NRO

CONTROLES

POLITICAS

OBJETIVOS

5.1

DIRECTRICES DE LA
DIRECCION EN LA
SEGURIDAD DE LA
INFORMACION

5.1.1.
5.1.2.
6.1.1.
6.1.2.

6.1.

ORGANIZACIN INTERNA

6.1.3.
6.1.4.

ORGANIZACIN
6.1.5.
6.2.1.
6.2.

DISPOSITIVOS PARA
MOVILIDAD Y TELETRABAJO
6.2.2.
7.1.1.

7.1.

RECURSOS
HUMANOS

ANTES DE LA
CONTRATACION

7.1.2.
7.2.1.

7.2.

DURANTE LA
CONTRATACION

7.2.2.

RECURSOS
HUMANOS

7.2.

DURANTE LA
CONTRATACION
7.2.3.

7.3.

CESE O CAMBIO DE
PUESTO DE TRABAJO

7.3.1.
8.1.1.
8.1.2.

8.1.

RESPONSABILIDAD SOBRE
LOS ACTIVOS
8.1.3.
8.1.4.
8.2.1.

ACTIVOS
8.2.

CLASIFICACION DE LA
INFORMACION

8.2.2.
8.2.3.
8.3.1.

8.3.

MANEJO DE LOS SOPORTES

8.3.2.
DE ALMACENAMIENTO
8.3.3.

9.1.

REQUISITOS DE NEGOCIO 9.1.1.

PARA EL CONTROL DE
ACCESOS
9.1.2.
9.2.1.
9.2.2.

9.2.

GESTION DE ACCESO DE
USUARIO

9.2.3.
9.2.4.
9.2.5.

ACCESOS
9.2.6.
9.3.

RESPONSABILIDAD DEL
USUARIO

9.3.1.
9.4.1.
9.4.2.

9.4.

CONTROL DE ACCESOS A
SISTEMAS Y APLICACIONES 9.4.3.
9.4.4.
9.4.5.

10

CIFRADO

10.1.

CONTROLES
CRIPTOGRAFICOS

10.1.1.
10.1.2.

11.1.1.
11.1.2.
11.1.

AREAS SEGURAS

11.1.3.
11.1.4.
11.1.5.
11.1.6.
11.2.1.
11.2.2.

11

FISICA Y AMBIENTAL

11.2.3.
11.2.4.
11.2.

SEGURIDAD DE LOS
EQUIPOS

11.2.5.
11.2.6.
11.2.7.
11.2.8.
11.2.9.

12.1.1.

12.1.

RESPONSABILIDADES Y
PROCEDIMIENTOS DE
OPERACIN

12.1.2.
12.1.3.
12.1.4

12.2.

PROTECCION CONTRA
CODIGO MALICIOSO

12.2.1.

12.3.

COPIAS DE SEGURIDAD

12.3.1.
12.4.1.

12

SEGURIDAD
OPERATIVA

REGISTRO DE ACTIVIDAD Y
12.4.
SUPERVISION

12.4.2.
12.4.3.
12.4.4.

12.5.

CONTROL DE SOFTWARE
12.5.1.
EN EXPLOTACION

12.6.

12.6.1.
GESTION DE LA
VULNERABILIDAD TECNICA
12.6.2.

CONSIDERACIONES DE LAS
AUDITORIAS DE LOS
12.7.
12.7.1.
SISTEMAS DE
INFORMACION

13.1.1.
13.1.

GESTION DE LA
13.1.2.
SEGURIDAD EN LAS REDES
13.1.3.

13

SEGURIDAD EN LAS
TELECOMUNICACION
ES

13.2.1.
INTERCAMBIO DE
13.2.2.
13.2. INFORMACION CON PARTES
13.2.3.
EXTERNAS
13.2.4.

14.1.

REQUISITOS DE
SEGURIDAD DE LOS
SISTEMAS DE
INFORMACION

14.1.1.
14.1.2.
14.1.3.
14.2.1.
14.2.2.

14

ADQUISICION,
DESARROLLO Y
MANTENIMIENTO DE
LOS SISTEMAS DE
INFORMACION

14.2.3.

14.2.

14.2.4.
SEGURIDAD EN LOS
PROCESOS DE
DESARROLLO Y SOPORTE 14.2.5.
14.2.6.
14.2.7.
14.2.8.
14.2.9.

15

RELACIONES CON
SUMINISTRADORES

14.3.

DATOS DE PRUEBA

15.1.

SEGURIDAD DE LA
INFORMACION EN LAS
RELACIONES CON
SUMINISTRADORES

14.3.1.
15.1.1
15.1.2.
15.1.3.

15

RELACIONES CON
SUMINISTRADORES

15.2.1.
GESTION DE LA
15.2. PRESTACION DEL SERVICIO
POR SUMINISTRADORES 15.2.2.

16.1.1.
16.1.2.
16.1.3.
16

GESTION DE
INCIDENTES

16.1.

GESTION DE INCIDENTES
16.1.4.
DE SEGURIDAD DE LA
INFORMACION Y MEJORAS
16.1.5.
16.1.6.
16.1.7.

17.1.1.

17

CONTINUIDAD DEL
NEGOCIO

17.1.

CONTINUIDAD DE LA
SEGURIDAD DE LA
INFORMACION

17.1.2.
17.1.3.

17.2.

REDUNDANCIAS

17.2.1.
18.1.1.
18.1.2.

18.1.

CUMPLIMIENTO DE LOS
REQUISITOS LEGALES Y
CONTRACTUALES

18.1.3.
18.1.4.

18

CUMPLIMIENTO

18.1.5.

18.2.1.
18.2.

REVISIONES DE LA
SEGURIDAD DE LA
INFORMACION

18.2.2.
18.2.3.

ACTIVIDADES DE CONTROL

Polticas para la seguridad de la informacin: Se debera definir un conjunto de polticas para la seguridad de la informacin, aprobado por la dir
a todas las partes externas relevantes.

Revisin de las polticas para la seguridad de la informacin: Las polticas para la seguridad de la informacin se deberan planificar y revisar co
garantizar su idoneidad, adecuacin y efectividad.

Asignacin de responsabilidades para la SI: Se deberan definir y asignar claramente todas las responsabilidades para la seguridad de la inform

Segregacin de tareas: Se deberan segregar tareas y las reas de responsabilidad ante posibles conflictos de inters con el fin de reducir las op
intencionada, o el de un mal uso de los activos de la organizacin.
Contacto con las autoridades: Se deberan mantener los contactos apropiados con las autoridades pertinentes.

Contacto con grupos de inters especial: Se debera mantener el contacto con grupos o foros de seguridad especializados y asociaciones profes

Seguridad de la informacin en la gestin de proyectos: Se debera contemplar la seguridad de la informacin en la gestin de proyectos e inde
organizacin.

Poltica de uso de dispositivos para movilidad: Se debera establecer una poltica formal y se deberan adoptar las medidas de seguridad adecua
uso de los recursos de informtica mvil y las telecomunicaciones.

Teletrabajo: Se debera desarrollar e implantar una poltica y medidas de seguridad de apoyo para proteger a la informacin accedida, procesad

Investigacin de antecedentes: Se deberan realizar revisiones de verificacin de antecedentes de los candidatos al empleo en concordancia co
proporcionales a los requerimientos del negocio, la clasificacin de la informacin a la cual se va a tener acceso y los riesgos percibidos.
Trminos y condiciones de contratacin: Como parte de su obligacin contractual, empleados, contratistas y terceros deberan aceptar y firmar
establecer sus obligaciones y las obligaciones de la organizacin para la seguridad de informacin.

Responsabilidades de gestin: La Direccin debera requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en con

Concienciacin, educacin y capacitacin en SI: Todos los empleados de la organizacin y donde sea relevante, contratistas y usuarios de terce
conocimiento y actualizaciones regulares en polticas y procedimientos organizacionales como sean relevantes para la funcin de su trabajo.

Proceso disciplinario: Debera existir un proceso formal disciplinario comunicado a empleados que produzcan brechas en la seguridad.

Cese o cambio de puesto de trabajo: Las responsabilidades para ejecutar la finalizacin de un empleo o el cambio de ste deberan estar claram
asignadas efectivamente.

Inventario de activos: Todos los activos deberan estar claramente identificados, confeccionando y manteniendo un inventario con los ms impo

Propiedad de los activos: Toda la informacin y activos del inventario asociados a los recursos para el tratamiento de la informacin deberan pe

Uso aceptable de los activos: Se deberan identificar, documentar e implantar regulaciones para el uso adecuado de la informacin y los activos

Devolucin de activos: Todos los empleados y usuarios de terceras partes deberan devolver todos los activos de la organizacin que estn en s
contrato de prestacin de servicios o actividades relacionadas con su contrato de empleo.

Directrices de clasificacin: La informacin debera clasificarse en relacin a su valor, requisitos legales, sensibilidad y criticidad para la Organiz

Etiquetado y manipulado de la informacin: Se debera desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tr
de clasificacin adoptado por la organizacin.

Manipulacin de activos: Se deberan desarrollar e implantar procedimientos para la manipulacin de los activos acordes con el esquema de cla

Gestin de soportes extrables: Se deberan establecer procedimientos para la gestin de los medios informticos removibles acordes con el es

Eliminacin de soportes: Se deberan eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos

Soportes fsicos en trnsito: Se deberan proteger los medios que contienen informacin contra acceso no autorizado, mal uso o corrupcin dura
organizacin.

Poltica de control de accesos: Se debera establecer, documentar y revisar una poltica de control de accesos en base a las necesidades de seg
Control de acceso a las redes y servicios asociados: Se debera proveer a los usuarios de los accesos a redes y los servicios de red para los que

Gestin de altas/bajas en el registro de usuarios: Debera existir un procedimiento formal de alta y baja de usuarios con objeto de habilitar la as

Gestin de los derechos de acceso asignados a usuarios: Se debera de implantar un proceso formal de aprovisionamiento de accesos a los usu
los tipos de usuarios y para todos los sistemas y servicios.
Gestin de los derechos de acceso con privilegios especiales: La asignacin y uso de derechos de acceso con privilegios especiales debera ser

Gestin de informacin confidencial de autenticacin de usuarios: La asignacin de informacin confidencial para la autenticacin debera ser c

Revisin de los derechos de acceso de los usuarios: Los propietarios de los activos deberan revisar con regularidad los derechos de acceso de l
Retirada o adaptacin de los derechos de acceso: Se deberan retirar los derechos de acceso para todos los empleados, contratistas o usuarios
procesamiento de informacin a la finalizacin del empleo, contrato o acuerdo, o ser revisados en caso de cambio.

Uso de informacin confidencial para la autenticacin: Se debera exigir a los usuarios el uso de las buenas prcticas de seguridad de la organiz
autenticacin.

Restriccin del acceso a la informacin: Se debera restringir el acceso de los usuarios y el personal de mantenimiento a la informacin y funcio
poltica de control de accesos definida.

Procedimientos seguros de inicio de sesin: Cuando sea requerido por la poltica de control de accesos se debera controlar el acceso a los siste
log-on
Gestin de contraseas de usuario: Los sistemas de gestin de contraseas deberan ser interactivos y asegurar contraseas de calidad.

Uso de herramientas de administracin de sistemas: El uso de utilidades software que podran ser capaces de anular o evitar controles en aplic
estrechamente controlados.
Control de acceso al cdigo fuente de los programas: Se debera restringir el acceso al cdigo fuente de las aplicaciones software.

Poltica de uso de los controles criptogrficos: Se debera desarrollar e implementar una poltica que regule el uso de controles criptogrficos pa

Gestin de claves: Se debera desarrollar e implementar una poltica sobre el uso, la proteccin y el ciclo de vida de las claves criptogrficas a t

Permetro de seguridad fsica: Se deberan definir y utilizar permetros de seguridad para la proteccin de las reas que contienen informacin y
sensible o crtica.
Controles fisicos de entrada; las areas seguras deberian estar protegidas mediante controles de entrada adecuados para garantizar que solo el
Seguridad de oficinas, despachos y recursos: Se debera disear y aplicar un sistema de seguridad fsica a las oficinas, salas e instalaciones de

Proteccin contra las amenazas externas y ambientales: Se debera disear y aplicar una proteccin fsica contra desastres naturales, ataques m
El trabajo en reas seguras: Se deberan disear y aplicar procedimientos para el desarrollo de trabajos y actividades en reas seguras.

reas de acceso pblico, carga y descarga: Se deberan controlar puntos de acceso a la organizacin como las reas de entrega y carga/descar
autorizadas a las dependencias aislando estos puntos, en la medida de lo posible, de las instalaciones de procesamiento de informacin.

Emplazamiento y proteccin de equipos: Los equipos se deberan emplazar y proteger para reducir los riesgos de las amenazas y peligros ambi

Instalaciones de suministro: Los equipos deberan estar protegidos contra cortes de luz y otras interrupciones provocadas por fallas en los sumi

Seguridad del cableado: Los cables elctricos y de telecomunicaciones que transportan datos o apoyan a los servicios de informacin se deber
daos.

Mantenimiento de los equipos: Los equipos deberan mantenerse adecuamente con el objeto de garantizar su disponibilidad e integridad contin

Salida de activos fuera de las dependencias de la empresa: Los equipos, la informacin o el software no se deberan retirar del sitio sin previa a

Seguridad de los equipos y activos fuera de las instalaciones: Se debera aplicar la seguridad a los activos requeridos para actividades fuera de
de los distintos riesgos.

Reutilizacin o retirada segura de dispositivos de almacenamiento: Se deberan verificar todos los equipos que contengan medios de almacena
sensibles y software con licencia se hayan extrado o se hayan sobrescrito de manera segura antes de su eliminacin o reutilizacin.

Equipo informtico de usuario desatendido: Los usuarios se deberan asegurar de que los equipos no supervisados cuentan con la proteccin ad

Poltica de puesto de trabajo despejado y bloqueo de pantalla: Se debera adoptar una poltica de puesto de trabajo despejado para documenta
extrables y una poltica de monitores sin informacin para las instalaciones de procesamiento de informacin.

Documentacin de procedimientos de operacin: Se deberan documentar los procedimientos operativos y dejar a disposicin de todos los usua

Gestin de cambios: Se deberan controlar los cambios que afectan a la seguridad de la informacin en la organizacin y procesos de negocio, l
informacin.

Gestin de capacidades: Se debera monitorear y ajustar el uso de los recursos junto a proyecciones necesarias de requisitos de capacidad en e
adecuado en los sistemas.

Separacin de entornos de desarrollo, prueba y produccin: Los entornos de desarrollo, pruebas y operacionales deberan permanecer separado
autorizados en el entorno operacional.

Controles contra el cdigo malicioso: Se deberan implementar controles para la deteccin, prevencin y recuperacin ante afectaciones de ma
los usuarios.

Copias de seguridad de la informacin: Se deberan realizar y pruebas regulares de las copias de la informacin, del software y de las imgenes
(Backup) convenida.
Registro y gestin de eventos de actividad: Se deberan producir, mantener y revisar peridicamente los registros relacionados con eventos de
seguridad de la informacin.

Proteccin de los registros de informacin: Se debera proteger contra posibles alteraciones y accesos no autorizados la informacin de los regis

Registros de actividad del administrador y operador del sistema: Se deberan registrar las actividades del administrador y del operador del siste
revisar de manera regular.
Sincronizacin de relojes: Se deberan sincronizar los relojes de todos los sistemas de procesamiento de informacin pertinentes dentro de una
una fuente de sincronizacin nica de referencia.

Instalacin del software en sistemas en produccin: Se deberan implementar procedimientos para controlar la instalacin de software en sistem

Gestin de las vulnerabilidades tcnicas: Se debera obtener informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin de
la organizacin y tomar las medidas necesarias para abordar los riesgos asociados.

Restricciones en la instalacin de software: Se deberan establecer e implementar las reglas que rigen la instalacin de software por parte de lo

Controles de auditora de los sistemas de informacin: Se deberan planificar y acordar los requisitos y las actividades de auditora que involucr
objetivo de minimizar las interrupciones en los procesos relacionados con el negocio.

Controles de red: Se deberan administrar y controlar las redes para proteger la informacin en sistemas y aplicaciones.

Mecanismos de seguridad asociados a servicios en red: Se deberan identificar e incluir en los acuerdos de servicio (SLA) los mecanismos de se
administracin de todos los servicios de red, independientemente de si estos servicios se entregan de manera interna o estn externalizados.
Segregacin de redes: Se deberan segregar las redes en funcin de los grupos de servicios, usuarios y sistemas de informacin.
Polticas y procedimientos de intercambio de informacin: Deberan existir polticas, procedimientos y controles formales de transferencia para
tipo de instalaciones de comunicacin.

Acuerdos de intercambio: Los acuerdos deberan abordar la transferencia segura de informacin comercial entre la organizacin y las partes ex
Mensajera electrnica: Se debera proteger adecuadamente la informacin referida en la mensajera electrnica.

Acuerdos de confidencialidad y secreto: se deberan identificar, revisar y documentar de manera regular los requisitos para los acuerdos de con
necesidades de la organizacin para la proteccin de informacin.

Anlisis y especificacin de los requisitos de seguridad: Los requisitos relacionados con la seguridad de la informacin se deberan incluir en los
sistemas de informacin ya existentes.

Seguridad de las comunicaciones en servicios accesibles por redes pblicas: La informacin de los servicios de aplicacin que pasan a travs de
fraudulentas, de disputa de contratos y/o de modificacin no autorizada.

Proteccin de las transacciones por redes telemticas: La informacin en transacciones de servicios de aplicacin se debera proteger para evit
divulgacin y/o duplicacin no autorizada de mensajes o su reproduccin.

Poltica de desarrollo seguro de software: Se deberan establecer y aplicar reglas para el desarrollo de software y sistemas dentro de la organiza

Procedimientos de control de cambios en los sistemas: En el ciclo de vida de desarrollo se deberan hacer uso de procedimientos formales de co

Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo: Las aplicaciones crticas para el negocio se deberan revisar
impactos adversos en las operaciones o en la seguridad de la organizacin.

Restricciones a los cambios en los paquetes de software: Se deberan evitar modificaciones en los paquetes de software suministrados por terce
los cambios se deberan controlar estrictamente.
Uso de principios de ingeniera en proteccin de sistemas: Se deberan establecer, documentar, mantener y aplicar los principios de seguridad
implementacin en el sistema de informacin.

Seguridad en entornos de desarrollo: Las organizaciones deberan establecer y proteger adecuadamente los entornos para las labores de desar
de vida de desarrollo del sistema.

Externalizacin del desarrollo de software: La organizacin debera supervisar y monitorear las actividades de desarrollo del sistema que se hay

Pruebas de funcionalidad durante el desarrollo de los sistemas: Se deberan realizar pruebas de funcionalidad en aspectos de seguridad durant

Pruebas de aceptacin: Se deberan establecer programas de prueba y criterios relacionados para la aceptacin de nuevos sistemas de informa
Proteccin de los datos utilizados en prueba: Los datos de pruebas se deberan seleccionar cuidadosamente y se deberan proteger y controlar.

Poltica de seguridad de la informacin para suministradores: Se deberan acordar y documentar adecuadamente los requisitos de seguridad de
organizacin con el objetivo de mitigar los riesgos asociados al acceso por parte de proveedores y terceras personas.

Tratamiento del riesgo dentro de acuerdos de suministradores: Se deberan establecer y acordar todos los requisitos de seguridad de la informa
procesar, almacenar, comunicar o proporcionar componentes de infraestructura de TI que dan soporte a la informacin de la organizacin.

Cadena de suministro en tecnologas de la informacin y comunicaciones: Los acuerdos con los proveedores deberan incluir los requisitos para
asociados con la cadena de suministro de los servicios y productos de tecnologa de informacin y comunicaciones.

Supervisin y revisin de los servicios prestados por terceros: Las organizaciones deberan monitorear, revisar y auditar la presentacin de serv

Gestin de cambios en los servicios prestados por terceros: Se deberan administrar los cambios a la provisin de servicios que realizan los prov
seguridad de la informacin, los procedimientos y controles especficos. Se debera considerar la criticidad de la informacin comercial, los siste
reevaluacin de riesgos.

Responsabilidades y procedimientos: Se deberan establecer las responsabilidades y procedimientos de gestin para garantizar una respuesta r
la informacin.

Notificacin de los eventos de seguridad de la informacin: Los eventos de seguridad de la informacin se deberan informar lo antes posible ut

Notificacin de puntos dbiles de la seguridad: Se debera requerir anotar e informar sobre cualquier debilidad sospechosa en la seguridad de l
empleados como a contratistas que utilizan los sistemas y servicios de informacin de la organizacin.

Valoracin de eventos de seguridad de la informacin y toma de decisiones: Se deberan evaluar los eventos de seguridad de la informacin y d

Respuesta a los incidentes de seguridad: Se debera responder ante los incidentes de seguridad de la informacin en atencin a los procedimie

Aprendizaje de los incidentes de seguridad de la informacin: Se debera utilizar el conocimiento obtenido del anlisis y la resolucin de inciden
probabilidad y/o impacto de incidentes en el futuro.

Recopilacin de evidencias: La organizacin debera definir y aplicar los procedimientos necesarios para la identificacin, recopilacin, adquisic
evidencia.

Planificacin de la continuidad de la seguridad de la informacin: La organizacin debera determinar los requisitos para la seguridad de la infor
situaciones de crisis o de desastre.

Implantacin de la continuidad de la seguridad de la informacin: La organizacin debera establecer, documentar, implementar y mantener los
mantenimiento del nivel necesario de seguridad de la informacin durante situaciones adversas.

Verificacin, revisin y evaluacin de la continuidad de la seguridad de la informacin: La organizacin debera verificar regularmente los contro
establecidos e implementados para poder garantizar su validez y eficacia ante situaciones adversas.

Disponibilidad de instalaciones para el procesamiento de la informacin: Se debera implementar la suficiente redundancia en las instalaciones
con los requisitos de disponibilidad.

dentificacin de la legislacin aplicable: Se deberan identificar, documentar y mantener al da de manera explcita para cada sistema de inform
estatutarios, normativos y contractuales legislativos junto al enfoque de la organizacin para cumplir con estos requisitos.
erechos de propiedad intelectual (DPI): Se deberan implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos
los derechos de propiedad intelectual y utilizar productos software originales.

Proteccin de los registros de la organizacin: Los registros se deberan proteger contra prdidas, destruccin, falsificacin, accesos y publicaci
legislativos, normativos, contractuales y comerciales.

Proteccin de datos y privacidad de la informacin personal: Se debera garantizar la privacidad y la proteccin de la informacin personal iden
pertinentes aplicables que correspondan.

Regulacin de los controles criptogrficos: Se deberan utilizar controles de cifrado de la informacin en cumplimiento con todos los acuerdos, l

Revisin independiente de la seguridad de la informacin: Se debera revisar el enfoque de la organizacin para la implementacin (los objetivo
procedimientos para la seguridad de la informacin) y gestin de la seguridad de la informacin en base a revisiones independientes e interval
significativos en la organizacin.

Cumplimiento de las polticas y normas de seguridad: Los gerentes deberan revisar regularmente el cumplimiento del procesamiento y los proc
responsabilidad respecto a las polticas, normas y cualquier otro tipo de requisito de seguridad correspondiente.

Comprobacin del cumplimiento: Los sistemas de informacin se deberan revisar regularmente para verificar su cumplimiento con las polticas
la organizacin.