridad
3) Estimar los niveles de riesgo
4) Determinar si los riesgos son aceptables o la necesidad de su tratamiento
usando el criterio de aceptación de riesgos establecido en 4.2.1 c) 2)).
f) Identificar y evaluar las opciones para el tratamiento de los riesgos
Posibles acciones incluyen:
1) Aplicar los controles apropiados.
2) Aceptar los riesgos con conocimiento y objetividad, de acuerdo a las
políticas de la organización y a los criterios de aceptación del riesgo (Ver 4.2.1
c)2));
3) Evitar riesgos; y
4) Transferir los riesgos asociados con el negocio a otras partes, por ejemplo
aseguradores, proveedores.
g) seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.
Los objetivos de control y los controles deben ser seleccionados e implementados
de acuerdo a los requisitos identificados por los procesos de valoración y
tratamiento del riesgo. Esta selección debe tener en cuanta los criterios de
aceptación del riesgo (Ver 4.2.1 c)2)) también como los requisitos legales,
reglamentarios y contractuales.
Los objetivos de control y los controles del Anexo A deben ser seleccionados como
parte de este proceso para ajustarlos a los requisitos identificados.
Puede ser necesario seleccionar objetivos de control y controles adicionales a los
presentados en el Anexo A.
h) Obtener la aprobación de la dirección para el riesgo residual propuesto.
i) Obtener la aprobación de la dirección para implementar y operar el SGSI.
J ) Preparar la declaración de aplicabilidad
Una declaración de aplicabilidad debe incluir lo siguiente:
1) Los objetivos de control y controles seleccionados en 4.2.1 g) y las razones de
su selección;
2) Los objetivos de control y controles actualmente implementados (ver 4.2.1 e)
2)); y
3) La exclusión de cualquier objetivo de control y controles en el anexo A y su
justificación para su exclusión.

4.2.2 Implementación y operación del SGSI

La organización debe hacer el siguiente:

Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 5 de 29



a) Formular plan para tratamiento de riesgos que identifique la acción administrativa
apropiada y responsabilidades para gestionar los riesgos de seguridad de la
información. (Ver 5).
b) Implementar plan para el tratamiento de riesgos para lograr los objetivos de control
identificados, que incluye recursos económicos y asignación de funciones y
responsabilidades.
c) Implementar controles seleccionados (ver 4.2.1 g)) para cumplir los objetivos de
control.
d) Definir como medir la efectividad de los controles seleccionados o grupos de
controles y especificar como estas medidas son usadas para asignar controles
efectivos que produzcan resultados comparables y reproducibles. (ver 4.2.3 c)).
e) Implementar programas de formación y de toma de conciencia. (ver 5.2.2).
f) Gestionar operaciones definidas
g) Gestionar recursos del SGSI (ver 5.2).
h) Implementar procedimientos y otros controles para detectar y dar respuesta
oportuna a incidentes de seguridad. (ver 4.2.3 a)).

4.2.3 Seguimiento y revisión del SGSI

La organización debe hacer lo siguiente:
a) Ejecutar procedimientos de seguimiento y otros controles para:
1) Detectar rápidamente errores en los resultados del procesamiento
2) Identificar con prontitud los incidentes e intentos de violación de la
seguridad.
3) Permitir que la dirección determine si las actividades de seguridad
delegadas a personas o implementadas mediante la tecnología de la
información se están ejecutando como se espera.
4) Ayudar a detectar eventos de seguridad prevenir incidentes de seguridad
con el uso de indicadores y
5) Determinar si las acciones tomadas para resolver un problema de
seguridad fueron efectivas.
b) Emprender revisiones regulares de la eficacia del SGSI (incluyendo la política,
objetivos y la revisión de controles de seguridad) teniendo en cuenta los resultados
de las auditorias de seguridad, incidentes, sugerencias y retroalimentación de
todas las partes interesadas.
c) Medir la efectividad de los controles para verificar que los requerimientos de
seguridad han sido logrados.
d) Revisar el nivel de riesgo residual y riesgo aceptable, teniendo en cuenta los
cambios en:
1) La organización
2) La tecnología
3) Los Objetivos y proceso del negocio
4) Las amenazas identificadas
5) La efectividad de los controles implementados
6) Eventos externos, tales como cambios en el ambiente legal o
reglamentario, obligaciones contractuales y cambios en el clima social.

Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 6 de 29



e) Realizar auditorias internas del SGSI a intervalos planificados. (ver 6).
f) Emprender una revisión del SGSI en forma regular (por lo menos una vez al año),
realizada por la dirección, para asegurar que el alcance sigue siendo adecuado y
que se identifiquen mejoras al proceso del SGSI. (ver 7.1).
g) Actualizar planes de seguridad que tengan en cuenta los hallazgos de las
actividades de monitoreo y revisión.
h) Registrar acciones y eventos que podrán tener impacto en la eficacia o el
desempeño del SGSI. (ver 4.3.3).

4.2.4 Mantener y mejorar el SGSI

La organización debe regularmente hacer lo siguiente:
a) Implementar las mejoras identificadas en el SGSI.
b) Emprender las acciones correctivas y preventivas adecuadas en concordancia
con 8.2 y 8.3. Aplicar las lecciones aprendidas de experiencias de seguridad de
otras organizaciones y de si misma.
c) Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle
apropiado de las circunstancias y, como relevante, como convenga proceder.
d) Asegurar que las mejoras logren los objetivos previstos.

4.3 REQUISITOS DE DOCUMENTACIÓN

4.3.1 Generalidades
La documentación debe incluir registros de las decisiones de gestión, asegurando que las
acciones son trazables para gestionar las políticas, decisiones y asegurar que los
resultados registrados son reproducibles, debe incluir:
a) Declaraciones documentadas de la política de seguridad (ver 4.2.1 b)) y los
objetivos de control;
b) El alcance del SGSI (ver 4.2.1 a));
c) Procedimientos y controles que los apoyan el SGSI;
d) Descripción de la metodología para valoración de riesgos (ver 4.2.1 c));
e) Reporte de tratamiento de riesgos (ver 4.2.1 c) y 4.2.1 g));
f) El plan de tratamiento de riesgos (ver 4.2.2 b));
g) Los procedimientos documentados necesarios para asegurar la eficacia de la
planificación, operación y control de sus procesos de seguridad de la información
(ver 4.2.3 c));
h) Los registros exigidos por esta norma internacional (ver 4.3.3); y
i) La declaración de aplicabilidad

4.3.2 Control de documentos

Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer
un procedimiento documentado para definir las acciones de gestión necesarias para:
a) Aprobar los documentos en cuanto a su adecuación antes de su publicación;
b) Revisar y actualizar los documentos según sea necesario y reaprobarlos;

Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 7 de 29



c) Asegurar que los cambios y el estado de actualización de los documentos estén
identificados;
d) Asegurar las versiones mas recientes de los documentos pertinentes están
disponibles en los puntos de uso;
e) Asegurar que los documentos permanezcan legibles y fácilmente identificables;
f) Asegurar que los documentos están disponibles para toso cuando sean
necesitados, transferidos, almacenados y destruido de acuerdo con los
procedimientos aplicables a su clasificación;
g) Asegurar que los documentos de origen externo estén identificados;
h) Asegurar que la distribución de documentos esté controlada;
i) Impedir el uso no previsto de los documentos obsoletos; y
j) Aplicar a los documentos obsoletos la identificación adecuada, si se retienen para
cualquier propósito;

4.3.3 Control de Registros

Se deben establecer, mantener y controlar los registros para brindar la evidencia de la
conformidad con los requisitos y la operación eficaz del SGSI. El SGSI debe tener en
cuenta cualquier requisito legal pertinente o requerimiento regulador y obligaciones
contractuales.

Los registros deben permanecer legibles, fácilmente identificables y recuperables. Los
controles necesarios para la identificación, almacenamiento, protección, recuperación,
tiempo de retención y disposición de registros deben ser documentados e implementados.

Se deben llevar registros del desempeño del proceso y de todos los casos de incidentes
de seguridad relacionados con el SGSI.


5 RESPONSABILIDAD DE LA DIRECCIÓN

5.1 COMPROMISO DE LA DIRECCIÓN

La dirección debe proporcionar evidencia de su compromiso para establecer,
implementar, revisar, mantener y mejorar el SGSI:
a) Al establecer una política de seguridad de la información;
b) Al asegurar que se establezcan los objetivos y planes de seguridad de la
información;
c) Al establecer funciones y responsabilidades;
d) Al comunicar a la organización la importancia de cumplir los objetivos de
seguridad y al cumplir la política;
e) Al proveer recursos para implementar y mantener el SGSI (ver
5.2.1);
f) Al decidir el nivel de riesgo aceptable;
g) Asegurar que las Auditorias Internas al SGSI son realizadas (ver 6);
h) Al realizar revisiones del SGSI por la dirección (ver 7).

Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 8 de 29



5.2 GESTION DE RECURSOS

5.2.1 Provisión de recursos

La organización debe determinar y proveer recursos necesarios para:
a) Establecer, implementar, operar, mantener y mejorar el SGSI.
b) Asegurar que los procedimientos de seguridad de la información brindan
soporte a los requisitos del negocio.
c) Identificar y atender los requisitos legales y reglamentarios, así como las
obligaciones de seguridad contractuales.
d) Mantener la seguridad adecuada mediante la aplicación correcta de todos
los controles implementados.
e) Llevar a cabo revisiones cuando sea necesario y relacionar
apropiadamente a los resultados de estas revisiones.
f) En donde se requiera, mejorar la eficacia del SGSI.

5.2.2 Entrenamiento, toma de conciencia y competencia
La organización debe asegurar que todo el personal que tiene asignada
responsabilidades en el SGSI son competentes para realizar las tareas de:
a) La determinación de las competencias necesarias para el personal que
ejecute el trabajo que afecta el SGSI;
b) Proveer entrenamiento o tomar otras acciones (Ejemplo: competencias del
personal) para satisfacer estas necesidades;
c) La evaluación de la eficacia de las acciones tomadas; y
d) El mantenimiento de registro de educación, formación, habilidades,
experiencia y calificaciones (ver 4.3.3).

6 AUDITORIAS INTERNAS AL SGSI

La organización debe realizar auditorias internas al SGSI a intervalos planificados, para
determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI:

a) Cumplen los requisitos de esta norma internacional y la legislación pertinente o
regulaciones;
b) Cumplen con la identificación de los requerimientos de la seguridad de la
información;
c) Son efectivamente implementados y se mantienen; y
d) Cumplen las expectativas.

Un programa de auditoria debe ser planeado, tomando en consideración el estatus e
importancia de los procesos y áreas a ser auditadas, como también los resultados
previos de auditoria. Los criterios de auditoria, alcance, frecuencia y métodos deben
ser definidos. La selección de auditores y conducta de los auditores debe asegurar la
objetividad e imparcialidad del proceso de auditoria. Auditores no deben auditar su
propio trabajo.


Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 9 de 29



La responsabilidad y requerimientos para la planeación y conducta durante la
auditoria, y los reportes de resultados y mantenimiento de registros (ver 4.3.3) debe
ser definido en un procedimiento documentado.

El responsable de la dirección del área auditada debe asegurar que las acciones
tomadas no tengan retrasos en eliminar las no conformidades detectadas y sus
causas. Seguimiento de las actividades debe incluir la verificación de las acciones
tomadas y el reporte de verificación de resultados. (Ver 8).

(Ver ISO 19011:2002).

7 REVISIÓN DEL SGSI POR LA DIRECCIÓN

7.1 GENERALIDADES
La dirección debe revisar que la organización del SGSI a intervalos planeados (por lo
menos una vez al año) para asegurar su conveniencia, adecuación y efectividad.
Esta revisión debe incluir
- La evaluación de oportunidades para mejorar
- y la necesidad de cambios en el SGSI, incluyendo
* Política de seguridad de la información.
* Objetivos de la seguridad de la información.

El resultado de la revisión debe ser claramente documentado y se deben guardar los
registros. (Ver 4.3.3).

7.2 REVISIÓN DE ENTRADAS

La entrada a la revisión por la gerencia debe incluir:
a) Resultados de las auditorias y revisiones al SGSI;
b) Retroalimentación de las partes interesadas;
c) Técnicas, productos o procedimientos, los cuales pueden ser usados en la
organización para mejorar el desempeño y efectividad del SGSI;
d) Estado de las acciones preventivas y correctivas;


e) Vulnerabilidades o amenazas no tratadas adecuadamente en la previa evaluación
de riesgos;
f) Resultados de efectividad de las medidas;
g) Seguimiento de las acciones desde las revisiones previas de la gerencia;
h) Y cualquier cambio que podría afectar el SGSI; y
i) Recomendaciones para mejorar.

7.3 REVISIÓN DE LAS SALIDAS

Las salidas de la revisión de la gerencia deben incluir cualquier decisión y acción
relacionada con lo siguiente:

Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 10 de 29



a) Mejoramiento de la efectividad en el SGSI.
b) Actualización del plan de valoración y tratamiento de riesgos.
c) Modificación de procedimientos y controles que afecten la seguridad de la
información, cuando sea necesario, para responder a eventos internos o externos
que puede impactar sobre el SGSI, incluyendo cambios a:
1) Requerimientos de negocio;
2) Requerimientos de seguridad;
3) Procesos del negocio que afectan los requisitos del negocio existentes;
4) Regulaciones o requerimientos legales;
5) Obligaciones contractuales; y
6) Niveles de riesgo y/o criterio de aceptación de riesgos.
d) Consideraciones a las necesidades de recursos.
e) Mejoramiento de cómo la efectividad de los controles esta siendo medida.

8 MEJORA DEL SGSI

8.1 MEJORA CONTINUA

La organización debe continuamente mejorar la efectividad en el SGSI por medio del uso
de:
- la política de seguridad
- objetivos de la seguridad de la información
- resultados de auditorias
- análisis del monitoreo de eventos
- acciones correctivas y preventivas y revisión por la gerencia. (Ver 7).

8.2 ACCIÓN CORRECTIVA

La organización debe emprender acciones para eliminar la causa de no conformidades
asociadas con la implementación y operación del SGSI, con el fin de prevenir su nueva
ocurrencia.

Un procedimiento documentado para la acción correctiva debe ser definido para
requerimientos como:

a) Identificando las no conformidades
b) Determinando las causas de no conformidades
c) Evaluando la necesidad de acciones que aseguren que las no conformidades no
vuelvan a ocurrir
d) Determinando e implementando las acciones correctivas necesarias
e) Registrando los resultados de la acciones tomadas (Ver 4.3.3); y
f) Revisando la acción correctiva tomada.





Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 11 de 29



8.3 ACCIÓN PREVENTIVA

La organización debe determinar acciones para eliminar la causa de potenciales no
conformidades con los requerimientos del SGSI en orden para prevenir su ocurrencia.
Las acciones preventivas tomadas deben ser apropiadas al impacto de los problemas
potenciales.

Un procedimiento documentado para la acción preventiva debe definir requerimientos
para:

a) Identificando potenciales no conformidades y sus causas
b) Evaluando la necesidad de acción para prevenir la ocurrencia de no
conformidades
c) Determinando e implementando acciones preventivas necesarias
d) Registrando resultados de las acciones tomadas (Ver 4.3.3); y
e) Revisando las acciones preventivas tomadas.

La organización debe identificar cambios en los riesgos e identificar requerimientos de
acciones preventivas enfocando la atención sobre los riesgos que han cambiado
significativamente.

La prioridad de las acciones preventivas debe ser determinada basada sobre resultados
de la valoración de riesgos.


ANEXO A

A.5 POLÍTICA DE SEGURIDAD

A.5.1 POLÍTICA DE SEGURIDAD DE INFORMACIÓN.
Objetivo de Control:
Brindar orientación y apoyo a la dirección en la seguridad de información de acuerdo con
los requerimientos del negocio, leyes relevantes y regulaciones.

A.5.1.1 Documento de la política de seguridad de la información.
Control: Un documento de la política de seguridad debe ser aprobado por la dirección, y
publicado y comunicado a todos los empleados y a partes externas relevantes.

A.5.1.2 Revisión Política de seguridad de la información.
Control: La información de la política de seguridad de la información debe ser revisado a
intervalos planeados o si hay cambios significativos para asegurar la conveniencia de su
continuidad, adecuación y efectividad.





Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 12 de 29



A.6 ORGANIZACIÓN DE SEGURIDAD DE INFORMACION

A.6.1 Organización Interna.
Objetivo de control:
Gestionar la seguridad de la información dentro de la organización.

A.6.1.1 Compromiso de la dirección en la seguridad de la información.
Control: La dirección debe soportar activamente la seguridad dentro de la organización a
través de directrices claras, compromiso demostrado, asignaciones expresas, y
reconocimiento de las responsabilidades de la seguridad de la información.

A.6.1.2 Coordinación de la seguridad de la información.
Control: Las actividades de la seguridad de la información deben ser coordinadas por
representantes de diferentes partes de la organización con roles relevantes y funciones de
trabajo.

A.6.1.3 Asignación de responsabilidades de la seguridad de la información.
Control: Toda la responsabilidad en seguridad de la información debe ser claramente
definida.

A.6.1.4 Proceso de autorización para medios de procesamiento de la información.
Control: Un proceso de gestión de autorización para un medio de procesamiento nuevo
debe ser definido e implementado.

A.6.1.5 Acuerdo de Confidencialidad.
Control: Requerimientos de confidencialidad o los acuerdos de no revelación necesarios
para la protección de la información de la organización deben ser identificados y
regularmente revisados.

A.6.1.6 Contacto con las Autoridades.
Control: Contacto apropiado con las autoridades competentes debe ser mantenido.

A.6.1.7 Contacto con grupos interesados especialistas
Control: Contacto apropiado con grupos interesados especiales o contacto con grupos de
especialistas, otros foros y asociaciones de profesionales en seguridad se deben
mantener.

A.6.1.8 Revisión Independiente de seguridad de la información
Control: La organización aprueba el enfoque de gestión de seguridad de la información y
su implementación (Ej. objetivos de control, controles, políticas, procesos, y
procedimientos de seguridad de la información) debe ser independientemente revisada y
planeada a intervalos, o cuando ocurren cambios significativos en la implementación de la
seguridad.




Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 13 de 29



A.6.2 Partes externas
Objetivo de control:
Mantener la seguridad de información de la organización y facilidades en procesamiento
de información son accedidas, procesados, comunicados a, o administrados por partes
externas.

A.6.2.1 Identificación de riesgos relacionados con partes externas.
Control: El riesgo de la información y los recursos de procesamiento que involucren a
partes externas deben ser identificados e implementar controles apropiados antes de
conceder el acceso.

A.6.2.2. Tratamiento de la seguridad cuando negociamos con clientes.
Control: Todos los requerimientos identificados en seguridad deben ser tratados antes
de dar acceso a los clientes a la información o a los activos de la organización.

A.6.2.3 Requisitos de seguridad en acuerdos con terceras partes.
Control: Acuerdos con terceras partes que involucren acceso, procesamiento,
comunicación o administración de información de la organización o medios de
procesamiento de información, o adición de productos o servicios para los recursos de
procesamiento de información deben ser tratados para todos los requerimientos en
seguridad.

A.7 GESTIÓN DE ACTIVOS

A.7.1 Responsabilidad
Objetivo de control:
Ejecutar y mantener apropiada protección de los activos de la organización.

A.7.1.1 Inventario de activos
Control: Todos los activos deben ser claramente identificados y un inventario de todos los
activos importantes mantenido.

A.7.1.2 Propiedad de los activos
Control: Toda información y activos asociados con los medios de procesamiento de
información deben de tener un responsable designado por la organización.

A.7.1.3 Uso aceptable de los activos
Control: Reglas para el uso aceptable de información y activos asociados con los medios
de procesamiento de información deben ser identificados, documentados e
implementados.

A.7.2 Clasificación de la información
Objetivo de control:
Asegurar que la información reciba un adecuado nivel de protección.



Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 14 de 29



A.7.2.1 Guías de clasificación
Control: la información debe ser clasificada en términos de su valor, requerimientos
legales, susceptibles y críticos para la organización.

A.7.2.2 Etiquetado y gestión de información
Control: Un apropiado sistema de procedimientos para el etiquetado y dirección debe ser
desarrollado e implementado en concordancia con el esquema de clasificación adoptado
por la organización.

A.8 SEGURIDAD DEL PERSONAL

A.8.1 Antes del trabajo
Objetivo de control:
Asegurar que usuarios como empleados, contratistas, terceras partes entiendan sus
responsabilidades y son apropiadas para los roles que han sido considerados para, y
reducir los riesgos de robo, fraude o uso inadecuado de los recursos.

A.8.1.1 Funciones y Responsabilidades
Control: Las funciones y responsabilidades en seguridad de usuarios empleados,
contratistas y terceras partes deben ser definidos y documentados de acuerdo con política
de sistemas de información de la organización.

A.8.1.2 Selección
Control: Chequeo de verificación de fondo de todos los usuarios candidatos para el
empleo, contratistas y terceras partes deben ser revisados de acuerdo con las leyes
relevantes, regulaciones y ética, y proporcional a los requerimientos del negocio, la
clasificación de la información a ser accedida y la percepción de los riesgos.

A.8.1.3 Términos y condiciones de la relación laboral
Control: Como parte de las obligaciones contractuales, los usuarios como empleados,
contratistas y terceras partes deben aceptar y firmar los términos y condiciones de
contrato de trabajo, se debe definir la responsabilidad de la seguridad de la información
de la organización.

A.8.2 Durante del trabajo
Objetivo de control:
Asegurar que todos los usuarios empleados, contratistas y terceras partes tengan
conciencia sobre las amenazas y problemas de seguridad de la información, sus
responsabilidades y léxico, y que estén preparados para brindar apoyo a la política de
seguridad de la información organizacional en el curso de su trabajo normal y para reducir
los riesgos de error humano.

A.8.2.1 Gestión de las responsabilidades
Control: La gestión de usuarios empleados, contratistas y terceras partes deben requerir
aplicar la seguridad en concordancia con lo establecido en la política y procedimientos de
la organización.

Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 15 de 29



A.8.2.2 Educación y formación en seguridad de la información
Control: Todos los usuarios empleados de la organización y donde sea aplicable,
contratistas o terceras partes deben recibir entrenamiento apropiado y actualizaciones
regulares sobre las políticas y procedimientos relativos a sus funciones.

A.8.2.3 Proceso disciplinario
Control: Se debe establecer un proceso disciplinario formal para los empleados que
hayan violado la seguridad.

A.8.3 Terminación o cambio de trabajo
Objetivo de control:
Asegurar que la salida de usuarios empleados, contratistas y terceras partes de la
organización o cambio de empleo se haga de una forma metódica.

A.8.3.1 Terminación de responsabilidades
Control: Responsabilidades para la terminación de empleo o cambios de trabajo deben
ser claramente definidos y asignados.

A.8.3.2 Devolución de activos
Control: Todos los usuarios empleados, contratistas o terceras partes deben devolver a
la organización todos los activos que tienen en su posesión hasta la terminación de sus
empleos, contratos o acuerdos.

A.8.3.3 Eliminación de derechos de acceso
Control: Los derechos de acceso de usuarios a la información y recursos de
procesamiento de información de todos los usuarios empleados, contratistas o terceras
partes deben ser removidos antes de la terminación del empleo, contrato o acuerdo o
ajustado sobre el cambio.

A.9 SEGURIDAD FÍSICA Y DEL ENTORNO

A.9.1 Áreas seguras
Objetivo de Control:
Prevenir el acceso físico no autorizado, daño e interferencia a las instalaciones e
información de la organización.

A.9.1.1 Perímetro de seguridad física
Control: Perímetros de seguridad (barreras como paredes, entrada controlada con
tarjetas o recepciones) deben ser usadas para proteger áreas que contengan información
e instalaciones de procesamiento de información.

A.9.1.2 Control de acceso físico
Control: Las áreas seguras deben estar protegidas por controles de entrada apropiados
que aseguren que sólo se permite el acceso a personal autorizado.



Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 16 de 29



A.9.1.3 Seguridad de oficinas, recintos e instalaciones
Control: Seguridad física para oficinas, recintos e instalaciones deben ser asignadas y
aplicadas.

A.9.1.4 Protección contra amenazas externas o medioambientales.
Control: Protección física contra daños por fuego, inundación, terremoto, explosión,
desordenes civiles y otras formas naturales o desastres hechos por el hombre deben ser
diseñadas y aplicadas.

A.9.1.5 Trabajo en áreas seguras
Control: Protecciones físicas y guías para incrementar el nivel de seguridad de un área
segura deben ser diseñadas y aplicadas.

A.9.1.6 Acceso publico, despacho y áreas de carga
Control: Las áreas de despacho y carga y otros puntos donde personal no autorizado
puede ingresar, el permiso debe ser controlado y si es posible, deben estar aisladas de
las instalaciones de procesamiento de información para evitar el acceso no autorizado.

A.9.2 Seguridad de los equipos
Objetivo de control:
Prevenir daño, pérdida, robo o puesta en peligro de los activos e interrupciones de las
actividades de la organización.

A.9.2.1 Ubicación y protección de los equipos
Control: Los equipos deben ser ubicados o protegidos para reducir los riesgos de
amenazas o peligros del entorno, y las oportunidades de acceso en forma no autorizada.

A.9.2.2 Suministro de energía
Control: Los equipos deben ser protegidos contra fallas en el suministro de energía y
otras anomalías eléctricas.

A.9.2.3 Seguridad del cableado
Control: El cableado de energía eléctrica y de telecomunicaciones que porta datos o
presta soporte a servicios de información debe estar protegido contra interceptación o
daño.

A.9.2.4 Mantenimiento de los equipos
Control: Los equipos deben recibir el mantenimiento adecuado que permita su
permanente disponibilidad e integridad.

A.9.2.5 Seguridad de los equipos fuera de las instalaciones
Control: Para cualquier uso de equipos para procesamiento de la información fuera de
las instalaciones de la organización, se debe exigir autorización.




Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 17 de 29



A.9.2.6 Disposición segura o re utilización de equipos
Control: Todos los dispositivos de almacenamiento con información deben ser revisados
para asegurar que cualquier información relevante o licencia de software ha sido removido
o sobre escrito antes de su disposición.

A.9.2.7 Retiro de bienes
Control: Los equipos, información o software que pertenece a la organización no se
deben retirar sin autorización.

A.10 GESTION DE COMUNICACIONES Y OPERACIONES

A.10.1 PROCEDIMIENTOS OPERACIONALES Y REPONSABILIDADES
Objetivo de control:
Asegurar la operación correcta y segura de las instalaciones de procesamiento de la
información.

A.10.1.1 Procedimientos de operación documentados
Control: Procedimientos operacionales deben ser documentados, mantenidos y estar
disponibles para todos los usuarios que lo necesiten.

A.10.1.2 Gestión de Cambios
Control: Deben ser controlados los cambios en las instalaciones de procesamiento y
sistemas.

A.10.1.3 Separación de funciones
Control: Deben estar separadas las funciones en áreas de responsabilidad para reducir
la oportunidad para una desautorizada modificación.

A.10.1.4 Separación de las instalaciones, desarrollo y producción
Control: Deben estar separadas las instalaciones para el desarrollo, prueba y producción
para reducir el riesgo de acceso no autorizado o cambios en el sistema operativo.

A.10.2 GESTION DE SERVICIOS ENTREGADOS POR TERCERAS PARTES
Objetivo de control:
Implementar y mantener los niveles apropiados de seguridad de la información y de los
servicios entregados por terceras partes, teniendo en cuenta los acuerdos pactados.

A.10.2.1 Entrega de servicios
Control: Se debe asegurar que los controles de seguridad, definiciones de servicios y
niveles de entrega incluidos en los acuerdos de servicios con terceras partes sean
implementados, operados y mantenidos por las terceras partes.

A.10.2.2 Monitoreo y revisión de servicios suministrados por terceras partes
Control: Los servicios, reportes y registros provistos por las terceras partes deben ser
regularmente supervisados y revisados. Deben periódicamente auditarse.


Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 18 de 29



A.10.2.3 Gestión de cambios en servicios hechos por terceras partes
Control: Los cambios en el suministro de servicios, incluyendo el mantenimiento y
mejoramiento de las políticas de seguridad de la información existentes, procedimientos y
controles, deben ser gestionados, ingreso de la criticidad de los sistemas del negocio y
procesos involucrados y re asignados a los riesgos.

A.10.3 PLANEACION Y ACEPTACION DEL SISTEMA
Objetivo de control:
Minimizar el riesgo de fallas en los sistemas.

A.10.3.1 Planeación de la capacidad
Control: El uso de los recursos debe ser monitoreado, afinado y hacer proyecciones de
requerimientos de capacidad futura para asegurar el desempeño del sistema requerido.

A.10.3.2 Aceptación del sistema
Control: Criterios de aceptación para nuevos sistemas de información, actualizaciones, y
nuevas versiones deben ser establecidas y llevar a cabo pruebas adecuadas del sistema,
durante el desarrollo y antes de su aceptación.

A.10.4.1 Controles contra software malicioso
Control: Se deben implementar controles de detección, prevención y recuperación para
protegerse contra software malicioso, y procedimientos apropiados de toma de conciencia
de los usuarios.

A.10.4.2 Controles contra software móvil
Control: Cuando el uso de software móvil es autorizado, la configuración debe asegurar
su funcionamiento de acuerdo con las políticas de seguridad claramente definidas, y
código móvil no autorizado debe ser prevenido desde su ejecución.

A.10.5 Backup-up
Objetivo de control:
Mantener la integridad y disponibilidad de información y medios de procesamiento de
información.

A.10.5.1 Back-up de la información
Control: Copias de back-up de información y software deben ser realizadas y revisadas
regularmente en concordancia con la política de backup.

A.10.6 Gestión de la seguridad de la red
Objetivo de control:
Asegurar la protección de información en la red y protección del soporte de la
infraestructura.





Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 19 de 29



A.10.6.1 Controles de red
Control: Se deben administrar y controlar las redes para que esté protegida de ataques y
para mantener la seguridad de los sistemas y aplicaciones usados en la red, incluida la
información en transito.

A.10.6.2 Seguridad de los servicios de red.
Control: Deben ser identificados e incluidos en cualquier acuerdo de servicios de red, las
características de seguridad, niveles de servicio y los requerimientos de administración
para todos los servicios de red, donde estos servicios son provistos por outsourcing o
in-house.

A.10.7 GESTION DE LOS MEDIOS
Objetivo de control:
Prevenir acceso no autorizado, modificación, eliminación o destrucción de activos, e
interrupción de las actividades del negocio.

A.10.7.1 Gestión de los medios removibles
Control: Debe haber procedimientos para la administración de los medios removibles.

A.10.7.2 Eliminación de medios
Control: Medios deben ser dispuestos para efectos y seguridad cuando no se requieran
por largo tiempo, usando un procedimiento formal.

A.10.7.3 Procedimientos para el manejo de la información
Control: Se deben establecer procedimientos para el manejo y almacenamiento de la
información para protegerla de divulgación no autorizada o mal uso.

A.10.7.4 Seguridad de la documentación del sistema
Control: Se debe proteger la documentación contra el acceso no autorizado.

A.10.8 INTERCAMBIO DE INFORMACION
Objetivo de control:
Mantener la seguridad de la información e intercambio de software dentro de la
organización y con cualquier entidad externa.

A.10.8.1 Procedimientos y políticas para el intercambio de información
Control: Se deben tener políticas, procedimientos y controles para proteger el
intercambio de información a través del uso de todos los medios de comunicación.

A.10.8.2 Acuerdos de Intercambio
Control: Se deben establecer acuerdos para los intercambios de información y de
software entre la organización y entidades externas.

A.10.8.3 Medios físicos en tránsito
Control: Se debe proteger la información contra accesos no autorizados, mal uso o daño
durante el transporte más halla de los límites de las instalaciones.

Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 20 de 29




A.10.8.4 Correo electrónico
Control: La información incluida en el correo electrónico debe ser protegida
apropiadamente.

A.10.8.5 Sistemas de información de negocios
Control: Las políticas y procedimientos deben ser desarrollados e implementados para
proteger la información asociada con la interconexión de los sistemas de información de
los negocios.

A.10.9 SERGURIDAD EN COMERCIO ELECTRONICO
Objetivo de control:
Asegurar la seguridad de los servicios de comercio electrónico, y su uso seguro.

A.10.9.1 Comercio electrónico
Control: La información intercambiada utilizando correo electrónico por redes públicas
debe ser protegida de actividad fraudulenta, disputas en contratos y revelación no
autorizada y modificación.

A.10.9.2 Transacciones en línea
Control: La información utilizada en transacciones en línea debe ser protegida para
prevenir transmisiones incompletas, perdidas de enrutamiento, alteración de mensajes,
divulgación no autorizada, mensajes duplicados no autorizados o repetición.

A.10.9.3 Información disponible públicamente
Control: Se debe cuidar la protección de la integridad de la información publicada
electrónicamente para evitar la modificación no autorizada.

A.10.10 MONITOREO
Objetivo de control:
Detectar las actividades de procesamiento de información no autorizadas.

A.10.10.1 Auditoria de ingresos al sistema “ Log-in”
Control: Registros de logs de los usuarios, excepciones, y los eventos de seguridad
deben ser mantenidos por un período de tiempo acordado ya que podrían servir para
futuras investigaciones y para el monitoreo del control de acceso.

A.10.10.2 Monitoreo del uso del sistema
Control: Procedimientos para monitorear el uso de los recursos del sistema de
información deben ser establecidos y el resultado del monitoreo revisado regularmente.

A.10.10.3 Protección de logs de información
Control: Los Log-in de ingreso a los recursos y los logs de información deben ser
protegidos contra manipulaciones y accesos no autorizados.



Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 21 de 29



A.10.10.4 Eventos del Administrador y operador
Control: Las actividades del administrador y del operador deben ser registradas en el
Log.

A.10.10.5 Ingresos fallidos al sistema
Control: Los ingresos fallidos al sistema deben ser registrados en un Log, y analizados y
tomar la acción apropiada.

A.10.10.6 Sincronización de relojes
Control: Los relojes de todos los sistemas de procesamiento de la información relevantes
dentro de la organización o dominio de seguridad deben ser sincronizados de acuerdo a
una fuente de referencia.

A.11 CONTROL DE ACCESO

A.11.1 REQUISITOS DEL NEGOCIO PARA EL CONTROL DE ACCESO
Objetivo de control:
Controlar el acceso a la información.

A.11.1.1 Políticas para el control de acceso
Control: Una política de control de acceso debe ser establecida, documentada y revisada
basada en el negocio y los requerimientos de se seguridad para el acceso.

A.11.2 ADMINISTRACION DE ACCESO DE USUARIOS
Objetivo de control:
Asegurar el acceso de los usuarios autorizados y prevenir el acceso de usuarios no
autorizados al sistema.

A.11.2.1 Registro de usuarios.
Control: Debería haber un procedimiento formal de registro y cancelación del registro a
usuarios para conceder y revocar el acceso a todos los sistemas y servicios de
información.

A.11.2.2 Administración de privilegios.
Control: Se debería restringir y controlar la asignación y uso de privilegios.

A.11.2.3 Administración de contraseñas para usuarios.
Control: Se debería controlar la asignación de contraseñas mediante un proceso de
gestión formal.

A.11.2.4 Revisión de los derechos de acceso de los usuarios.
Control: La dirección debería establecer un proceso formal de revisión periódica de los
derechos de acceso de los usuarios.




Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 22 de 29



A.11.3 RESPONSABILIDADES DE LOS USUARIOS
Objetivo de control:
Prevenir el acceso de usuarios no autorizados, y el robo de información y el
procesamiento de información.

A.11.3.1 Uso de contraseñas.
Control: Los usuarios deben ser obligados a seguir buenas prácticas de seguridad en la
selección y uso de sus contraseñas.

A.11.3.2 Equipo de cómputo de usuario desatendido.
Control: Los usuarios deben asegurar que los equipos informáticos no usados estén
debidamente protegidos.

A.11.3.3 Política de puesto de trabajo despejado y bloqueo de pantalla.
Control: Una política de puesto de trabajo despejado de papeles y medios de
almacenamiento removibles y una política de bloqueo de pantalla para los recursos de
tratamiento de información debe ser adoptada.

A.11.4 CONTROL DE ACCESO A REDES
Objetivo de control:
Prevenir el acceso no autorizado a los servicios en red.

A.11.4.1 Política de uso de los servicios en red
Control: Los usuarios solo deben tener acceso directo a los servicios para los que han
sido autorizados específicamente a usar.

A.11.4.2 Autenticación de usuarios para conexiones externas
Control: Deben ser usados métodos de autenticación apropiados para controlar el acceso
de los usuarios remotos.

A.11.4.3 Identificación de equipos en red
Control: Se debe tener en cuenta la identificación automática de equipos como un medio
para autenticar las conexiones realizadas desde una localización o equipo.

A.11.4.4 Protección de puertos de diagnóstico y configuración remota
Control: Debe controlarse el acceso físico y lógico a los puertos de diagnóstico y
configuración.

A.11.4.5 Segmentación de redes
Control: Las redes se deben segmentar por grupos de servicios de información, usuarios
y sistemas de información.






Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 23 de 29



A.11.4.6 Control de conexión a las redes
Control: Para redes compartidas, especialmente aquellas que atraviesan las fronteras de
la organización la capacidad de los usuarios para conectarse a la red deben ser
restringidas de acuerdo con las políticas de control de acceso y los requisitos de las
aplicaciones del negocio.

A.11.4.7 Control de enrutamiento en la red
Control: Se deben implementar controles de enrutamiento para asegurar que las
conexiones del computador y los flujos de información no violen las políticas de control de
acceso de las aplicaciones del negocio.

A.11.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO
Objetivo de control:
Prevenir el acceso no autorizado a los sistemas operativos.

A.11.5.1 Procedimientos de identificación de usuarios segura
Control: El acceso a los servicios de información debe ser controlado mediante un
proceso de conexión seguro.

A.11.5.2 Identificación y autenticación de usuarios
Control: Todos los usuarios deben tener un identificador único (ID de usuario) para su
uso personal y exclusivo, utilizando una técnica de autenticación de manera que las
actividades se puedan rastrear hasta el individuo responsable.

A.11.5.3 Sistema de administración de contraseñas
Control: Los sistemas de administración de contraseñas deben ser interactivos y
asegurar la calidad de las contraseñas.

A.11.5.4 Uso de utilidades del sistema
Control: El uso de programas utilitarios capaces de eludir las medidas de control del
sistema debe ser limitado y mantenerse estrictamente controlados.

A.11.5.5 Time-out de sesión
Control: Las sesiones inactivas se deben deshabilitar después de un periodo de tiempo
definido.

A.11.5.6 Limitación del tiempo de conexión
Control: Se deben aplicar restricciones en los tiempos de conexión para brindar
seguridad adicional en aplicaciones de alto riesgo.

A.11.6 CONTROL DE ACCESO EN LA INFORMACION Y A LAS APLICACIONES
Objetivo de control:
Prevenir el acceso no autorizado a la información contenida en los sistemas de
información.



Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 24 de 29



A.11.6.1 Restricción de acceso a la información
Control: Debe ser restringido de acuerdo con las políticas de control de acceso definidas,
el acceso a la información y a las funciones del sistema de aplicaciones, a los usuarios y
al personal de soporte.

A.11.6.2 Aislamiento de sistemas relevantes
Control: Los sistemas susceptibles deben tener un entorno informático dedicado
(aislado).

A.11.7 COMPUTACION MOVIL Y TRABAJO REMOTO
Objetivo de control:
Garantizar la seguridad de la información cuando se usan dispositivos de computación
móviles y trabajo remoto.

A.11.7.1 Computación y comunicaciones móviles
Control: Una política formal debe estar en el lugar, y apropiadas medidas de seguridad
debe ser adoptada para proteger contra riesgos usando computación móvil y
herramientas de comunicaciones.
.
A.11.7.2 Trabajo remoto
Control: Una política, planes operacionales y procedimientos debe ser desarrollada e
implementada para actividades de trabajo remoto.

A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

A.12.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS
Objetivo de control:
Asegurar que la seguridad es una parte integral de los sistemas de información.

A.12.1.1 Análisis y especificación de los requisitos de seguridad.
Control: Declaraciones de requerimientos del negocio para nuevos sistemas de
información, o mejora de los sistemas de información existentes debe especificar los
requerimientos para los controles de seguridad.

A.12.2 PROCESAMIENTO CORRECTO DE APLICACIONES
Objetivo de control:
Prevenir errores, pérdida, modificaciones no autorizadas o uso erróneo de información en
aplicaciones.

A.12.2.1 Validación de los datos de entrada
Control: Datos de entrada a las aplicaciones deben ser validados para asegurar que
estos datos son correctos y apropiados.





Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 25 de 29



A.12.2.2 Control al procesamiento interno
Control: Chequeos de validación deben ser incorporados dentro de las aplicaciones para
detectar cualquier corrupción de información por medio de errores de procesamiento o
actor deliberados.

A.12.2.3 Autenticación de mensajes
Control: Requerimientos para asegurar la autenticidad y mensajes de protección de la
integridad en las aplicaciones debe ser identificado, y controles apropiados identificados e
implementados.

A.12.2.4 Validación de los datos de salida
Control: Datos de salida desde una aplicación debe ser validada para asegurar que el
procesamiento almacenado de información es correcto y apropiado por las circunstancias.

A.12.3 CONTROLES CRIPTOGRÁFICOS
Objetivo de control:
Proteger la confidencialidad, autenticidad e integridad de información por medios
criptográficos.

A.12.3.1 Política en el uso de controles criptográficos
Control: Una política sobre el uso de controles criptográficos para protección de la
información debe ser desarrollado e implementada.

A.12.3.2 Administración de llaves
Control: Un administrador de llaves debe existir en el lugar para soportar en el uso de
técnicas criptográficas de la organización.

A.12.4 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA
Objetivo de control:
Asegurar la seguridad de los archivos del sistema.

A.12.4.1 Control operativo del software
Control: Debe ser implementado procedimientos en el sitio de controles de instalación de
software sobre sistemas operativos.

A.12.4.2 Protección de los datos de prueba del sistema
Control: Los datos de prueba debe ser cuidadosamente seleccionados, y protegidos y
controlados.

A.12.4.3 Control de acceso a código de programas fuente
Control: Acceso a los programas fuentes debe ser restringido.

A.12.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
Objetivo de control:
Mantener la seguridad de aplicaciones del software del sistema e información.


Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 26 de 29



A.12.5.1 Procedimientos de control de los cambios.
Control: La implementación de cambios debe ser controlada por el uso de un
procedimiento formal de control de cambios.

A.12.5.2 Revisión técnica de aplicaciones después de cambios en el sistema
Operativo
Control: Cuando el sistema operativo cambie, las aplicaciones críticas del sistema debe
ser revisado y probado para asegurar que no suceda un impacto adverso sobre la
operación de la organización o seguridad.

A.12.5.3 Restricciones en los cambios a los paquetes de software
Control: Modificaciones a los paquetes de software debe ser disuadir, limitado a los
cambios necesarios, y todos los cambios deben ser estrictamente controlados.

A.12.5.4 Fuga de información
Control: Oportunidades de la fuga de información debe ser prevenida.

A.12.5.5 Desarrollo externo de software
Control: Outsourcing de desarrollo de software debe ser supervisado y monitoreado por
la organización.

A.12.6 GESTIÓN DE VULNERABILIDAD TÉCNICA
Objetivo de control:
Reducir el riesgo resultante desde la explotación de vulnerabilidad técnica publicable.

A.12.6.1 Control de vulnerabilidades técnicas.
Control: Cronograma de información acerca de vulnerabilidades técnicas de sistemas de
información debe ser usado, la organización es expuesta a vulnerabilidades evaluadas y
apropiada medición tomada para direccional los riesgos asociados.

A.13 GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE INFORMACIÓN.

A.13.1 REPORTE DE INCIDENTES Y ANOMALIAS DE SEGURIDAD DE
INFORMACIÓN.
Objetivo de control:
Asegurar que los incidentes de seguridad de la información y anomalías asociadas con
los sistemas de información son comunicados se deben manejar periódicamente tomando
acciones correctivas.

A.13.1.1 Reporte de los incidentes en seguridad de información
Control: Los incidentes en seguridad de la información se deben reportar a través de los
canales de dirección apropiados y tan rápidos como sea posible.





Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 27 de 29



A.13.1.2 Reporte de las debilidades en la seguridad
Control: Todos los empleados, contratistas y terceras partes usuarios de sistemas de
información y servicios deben notificar y reportar cualquier observación o amenaza
sospechosa en seguridad.

A.13.2 Gestión de los incidentes e imprevistos en la seguridad de la información
Objetivo de control:
Asegurar un consistente y efectivo enfoque es aplicado para la gestión de incidentes en la
seguridad de la información.

A.13.2.1 Responsabilidades y procedimientos
Control: Gestión de responsabilidades y procedimientos debe ser establecido para
asegurar un rápido, efectivo y ordenada respuesta a incidentes de seguridad.

A.13.2.2 Aprendizaje desde los incidentes en la seguridad de la información
Control: Debe ser habilitados mecanismos en el lugar para tipos, volúmenes y costos de
incidentes de seguridad de información para ser cuantificada y monitoreada.

A.13.2.3 Recolección de evidencias
Control: Donde una acción de seguimiento contra una persona u organización después
de un incidente de seguridad de información que involucre una acción legal (sea civil o
penal), la evidencia debe ser recopilada, retenida, y presentada de conformidad con las
reglas de evidencia ante la relevante jurisdicción.

A. 14 GESTION DE CONTINUIDAD DEL NEGOCIO

A.14.1 ASPECTOS DE SEGURIDAD DE INFORMACION EN GESTION DE
CONTINUIDAD DEL NEGOCIO
Objetivo de control:
Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos
críticos de los efectos de fallas mayores de sistemas de información o desastres y
asegurar la recuperación oportuna.

A.14.1.1 Incluyendo información de seguridad en el proceso de gestión de
continuidad del negocio.
Control: Un proceso de gestión debe ser desarrollado y mantenido la continuidad del
negocio en toda la organización que incluya los requerimientos de seguridad de
información necesarios para la continuidad del negocio de la organización.

A.14.1.2 Continuidad del negocio y avaluó de riesgos.
Control: Eventos que pueden causar interrupciones a los procesos del negocio deben ser
identificados, junto con la probabilidad y el impacto de tales interrupciones y sus
consecuencias para la seguridad de la información.




Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 28 de 29



A.14.1.3 Desarrollo e implementación del plan de continuidad incluyendo seguridad
de la información.
Control: Planes deben ser desarrollados e implementados para mantener o restaurar las
operaciones y asegurar la disponibilidad de la información en el plazo requerido siguiendo
las escalas de tiempo de interrupción para, o falla de, procesos críticos del negocio.

A.14.1.4 Planeación de la estructura de la continuidad del negocio.
Control: Una simple estructura de los planes de continuidad del negocio debe ser
mantenidos para asegurar que todos los planes son consistentes, los requerimientos de
seguridad de información consistentemente enviados, y para identificar prioridades de
pruebas y mantenimiento.

A.14.1.5 Prueba, mantenimiento y reevaluación del plan de continuidad del negocio.
Control: Los planes de continuidad del negocio deben ser probados y actualizados
regularmente para asegurar que ellos son actuales y efectivitos.

A.15 CONFORMIDAD

A.15.1 CONFORMIDAD CON LOS REQUISITOS LEGALES
Objetivo de control:
Evitar incumplimientos en cualquier ley, estatuto, reglamentación u obligaciones
contractuales, y cualquier requerimiento de seguridad.

A.15.1.1 Identificación de la legislación aplicable
Control: Estatutos pertinente, reglamentarios y requerimientos contractuales y
acercamiento con organizaciones para encontrar estos requerimientos debe ser
explícitamente definidos, documentados, y continuamente actualizados para cada sistema
de información y la organización.

A.15.1.2 Derechos de propiedad intelectual.
Control: Procedimientos apropiados deben ser implementados para asegurar
conformidad con la legislación, regulaciones, y requerimientos contractuales sobre el uso
del material por lo que se refiere el cual puede ser derechos de propiedad intelectual y en
el uso de los productos de software propietarios.

A.15.1.3 Protección de los registros de la organización
Control: Registros importantes deben ser protegidos de pérdida, destrucción y
falsificación, de acuerdo con estatutos, reglamentaciones, contractuales, y requerimientos
del negocio.

A.15.1.4 Protección de los datos y privacidad de la información personal
Control: Protección de los datos y privacidad debe ser asegurada como requerimiento en
la legislación relevante, regulaciones, y, si es aplicable, cláusulas contractuales.




Sistemas de Gestión de Seguridad en Informática ISO 27001

Página 29 de 29



A.15.1.5 Protección del uso inadecuado de los recursos de procesamiento de la
información
Control: Usuarios deben ser disuadidos de usar las instalaciones de procesamiento de
información para propósitos no autorizados.

A.15.1.6 Reglamentación de los controles criptográficos
Control: Controles criptográficos deben ser usados en conformidad con todos los
acuerdos relevantes, leyes, y regulaciones.

A.15.2 CONFORMIDAD DE POLÍTICA DE SEGURIDAD, NORMAS Y EL
CUMPLIMIENTO TÉCNICO
Objetivo de control:
Asegurar conformidad de los sistemas con políticas de seguridad y estándares de la
organización.

A.15.2.1 Conformidad de la política de seguridad y normas
Control: Los directores deben asegurar que todos los procedimientos de seguridad
dentro de su área de responsabilidad se realizan correctamente para alcanzar
conformidad con políticas y estándares de la seguridad.

A.15.2.2 Verificación de conformidad técnico
Control: Sistemas de información deben ser regularmente comprobada para la
conformidad con estándares de implementación de seguridad.

A.15.3 CONSIDERACIONES DE AUDITORIA DE SISTEMAS DE INFORMACIÓN
Objetivo de control:
Maximizar la efectividad de y para minimizar la interferencia de/desde los procesos de
auditoria.

A.15.3.1 Controles de auditoria de sistemas de información
Control: Requerimientos de auditoria y actividades de revisión de sistemas operativos
deben ser cuidadosamente planeados y convenientemente para minimizar los riesgos de
interrupción de los procesos del negocio.

A.15.3.2 Protección de las herramientas de auditoria de sistemas de información
Control: El acceso a las herramientas de auditoria de los sistemas de información debe
ser protegido para prevenir cualquier uso erróneo relevante.