You are on page 1of 40

UNIVERSIDAD NACIONAL DEL SANTA

ESCUELA DE INGENIERIA DE SISTEMAS E INFORMATICA

AUDITORIA DE SISTEMAS

ISO 27002 – CAPITULO 9 al CAPITULO 12
Docente:
Camilo Suàrez Rebaza
Alumnos:

Lozano Mantilla Edwin Christian
Avalos Vega Brecia Sandra

NUEVO CHIMBOTE - PERÚ
2015

AUDITORIA DE SISTEMAS

9 CONTROL DE ACCESO
9.1 Los requisitos de negocio de control de acceso
Objetivo: limitar el acceso a las instalaciones de procesamiento
de la información y de la información.

9.1.1 Política de control de Acceso
Controlar
Una política de control de acceso debe ser establecida, documentado y revisado
en base a los requisitos de seguridad de negocios y de información.
Guía de implementación
Los propietarios de activos deben determinar las reglas de control de acceso
apropiado, derechos de acceso y restricciones para las funciones específicas de
los usuarios con respecto a sus activos, con la cantidad de detalle y el rigor de
los controles que reflejan los riesgos de seguridad de información asociados.
Los controles de acceso son a la vez lógica y física (véase el numeral 11) y
estos deben ser considerados en conjunto. Los usuarios y los proveedores de
servicios deben tener una declaración clara de los requerimientos del negocio
que deben cumplir los controles de acceso.
La política debe tener en cuenta lo siguiente:
a) los requisitos de seguridad de las aplicaciones de negocio;
b) Políticas para la difusión de información y la autorización, por ejemplo, la
necesidad de conocer los niveles de principio y de seguridad de la
información y clasificación de la información (véase 8.2);
c) La coherencia entre los derechos de acceso y políticas de clasificación de la
información de los sistemas y redes;

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Página 39

AUDITORIA DE SISTEMAS
d) la legislación pertinente y las obligaciones contractuales relativas a la
limitación de acceso a los datos o servicios (véase 18.1);
e) La gestión de los derechos de acceso en un entorno distribuido y en red que
reconoce todos los tipos de conexiones disponibles;
f) la segregación de las funciones de control de acceso, por ejemplo solicitud
de acceso, autorización de acceso, administración de acceso;
g) los requisitos para la autorización formal de las solicitudes de acceso (véase
9.2.1 y 9.2.2);
h) Los requisitos para la revisión periódica de los derechos de acceso (véase
9.2.5);
i) la eliminación de los derechos de acceso (véase 9.2.6);
j) el archivo de los expedientes de todos los hechos relevantes sobre el uso y
gestión de identidades de los usuarios y la información secreta de
autenticación;
k) roles con acceso privilegiado (ver 9.2.3).
Otra información
ISO/IEC 27002:2013(E)
Se debe tener cuidado al especificar reglas de control de acceso a la cuenta:
a) el establecimiento de reglas basadas en la premisa "Todo está generalmente
prohibido a menos que expresamente permitido" y no la regla más débil "Todo
está generalmente permitido a menos expresamente prohibido";
b) cambios en las etiquetas de información (véase 8.2.2) que se inician
automáticamente por las instalaciones de procesamiento de la información y las
iniciadas a discreción de un usuario;
c) los cambios en los permisos de usuario que se inician automáticamente por el
sistema de información y las iniciadas por un administrador;
d) las normas que requieren la aprobación específica antes de la promulgación y
las que no lo hacen.
Reglas de control de acceso deben ser apoyados por procedimientos formales
(ver 9.2, 9.3, 9.4) y se definen responsabilidades (ver 6.1.1, 9.3).

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Página 39

AUDITORIA DE SISTEMAS
Control de acceso basado en roles es un enfoque utilizado con éxito por muchas
organizaciones para vincular los derechos de acceso a las funciones de negocio.
Dos de los principios frecuentes que dirigen la política de control de acceso
son:
a) Necesidad-a-saber: sólo se le concede acceso a la información que necesita
para llevar a cabo sus tareas (diferentes tareas / papeles significan diferente
necesidad de conocer y por lo tanto diferente perfil de acceso);
b) Necesidad de usar: sólo se le concede acceso a las instalaciones de
procesamiento

de

información

(equipos

informáticos,

aplicaciones,

procedimientos, salas) que necesita para realizar su tarea / trabajo / papel.
9.1.2 El acceso a las redes y los servicios de red
Controlar
Los usuarios sólo deben contar con acceso a los servicios de red y de la red que
han sido autorizados específicamente para su uso.
Guía de implementación
Una política debe formularse en relación con el uso de las redes y los servicios
de red. Esta política debe cubrir:
a) las redes y los servicios de red que están autorizados a acceder;
b) Los procedimientos de autorización para determinar quién se le permite el
acceso que las redes y los servicios en red;
c) Los controles y procedimientos para proteger el acceso a las conexiones de
red y servicios de red de gestión;
d) Los medios utilizados para redes de acceso y servicios de red (por ejemplo,
uso de VPN o red inalámbrica);

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A

Página 39

f) el seguimiento de la utilización de los servicios de red. La política sobre el uso de los servicios de red debe ser coherente con la política de control de acceso de la organización (ver 9.1 Registro de usuarios y de la matrícula Controlar Un proceso formal de registro de usuario y la cancelación de la matrícula debe ser implementado para permitir la asignación de derechos de acceso.1. por ejemplo. el uso de identificaciones compartidas sólo se permitirá cuando sean necesarias por razones de negocios o de funcionamiento y deben ser aprobados y documentados. Otra información Conexiones no autorizadas e inseguras a servicios de red pueden afectar a toda la organización.AUDITORIA DE SISTEMAS e) Los requisitos de autenticación de usuario para acceder a varios servicios de red.2. 9.2 Gestión de acceso de usuario Objetivo: Garantizar el acceso de usuarios autorizados y para evitar el acceso no autorizado a los sistemas y servicios. Este control es particularmente importante para las conexiones de red a las aplicaciones de negocio sensibles o críticos. Guía de implementación El proceso para la gestión de los ID de usuario debe incluir: a) utilizar los ID de usuario únicas para que los usuarios puedan estar vinculados a y responsable de sus actos.1). o para los usuarios en lugares de alto riesgo. 9. Áreas comunes o externos que están fuera de la gestión de seguridad de la información de la organización y control. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 .

2 Acceso aprovisionamiento de usuarios Controlar Un proceso de aprovisionamiento acceso de los usuarios formal debe ser implementado para asignar o revocar los derechos de acceso para todos los tipos de usuario a todos los sistemas y servicios. un ID de usuario. b) proporcionar. c) identificar periódicamente y eliminación o desactivación del ID de usuario redundantes.2. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . los derechos de acceso a dicha identificación de usuario (véase 9. 9.1.6).2).2). o revocar.2. Otra información Proporcionar o revocar el acceso a la información o de las instalaciones de procesamiento de información es por lo general un procedimiento de dos pasos: a) la asignación y propicio. o la revocación. d) asegurarse de que los ID de usuario redundantes no se emiten a otros usuarios.2. Guía de implementación El proceso de aprovisionamiento para asignar o revocar los derechos de acceso concedido a los ID de usuario debe incluir: a) obtener la autorización del propietario del sistema de información o servicio para el uso del sistema o servicio de información (véase el control 8.AUDITORIA DE SISTEMAS b) inmediatamente deshabilitar o quitar los ID de usuario de los usuarios que han abandonado la organización (véase 9.

c) garantizar que los derechos de acceso no están activados (por ejemplo.4.3 Gestión de derechos de acceso privilegiados Controlar I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . Solicitudes de acceso y las revisiones (véase 9.4) se gestionan más fácil a nivel de esas funciones que en el ámbito de los derechos particulares.2.3. 9.2. 13.2). e) la adaptación de los derechos de acceso de los usuarios que han cambiado de roles o puestos de trabajo y la eliminación o el bloqueo de los derechos de acceso de los usuarios que han abandonado la organización de inmediato.2.1. Se debería considerar la posibilidad de incluir cláusulas en los contratos de personal y contratos de servicio que especifican sanciones en caso de acceso no autorizado se intenta por personal o contratistas (ver 7. f) revisar periódicamente los derechos de acceso con los propietarios de los sistemas o servicios (véase 9.2. b) comprobar que el nivel de acceso concedido es adecuada a las políticas de acceso (véase 9.1) y es consistente con otros requisitos.2). 7.2.2. tales como la separación de funciones (véase 6. Otra información Se debería considerar la posibilidad de establecer los roles de acceso de usuario basado en los requerimientos del negocio que resumen una serie de derechos de acceso a los perfiles típicos de acceso de usuario.5) de información. 15.1. d) el mantenimiento de un registro central de los derechos de acceso concedidos a un ID de usuario para acceder a los sistemas y servicios de información. por los proveedores de servicios) antes de que se completaron los procedimientos de autorización.AUDITORIA DE SISTEMAS aprobación separada para los derechos de acceso de administración también puede ser apropiado.1.

1.1). es decir. Derechos de acceso privilegiados no deben concederse hasta que el proceso de autorización se ha completado.AUDITORIA DE SISTEMAS La asignación y utilización de los derechos de acceso privilegiados deben ser restringidas y controladas. Los siguientes pasos deben ser considerados: a) los derechos de acceso privilegiados asociados con cada sistema o proceso. f) las competencias de los usuarios con derechos de acceso privilegiados deben revisarse periódicamente con el fin de verificar si están de acuerdo con sus funciones. Guía de implementación La asignación de derechos de acceso privilegiado debe ser controlada a través de un proceso formal de autorización de conformidad con la política de control de acceso correspondiente (véase el control 9. basado en el requisito mínimo para sus roles funcionales. Actividades comerciales regulares no deben realizarse a partir privilegiada ID. sistema. c) se deben mantener un proceso de autorización y un registro de todos los privilegios asignados.1). por ejemplo. b) los derechos de acceso privilegiados deben ser asignados a los usuarios en base a la necesidad de usar y sobre una base de caso byevent en línea con la política de control de acceso (ver 9.1. sistema de gestión de base de datos y cada aplicación y los usuarios operar a los que necesitan ser asignados deben ser identificados. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . e) los derechos de acceso privilegiados deben ser asignados a un ID de usuario diferente de los que se utilizan para las actividades regulares de trabajo. d) requisitos para la caducidad de los derechos de acceso privilegiados deben ser definidos.

compartida) información secreta de autenticación únicamente dentro de los miembros del grupo.2.AUDITORIA DE SISTEMAS g) los procedimientos específicos debe establecerse y mantenerse para evitar el uso no autorizado de los ID de usuario de administración genéricos. cambiar las contraseñas con frecuencia y tan pronto como sea posible cuando una hojas de usuarios privilegiados o cambios de trabajo. b) cuando los usuarios están obligados a mantener su propia información de autenticación secreta se les debe proporcionar inicialmente con información los I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . Otra información El uso inapropiado de los privilegios de administración del sistema (cualquier característica o instalación de un sistema de información que permite al usuario anular sistema o aplicaciones controles) es un importante factor que contribuye a las fallas o incumplimientos de los sistemas. 9. h) para el ID de usuario de administración de genéricos. que se comunican entre ellos a los usuarios privilegiados con mecanismos adecuados). de acuerdo a las capacidades de configuración de los sistemas.1. la confidencialidad de la información secreta de autenticación debe mantenerse cuando se comparte (por ejemplo.4 Gestión de la información de autenticación de secreto de los usuarios Controlar La asignación de la información secreta de autenticación debe ser controlada a través de un proceso de gestión formal. esta declaración firmada se puede incluir en los términos y condiciones de empleo (véase 7. Guía de implementación El proceso debe incluir los siguientes requisitos: a) los usuarios deben ser obligados a firmar una declaración para mantener la información de autenticación de secreto personal confidencial y para mantener el grupo (es decir.2).

d) la información temporal de autenticación secreta se debe dar a los usuarios de una manera segura. el uso de partes externas o (texto sin cifrar) los mensajes de correo electrónico sin protección debe evitar. Otra información Las contraseñas son un tipo de información secreta de autenticación de uso común y son un medio común de verificar la identidad de un usuario.5 Revisión de los derechos de acceso de usuario Controlar Los propietarios de activos deben revisar los derechos de acceso de los usuarios a intervalos regulares. Guía de implementación La revisión de los derechos de acceso debe considerar lo siguiente: I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . Otros tipos de información secreta de autenticación son claves criptográficas y otros datos almacenados en tokens de hardware (por ejemplo. 9.AUDITORIA DE SISTEMAS autenticación segura temporal secreta. g) proveedor por defecto la información de autenticación secreta debe ser alterada después de la instalación de sistemas o software. e) la información temporal de autenticación secreta debe ser única para un individuo y no debe ser de adivinar. c) se establezca un procedimiento para verificar la identidad de un usuario antes de proporcionar nuevos. que se ven obligados a cambiar a partir del primer uso.2. f) los usuarios deben acusar recibo de la información secreta de autenticación. tarjetas inteligentes) que produzcan códigos de autenticación. sustitutivos o información temporal de autenticación secreta.

2. o ajustarse al cambio.6. e) cambios en las cuentas privilegiadas deben ser registrados para su revisión periódica.1. contrato o convenio. 9.2 y 9. Guía de implementación I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . 9. b) los derechos de acceso de usuario deben ser revisados y re-asignados al pasar de una función a otra dentro de la misma organización. d) las asignaciones de privilegios deben ser revisados periódicamente para asegurarse de que no se han obtenido privilegios no autorizados.2.AUDITORIA DE SISTEMAS a) los derechos de acceso de los usuarios deben ser revisados periódicamente y después de cualquier cambio. como la promoción. Otra información Este control compensa las posibles debilidades en la ejecución de los controles 9. c) las autorizaciones de los derechos de acceso privilegiados deberían revisarse a intervalos más frecuentes. la degradación o la terminación del empleo (véase la cláusula 7).6 Retiro o el ajuste de los derechos de acceso Controlar Los derechos de acceso de todos los empleados y usuarios parte externa a las instalaciones de procesamiento de información y la información debe ser retirada a la terminación de su empleo.2.2.

y la razón de la terminación. ID de grupo. Los cambios de empleo deben reflejarse en la eliminación de todos los derechos de acceso que no fueron aprobados para el nuevo empleo. tarjetas de identificación. dependiendo de la evaluación de los factores de riesgo como: a) si la terminación o el cambio se inicia por el empleado. c) el valor de los activos actualmente accesibles. Cualquier documentación que identifica los derechos de acceso de los empleados y contratistas debe reflejar la supresión o ajuste de los derechos de acceso. los derechos de acceso de un individuo a la información y los activos asociados a las instalaciones y servicios de procesamiento de información deben ser removidos o suspendidos. Esto determinará si es necesario para eliminar los derechos de acceso. el usuario externo partido o por la administración. La eliminación o el ajuste se pueden hacer mediante la retirada. los derechos de acceso pueden ser asignados sobre la base de estar disponible a más gente que el empleado que se marcha o usuario parte externa.AUDITORIA DE SISTEMAS Tras la rescisión. Derechos de acceso para la información y los activos asociados a las instalaciones de procesamiento de información deben ser reducidos o eliminados antes de que el empleo termina o cambia. En tales circunstancias. revocación o sustitución de llaves. las personas que salen deben ser retiradas de las listas de acceso de grupo y se I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . Si un empleado que se marcha o usuario parte externa ha conocido las contraseñas para los ID de usuario permanecen activas. Otra información En determinadas circunstancias. por ejemplo. éstas se deben cambiar a la terminación o cambio de empleo. el usuario parte externa o cualquier otro usuario. Los derechos de acceso que deben ser eliminados o ajustados incluyen los de acceso físico y lógico. instalaciones de procesamiento de información o suscripciones. contrato o acuerdo. b) las responsabilidades actuales del empleado.

En los casos de terminación de la gestión iniciada. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . 9.1 Uso de la información secreta de autenticación Controlar Los usuarios deben ser obligados a seguir las prácticas de la organización en el uso de información secreta de autenticación. 9. archivo de software o dispositivo de mano) de información secreta de autenticación.3 Responsabilidades del usuario Objetivo: hacer que los usuarios responsables de salvaguardar su información de autenticación. ellos pueden tener la tentación de recoger información para su uso futuro. b) evitar mantener un registro (por ejemplo. incluidas las personas de autoridad. a menos que esto se puede almacenar de forma segura y el método de almacenamiento ha sido aprobado (por ejemplo bóveda de contraseña). asegurando que no es divulgada a otras partes. En los casos de personas dimitir o ser despedidos. Guía de implementación Todos los usuarios deben ser advertidos de: a) mantener la información secreta de autenticación confidencial. c) cambiar la información secreta de autenticación cuando se produzca algún indicio de su posible compromiso. descontentos empleados o usuarios agente externo pueda deliberadamente información corrupta o sabotaje de las instalaciones de procesamiento de información.3.AUDITORIA DE SISTEMAS deben hacer arreglos para asesorar a todos los demás empleados y usuarios de partidos externos implicados para no compartir esta información con la persona de partir. en papel.

estas herramientas también pueden aumentar el impacto de la divulgación de información secreta de autenticación. 9. 5) si es temporal. f) garantizar una adecuada protección de las contraseñas cuando las contraseñas se utilizan como información de autenticación secreta en automatizada de inicio de sesión en los procedimientos y se almacenan. Otra información Provisión de Single Sign On (SSO) u otras herramientas de gestión de la información secreta de autenticación reduce la cantidad de información secreta de autenticación que los usuarios están obligados a proteger y por lo tanto puede aumentar la eficacia de este control. e) no compartir información de autenticación secreta del usuario individual. contraseñas seleccione calidad con longitud mínima suficiente. 3) no es vulnerable a ataques de diccionario (es decir. Sin embargo.4 Sistema de control de acceso y aplicación Objetivo: evitar el acceso no autorizado a los sistemas y aplicaciones. etc . todo-numérica o alfabética todo consecutivos.AUDITORIA DE SISTEMAS d) cuando las contraseñas se utilizan como información de autenticación secreta. cambiado en el primer inicio de sesión. 2) no se basa en nada a alguien más podía adivinar fácilmente u obtener utilizando la información persona relacionada. 4) libre de caracteres idénticos. que son: 1) fácil de recordar. nombres. g) No utilice la misma información secreta de autenticación para fines comerciales y no comerciales. por ejemplo. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . no consisten en palabras incluidas en los diccionarios). números de teléfono y fechas de nacimiento..

leer. 9. b) controlar qué datos pueden ser accedidos por un usuario en particular. A continuación se debe considerar con el fin de apoyar los requisitos de restricción de acceso: a) proporcionar menús para controlar el acceso a las funciones del sistema de aplicación.1 Restricción de acceso de la Información Controlar El acceso a las funciones de información y sistema de aplicación debe ser restringido. por ejemplo.AUDITORIA DE SISTEMAS 9.4. d) el control de los derechos de acceso de otras aplicaciones. o sistemas.2 los procedimientos de registro-en seguros Controlar I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . de acuerdo con la política de control de acceso. borrar y ejecutar. Guía de implementación Restricciones de acceso deben basarse en las necesidades individuales de aplicaciones empresariales y de acuerdo con la política de control de acceso definido. c) el control de los derechos de acceso de los usuarios. f) proporcionar controles de acceso físicos o lógicos para el aislamiento de aplicaciones sensibles. datos de aplicación.4. escribir. e) la limitación de la información contenida en las salidas.

Un buen procedimiento de log-on debe: a) no se muestren sistema o aplicaciones identificadores hasta que el proceso de inicio de sesión se ha completado con éxito. Si se presenta una condición de error. b) mostrar un aviso general de advertencia de que el equipo sólo debe acceder los usuarios autorizados. se debe utilizar. métodos de autenticación alternativa a las contraseñas. El procedimiento para iniciar sesión en un sistema o aplicación debe ser diseñado para reducir al mínimo la posibilidad de que el acceso no autorizado. el sistema no debería indicar qué parte de los datos son correctos o incorrectos. e) proteger contra la fuerza bruta log-on intentos. tokens o medios biométricos. Cuando se requiere una sólida autenticación y verificación de identidad. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . con el fin de evitar proporcionar un usuario no autorizado toda la asistencia necesaria. Guía de implementación Una técnica de autenticación adecuada debe ser elegida para justificar la identidad reivindicación de un usuario. el procedimiento de inicio de sesión debe revelar el mínimo de información sobre el sistema o aplicación. Por tanto. f) registrar los intentos fallidos y exitosos. tarjetas inteligentes. d) validar la información de inicio de sesión en la única en la terminación de todos los datos de entrada.AUDITORIA DE SISTEMAS Cuando lo exija la política de control de acceso. tales como medios criptográficos. el acceso a los sistemas y aplicaciones debe ser controlado por un procedimiento de inicio de sesión seguro. c) no proporciona mensajes de ayuda durante el procedimiento de inicio de sesión que ayudaría un usuario no autorizado.

especialmente en lugares de alto riesgo. j) no transmite las contraseñas en texto claro sobre una red. La fortaleza de la autenticación de usuario debe ser apropiado para que se accede a la clasificación de la información. k) terminar sesiones inactivas después de un período definido de inactividad. i) no se muestre una contraseña se ingresó.AUDITORIA DE SISTEMAS g) elevar un evento de seguridad si un potencial intento o violación exitosa de inicio de sesión en los controles se detecta. Otra información Las contraseñas son una forma común de proporcionar la identificación y la autenticación basada en un secreto que sólo el usuario conoce. 2) detalles de cualquier intento de inicio de sesión fallidos desde el último inicio de sesión con éxito. l) restringir los tiempos de conexión para proporcionar seguridad adicional para aplicaciones de alto riesgo y reducir la ventana de oportunidad para el acceso no autorizado. Si las contraseñas se transmiten en texto claro durante el inicio de sesión de la sesión a través de una red. tales como las zonas comunes o externos fuera de la gestión de seguridad de la organización o en los dispositivos móviles. El mismo también se puede lograr con medios criptográficos y protocolos de autenticación. 9. pueden ser capturados por un programa "sniffer" de red.4.3 sistema de gestión de contraseña I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . h) muestra la siguiente información sobre la terminación de un inicio de sesión con éxito: 1) Fecha y hora de la exitosa inicio de sesión anterior.

Otra información Algunas aplicaciones requieren contraseñas de usuario que se asignará por una autoridad independiente. i) almacenar y transmitir las contraseñas en forma protegida. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . g) no se muestren las contraseñas en la pantalla cuando se introduzcan. b) permitir a los usuarios seleccionar y cambiar sus propias contraseñas e incluyen un procedimiento de confirmación para permitir errores de entrada.AUDITORIA DE SISTEMAS Controlar Sistemas de gestión de contraseña deben ser interactivos y deben asegurarse de contraseñas de calidad. e) hacer cumplir los cambios regulares de contraseña y. los puntos b). En la mayoría de los casos se seleccionan las contraseñas y mantenidos por los usuarios. según sea necesario. h) almacenar archivos de contraseñas por separado de los datos de sistema de aplicación. d) Los usuarios de la fuerza para cambiar sus contraseñas en la primera conexión a la comunicación. d) ye) de la guía anterior no se aplican. c) hacer cumplir la opción de contraseñas de calidad. f) mantener un registro de las contraseñas utilizadas anteriormente y evitar la reutilización. Guía de implementación Un sistema de gestión de contraseñas deben: a) imponer el uso de identificadores de usuario y contraseñas individuales para mantener la rendición de cuentas. en tales casos.

Guía de implementación Las siguientes pautas para el uso de programas de utilidad que podría ser capaz de anular se debe considerar los controles del sistema y de las aplicaciones: a) el uso de identificación.4. Otra información I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . b) la segregación de los programas de utilidad de software de aplicaciones. f) el registro de todo el uso de los programas de servicios públicos.2. por ejemplo. para la duración de un cambio autorizado. i) no hacer programas de utilidad disponible para los usuarios que tienen acceso a las aplicaciones en sistemas donde se requiere la separación de funciones. procedimientos de autenticación y autorización para los programas de servicios públicos.AUDITORIA DE SISTEMAS 9.3). h) la eliminación o desactivación de todos los programas de servicios públicos innecesarios. e) la limitación de la disponibilidad de programas de utilidad.4 El uso de los programas de servicios públicos privilegiados Controlar El uso de programas de utilidades que podrían ser capaces de anular sistema y de aplicaciones controles debe ser restringido y estrechamente controlado. g) la definición y documentación de los niveles de autorización para los programas de servicios públicos. los usuarios autorizados (véase 9. d) la autorización para el uso especial de los programas de servicios públicos. c) la limitación de la utilización de programas de utilidad para el número mínimo necesario de confianza.

b) el código fuente del programa y las bibliotecas de programas fuente deben ser manejados de acuerdo a los procedimientos establecidos. las bibliotecas de programas fuente no deben ser considerados en los sistemas operativos. especificaciones. Las siguientes directrices deberían entonces ser considerados para controlar el acceso a este tipo de bibliotecas de código del programa con el fin de reducir las posibilidades de corrupción de los programas de ordenador: a) cuando sea posible. planos de verificación y planes de validación) debe ser estrictamente controlada. preferiblemente en las bibliotecas de programas fuente. Guía de implementación El acceso al código fuente del programa y de elementos asociados (tales como diseños. c) El personal de apoyo no deben tener acceso sin restricciones a las bibliotecas de programas fuente. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . con el fin de prevenir la introducción de la funcionalidad no autorizado y evitar cambios no intencionales. 9.AUDITORIA DE SISTEMAS La mayoría de las instalaciones de ordenador tienen uno o más programas de utilidades que podrían ser capaces de anular sistemas y aplicaciones de control.4. d) la actualización de las bibliotecas de programas fuentes y elementos afines y la emisión de fuentes de programas a los programadores sólo debe realizarse después de la autorización apropiada haya recibido. esto se puede lograr por almacenamiento central controlada de dicho código. así como a mantener la confidencialidad de la valiosa intelectual propiedad.5 Control de acceso al código fuente del programa Controlar El acceso al código fuente del programa debe ser restringido. e) las listas de programas deben celebrarse en un entorno seguro. Para el código de fuente del programa.

1 Política sobre el uso de controles criptográficos Controlar Una política sobre el uso de controles criptográficos para la protección de la información debe ser desarrollada e implementada.2).1 controles criptográficos Objetivo: garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad. autenticidad y / o integridad de la información. Guía de implementación I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 .1.AUDITORIA DE SISTEMAS f) un registro de auditoría se debe mantener de todos los accesos a las bibliotecas de programas de código. 10 Criptografía 10. la firma digital) debe ser considerado. Si se destina el código fuente del programa que se publicará.2. controles adicionales para ayudar a conseguir garantías sobre su integridad (por ejemplo. g) el mantenimiento y la copia de las bibliotecas de programas fuente deben estar sujetos a los procedimientos de control de cambios estrictas (véase 14. 10.

incluyendo la generación de claves (ver 10. comprometidos o dañados. por ejemplo. la fuerza y la calidad del algoritmo de cifrado requerido. por ejemplo: I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . 2) la gestión de claves.1.2). d) el enfoque de la gestión de claves. incluyendo los principios generales en que la información comercial debe ser protegida. f) las normas que se adopten para la aplicación efectiva en toda la organización (que la solución se utiliza para que los procesos de negocio). c) el uso de cifrado para la protección de la información transportada por los dispositivos de medios móviles o desmontables oa través de líneas de comunicación. b) sobre la base de una evaluación de riesgos. Controles criptográficos se pueden utilizar para lograr diferentes objetivos de seguridad de la información.AUDITORIA DE SISTEMAS En el desarrollo de una política criptográfica lo siguiente debe ser considerado: a) el enfoque de gestión hacia el uso de controles criptográficos en toda la organización. g) el impacto de la utilización de la información codificada en los controles que se basan en la inspección de contenido (por ejemplo. que es responsable de: 1) la aplicación de la política. se debe considerar a las regulaciones y restricciones nacionales que podrían aplicarse a la utilización de técnicas criptográficas en diferentes partes del mundo y de los problemas de flujo transfronterizo de información encriptada (ver 18.1. el nivel requerido de protección debe ser identificado teniendo en cuenta el tipo. En la aplicación de la política criptográfica de la organización. la detección de malware).5) . incluyendo los métodos para hacer frente a la protección de claves criptográficas y la recuperación de la información cifrada en el caso de pérdida de llaves. e) las funciones y responsabilidades.

Una política sobre el uso de controles criptográficos es necesario maximizar los beneficios y minimizar los riesgos del uso de técnicas criptográficas y para evitar el uso inadecuado o incorrecto.1. ya sea almacenada o transmitida.2 Gestión de claves Controlar I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 .AUDITORIA DE SISTEMAS a) la confidencialidad: mediante el cifrado de la información para proteger la información sensible o crítica. Esta evaluación se puede utilizar para determinar si un control criptográfico es el caso. entidades y recursos. d) Autenticación: el uso de técnicas criptográficas para autenticar usuarios y otras entidades del sistema que soliciten el acceso o transacciones con los usuarios del sistema. c) no repudio: el uso de técnicas criptográficas para proporcionar evidencia de la ocurrencia o no ocurrencia de un evento o acción. qué tipo de control se deben aplicar y para los procesos de lo que de propósito y de negocios. b) la integridad / autenticidad: el uso de firmas digitales o códigos de autenticación de mensajes para verificar la autenticidad o integridad de la información sensible o crítica almacenada o transmitida. Asesoramiento especializado debe buscarse en la selección de los controles criptográficos apropiados para cumplir con los objetivos de la política de seguridad de la información. 10. Otra información Tomar una decisión en cuanto a si una solución criptográfica es apropiado debe ser visto como parte del proceso más amplio de evaluación de riesgos y la selección de los controles.

procedimientos y métodos seguros para: a) generación de claves para los diferentes sistemas criptográficos y diferentes aplicaciones. retirándose y la destrucción de claves criptográficas. almacenamiento. incluyendo cómo los usuarios autorizados obtener acceso a las claves. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . c) la distribución de claves para entidades destinadas. b) la emisión y la obtención de certificados de clave pública.AUDITORIA DE SISTEMAS Una política sobre el uso. e) a cambiar o actualizar las claves incluidas las normas sobre cuando las llaves se deben cambiar y cómo se hará. Un sistema de gestión de claves debe basarse en un conjunto de normas. Además. archivar. Todas las claves criptográficas deben ser protegidas contra toda alteración y pérdida. Guía de implementación La política debe incluir los requisitos para la gestión de claves criptográficas aunque todo su ciclo de vida incluyendo la generación. El equipo utilizado para generar. Gestión de claves apropiado requiere procesos seguros para generar. recuperar. almacenar y archivar claves debe protegerse físicamente. longitudes de clave y prácticas de uso deben ser seleccionados de acuerdo a las mejores prácticas. d) el almacenamiento de claves. Los algoritmos criptográficos. incluyendo cómo se deben activar las teclas cuando se reciben. la protección y la duración de las claves de cifrado debe ser desarrollada e implementada a través de todo su ciclo de vida. claves secretas y privadas necesitan protección contra el uso no autorizado. distribuir. retirándose y la destrucción de las llaves. recuperar. archivar. distribuir. así como la divulgación. almacenar.

I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . k) el registro y la auditoría de las actividades de gestión relacionados con la clave. Además de gestionar de forma segura las claves secretas y privadas. ISO / IEC 11770 [2] [3] [4] proporciona más información sobre la gestión de claves. El contenido de los acuerdos de nivel de servicio o contratos con proveedores externos de servicios criptográficos. con una entidad de certificación. j) la destrucción de teclas. que debe ser una organización reconocida con los controles y procedimientos adecuados en el lugar para proporcionar el grado necesario de confianza.AUDITORIA DE SISTEMAS f) tratar con claves comprometidas. que normalmente son emitidos por una autoridad de certificación. h) la recuperación de claves que se pierden o dañados. debería abarcar cuestiones de responsabilidad. cuando las llaves se han comprometido o cuando un usuario deja una organización (en el que las claves de caso también deben archivarse). Este proceso de autenticación se puede hacer utilizando certificados de clave pública. la fiabilidad de los servicios y tiempos de respuesta para la prestación de servicios (véase 15. Con el fin de reducir la probabilidad de un uso inadecuado. i) llaves copias de seguridad o archivado. fechas de activación y desactivación de claves deben ser definidas para que las teclas se pueden utilizar solamente para el período de tiempo definido en la política de gestión de claves asociado.2). Otra información La gestión de claves criptográficas es esencial para el uso eficaz de técnicas criptográficas. de la autenticidad de las claves públicas también debe ser considerado. g) revocar claves incluyendo cómo teclas deben ser retiradas o desactivadas. por ejemplo. por ejemplo.

1.AUDITORIA DE SISTEMAS Las técnicas criptográficas también pueden ser utilizadas para proteger las claves criptográficas. Guía de implementación Las siguientes pautas deben ser consideradas y aplicadas en su caso de los perímetros de seguridad física: a) perímetros de seguridad deben ser definidos. 11.1 Perímetro de seguridad física Controlar Perímetros de seguridad deben ser definidas y utilizan para proteger áreas que contienen la información y procesamiento de la información. por ejemplo Procedimientos información cifrada puede ser obligado a ponerse a disposición en una forma no cifrada como prueba en un proceso judicial. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . 11 La seguridad física y ambiental 11. ya sea instalaciones sensibles o críticos. Pueden necesitar ser considerados para tramitar las solicitudes legales para el acceso a claves criptográficas.1 Áreas seguras Objetivo: Para evitar el acceso no autorizado física. y la ubicación y la fuerza de cada uno de los perímetros deben depender de los requisitos de seguridad de los activos dentro del perímetro y los resultados de una evaluación de riesgos. daño e interferencia de la información y las instalaciones de procesamiento de información de la organización.

instalaciones g) de procesamiento de información gestionada por la organización deben estar separados físicamente de los gestionados por entidades externas. Otra información I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . barras. sobre todo a nivel del suelo. nacionales e internacionales adecuadas. no debe haber lagunas en el perímetro o áreas en las que podría ocurrir fácilmente un robo). e) todas las puertas del fuego en un perímetro de seguridad deben alarmarse. monitoreados y evaluados en conjunto con las paredes para establecer el nivel requerido de la resistencia de conformidad con las normas regionales. deben operar de acuerdo con el código local de bomberos de una manera a prueba de fallos. ser construida para impedir el acceso físico no autorizado y la contaminación del medio ambiente. puertas y ventanas deben estar cerradas cuando la protección desatendida y externa debe ser considerado para ventanas. paredes y suelos del sitio debe ser de construcción sólida y todas las puertas exteriores deberán estar debidamente protegidos contra el acceso no autorizado a los mecanismos de control. (por ejemplo. f) sistemas de detección de intrusos adecuada deben instalarse a las normas nacionales.AUDITORIA DE SISTEMAS b) perímetros de un edificio o sitio contienen instalaciones de procesamiento de información deben estar físicamente sonido (es decir. habitaciones sala de informática o de comunicaciones. el acceso a los sitios y edificios debe limitarse sólo al personal autorizado. cerraduras). en su caso. cubierta también debe preverse otras áreas. c) una zona de recepción tripulada u otros medios para controlar el acceso físico al lugar o edificio debe estar en su lugar. áreas desocupadas deben alarmarse en todo momento. tejado exterior. regionales o internacionales y regularmente probado para cubrir todas las puertas exteriores y ventanas accesibles. d) las barreras físicas deben. por ejemplo. alarmas.

La aplicación de los controles físicos. El uso de múltiples barreras da una protección adicional. debe adaptarse a las circunstancias técnicas y económicas de la organización. Se pueden necesitar barreras y perímetros de control de acceso físico. Un área segura puede ser una oficina con llave o varias habitaciones rodeadas por una barrera de seguridad física interna continua. y todos los visitantes deben ser supervisados a menos que su acceso ha sido previamente aprobado. Guía de implementación Las siguientes pautas deben ser consideradas: a) la fecha y hora de entrada y salida de los visitantes deben registrarse. como se establece en la evaluación del riesgo. autorizados y deben ser emitidos con instrucciones sobre los requisitos de seguridad de la zona y sobre los procedimientos de emergencia. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . que sólo deben tener acceso para fines específicos. 11. donde se ve comprometida inmediatamente el fallo de una sola barrera no significa que la seguridad. entre las zonas con diferentes requisitos de seguridad dentro del perímetro de seguridad. Especial atención a la seguridad de acceso físico se debe dar en el caso de edificios que sostienen activos para múltiples organizaciones. además. especialmente para las áreas de seguridad.AUDITORIA DE SISTEMAS La protección física se puede lograr mediante la creación de una o más barreras físicas alrededor de las instalaciones de la organización y las instalaciones de procesamiento de información.2 Controles de entrada física Controlar Áreas seguras deberían estar protegidos por controles de entrada adecuados para garantizar que se permite el acceso sólo el personal autorizado.1. La identidad de los visitantes debe ser autenticada por un medio adecuado.

salas e instalaciones deben ser diseñadas y aplicadas. 11. f) derechos de acceso a zonas seguras deben revisa y actualiza regularmente. contratistas y agentes externos deben ser obligados a llevar algún tipo de identificación visible y deben notificar inmediatamente al personal de seguridad si se encuentran con los visitantes sin escolta y cualquier persona que no lleve identificación visible. por ejemplo. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . tales como una tarjeta de acceso y el PIN secreto.AUDITORIA DE SISTEMAS b) el acceso a las zonas donde la información confidencial se elaboren o almacenen debe restringirse a las personas autorizadas únicamente mediante la implementación de controles de acceso adecuados.5 y 9.2. salas e instalaciones: a) instalaciones clave deberían estar situados para evitar el acceso por parte del público.3 Protección de oficinas. este acceso debe ser autorizado y supervisado. mediante la implementación de un mecanismo de autenticación de dos factores.6).1. d) todos los empleados. Guía de implementación Las siguientes pautas deben ser consideradas para asegurar oficinas. c) un libro de registro físico o pista de auditoría electrónica de todos los accesos deben estar bien mantenidos y supervisados. y revocadas cuando sea necesario (véase 9. habitaciones e instalaciones Controlar La seguridad física para oficinas.2. e) el personal de servicios de apoyo parte externa deben tener acceso restringido a áreas seguras o instalaciones de procesamiento de información confidencial sólo cuando sea necesario.

terremoto.1.5 Trabajar en zonas seguras Controlar Procedimientos para trabajar en áreas de seguridad deben ser diseñadas y aplicadas. inundación. Blindaje electromagnético también debe ser considerado en su caso. fuera o dentro del edificio. c) Las instalaciones deben estar configurados para evitar que la información o actividades confidenciales de ser visible y audible desde el exterior.4 Protección contra amenazas externas y ambientales Controlar La protección física contra los desastres naturales. d) los directorios y guías telefónicas internas que identifican la ubicación de las instalaciones de procesamiento de información confidencial no debe estar fácilmente accesible a cualquier persona no autorizada. Guía de implementación Las siguientes pautas deben ser consideradas: a) sólo el personal deben ser conscientes de la existencia de todo tipo de actividades en el interior. un área segura en una necesidad de conocimiento. ataques maliciosos o accidentes debe ser diseñada y aplicada. Guía de implementación Asesoramiento especializado debe obtenerse sobre cómo evitar daños por incendio. los edificios deben ser discretos y dar una indicación mínima de su propósito.AUDITORIA DE SISTEMAS b) en su caso. explosión. sin signos obvios. 11.1. la identificación de la presencia de actividades de procesamiento de la información. disturbios civiles y otras formas de desastres naturales o de origen humano. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . 11.

b) la zona de entrega y carga debe ser diseñado de modo que los suministros pueden ser cargadas y descargadas sin personal de administración tengan acceso a otras partes del edificio. no se debe permitir.AUDITORIA DE SISTEMAS b) trabajo sin supervisión en áreas seguras se debe evitar tanto por razones de seguridad y para evitar que las oportunidades para actividades maliciosas. aislada de las instalaciones de procesamiento de información para evitar el acceso no autorizado. Las modalidades de trabajo en áreas seguras incluyen controles para los empleados y usuarios de partidos externos que trabajan en el área de seguridad y cubren todas las actividades que tienen lugar en la zona segura.1. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . como cámaras en los dispositivos móviles.6 Zonas de entrega y carga Controlar Los puntos de acceso como las zonas de entrega y de carga y otros puntos en los que personas no autorizadas puedan entrar en los locales deben ser controlados y. d) fotográfico. si es posible. c) las zonas seguras vacantes deben ser bloqueados física y revisarse periódicamente. salvo autorización. 11. vídeo. audio o cualquier otro equipo de grabación. Guía de implementación Las siguientes pautas deben ser consideradas: a) el acceso a un área de entrega y carga desde el exterior del edificio debe estar restringido a personal identificado y autorizado. c) las puertas externas de un área de entrega y carga deben ser asegurados cuando se abren las puertas de interior.

b) las instalaciones de procesamiento de información de manejo de datos sensibles deben colocarse cuidadosamente para reducir el riesgo de la información que se está viendo por personas no autorizadas durante su uso. Si se descubre como la manipulación debe ser reportado inmediatamente al personal de seguridad.2. 11. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . daño. cuando sea posible. antes de que se mueve de una zona de entrega y carga.AUDITORIA DE SISTEMAS d) el material entrante debe ser inspeccionado y examinado en busca de explosivos. g) el material entrante debe ser inspeccionado por evidencia de manipulación en el camino. Guía de implementación Las siguientes pautas deben ser consideradas para proteger el equipo: a) el equipo debe estar situado para minimizar el acceso innecesario en las áreas de trabajo. e) el material entrante debe ser registrado de acuerdo con los procedimientos de gestión de activos (véase el capítulo 8) a la entrada al sitio. f) los envíos entrantes y salientes deben estar físicamente separados. robo o el compromiso de los activos y la interrupción de las operaciones de la organización.1 Localización y protección de Equipos Controlar El equipo debe estar situado y protegido para reducir los riesgos de las amenazas ambientales y los riesgos y oportunidades para el acceso no autorizado.2 Equipo Objetivo: Para evitar la pérdida. productos químicos u otros materiales peligrosos. 11. c) las instalaciones de almacenamiento deben ser asegurados para evitar el acceso no autorizado.

beber y fumar en las proximidades de las instalaciones de procesamiento de información deben ser establecidas. telecomunicaciones. la radiación electromagnética y el vandalismo. suministro de agua. explosivos.2. debe ser considerado para el equipo en entornos industriales. Guía de implementación Apoyo a los servicios públicos (por ejemplo. alcantarillado.AUDITORIA DE SISTEMAS d) los elementos que requieren protección especial deben ser salvaguardados para reducir el nivel general de protección requerido. 11. el humo. deben ser monitoreados para las condiciones que puedan afectar negativamente al funcionamiento de las instalaciones de procesamiento de la información. electricidad. polvo. como la temperatura y la humedad. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . g) las condiciones ambientales. i) el uso de métodos de protección especiales. la interferencia de comunicaciones. robo. vibraciones. b) ser evaluado regularmente por su capacidad para cumplir con el crecimiento del negocio y de las interacciones con otros servicios de apoyo. fuego. el agua (o la falta de suministro de agua). tales como membranas de teclado. por ejemplo. Protección h) rayo se debe aplicar a todos los edificios y filtros de protección contra rayos deben ser instalados en toda la energía entrante y líneas de comunicaciones. efectos químicos.2 Utilidades de apoyo Controlar El equipo debe ser protegido de fallas de energía y otros trastornos causados por fallas en el apoyo a los servicios públicos. gas. ventilación y aire acondicionado) debe: a) cumplir con las especificaciones del fabricante del equipo y los requisitos legales locales. j) los equipos de procesamiento de información confidencial debe ser protegido para minimizar el riesgo de fuga de información debido a la emanación electromagnética. la interferencia suministro eléctrico. f) pautas para comer. e) los controles deben ser adoptadas para minimizar el riesgo de posibles amenazas físicas y ambientales.

3) la iniciación de barridos técnicos e inspecciones físicas de dispositivos no autorizados están conectados a los cables. agua. El alumbrado de emergencia y las comunicaciones deben ser proporcionados. d) si es necesario.AUDITORIA DE SISTEMAS c) ser inspeccionados y probados con regularidad para asegurar su buen funcionamiento. se alarme para detectar fallos de funcionamiento. b) los cables de alimentación deben estar separados de los cables de comunicaciones para evitar interferencias. cuando sea posible. 4) el acceso controlado a los paneles de conexión y salas de cable. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . interferencia o daños. e) en caso necesario. tener múltiples alimentos con diversa enrutamiento físico. Otra información Redundancia adicional para la conectividad de red puede ser obtenida por medio de múltiples rutas desde más de un proveedor de servicios públicos.2. gas u otros servicios públicos deben estar ubicados cerca de las salidas de emergencia o las salas de máquinas. 2) el uso de blindaje electromagnético para proteger los cables. 11. c) para los sistemas sensibles o críticos controles más a considerar incluyen: 1) instalación del conducto blindado y habitaciones o cajas de inspección y de terminación de los puntos de bloqueo. Guía de implementación Las siguientes directrices para la seguridad de cableado deben ser consideradas: a) la energía y de telecomunicaciones líneas en las instalaciones de procesamiento de información deben estar bajo tierra.3 Seguridad de Cableado Controlar Poder y telecomunicaciones de cableado que transporta datos o el apoyo a los servicios de información debe ser protegida de intercepción. Interruptores de emergencia y válvulas para cortar el suministro de energía. o sujetas a protección alternativa adecuada.

11. y de todo el mantenimiento preventivo y correctivo. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 .AUDITORIA DE SISTEMAS 11. e) todos los requisitos de mantenimiento impuestas por las pólizas de seguro deben cumplirse.2. f) antes de poner el equipo de nuevo en funcionamiento después de su mantenimiento. b) el personal de mantenimiento únicamente autorizado debe llevar a cabo las reparaciones y equipos de servicio. información o software no deben tomarse fuera de las instalaciones sin autorización previa. c) los registros deben mantenerse de todas las fallas presuntos o reales. Guía de implementación Las siguientes pautas para el mantenimiento del equipo deben ser considerados: a) equipo deberá mantenerse de acuerdo con los intervalos de servicio recomendados por el proveedor y especificaciones.2. en su caso. se debe inspeccionar para asegurar que el equipo no ha sido manipulado y no funcione correctamente. teniendo en cuenta si este mantenimiento se lleva a cabo por el personal en el lugar o no a la organización. la información confidencial debe ser eliminado del equipo o el personal de mantenimiento deben ser despejaron lo suficiente. d) los controles adecuados deben aplicarse cuando el equipo está programado para el mantenimiento. Guía de implementación Las siguientes pautas deben ser considerados: a) los empleados y los usuarios externos del partido que tienen autoridad para permitir la retirada fuera de las instalaciones de los activos debe ser identificado.4 Mantenimiento de equipos Controlar El equipo debe mantenerse correctamente para asegurar su disponibilidad e integridad continua.5 Eliminación de los activos Controlar Equipo.

2. c) cuando sea necesario y apropiado. d) la identidad. etc. por ejemplo. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . protección contra la exposición a los campos electromagnéticos fuertes.. 11.AUDITORIA DE SISTEMAS b) los plazos para la eliminación de activos deben establecerse y vuelve verifican el cumplimiento. y las verificaciones sólo deben realizarse con la debida autorización de los requisitos legales y reglamentarios. los activos deben registrarse como ser retirado fuera de sitio y grabado cuando regresó. Otra información Controles sobre el terreno. y para impedir su entrada y salida de. la información o el software. Esto se aplica a los equipos de propiedad de la organización y que el equipo de propiedad privada y se utiliza en nombre de la organización. b) las instrucciones del fabricante para la protección de equipos deben ser observados en todo momento. Guía de implementación El uso de cualquier información almacenamiento y equipo de procesamiento fuera de los locales de la organización debe ser autorizado por la dirección. teniendo en cuenta los diferentes riesgos de trabajar fuera de los locales de la organización. armas. el papel y la afiliación de cualquier persona que maneja o usa los activos deben ser documentados y esta documentación regresaron con el equipo. realizadas para detectar la retirada no autorizada de los activos. también se pueden realizar para detectar dispositivos de grabación no autorizadas. Tales controles sobre el terreno deben llevarse a cabo de conformidad con la legislación y los reglamentos pertinentes. Las personas deben ser conscientes de que controles sobre el terreno se llevan a cabo. el sitio.6 Seguridad de equipo y activos fuera del establecimiento Controlar Seguridad debe ser aplicado a los activos fuera de las instalaciones. Las siguientes pautas deben ser considerados para la protección de los equipos fuera de las instalaciones: a) los equipos y medios de comunicación toman fuera de las instalaciones no deben quedar sin vigilancia en lugares públicos.

Otra información Información de almacenamiento y equipos de procesamiento incluye todas las formas de los ordenadores personales. Soporte de almacenamiento que contienen información confidencial o con derechos de autor deben ser destruidos física o la información deben ser I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 .2. 11. tarjetas inteligentes. por ejemplo. tales como el trabajo a domicilio. la política de escritorio limpio. controles de acceso para los ordenadores y la comunicación segura con la oficina (véase también la norma ISO / IEC 27033 [15] [16] [17] [18] [19]). de daño. Puede ser apropiado para evitar el riesgo de desalentar a ciertos empleados de trabajar fuera de sitio o mediante la restricción de su uso de equipos informáticos portátiles. Los riesgos. que se mantiene durante el trabajo en casa o ser transportado lejos del lugar de trabajo normal.7 eliminación segura o la reutilización de equipos Controlar Todos los elementos del equipo que contiene los medios de almacenamiento deben ser verificados para asegurar que los datos sensibles y software con licencia se ha eliminado o sobrescrito de forma segura antes de su eliminación o reutilización. teléfonos móviles. un registro debe mantenerse que define la cadena de custodia de los equipos incluyendo al menos los nombres y las organizaciones de los que son responsables de los equipos.2. archivadores con llave. por ejemplo. d) cuando fuera de las instalaciones de equipos se transfiere entre diferentes individuos o entidades externas. organizadores. Guía de implementación El equipo debe ser verificada para asegurar si es o no un medio de almacenamiento está contenido antes de su eliminación o reutilización. puede variar considerablemente entre localidades y deben tenerse en cuenta para determinar los controles más adecuados. teletrabajo y sitios temporales deben ser determinados por una evaluación de riesgos y los controles adecuados aplicados según el caso.AUDITORIA DE SISTEMAS c) los controles para ubicaciones fuera de las instalaciones. Más información sobre otros aspectos de la protección de los equipos móviles se puede encontrar en el apartado 6. robo o espionaje. de papel o de otro tipo.

b) las claves de cifrado son lo suficientemente largos para resistir ataques de fuerza bruta. Para más consejos sobre encriptación. Otra información Aparatos que contengan medios de almacenamiento dañados pueden requerir una evaluación de riesgos para determinar si los elementos deben ser destruidos físicamente en lugar de enviarse para su reparación o descartados. nunca se almacena en el mismo disco). consulte la Cláusula 10. Herramientas Sobrescribir deben ser revisados para asegurarse de que son aplicables a la tecnología de los medios de almacenamiento. La información puede verse comprometida por la eliminación descuidada o reutilización de los equipos. Además de asegurar el borrado de disco. Los usuarios deben ser advertidos de: I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . borrados o sobrescritos utilizando técnicas para hacer que la información original no recuperables en lugar de utilizar el estándar de eliminar o función de formato.8 equipo de usuario desatendida Controlar Los usuarios deben asegurarse de que el equipo desatendido tiene la protección adecuada. así como sus responsabilidades para la aplicación de dicha protección. siempre que: a) el proceso de cifrado es suficientemente fuerte y cubre todo el disco (incluyendo el espacio de holgura.). Las técnicas para sobrescribir de forma segura los medios de almacenamiento difieren según la tecnología de los medios de almacenamiento.AUDITORIA DE SISTEMAS destruidos. 11. Guía de implementación Todos los usuarios deben ser conscientes de los requisitos de seguridad y procedimientos para la protección de equipos sin supervisión. c) las claves de cifrado son ellos mismos confidenciales (por ejemplo.2. cifrado de todo el disco reduce el riesgo de divulgación de información confidencial cuando el equipo se enajena o redistribuido. archivos de intercambio. etc.

por ejemplo. 11. la contraseña de acceso. sobre todo cuando se dejó vacante el cargo. Las siguientes pautas deben ser consideradas: a) la información comercial sensible o crítica. Otra información I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . debe ser encerrado (idealmente en una caja fuerte o gabinete u otras formas de los muebles de seguridad) cuando no es necesario.AUDITORIA DE SISTEMAS a) terminar sesiones activas cuando termine. legales y requisitos contractuales (véase 18. b) log-off de aplicaciones o servicios de red cuando ya no son necesarios. por ejemplo un protector de pantalla protegido por contraseña. d) los medios de comunicación que contienen información sensible o clasificada deben ser retirados de las impresoras de inmediato. b) los equipos y terminales se deben dejar cerrado sesión o protegidas con un mecanismo de bloqueo de la pantalla y el teclado controlado por una contraseña. contraseñas u otros controles cuando no esté en uso. c) los equipos de seguridad o dispositivos móviles de uso no autorizado de una cerradura con llave o un control equivalente. por ejemplo.1) y los riesgos correspondientes y los aspectos culturales de la organización. en papel o en soporte de almacenamiento electrónico.2). Guía de implementación La recepción clara y política pantalla clara deberían tener en cuenta las clasificaciones de la información (véase 8. escáneres. el mecanismo de autenticación de usuario ficha o similar cuando desatendido y debe ser protegida por bloqueos claves. cámaras digitales) debe evitarse. cuando no esté en uso. a menos que puedan ser asegurados por un mecanismo de bloqueo apropiado.2. c) el uso no autorizado de las fotocopiadoras y otras tecnologías de la reproducción (por ejemplo.9 escritorio despejado y la política de pantalla transparente Controlar Una política de escritorio limpio de papeles y soportes de almacenamiento extraíbles y una política pantalla clara para las instalaciones de procesamiento de la información se deben adoptar.

inundación o explosión. pérdida y daños a la información durante y fuera de las horas normales de trabajo. Considere el uso de impresoras con función de código PIN.AUDITORIA DE SISTEMAS Un escritorio de la política de pantalla transparente / clara reduce el riesgo de acceso no autorizado. por lo que los autores son los únicos que pueden obtener sus impresiones y sólo cuando está de pie junto a la impresora. I N G E N I E R I A D E S I S T E M A S E I N F O R M AT I C A Página 39 . Cajas fuertes u otras formas de instalaciones de almacenamiento seguro también puede proteger la información almacenada en el mismo contra los desastres tales como incendio. terremoto.