TRADUCCIÓN NORMA INTERNACIONAL ISO/IEC

17799:2000 BS 7799-1:2000

======================================== Informática – Código de Práctica para la Administración de la Seguridad Informática

========================================

1

Prólogo
ISO (la Organización Internacional de Unificación) e IEC (la Comisión Electrotécnica Internacional) conforman el sistema especializado para la unificación mundial. Los organismos nacionales que son miembros de la ISO o IEC participan en la creación de Normas Internacionales a través de comités técnicos establecidos por la correspondiente organización para dar tratamiento a determinados campos de la actividad técnica. Los comité técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales junto con la ISO e IEC también participan en esta tarea. Las Normas Internacionales se elaboran de acuerdo con las directivas de ISO/IEC, Parte 3. En el campo de la informática, ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1. Los proyectos de Normas Internacionales adoptadas por el comité técnico conjunto se hacen llegar a los organismos nacionales para su votación. La publicación en carácter de Norma Internacional requiere la aprobación del 75%, como mínimo, de los organismos nacionales con derecho a voto. Existe la posibilidad de que algunos de los elementos de esta Norma Internacional puedan quedar sujetos a los derechos de patente. ISO e IEC no estarán obligados a identificar total o parcialmente los derechos de patente. La Norma Internacional ISO/IEC 17799 fue preparada por el Instituto de Normas Británico (BS 7799) y adoptada mediante un “procedimiento rápido” por el Comité Técnico Conjunto ISO/IEC JTC 1, Informática, aprobada paralelamente por los organismos nacionales de ISO e IEC.

2

Introducción
¿Qué es la seguridad informática? La información es un activo que, al igual que otros activos comerciales importantes, tiene un valor para una organización y por consiguiente debe protegerse de modo adecuado. La seguridad informática protege la información respecto de una amplia gama de amenazas a fin de asegurar a la comunidad comercial que los daños comerciales serán mínimos y la rentabilidad en materia de inversiones y oportunidades comerciales serán las mejores. La información puede adoptar diversas formas. Puede ser impresa o escrita, puede almacenarse electrónicamente, transmitirse por correo o a través de medios electrónicos, visualizarse en películas o divulgarse oralmente en una conversación. Sea cual fuere la forma de la información o el medio por el que se transmita o almacene, siempre debería protegerse adecuadamente. Por lo tanto, la seguridad informática se caracteriza por la preservación de: a) b) c) la confidencialidad: asegurando que sólo puedan acceder a la información los usuarios autorizados; integridad: salvaguardando la exactitud e integridad de la información y los métodos de procesamiento; disponibilidad: asegurando que los usuarios autorizados tengan acceso a la información y activos asociados cuando lo requieran.

La seguridad informática se logra realizando una serie de controles adecuados, lo cuales podrían consistir en políticas, prácticas, procedimientos, estructuras organizativas y funciones relacionadas con el soporte magnético. Deben realizarse estos controles a fin de asegurar que se cumplan los objetivos de seguridad específicos. ¿Por qué es necesaria la seguridad informática? La información y los procesos de soporte, los sistemas y redes son activos comerciales importantes. La confidencialidad, integridad y disponibilidad de la información puede resultar esencial para mantener la competitividad, flujos de caja, rentabilidad, cumplimiento jurídico e imagen comercial. Las organizaciones y sus sistemas informáticos y redes deben enfrentar cada vez más amenazas de seguridad provenientes de una amplia gama de fuentes, incluyendo la comisión de fraude por computadora o el espionaje, sabotaje, vandalismo, incendio o inundación que alcance a la misma. Las fuentes que producen daños y perjuicios tales como los virus, piratas informáticos y los ataques a los servicios se han convertido en los más comunes, más ambiciosos y cada vez más sofisticados.

3

4 . clientes o accionistas. Las técnicas de valoración de riesgo pueden aplicarse a toda la organización. Muchos sistemas informáticos no han sido diseñados para que sean seguros. componentes del sistema específicos o servicios cuando sea posible. Evaluación de los riesgos de seguridad Los requerimientos de seguridad se identifican a través de una valoración metódica de los riesgos de seguridad. así como también a los sistemas informáticos individuales. La identificación de los controles que deberían utilizarse requiere una cuidadosa y detallada planificación. la participación de todos los empleados en la organización. objetivos y requisitos para procesar la información que una organización preparó para brindar apoyo a sus operaciones. sus socios comerciales. ó únicamente a una parte de la misma. También será necesario contar con el asesoramiento especializado de organizaciones externas. reglamentarios y contractuales que una organización. La seguridad que puede lograrse a través de medios técnicos es limitada y debería respaldarse a través de una gestión y procedimientos adecuados. La primera deriva de los riesgos de valoración respecto de la organización. También puede requerirse la participación de proveedores. La segunda constituye los requerimientos legales. Los gastos que generan los controles deben compensarse con el probable daño comercial que pueda resultar de las fallas de seguridad. A través de la valoración del riesgo se identifican los activos sujetos a amenazas. Los controles de seguridad informática son considerablemente más baratos y más eficaces si se incorporan cumpliendo con las especificaciones y diseño requeridos.La dependencia respecto de los sistemas y servicios informáticos significa que las organizaciones son más vulnerables frente a las amenazas de seguridad. se evalúa la vulnerabilidad y la probabilidad de que la misma se produzca y se calcula su impacto potencial. La tercera es el grupo en particular de principios. razonable y útil. La tendencia a distribuir el procesamiento informático ha debilitado la eficacia del control central especializado. normativos. La gestión de la seguridad informática requiere. contratistas y proveedores de servicios tienen que cumplir. La interconexión de las redes públicas y privadas y el múltiple acceso a los recursos informatizados aumentan la dificultad de lograr el control del acceso. como mínimo. Existen tres fuentes principales. ¿De qué forma se determinan los requerimientos de seguridad? Resulta esencial que una organización identifique sus requerimientos de seguridad.

Existen muchas formas diferentes de administrar el riesgo y este documento proporciona ejemplos de criterios comunes. Por ejemplo.4.7 y 12. describiendo de qué manera puede controlarse el uso del sistema y obtenerse prueba de ello. y luego en un nivel más detallado. Los controles pueden seleccionarse de este documento o de otros grupos de controles.La evaluación del riesgo constituye una consideración sistemática de: a) b) el posible daño comercial que resulte de una falla de seguridad. o bien pueden diseñarse nuevos controles para cumplir con las necesidades específicas. Los controles descriptos. según corresponda. Los apartados 9. Probablemente las organizaciones más pequeñas no puedan segregar todas las obligaciones y entonces será necesario contar con otras formas para lograr el mismo objetivo de control. La revisión periódica de los riesgos de seguridad y de los controles aplicados es importante a fin de: a) tener en cuenta los cambios de los requerimientos comerciales y las prioridades.1 proporcionan otro ejemplo. la probabilidad razonable de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades existentes y los controles que se implementen en ese momento.1. por ejemplo la conexión al inicio de una sesión (logging) podría entrar en conflicto con la legislación aplicable. Los resultados de esta valoración ayudarán a guiar y determinar las medidas y prioridades de gestión adecuadas para administrar los riesgos de seguridad informática y para aplicar los controles seleccionados a fin de lograr una protección contra tales riesgos. Las valoraciones de riesgo a menudo se llevan a cabo a un nivel elevado. es necesario reconocer que algunos de los controles no son aplicables a cada uno de los sistemas o medio informático y que probablemente no resulten practicables para todas las organizaciones. deberían seleccionarse y aplicarse los controles a fin de asegurar que los riesgos se reduzcan a un nivel aceptable. Selección de controles Una vez identificados los requerimientos de seguridad. Las revisiones deberían llevarse a cabo en diferentes niveles de profundidad dependiendo de los resultados de las valoraciones anteriores y los cambios de los niveles de riesgo que la administración está preparada para aceptar. b) considerar las nuevas amenazas y vulnerabilidades. No obstante. como una forma de priorizar los recursos en áreas de alto riesgo. el apartado 8. tal como la protección de la privacidad de clientes o en el ámbito del puesto de trabajo. c) confirmar que los controles sigan siendo efectivos y apropiados. integridad o disponibilidad de la información y de otros activos. El proceso de evaluación de riesgos y la selección de controles probablemente deban llevarse a cabo una serie de veces a fin de cubrir las diferentes partes de los sistemas de la información de la organización o individuales. 5 . describe de qué manera las obligaciones pueden segregarse a fin de evitar dolo y error. para tratar los riesgos específicos. teniendo en cuenta las consecuencias potenciales de la pérdida de confidencialidad.

el mismo no reemplaza la selección de controles basados en una evaluación de riesgo.1).2.). Los factores no monetarios tales como los daños a la reputación también deberían tenerse en cuenta. si bien el criterio expresado es considerado un buen punto de partida. Punto de partida de la seguridad informática Pueden considerarse una serie de controles en carácter de principios de guía que proporcionan un buen punto de partida para lograr la seguridad informática. asignación de responsabilidades de seguridad informática (véase 4.).1.).1.4.1. Estos se explican en detalle bajo el título “Punto de partida de la seguridad informática”.).).2. Algunos de los controles en este documento pueden considerarse como principios de guía para la gestión de seguridad informática y aplicable a la mayoría de las organizaciones. Estos controles se aplican a la mayoría de las organizaciones y en la mayoría de los entornos.3.3.1.1. Estos se basan en requerimientos legislativos esenciales o considerados la mejor práctica común para la seguridad informática. 6 . b) la salvaguardia de los registros de una organización (véase 12.1. el informe de incidentes de seguridad (véase 6. Los controles considerados como esenciales para una organización desde el punto de vista de la legislación incluyen: a) la protección de los datos y la privacidad de la información personal (véase 1.).). Debería observarse que si bien todos los controles en este documento son importantes. c) los derechos de propiedad intelectual (véase 12. la capacitación sobre seguridad informática (véase 6.3. Los controles considerados como la mejor práctica común para la seguridad informática incluyen: a) b) c) d) e) el documento sobre política de seguridad informática (véase 3. la gestión de la continuidad comercial (véase 11. la conveniencia de cualquier control debería determinarse a la luz de los riesgos específicos que una organización enfrenta.Los controles deberían seleccionarse en base al costo de aplicación en relación con los riesgos que se están reduciendo y las pérdidas potenciales si se viola la seguridad.1. Por lo tanto.1.

evaluación de riesgo y gestión de riesgo. d) Buen entendimiento de los requerimientos de seguridad.Factores de éxito críticos La experiencia ha demostrado que los siguientes factores a menudo son críticos a la hora de aplicar con éxito la seguridad informática dentro de una organización: a) Política de seguridad. objetivos y actividades de la empresa que reflejen dichos objetivos. h) Sistema global y equilibrado de cálculo que se utiliza para evaluar la evolución en la gestión de seguridad informática y sugerencias constructivas para mejorar la misma. c) Apoyo y compromiso visible por parte de la administración. f) Distribución de guías sobre política de seguridad informática y normas a todos los empleados y contratistas. e) Comercialización efectiva de la seguridad a todos los administradores y empleados. No todas las directrices y controles que aparecen en este código de práctica pueden resultar aplicables. g) Capacitación adecuada. Desarrollo de sus propias directrices Este código de práctica puede considerarse como punto de partida para desarrollar la guía específica de la organización. b) Criterio para aplicar la seguridad de acuerdo con la cultura de la organización. Además. pueden solicitarse los controles adicionales que no se incluyeron en este documento. 7 . En este caso puede resultar útil conservar las referencias que facilitarán la verificación del cumplimiento por parte de auditores y socios en una organización.

1 Seguridad informática La preservación de la confidencialidad. 2. Deberían seleccionarse las recomendaciones de esta norma y aplicarse de conformidad con las leyes y reglamentaciones aplicables.Informática – Código de práctica para la administración de la seguridad informática ALCANCE Esta norma realiza recomendaciones respecto de la gestión de la seguridad informática a aquellos que están a cargo de firmar.Confidencialidad Asegurando que sólo puedan acceder a la información los usuarios autorizados. TÉRMINOS Y DEFINICIONES 1. integridad y disponibilidad de la información.2 Evaluación del riesgo La evaluación de la amenaza. 2. A los fines de este documento. .Disponibilidad Asegurando que los usuarios autorizados tengan acceso a la información y activos asociados cuando lo requieran. se aplican las siguientes definiciones. 8 . aplicar o mantener la seguridad en sus organizaciones. La misma tiene el propósito de proporcionar una base común para crear normas de seguridad para las organizaciones y una práctica de gestión de seguridad efectiva y proporcionar confianza en las relaciones entre empresas. . .3 Administración del riesgo El proceso de identificación. 2. impacto y vulnerabilidad de la información y medios de procesamiento de información y la probabilidad de que ocurran. control y minimización o eliminación de los riesgos de seguridad que pueden afectar los sistemas informáticos a cambio de un costo aceptable. 2.Integridad Salvaguardando la exactitud e integridad de la información y métodos de procesamiento.

la guía debería incluir: a) una definición de la seguridad informática. Debería manifestar el compromiso de la administración y establecer el criterio de la organización para administrar la seguridad informática. b. d. respaldando los objetivos y principios de la seguridad de información. Como mínimo. sus objetivos generales y alcance y la importancia de la seguridad como mecanismo que permita compartir la información (véase introducción). 3. consecuencias de la violación de la política de seguridad. por ejemplo: a. prevención y detección de virus y demás software de índole delictiva. a todos los empleados.1 Política de Seguridad Informática Objetivo: Impartir directrices sobre administración y apoyar la seguridad informática. e. Además. principios y normas de seguridad y el cumplimiento de los requisitos de particular importancia para la organización.1 Documento sobre política de seguridad informática El documento sobre política debería ser aprobado por la administración. 9 . gestión de la continuidad comercial. cuando corresponda. necesidad de transmitir el concepto de seguridad. cumplimiento de los requerimientos legislativos y contractuales. e) referencia a la documentación que respalde la política. La gestión debería establecer claras directrices sobre política y demostrar apoyo y compromiso respecto de la seguridad informática a través de la creación y mantenimiento de la política de seguridad informática en toda la organización. c) una breve explicación de las políticas. c. d) una definición de las responsabilidades general y específica respecto de la administración informática.3. b) una declaración de intención de la administración. por ejemplo: las políticas y procedimientos de seguridad más detallados sobre sistemas informáticos o normas de seguridad específicos que los usuarios deberían cumplir. Esta política debería comunicarse a los usuarios a través de la organización de forma tal que resulte accesible y fácil de interpretar. POLÍTICA DE SEGURIDAD 3. incluyendo la obligación de informar los incidentes de seguridad. debería publicarse y comunicarse.1.

Debería establecerse un marco de administración a fin de iniciar y controlar la aplicación del sistema de seguridad informática dentro de la organización. 4. auditores y personal de seguridad. usuarios. dichos foros se ocupan de: 10 . 4. Asimismo.1.2 Revisión y evaluación La política debería estar a cargo de un responsable que además se ocupe de actualizarla y revisarla de acuerdo con un proceso de revisión definido. nuevas formas de vulnerabilidad o cambios en la infraestructura organizativa o técnica. Dichos foros deberían promover la seguridad en el ámbito de la organización a través de un compromiso apropiado y recursos adecuados. por ejemplo: hechos de seguridad significativos. Deberían establecerse además medios de comunicación adecuados con los funcionarios principales a cargo de la administración a fin de aprobar la política de seguridad informática. Este proceso debería garantizar la realización de una revisión en respuesta a todo cambio que afecte la valoración del riesgo original. Además. Típicamente. diseñadores de aplicaciones. debería recurrirse al asesoramiento de especialistas en seguridad externa para mantenerse en concordancia con las tendencias industriales.1. b) costo e impacto de los controles sobre la eficiencia comercial. Por lo tanto. especialistas en áreas tales como el seguro y la gestión de riesgo. c) efectos de cambios en la tecnología.1 SEGURIDAD DE LA ORGANIZACIÓN Infraestructura de la Seguridad Informática Objetivo: Administrar la seguridad informática dentro de la organización. debería considerarse la posibilidad de crear un foro de administración que garantice un respaldo claro y visible de la administración a las iniciativas en materia de seguridad. debería contarse con el asesoramiento de especialistas en materia de seguridad informática y el resultado del mismo debería comunicarse a la organización.3. que incluya. administradores. deberían programarse revisiones periódicas de: a) la efectividad de la política. controlar las normas y métodos de evaluación y proporcionar puntos de contacto adecuados cuando se produzcan incidentes de seguridad.1 Foros sobre administración de seguridad informática La seguridad informática es una responsabilidad de la empresa compartida por todos los miembros del equipo de administración. cantidad y efecto de los hechos de seguridad registrados. asignar las funciones de seguridad y coordinar la aplicación de seguridad en la organización. cooperación y colaboración de administradores. Los foros pueden ser parte de un órgano administrativo existente. Si fuera necesario. demostrada por la naturaleza. Además. 4. por ejemplo. debería fomentarse la determinación de un criterio multidisciplinario.

b) controlar los cambios significativos en la exposición de los activos informáticos a las principales amenazas. La política de seguridad informática (véase cláusula 3) debería proporcionar una guía general respecto de la asignación de funciones y responsabilidades en cuanto a la seguridad dentro de la organización.2 Coordinación de la Seguridad Informática En una organización de gran envergadura los foros sobre funciones múltiples a cargo de representantes de administración de los sectores relacionados de la organización pueden resultar necesarios para coordinar la aplicación de controles de seguridad informática. aquellos relacionados con la información y la seguridad.1. 11 .1. f) revisan los incidentes de seguridad informática. 4. d) aseguran que la seguridad sea parte del proceso de planificación de la información. c) acuerdan apoyar las iniciativas sobre seguridad informática a lo largo de toda la organización. con una guía más detallada para lugares. Además debería definirse claramente la responsabilidad local respecto del procesamiento de cada uno de los activos físicos. Típicamente. c) revisar y controlar los incidentes informáticos en materia de seguridad. tales foros: a) acuerdan las funciones y responsabilidades específicas respecto de la información a lo largo de toda la organización. 4. si fuera necesario. e) evalúan la suficiencia y coordinan la aplicación de los controles específicos de seguridad informática para los nuevos sistemas o servicios. d) aprobar las principales iniciativas para reforzar la seguridad informática.a) revisar y aprobar la política de seguridad y responsabilidades globales. Un administrador debería estar a cargo de todas las actividades relacionadas con la seguridad. tales como la planificación de la continuidad comercial.3 Asignación de responsabilidades respecto de la seguridad informática Las responsabilidades respecto de la protección de cada uno de los activos y los procesos de seguridad específicos deberían definirse claramente. sistemas o servicios específicos. por ejemplo: la valoración del riesgo y el sistema de clasificación de la seguridad. por ejemplo: el programa de difusión de temas atinentes a la seguridad. Esto debería completarse. g) promocionan el apoyo comercial de la seguridad informática a lo largo de toda la organización. b) acuerdan metodologías y procesos específicos respecto de la seguridad informática.

En muchas organizaciones debería designarse un administrador a cargo de la seguridad informática que asuma la responsabilidad general respecto del desarrollo y aplicación del sistema de seguridad y apoye la identificación de controles. No obstante, la responsabilidad para recurrir a los controles y aplicar los mismos a menudo estará a cargo de cada uno de los administradores. Una práctica común consiste en designar a un responsable a cargo de cada activo de información, el que pasará a estar a cargo de la seguridad día por día. Los titulares de los activos informáticos pueden delegar sus responsabilidades en materia de seguridad a cada uno de los administradores o proveedores de servicios. No obstante, el titular continúa siendo responsable en última instancia de la seguridad de los activos y debería estar en condiciones de determinar si cualesquiera de las responsabilidades delegadas ha sido cumplida correctamente. Resulta esencial que se determinan claramente las áreas a cargo de cada administrador; en particular: a) Deberían identificarse y definirse claramente los diversos activos y procesos de seguridad asociados con cada sistema en particular; b) El administrador a cargo de cada activo o proceso de seguridad debería estar de acuerdo, debiendo documentar esta responsabilidad en detalle; c) Los niveles de autorización deberían definirse y documentarse claramente. 4.1.4 Proceso de autorización para los mecanismos de procesamiento de información

Debería establecerse un proceso de autorización a cargo de la administración para procesar toda nueva información. Deberían considerarse los siguientes controles: a) Los nuevos mecanismos deberían contar con la debida aprobación de usuarios por parte de la administración, autorizando su propósito y uso. El administrador a cargo de actualizar el medio de seguridad del sistema informático local debería dar su aprobación a fin de asegurar que se cumplan todas las políticas y requerimientos de seguridad pertinentes; Cuando sea necesario, tanto el soporte físico (hardware) como el soporte magnético (software) deberían verificarse a fin de asegurar que sean compatibles con otros componentes del sistema. Nota: En determinadas conexiones puede requerirse una aprobación de caracteres. El uso de mecanismos de procesamiento de información personal para procesar información comercial y cualesquiera de los controles necesarios deberían estar autorizados;

b)

c)

12

d)

El uso de mecanismos de procesamiento de información personal en el puesto de trabajo puede provocar nuevas formas de vulnerabilidad y por consiguiente el mismo debería evaluarse y autorizarse previamente.

Estos controles son especialmente importantes en un entorno de red. 4.1.5 Asesoramiento de un especialista en seguridad informática

Muchas organizaciones probablemente requieran el asesoramiento de un especialista en seguridad. Sería importante que un asesor en seguridad informática experimentado de la organización. No todas las organizaciones pueden aspirar a contratar un asesor especializado. En tales casos, se recomienda que se identifique una determinada persona a fin de coordinar el conocimiento y la experiencia internos de la organización para asegurar una coherencia de criterios y proporcionar ayuda en la toma de decisiones en relación con la seguridad. Estas organizaciones también deberían tener acceso a asesores externos adecuados a fin de contar con el asesoramiento de un especialista fuera de su propia experiencia. Los asesores en materia de seguridad informática o contactos equivalentes deberían proporcionar asesoramiento en todos los aspectos de la seguridad informática, recurriendo tanto a su propia experiencia como al asesoramiento externo. La calidad de su evaluación de las amenazas a la seguridad y asesoramiento sobre los controles determinará la efectividad del sistema de seguridad informática de la organización. Para lograr la máxima efectividad e impacto deberían estar autorizados a acceder directamente a la administración de toda la organización. El asesor de seguridad informática o contacto equivalente debería consultarse lo antes posible desde el momento en que se detecte un incidente de seguridad o la interrupción del servicio de asesoramiento o investigación prestado por un experto. Si bien la mayoría de las investigaciones sobre seguridad interna normalmente se llevarán a cabo bajo control de la administración, el asesor de seguridad informática puede convocarse para asesorar y llevar a cabo la investigación. 4.1.6 Cooperación entre organizaciones

Las autoridades judiciales, órganos reguladores, proveedores de servicio informático y operadores en telecomunicaciones deberían mantenerse en contacto a fin de asegurar que se tomen las medidas necesarias y se cuente con el asesoramiento adecuado rápidamente en caso de producirse un incidente de seguridad. De modo similar, deberían considerarse los miembros de los grupos de seguridad y los foros industriales. El intercambio de información sobre seguridad debería restringirse a fin de asegurar que la información confidencial de la organización no sea divulgada a personas no autorizadas. 4.1.7 Revisión independiente de la seguridad informática

13

El documento sobre política de seguridad informática (véase 3.1) establece la política y las responsabilidades respecto de la seguridad informática. Su aplicación debería revisarse en forma independiente para asegurar que las prácticas de la organización reflejen la política adecuadamente y que esta última sea posible y efectiva (véase 12.2). Dicha revisión puede estar a cargo de un auditor interno, un administrador independiente o una tercera organización especializada en esta tarea, debiendo en todos los casos contar con la debida idoneidad y experiencia. 4.2 Seguridad del acceso de un tercero

Objetivo: Mantener la seguridad del mecanismo de procesamiento de información y activos de información de la organización a los que acceden terceros. Debería controlarse el acceso a los mecanismos de procesamiento de información de la organización por parte de terceros. Cuando sea necesario el acceso de un tercero, debería evaluarse el riesgo a fin de determinar las consecuencias en cuanto a la seguridad y los requisitos de control. Los controles deberían acordarse y definirse en un contrato celebrado con el tercero. El acceso de un tercero también puede acarrear la participación de otras partes. Los contratos que confieren el acceso a terceros deberían contemplar la posibilidad de designar a otros participantes y condiciones necesarios para su acceso. Esta norma podría utilizarse como base para preparar tales contratos y cuando se considere la contratación externa del procesamiento de información.

4.2.1. Identificación de riesgo por el acceso de terceros 4.2.1.1 Tipos de Acceso El tipo de acceso que se otorga a un tercero es de especial importancia. Por ejemplo, los riesgos de acceso a través de una conexión a la red son diferentes de los riesgos provocados por el acceso físico. Los tipos de acceso que deberían considerarse son: a) acceso físico, por ejemplo a oficinas, salas de computación, gabinetes de archivo; b) acceso virtual, por ejemplo a la base de datos y sistemas informáticos de una organización. 4.2.1.2 Razones de acceso Los terceros pueden obtener acceso por una serie de razones. Por ejemplo, existen algunos terceros que prestan servicios a una organización y no están ubicados en la misma zona. En este caso pueden lograr el siguiente acceso físico y virtual: 14

1. debería llevarse a cabo una evaluación a fin de identificar los requerimientos de controles específicos. d) Consultores. que requiere acceder al sistema o a aplicaciones de bajo nivel.).2. guardias de seguridad y demás servicios de soporte contratados externamente.2 Requerimientos de seguridad en contratos de terceros Los acuerdos que incluyen el acceso de terceros a los mecanismos de procesamiento de información de una organización deberían basarse en un contrato formal que contenga todos los requerimientos de seguridad. 4. Deberían considerarse los siguientes términos para incluirlos en el contrato: 15 . b) Servicios de limpieza. Por ejemplo. El acceso a la información y a los mecanismos de procesamiento informático por parte de terceros no debería permitirse hasta que se hayan aplicado los controles y se haya firmado un contrato que defina los términos de la conexión o acceso. En general. socios comerciales o emprendimientos conjuntos.3 Contratistas que trabajan in-situ Los terceros que trabajan in situ durante un período conforme a lo definido en sus contratos también pueden dar lugar a deficiencias en materia de seguridad. o se refiera a los mismos.a) b) personal a cargo de brindar asesoramiento técnico en materia de programas y quipos. todos los requerimientos de seguridad en función del acceso de terceros o los controles internos deberían reflejarse en el contrato de terceros (véase también 43. 4. deberían utilizarse acuerdos de no divulgación (véase 6.1.2. los controles empleados por el tercero y las consecuencias de este acceso a la seguridad informática de la organización.2. provisión de alimentos. a fin de asegurar el cumplimiento de las políticas y normas de seguridad de la organización.2. Asimismo. si existe una necesidad especial de mantener la confidencialidad de la información. Resulta esencial comprender qué controles se requieren para administrar el acceso de un tercero a los mecanismos de procesamiento de información. El contrato debería asegurar que no haya malos entendidos entre la organización y el tercero. Las organizaciones deberían aprobar la indemnización de sus proveedores. que pueden necesitar intercambiar información. Los ejemplos de terceros in situ incluyen: a) El personal a cargo de la actualización de equipos y soporte magnético y personal técnico. Cuando una empresa necesita conectarse a un tercero.3). el valor de la información. c) Estudiantes en cumplimiento de pasantías y demás designaciones de corto plazo. acceder a los sistemas informáticos o compartir bases de datos. La información podría exponerse a riesgo cuando acceda a la misma un tercero en el marco de una administración inadecuada de la seguridad. debería tenerse en cuenta el tipo de acceso requerido.

b) la protección de activos. 5) restricciones para copiar y revelar información. 4) integridad y disponibilidad. también deberían considerarse los acuerdos contingentes cuando corresponda. el establecimiento de un proceso escalonado para la solución de problemas. los acuerdos de control de acceso que abarquen: 1) los métodos de acceso permitidos y el control y uso de identificadores únicos tales como los ID o claves de usuarios. las responsabilidades con respecto a cuestiones legales. la disposición sobre la transferencia de personal cuando resulte conveniente. la definición de criterios de cumplimiento verificable.1. un proceso claro y específico de administración de cambios. los controles de protección física y mecanismos para asegurar que se cumplan estos controles. 3) controles para asegurar la devolución o destrucción de información y activos al extinguirse el contrato o en cualquier momento en que se acuerde durante la vigencia del mismo.2) y protección de cualquier trabajo de colaboración (véase también 6. 2) un proceso de autorización de acceso y derechos de usuarios. por ejemplo: la legislación sobre protección de información.a) la política general sobre la seguridad informática.1). por ejemplo: pérdida o modificación de datos.3). los derechos de propiedad intelectual y cesiones de derechos de autor (véase 12. capacitación de usuarios y administradores en cuanto a los métodos. 2) procedimientos para determinar si se ha producido algún tipo de compromiso de activos. los controles para asegurar la protección contra soportes magnéticos ilícitos. control e informe de los mismos. incluyendo: 1) los procedimientos para proteger los activos de la organización.1. 16 h) i) j) k) l) m) n) o) p) q) r) s) . la respectiva responsabilidad de las partes del contrato. el nivel de servicios esperado y los niveles de servicio inaceptables. el derecho a controlar y revocar la actividad del sumario. procedimientos y seguridad. el derecho a auditar las responsabilidades contractuales y a ordenar que dichas auditorias sean llevadas a cabo por un tercero. una clara estructura de informes y formularios acordados para suministrar los mismos. en especial teniendo en cuenta los diferentes sistemas legales nacionales si el contrato requiere la cooperación de organizaciones en otros países (véase también 12. las responsabilidades con respecto a la instalación y mantenimiento de equipos y soporte magnético. c) d) e) f) g) una descripción de cada servicio que se pondrá a disposición. incluyendo la información y el soporte magnético. 3) requerimiento de mantener una lista de personas autorizadas a utilizar los servicios que se ponen a disposición y cuáles son sus derechos y privilegios con respecto a dicho uso.

notificar e investigar los incidentes de seguridad y violación de los sistemas de seguridad. u) la participación de terceros con subcontratistas. 17 .t) acuerdos para informar.

el contrato debería establecer: a) de qué manera deben cumplirse los requerimientos legales. b) qué medidas se adoptarán para asegurar que todas las partes vinculadas a la contratación externa. El contrato debería contemplar que se amplíen los requerimientos y procedimientos de seguridad en un plan de administración de seguridad que debería ser aprobado por ambas partes. c) de qué manera deben mantenerse y verificarse la integridad y confidencialidad de los activos comerciales de la organización.1 Requerimientos de seguridad en las contrataciones externas Los requerimientos de seguridad de una organización que contrata en forma externa la administración y control de todos o algunos de sus sistemas informáticos. incluyendo a los subcontratistas. Si bien los contratos de contratación externa pueden plantear interrogantes de seguridad complejos. redes y/o computadoras deberían constar en un contrato celebrado entre las partes. Por ejemplo. 18 . redes y/o entornos de escritorio en el contrato entre las partes.3 Contratación externa Objetivo: Mantener la seguridad informática cuando la responsabilidad en cuanto al procesamiento de información está a cargo de otra organización contratada. 4. los controles incluidos en este código de práctica podrían servir como punto de partida para acordar la estructura y contenido del plan de administración de la seguridad.3. d) qué controles físicos y virtuales se utilizarán para restringir y limitar el acceso de los usuarios autorizados a la información comercial confidencial de la organización.4. Los términos expresados en la lista del apartado 4. controles y procedimientos de seguridad para los sistemas informáticos.2. Los acuerdos de contratación deberían contemplar los riesgos. conocen sus responsabilidades con respecto a la seguridad.2 deberían considerarse como parte de este contrato. f) qué niveles de seguridad física deben estipularse para los equipos contratados en forma externa. g) el derecho a realizar auditorias. e) de qué manera se mantendrá la disponibilidad de servicios en caso de desastre. por ejemplo: legislación de protección de la información.

servicios generales. La responsabilidad respecto de la aplicación de controles puede delegarse. La responsabilidad respecto de los activos ayuda a asegurar que se mantenga la protección adecuada. Deberían identificarse los responsables a los fines de todos los activos principales y debería asignarse a los mismos la responsabilidad respecto del mantenimiento de los controles adecuados. energía. PABXs. manuales de usuario. La responsabilidad debería seguir correspondiendo a la persona a cargo de los activos. muebles. Los ejemplos de activos asociados con los sistemas informáticos son: a) b) c) activos de información: bases y archivos de datos. otros equipos técnicos (proveedores de energía. medio magnético (cintas y discos). equipos de comunicaciones (Routers. d) 19 . modems). aire acondicionado. activos físicos: equipos de computadoras (procesadores. instalaciones. monitores. contestadores automáticos). iluminación. procedimiento operativo o de apoyo. seguro o finanzas (administración de activos).1. soporte magnético del sistema.5. por ejemplo: calefacción. planes de continuidad. Todos los activos informáticos principales deberían estar a cargo de un responsable nombrado quien debería rendir cuenta de los mismos. 5. Una organización debe estar en condiciones de identificar sus activos y el valor relativo e importancia de estos activos. Cada activo debería identificarse claramente y su titularidad y clasificación de seguridad (véase 5. facsímil. documentación del sistema. El proceso de compilación de un inventario de activos es un aspecto importante de la administración del riesgo. En base a esta información. computadoras portátiles. una organización puede entonces proporcionar niveles de proporción de acuerdo con el valor e importancia de los activos. información archivada. junto con su ubicación actual (importante cuando intenta cubrir pérdidas o daños). unidades de aire acondicionado). servicios: servicios informáticos y de comunicaciones. herramientas y aplicaciones de programas.1 Clasificación y control de Activos Responsabilidad respecto de los activos Objetivo: Mantener la protección adecuada de los activos de la organización. material de capacitación.1 Inventario de activos Los inventarios de activos ayudarán a asegurar la efectiva protección de activos y también pueden realizarse por otras razones comerciales tales como salud y seguridad. activos magnéticos: aplicaciones de soporte magnético. planes “b”.2) acordada y documentada. 5.

por ejemplo. En general. y comunicar la necesidad de aplicar medidas especiales de manejo. archivo de datos o disquete.1 Directrices de Clasificación Las clasificaciones y los controles de protección de la información relacionados deberían tener en cuenta las necesidades de la empresa en cuanto a compartir o restringir el acceso a la información y los impactos comerciales asociados con tales necesidades. Los esquemas excesivamente complejos pueden transformarse en engorrosos y antieconómicos en lo que a uso se refieren o bien pueden resultar ser impracticables. A menudo una información deja de ser sensible o importante después de un determinado período. prioridades y grado de protección. la clasificación conferida a la información es una forma abreviada de cómo debe manejarse y protegerse esta información. Las directrices de clasificación deberían anticiparse y considerar el hecho de que la clasificación de cualquier punto de información no necesariamente es fijo a lo largo del tiempo y puede cambiar de conformidad con alguna política predeterminada (véase 9. La información posee grados variables de sensibilidad y grado de importancia. Debería considerarse además el número de categorías de clasificación y los beneficios que obtendrán de su uso. La responsabilidad en cuanto a la definición de la clasificación de un punto de información. debería seguir correspondiendo a la persona designada a cargo de la información o a aquella que generó la misma. 20 . registro de información. por ejemplo: en un documento.2 Clasificación de la información Objetivo: Asegurar que los activos de información se reciban en un nivel de protección adecuado. 5. por ejemplo: el acceso no autorizado o daño a la información.1).2. Estos aspectos deberían tenerse en cuenta ya que la sobre clasificación puede dar lugar a un gasto comercial adicional innecesario. Debería tenerse cuidado en la interpretación de los rótulos de clasificación de los documentos de otras organizaciones que pueden asignar diferentes definiciones a los mismos rótulos o a aquellos que resulten similares. El sistema de clasificación de la información debería emplearse para definir un conjunto de niveles de protección adecuados. La información debería clasificarse para indicar la necesidad. La información y los resultados de los sistemas que manejan datos clasificados deberían dividirse en grupos en función de su valor y grado de sensibilidad respecto de la organización.5. por ejemplo: en función de su integridad y disponibilidad. Algunos puntos pueden requerir un nivel de protección adicional o un manejo especial. También puede resultar apropiado clasificar la información en función del grado de importancia que la misma tiene para la organización. cuando la información ha sido revelada al público. o bien para revisar periódicamente dicha clasificación.

especialmente para los trabajos críticos. La responsabilidad en materia de seguridad debería aplicarse en la etapa de contratación de personal. deberían definirse procedimientos de manejo a fin de cubrir los siguientes tipos de actividad de procesamiento de información: a) b) c) d) e) copiado. Estos procedimientos deben cubrir los activos de información en forma física y virtual. transmisión por correo. tal como los documentos en forma electrónica. hurto. mensajes grabados. casetes). CDs. algunos activos de información. 21 . fraude o mala utilización de los servicios.1 SEGURIDAD A CARGO DEL PERSONAL Seguridad en la definición del trabajo y empleo de recursos Objetivo: Reducir los riesgos de error humano.1. Todos los empleados y terceros usuarios de sistemas de procesamiento de información deberían firmar un contrato de confidencialidad (de no divulgación). contestadores automáticos. 6. los datos en pantalla. 6. almacenado.2.2 Rotulado y manejo informático Resulta importante definir un conjunto de procedimientos apropiados con respecto al rotulado y manejo informático de conformidad con el programa de clasificación adoptado por la organización. transmisión verbal.5. El rótulo debería reflejar la clasificación de acuerdo con las normas establecidas en el apartado 5. medios registrados (cintas. No obstante.2. no pueden rotularse físicamente y por lo tanto debe efectuarse por medio electrónico. discos.2). Los rubros sujetos a consideración incluyen los informes impresos. La información generada por los sistemas contienen datos que pueden clasificarse como sensibles o importantes debería portar el rótulo de clasificación adecuado. Para cada clasificación. Las potenciales contrataciones de personal deberían examinarse adecuadamente (véase 6. mensajes electrónicos y transferencias de archivos. Generalmente los rótulos físicos son la forma de rotulación más adecuada. destrucción.1. incluirse en los contratos y controlarse durante el desempeño de cada empleado. incluyendo teléfono celular. fax y correo electrónico.

Los problemas personales o financieros. Esta debería incluir los siguientes controles: a) disponibilidad de referencias satisfactorias en cuanto a la reputación. por ejemplo. Estas deberían incluir las responsabilidades generales para aplicar o mantener la política de seguridad así como también toda responsabilidad específica para la protección de determinados activos o para la realización de ciertos procesos o actividades de seguridad. Para el personal de autoridad considerable. involucre una persona con acceso al procesamiento informático. el contrato con la agencia debería especificar claramente las responsabilidades de la agencia con relación al examen y los procedimientos de notificación que tienen que seguir en caso de que no se haya completado el examen o si los resultados dan motivo a duda o inquietud. La administración debería evaluar la supervisión requerida con respecto al personal nuevo y sin experiencia que cuente con autorización de acceso a sistemas confidenciales. cambios en su conducta o estilo de vida. ya sea a través de un nombramiento inicial o una promoción.6. Esta información debería ser manejada de conformidad con cualquier legislación adecuada vigente en la jurisdicción respectiva.1) debería documentarse. la organización también debería llevar a cabo una verificación del crédito. si dicho procesamiento maneja información confidencial. 22 . robos. esta verificación debería repetirse en forma periódica. Un proceso de examen similar debería llevarse a cabo con respecto a los contratistas y personal temporario. Cuando un trabajo.1. en caso de corresponder.2 Examen del Personal y Política La verificación del personal de la planta permanente debería realizarse en el momento de procesarse las aplicaciones. por ejemplo: una laboral y otra personal. c) confirmación de la idoneidad académica y profesional. y en especial. d) verificación de identidad independiente (pasaporte o documento similar). b) verificación del curriculum vitae del solicitante (exactitud y totalidad de datos). 6. errores y otros temas que involucren la seguridad. En el caso de que este tipo de personal sea contratado por intermedio de una agencia. información financiera o información altamente confidencial.1 Inclusión de la seguridad en la responsabilidad laboral Las funciones y responsabilidades en relación con la seguridad.1. La tarea de todo el personal debería encontrarse sujeta a procedimientos de revisión y aprobación periódicos llevados a cabo por los integrantes de mayor jerarquía del personal. tal como lo establece la política de seguridad informática de la organización (véase 3. ausencias reiteradas y pruebas de tensión o depresión podrían conducir a fraudes. Los administradores deberían ser conscientes de que circunstancias personales de su personal pueden afectar su trabajo.

2.3 Contratos de Confidencialidad Los contratos de confidencialidad o no divulgación de información se utilizan para notificar el carácter confidencial o secreto de la información. los términos y condiciones de empleo deberían manifestar que tales responsabilidades se hacen extensivas fuera de las instalaciones de la organización y del horario normal de tareas. En los casos apropiados.4 Términos y condiciones del empleo Los términos y condiciones de empleo deberían declarar la responsabilidad del empleado con respecto a la seguridad informática. El personal accidental y usuarios que sean terceros no ya cubiertos por un contrato vigente (que contenga el contrato de confidencialidad) deberían firmar un contrato de confidencialidad antes de que se les brinde acceso a las facilidades de procesamiento de información. Los convenios de confidencialidad deberían ser revisados cuando se produzcan cambios en los términos de empleo o del contrato. Los empleados deberían normalmente firmar tales contratos como parte de los términos y condiciones que inician su vinculación con la empresa.6.2 Capacitación del usuario Objetivo: Asegurar que los usuarios sean conscientes de las amenazas e inquietudes que penden sobre la seguridad informática y que estén en condiciones de apoyar la política de seguridad de la organización en el transcurso de su tarea habitual.5 y 9. dichas responsabilidades deberían seguir vigentes por un lapso determinado con posterioridad a la terminación del empleo. por ejemplo con respecto a las leyes de derechos de autor o la legislación de protección a los datos. También debería incluirse la responsabilidad por la clasificación y administración de los datos del empleador. 6. Las responsabilidades y derechos legales del empleado.1).1.1. Deberían incluirse las medidas a adoptar en caso de que el empleo no tenga en cuenta los requisitos de seguridad. deberían ser aclarados e incluidos dentro de los términos y condiciones de empleo. Los usuarios deberían recibir capacitación con relación a procedimientos de seguridad y al uso correcto de las facilidades de procesamiento informático a los efectos de minimizar los posibles riesgos de seguridad. En los casos en que resulte pertinente.8. 6. especialmente cuando los empleados dejen la organización o se produzca la extinción del contrato. vale decir en caso de que se realicen tareas en el hogar (véase asimismo 7. 23 .

Deberían crearse procesos de retroalimentación de información conveniente a los efectos de garantizar que quienes comunican los incidentes sean notificados de los resultados luego de que se haya resuelto el incidente y cerrado el caso. Los incidentes que afectan la seguridad deberían ser comunicados a través de los canales administrativos adecuados a la brevedad. debilidad o mal funcionamiento) que podrían tener impacto sobre la seguridad de los activos de la organización.7) 6. podría resultar necesario recopilar pruebas a la brevedad luego de ocurrido el incidente (véase 12.3. Debería crearse un procedimiento de comunicación formal junto con un procedimiento de respuesta al incidente.2) conozca lo que podría suceder. Todos los empleados y contratistas deberían tener presente el procedimiento de comunicación de incidentes de seguridad y se les debería exigir que comuniquen dichos incidentes cuanto antes. acceso previo a la información o servicios que se brindan.7).3 Respuestas antes incidentes de seguridad y malfuncionamiento Objetivo: Reducir a un mínimo el daño provocado por incidentes de seguridad y errores en el funcionamiento y efectuar un seguimiento con aprendizaje de tales incidentes. estableciendo las medidas a tomar al recibirse un informe de existencia de un incidente. así como también capacitación en cuanto al uso correcto del procesamiento informático.1. 6.6. por ejemplo procedimiento de conexión. terceros usuarios. Se les debería exigir que comuniquen al punto de contacto designado al efecto cualquier incidente que observen o sospechen que exista a la brevedad. amenaza. La organización debería establecer un proceso disciplinario formal para tratar aquellos casos en los cuales empleados incurran en fallas de seguridad. cómo responder ante tales incidentes y cómo evitarlos en el futuro (véase también 12. se incluyen los requisitos de seguridad.2.1 Capacitación en Seguridad Informática Todos los empleados de la organización y cuando correspondiere. deberían recibir capacitación adecuada y actualizaciones a intervalos regulares respecto de las políticas y procedimientos de la organización.1 Comunicación de incidentes de seguridad Los incidentes de seguridad deberían ser comunicados a través de los canales administrativos adecuados a la brevedad. Entre ellos. Todos los empleados y contratistas deberían tener conocimiento de los procedimientos de comunicación de los distintos tipos de incidentes (falla de seguridad. A fin de poder encarar debidamente dichos incidentes. 24 .1. uso de paquetes de programas. responsabilidad legal y controles de la empresa. Estos incidentes pueden utilizarse a modo de ejemplo para que el usuario a través de la capacitación (véase 6.

3. para la retención de pruebas.2 Comunicación de la existencia de deficiencias en la seguridad Debería exigirse a los usuarios de servicios informáticos que registren y comuniquen cualquier debilidad en la seguridad que observen o sospechen que exista o de amenazas al los sistemas o servicios.4 Aprendizaje a partir de los Incidentes Deberían existir mecanismos que permitan que los tipos.4 y.3. El asunto debería ser comunicado inmediatamente al administrador de seguridad informática.3. véase 12.7). 6. Esta medida se adopta para su propia protección dado que realizar pruebas respecto de debilidades podría ser interpretado como un mal uso potencial del sistema.3. El computador debería aislarse y. La existencia de tales situaciones puede indicar la necesidad de fortalecer o agregar controles destinados a limitar la frecuencia. Si el equipo debe ser examinado. 25 .1. El contacto pertinente debería recibir la alerta de inmediato. Deberían comunicar estas cuestiones cuanto antes a su administración o directamente al prestador del servicio. Se debería considerar la adopción de las medidas siguientes. de ser posible.1. La recuperación debería estar a cargo de personal experimentado y debidamente capacitado.3 Comunicación del malfuncionamiento de programas Deberían crearse procedimientos de comunicación de errores en el funcionamiento de programas. Debería informarse a los usuarios que bajo ninguna circunstancia deberían intentar investigar una debilidad supuesta. c) Los usuarios no deberían intentar remover el programa bajo sospecha a menos que se les autorice a proceder de esa manera.2). volúmenes y costos de los incidentes y errores de funcionamiento sean cuantificados y verificados. 6. a) b) Los síntomas del problema y cualquier mensaje que aparezca en pantalla deberían registrarse.1. 6. Dicho proceso puede actuar como un factor disuasivo para aquellos empleados que de otro modo podrían verse inclinados a no tomar en cuenta los procedimientos de seguridad. Además. daño y costo de sucesos futuros o a tomarlos en cuenta en el proceso de revisión de la política de seguridad (véase 3. interrumpir el uso del mismo.5 Proceso Disciplinario Debería existir un proceso disciplinario formal destinado a ser aplicado a los empleados que hayan violado las políticas y procedimientos de seguridad de la organización (véase 6.6. debería desconectarse el mismo de cualquier red de la organización antes de que se lo vuelva a conectar. debería garantizar el tratamiento correcto y justo de los empleados sospechados de cometer violaciones graves o recurrentes en materia de seguridad. Esta información debería emplearse para identificar los incidentes o errores de funcionamiento recurrentes o de alto impacto. Los diskettes no deberían ser transferidos a otras computadoras.

daños e interferencia a las instalaciones de la empresa y su información. una pared. por ejemplo mediante la acción de mecanismos de control. El acceso a los sitios y edificios debería estar habilitado para al personal autorizado exclusivamente. La ubicación y solidez de cada barrera depende de los resultados que se obtengan en una evaluación del riesgo. cada una de ellas incrementa la protección total. c) 26 . Un perímetro de seguridad es algo que construye una barrera.3). por ejemplo. alarmas. Las organizaciones deberían emplear perímetros de seguridad para proteger zonas que contengan sistemas de procesamiento de información (véase 7. 7. Los lineamientos y controles siguientes deberían tenerse en cuenta y aplicados en los casos en que se considere pertinente hacerlo: a) b) El perímetro de seguridad debería definirse claramente.7 7. cierres. Deberían estar protegidos físicamente frente al acceso sin autorización. Una política de escritorios y pantallas limpios es la recomendada a fin de reducir el riesgo de acceso sin autorización o daños a los documentos. daños e interferencia.1. Los sistemas de procesamiento informático de la empresa de carácter crítico o confidencial deberían estar ubicados en zonas de seguridad. Debería existir una zona de recepción con personal u otros medios de control físico del acceso al sitio o edificio.1. El perímetro de un sitio o edificio que contenga sistemas de procesamiento informático deberían ser sólidos en sentido físico (vale decir que no deberían existir brechas en el perímetro o zonas donde puedan producirse irrupciones con facilidad). Las paredes externas del sitio deberían ser de construcción sólida y todas las puertas externas deberían estar convenientemente protegidas contra acceso sin autorización. Cada barrera establece un perímetro de seguridad. medios de comunicación y sistemas de procesamiento informático. barras. SEGURIDAD FÍSICA Y AMBIENTAL Áreas seguras Objetivo: Impedir el acceso sin autorización. una puerta de ingreso con control de tarjeta o una mesa de recepción.1 Perímetro de seguridad física La protección física se puede lograr mediante la creación de varias barreras físicas en torno de las instalaciones y sistemas de procesamiento de información de la empresa.1. etc. protegidos por un perímetro de seguridad definido con barreras de seguridad y controles de ingreso adecuados. La protección proporcionada debería ser compatible con los riesgos identificados.

filtraciones de agua provenientes de otras zonas. Los controles de autenticación.1. Seguridad de oficinas. pro ejemplo. Los derechos de acceso a las zonas de seguridad deberían ser examinados y actualizados en forma regular. Solamente se concederá acceso a los fines específicos autorizados y se deberían emitir instrucciones sobre los requisitos de seguridad de la zona y procedimientos de emergencia. debería encontrarse controlado y estar restringido a las personas autorizadas al efecto solamente. salas y sistemas b) c) d) 7. El acceso a información confidencial y a los sistemas de procesamiento informático. es decir las tarjetas magnéticas más clave de identificación deberían ser empleadas para autorizar y validar todos los accesos. También se tendrán en cuenta las normas y pautas de higiene y seguridad pertinentes.2 Las zonas de seguridad deberían encontrarse protegidas por controles de ingreso adecuados que garanticen que solamente se permitirá el ingreso al personal autorizado.1.d) En caso necesario. las barreras físicas deberían extenderse desde el piso al techo real a fin de impedir el ingreso sin autorización y la contaminación ambiental a través de incendios e inundaciones. Se debería considerar la aplicación de los controles que se enumeran a continuación: a) Los visitantes de las zonas de seguridad deberían ser supervisados o admitidos y su fecha y hora de ingreso y partida deberían registrarse. La selección y diseño de una zona de seguridad debería tomar en cuenta la posibilidad de daño por fuego. disturbio civil y otra forma de desastre natural o provocado por el hombre. inundación. 27 .3 Una zona de seguridad podrá ser una oficina o varias oficinas cerradas dentro de un perímetro de seguridad física que pueden encontrarse cerrados o contener gabinetes y cajas de seguridad que se pueden cerrar. explosión. Se deberían contar con un rastreo permanente de todos los accesos Se debería exigir a todo el personal que utilice algún tipo de identificación visible y se lo debería alentar para que encare a extraños que circulen sin acompañamiento y a cualquiera que no use una identificación visible. Controles de acceso físico e) 7. También se deberían tener en cuenta las amenazas a la seguridad debidas a instalaciones vecinas. Todas las puertas de escape ante incendio del perímetro de seguridad deberían contener alarmas y cierres automáticos.

Se debería considerar la posibilidad de aplicación de los controles que se detallan a continuación: a) b) Los sistemas fundamentales deberían concentrarse en sitio a los cuales no tenga acceso el público. Los edificios no deberían provocar obstrucciones y dar mínimos indicios de su propósito sin signos obvio fuera o dentro del edificio que identifiquen la presencia de actividades de procesamiento informático. Las funciones y equipos de apoyo, pro ejemplo, fotocopiadores, máquinas de fax, deberían encontrarse situados adecuadamente dentro de la zona de seguridad a fin de evitar pedidos de acceso, que podrían comprometer la información. Las puertas y ventanas deberían encontrarse cerradas cuando no halla personal y se debería considerar la posibilidad de proporcionar protección externas a las ventanas, especialmente en planta baja. Se deberían instalar sistemas de detección de intrusos convenientes ceñidos a normas profesionales y verificados en forma regular a fin descubrir todas las puertas externas y ventanas accesibles. Las zonas no ocupadas deberían contener en todo momento alarmas. También se debería proporcionar cobertura a otras zonas, por ejemplo, sala de computadoras o de comunicaciones. Los sistemas de procesamiento informático de la organización deberían encontrarse separados físicamente de los sistemas del mismo tipo manejados por terceros. Las guías y agendas telefónicas internas que identifiquen las posiciones de sistemas de procesamiento informático confidenciales no deberían encontrarse a disposición del público Los materiales peligrosos o combustibles deberían almacenarse en forma segura a un distancia prudencial de una zona de seguridad. Los suministros a granel como ser la papelería no deberían almacenarse dentro de una zona de seguridad cuando no resulte necesario. El equipo de emergencia y medios de resguardo informático deberían estar situados a una distancia prudencial que evite daño en caso de desastre en el sitio principal.

c)

d)

e)

f)

g)

h)

i)

28

7.1.4 El trabajo en áreas de seguridad Se pueden exigir controles y lineamientos adicionales para fortalecer la seguridad de una zona de seguridad, inclusive controles al personal o terceros que trabajen en dicha zona como también a la actividad de terceros. Se debería considerar la posibilidad de utilizar los controles que se detallan a continuación: a) El personal debe tener conocimiento de la existencia de un área de seguridad o las actividades que se lleven a cabo en la misma en la medida, sólo en la medida que este conocimiento sea necesario para desarrollar su tarea; b) El trabajo sin supervisión en una zona de seguridad debería ser evitado a fin de impedir la realización de actividades dolosas y por razones de seguridad; c) Las zonas de seguridad vacantes deberían encontrarse cerradas físicamente y se las debería controlar periódicamente; d) El personal de servicios de apoyo prestados por terceros debería contar con acceso restringido a las zonas de seguridad o sistemas de procesamiento informático confidencial. Este acceso debería contar con previa autorización y ser verificado. Podrá resultar necesario contar con barreras y perímetros adicionales de control del acceso físico entre zonas que cuenten con exigencias de seguridad diferentes dentro del perímetro de seguridad; e) No se debería permitir el ingreso sin autorización de equipos de fotografía, video, audio u otros medios de grabación. 7.1.5 Aislamiento de las zonas de entrega y carga

Las zonas de entrega y carga deberían estar controladas y, de ser posible, aisladas de los sistemas de procesamiento informático a fin de evitar accesos sin autorización. Los requisitos de seguridad para dichas zonas deberían ser determinados a través de una evaluación de riesgo. Deberían considerarse los controles siguientes: a) b) El acceso a una zona de descarga desde fuera del edificio debería estar restringido a personal identificado y autorizado; La zona de descarga debería estar diseñada de tal forma que los suministros sean descargados sin que el personal de entrega obtenga acceso a otras partes del edificio; La puerta o puertas externa/s de una zona de descarga debería/n encontrarse asegurada/s cuando se abra la puerta interna; El material que ingrese debería inspeccionarse a fin de detectar peligros posibles [(véase 7.2.1d)] antes de retirarlos de la zona de descarga con destino al lugar de uso; 29

c) d)

e)

El material que ingrese debería registrarse, cuando fuere pertinente (véase 5.1), al entrar al sitio.

7.2 Seguridad del equipo Objetivo: Impedir pérdidas, daños o compromiso de activos e interrupciones en las actividades de la empresa. El equipo debería estar protegido físicamente de amenazas a la seguridad y peligros provenientes del medido ambiente. La protección del equipo (inclusive del empleado fuera del sitio) es necesaria para reducir el riesgo de acceso sin autorización a los datos y para protegerlos contra pérdida o daño. Debería también considerarse la ubicación y disposición de los equipos. Puede ser necesario contar con controles especiales de protección frente a peligros o acceso sin autorización y para la salvaguardia de los sistemas de apoyo, como por ejemplo el suministro de energía eléctrica y la infraestructura de cables. 7.2.1 Ubicación y Protección del Equipo

El equipo debería ubicarse o protegerse de forma tal de reducir los riesgos provenientes de amenazas y peligros originados en el medio ambiente y del acceso efectuado sin autorización. Se deberían tener presente los controles que se detallan a continuación: a) b) El equipo debería estar ubicado en las zonas de trabajo correspondientes a fin de minimizar el acceso innecesario; Los sistemas de procesamiento y almacenamiento informático que manejan datos confidenciales deberían ubicarse en lugares donde el riesgo de ser advertidos durante su uso sea menor; Los rubros que requieran protección especial deberían aislarse a fin de reducir el nivel general de protección requerido; Deberían adoptarse controles a fin de minimizar el riesgo de amenazas potenciales que incluyan: 1) 2) 3) 4) 5) 6) 7) 8) Robo; Fuego; Explosivos; Humo; Agua (o falla en su suministro); Polvo; Vibración; Efectos químicos;

c) d)

30

31 .2 Debería protegerse al equipo frente a fallas en el suministro de energía u otras anomalías eléctricas. bebida y el acto de fumar en las proximidades de los sistemas de procesamiento informático. Las condiciones ambientales deberían controlarse para detectar situaciones que puedan afectar el funcionamiento de los sistemas de procesamiento informático. emanaciones de agua del techo o piso por debajo del nivel del suelo o una explosión en la vía pública. En caso de que sean instalados. e) La organización debería considerar su política con respecto a la comida. Debería considerarse la posibilidad de que se produzca un desastre en instalaciones vecinas. Un suministro de energía UPS destinado a respaldar en forma ordenada el cierre o funcionamiento continuo es recomendable para aquellos equipos que brinde apoyo a las operaciones confidenciales de la empresa. 10) Radiación electromagnética. Suministro de energía f) g) h) 7. Se debería proporcionar un suministro eléctrico adecuado que guarde relación con las especificaciones técnicas de los equipos. Generador de apoyo. por ejemplo un incendio en un edificio vecino. Se debería considerar la posibilidad de contar con un generador de apoyo en caso de que el procesamiento deba continuar en casos de falla energética prolongado. Debería considerarse el uso de medios de protección especial del tipo de las membranas para teclados para el equipo situado en condiciones de uso industrial. Se incluyen las siguientes opciones para lograr una continuidad en el suministro de energía: a) b) c) Alimentación múltiple destinada a evitar que se produzca una falla en algun punto de la red de suministro de energía. Suministro de energía que no puede ser interrumpido (“UPS”).2.9) Interferencia en el suministro de energía eléctrica. El equipo UPS debería ser controlado en forma periódica a fin de garantizar que cuente con la capacidad adecuada y ser verificado conforme a las recomendaciones del fabricante. Se debería contar con un suministro de combustible adecuado para garantizar que el generador permita el desarrollo de actividades durante un período prolongado. Los planes de contingencia deberían abarcar las medidas a tomar en caso de falla en el suministro de energía UPS. los generadores deberían ser probados en forma periódica conforme a las instrucciones que al efecto proporcione en fabricante.

Las reparaciones y el servicio del equipo deberían ser llevados a cabo por el personal de mantenimiento debidamente autorizado. o encontrarse sometidas a protección alternativa adecuada. donde sea posible. por ejemplo a través del uso de conductos o evitando rutas que crucen zonas públicas.2. b) c) d) 7. Se debería considerar la instrumentación de los controles que se indican a continuación: a) Las líneas de energía y telecomunicaciones conectadas a sistemas de procesamiento informático deberían ser subterráneas.3 Seguridad del cableado El tendido de cables de energía y telecomunicaciones que lleven datos o servicios informáticos auxiliares debería contar con protección frente a intercepción o daño. Se debería considerar aplicar los controles que se enumeran a continuación: a) b) c) Se debería mantener el equipo conforme a las recomendaciones del proveedor en cuanto a intervalos de servicio y especificaciones técnicas. Se deberían mantener registros de todas las fallas reales o supuestas y de todo el mantenimiento preventivo y correctivo.Además. El empleo de cableado de fibra óptica. Los cables de energía deberían encontrarse separados de los cables de comunicaciones a fin de impedir interferencia. El cableado de la red debería contar con protección frente a intercepción no autorizada o daño. 7. Otros controles para sistemas de gran importancia o confidenciales incluyen: 1) 2) 3) 4) La instalación de conductos blindados o salas o cámaras cerradas en puntos terminales y de inspección. 32 . Se debería contar con protección contra rayos en todos los edificios y se debería contar asimismo con filtros para protección contra la acción de los rayos en todas las líneas de comunicación externas. los interruptores de energía de emergencia deberían estar situados cerca de las salidas de emergencia en las salas de los equipos a los efectos de facilitar la rápida caída de energía en caso de emergencia.4 Mantenimiento del equipo El equipo debería mantenerse en forma correcta a fin de garantizar que esté completo y disponible en todo momento. El uso de rutas o medios de transmisión alternativas.2. La iniciación de barridos destinados a detectar elementos anexados sin autorización a los cables. Debería proporcionarse iluminación de emergencia en caso de falla en el suministro de energía principal.

La seguridad que se brinde a dichos equipos debería ser equivalente a la que cuenta en equipo in situ a los mismos fines. política de escritorios limpios y controles al acceso en el caso de computadoras.5 Independientemente de la titularidad del equipo. por ejemplo contra el riesgo de exposición a campos electromagnéticos potentes. ordenadores. Las computadoras portátiles deberían ser trasladados como equipaje de mano y en la medida de lo posible ocultadas durante el viaje. teléfonos móviles.d) Se deberían instrumentar controles adecuados cuando se retire el equipo de las instalaciones a efectos de su mantenimiento (véase también 7. Se debería dar cumplimiento a todos los requerimientos impuestos en las pólizas de seguro..6 Disposición o nuevo uso seguro de los equipos Se puede poner en riesgo la información por la disposición o nueva utilización descuidada del equipo (véase también 8. su uso fuera de las instalaciones de la organización a los efectos de tareas de procesamiento informático debería contar con autorización de la administración. papel u otros formularios que se utilicen para tarea en el hogar o que se trasladen desde la ubicación normal de trabajo. por ejemplo en cuanto a daño. b) Se debería dar cumplimiento en todo momento a las instrucciones que proporcionen los fabricantes con respecto a la protección del equipo. por ejemplo. borrados y sobre escritos). 7. robo y escucha ilegal pueden variar considerablemente entre ubicaciones y se deberían tener presentes para determinar los controles más adecuados.2. uso de gabinetes de archivo con cerradura. La seguridad del equipo fuera de las instalaciones de la empresa 7. Se deberían tomar en cuenta los lineamientos siguientes: a) Los equipos y medios de comunicación que se retiren de las instalaciones no deberían quedar sin vigilancia en lugares públicos. El equipo de procesamiento informático incluye todo tipo de computadoras personales.2.6 con respecto a datos eliminados.1 se puede encontrar mayor información con respecto a otros aspectos de la protección de equipos móviles. d) Debería contarse con una adecuada protección en materia de seguros para el equipo que se retire de la empresa. Los riesgos de seguridad. Los elementos de almacenamiento que contienen información confidencial deberían ser destruidos físicamente o sobrescritos como forma de seguridad en lugar de ser eliminados mediante el uso de la función “eliminar estándar”.8. En 9. c) Deberían establecerse los controles del trabajo realizado en el hogar a través de una evaluación de riesgo y aplicarse controles que se consideren convenientes. teniendo en consideración los riesgos de trabajar fuera de las instalaciones de la organización.6. 33 .2.4).

reparados o descartados. b) 34 . La información empresaria crítica o confidencial debería ser puesta bajo llave (en forma ideal en una caja de seguridad o gabinete a prueba de incendios) cuando no se la requiera. 7.3 7. Se deberían tener en cuenta los controles siguientes: a) En los casos pertinentes. por ejemplo soportes físicos fijos.2) los riesgos correspondientes y los aspectos culturales de la organización. especialmente cuando la oficina quede sin ocupantes. La información que se deja en los escritorios resultará posiblemente dañada o destruida en desastres como puede ser una inundación o explosión. los documentos y medios de computación deberían ser almacenados en gabinetes con cerradura y / o otras formas de mobiliario de seguridad cuando no se los utilice y especialmente fuera del horario laboral.6.3 Controles Generales Objetivo: Impedir que se comprometa o robe la información y los sistemas de procesamiento informático.3. Dichas políticas deberían tomar en consideración las clasificaciones de seguridad informática (véase 5. La información y los sistemas de procesamiento informático deberían estar protegidos frente a la divulgación. deberían ser controlados para garantizar que cualquier dato confidencial y programa bajo licencia haya sido removido o sobrescrito antes de deshacerse del mismo. pérdida y daño de la información durante las horas de trabajo normales y fuera de ellas. modificación o robo de los mismos por personas carentes de la debida autorización y se deberían contar con controles en funcionamiento destinados a minimizar la pérdida o daño. Los elementos de almacenamiento dañados que contengan datos confidenciales pueden demandar una evaluación de riesgo para determinar si dichos artículos deberían ser destruidos.1 Política transparente sobre información impresa y en pantalla La organización debería considerar adoptar una política de escritorio limpio para los documentos y medios de almacenamiento removibles y una política de pantalla limpia para los sistemas de procesamiento informático a fin de reducir los riesgos de acceso carente de autorización.Todos los elementos del equipo que contengan medios de almacenamiento. Los procedimientos de manejo y almacenamiento se tratan en 8.

Se deberían establecer cuáles son las responsabilidades y procedimientos de administración y funcionamiento de todos los sistemas de procesamiento informático. La información reservada o confidencial.c) Las computadoras personales y terminales e impresoras de computadoras no deberían quedar encendidas cuando no haya quien las atienda y cuando no se las utilice.2 Los equipos. Esta determinación incluye el desarrollo de las instrucciones operativas respectivas y de los procedimientos de respuesta ante incidentes. Se deberían emprender verificaciones in situ para detectar la remoción no autorizada de bienes.4) a los efectos de reducir el riesgo debido a mal uso negligente o deliberado del sistema. 8. Los puntos de ingreso y salida de correo y las máquinas de teles y fax que no cuenten con personal a cargo deberían contar con protección. deberían contar con protección mediante el empleo de cierres con clave. Remoción de bienes d) e) f) 7. En los casos adecuados.1.1 ADMINISTRACIÓN DE LAS OPERACIONES Y COMUNICACIONES Procedimientos y Responsabilidades Operativos Objetivo: Garantizar el funcionamiento correcto y seguro de los sistemas de procesamiento informático.1. Se debería concienciar a las personas para que realizan las verificaciones en situ. 8. 35 . las fotocopiadores deberían estar cerradas con llave (o protegidas de alguna otra forma frente al uso no autorizado). En los casos en que resulte necesario y pertinente. contraseñas y otros controles. Fuera del horario normal de trabajo.1 Procedimientos Operativos Documentados Los procedimientos operativos identificados por la política de seguridad deberían documentarse y mantenerse documentados. Los procedimientos operativos deberían ser tratados como documentos formales y los cambios deberían ser autorizados por la administración. información o programas no deberían ser retirados de las instalaciones sin previa autorización. el equipo debería ser apagado y vuelto a encender a su regreso. se debería instrumentar la separación de deberes (véase 8.3. debería ser retirada de las impresoras en forma inmediata luego de impresa. 8.

Cuando sea posible. inclusive interdependencias con otros sistemas.5.1. los programas o procedimientos. se deberían integrar los procedimientos de control de modificaciones en las aplicaciones y los de control operativos (véase también 10. y tiempos para el inicio del primer trabajo y terminación del último. Procedimiento de aprobación formal de los cambios propuestos. Instrucciones para enfrentar errores y otras situaciones excepcionales que puedan surgir durante la ejecución de la tareas con inclusión de las restricciones al uso de los útiles del sistema (véase 9.1). Contactos de apoyo en caso de dificultades técnicas u operativas inesperadas. sala de computación y administración y seguridad en el manejo del correo electrónico.5. Instrucciones especiales para manejo de productos como ser uso de papelería especial o administración de productos confidenciales. Cuando se produzcan modificaciones en los programas. Procedimientos de identificación de responsabilidades por el aborto y recuperación de cambios fallidos.Los procedimientos deberían especificar las instrucciones destinadas al logro de la ejecución detalladas de cada tarea incluyendo: a) b) c) d) e) f) Procesamiento y manejo de la información.5).2 Control de Cambio Operativo Se deberían controlar los cambios que se produzcan en el procesamiento informático El control inadecuado de los cambios en el procesamiento informático y sus sistemas es una de las causas más comunes de falla de seguridad sistémica. Los programas operativos deberían encontrarse sujetos a un estricto control en cuanto a los cambios que se produzcan en los mismo. mantenimiento del equipo. También se debería disponer de procedimientos documentados para las actividades de mantenimiento del sistema conexas con los sistemas de comunicaciones y procesamiento informático como son los procedimientos de encendido y cierre de la computadora. 36 . Requisitos de programación. Evaluación de la posible influencia de dichos cambios. se deberían tener en cuenta los controles siguientes: a) b) c) d) e) Identificación y registro de los cambios significativos. resguardos. En especial. inclusive procedimientos para garantizar la disposición del producto en caso de tareas fallidas. Procedimientos para la recuperación y reinicio del sistema en caso de falla del sistema. Los cambios en el contexto operativo pueden tener influencia sobre las aplicaciones. Comunicación de los detalles de las modificaciones a todos los interesados. se debería retener un registro de auditoria que contenga toda la información pertinente. 8. Las responsabilidades y procedimientos formales de administración deberían encontrarse vigentes a los efectos de garantizar el control satisfactorio de todos los cambios que se produzcan en el equipo.

los procedimientos deberían también cubrir (véase asimismo 6. Comunicación con los afectados o involucrados en las tareas de recuperación debidas al incidente.4): 1) 2) 3) 4) 5) El análisis e identificación de la causa del incidente. Comunicación de lo actuado a la autoridad pertinente.1.3. b) Además de los planes de contingencia normales (destinados a recuperar los sistemas o servicios tan rápidamente como fuere posible).3. por mal uso de la computadora o asuntos relativo a la legislación de protección de datos. c) Las rutas de auditoria y pruebas similares deberían ser recopiladas ( véase 12. como corresponda a los efectos de: 1) 2) Un análisis interno del problema Su uso como prueba con relación a un incumplimiento potencial del contrato.2 con respecto al acceso de terceros). incumplimiento de requisitos reglamentarios y en caso de proceso civil y penal. 37 . 3) d) Se debería controlar formal y cuidadosamente las acciones que se emprendan para lograr una recuperación debido a fallas de seguridad y en el funcionamiento correcto de los sistemas.7) y aseguradas. Recopilación de rutas de auditoria y pruebas similares. por ejemplo. Errores resultantes de datos comerciales incompletos o inexactos.1).8. La planificación e instrumentación si fuere necesario.3 Procedimientos de administración de incidentes Se deberían crear procedimientos y determinar responsabilidades respecto de la administración de incidentes a fin de garantizar una respuesta ordenada. Se deberían tener presente los controles que se enumeran a continuación: a) Se deberían establecer procedimientos destinados a abarcar todos los tipos posibles de incidentes de seguridad con inclusión de: 1) 2) 3) 4) Fallas en el sistema informático y pérdida de servicio. Dichos procedimientos deberían garantizar que: 1) Se permita acceso a los sistemas y datos en vivo solamente a personal autorizado y claramente identificado (véase asimismo 4. La negociación de compensación con los proveedores de programas y servicios. eficaz y rápida ante incidentes que involucren la seguridad (véase asimismo 6. Denegatoria de servicio.2.1. de recursos destinados a impedir su repetición. Fallas en cuanto al mantenimiento de la confidencialidad.

Se debería considerar la aplicación de los controles siguientes: a) b) Es importante separar las actividades que permitan la celebración de acuerdos ilegales destinados a cometer una defraudación.5 La separación del desarrollo.2) 3) 4) 8. En todos aquellos casos en que sea difícil producir la separación. Las actividades de desarrollo y prueba pueden provocar problemas graves. Se debería instrumentar asimismo una separación similar entre las funciones de desarrollo y prueba. en principio. Se debería considerar el nivel de separación necesario entre los contextos operativos. 38 . Las organizaciones pequeñas pueden encontrar que este método de control es difícil de lograr pero. otros controles como la verificación de actividades.1. Las medidas de emergencia serán comunicadas a la administración y revisadas en forma ordenada.1. disminuyendo así la posibilidad de que exista una conspiración. por ejemplo.4 Se documentará en detalla todas las medidas de emergencia que se tomen. a fin de impedir que surjan problemas operativos. Separación de deberes La separación de deberes es un método de reducción del riesgo de mal uso accidental o deliberado de un sistema. Se debería considerar la oportunidad de separar la administración o ejecución de ciertos deberes o zonas de responsabilidad a fin de reducir las oportunidades de modificación no autorizada o uso indebido de la información o los servicios. se lo debería aplicar en la medida de lo posible. modificaciones no queridas de los archivos o del sistema o falla del sistema. la prueba y el funcionamiento es importante a fin de lograr una separación de los papeles involucrados. Las normas de transferencia de programas de un estado de desarrollo a uno operativo deberían ser definidas y documentadas. Se debería tener el debido cuidado para que no haya persona que pueda perpetrar un fraude en zonas de responsabilidad única sin ser detectada. de prueba y desarrollo. Separación de los sistemas operativos y de desarrollo 8. Se confirmará con la mínima demora la integridad de los sistemas y controles de la empresa. Si existe peligro de acuerdo ilegal. La iniciación de un hecho debería encontrarse separada de su autorización. la presentación de una orden de compra y la verificación de la recepción de la mercadería. En este caso. seguimiento de auditoria y supervisión de la administración deberían considerarse. hay necesidad de mantener un marco conocido y estable en el cual desarrollar pruebas significativas e impedir el acceso inadecuado por parte del encargado del desarrollo. Es importante que la auditoria de seguridad retenga su independencia. por ejemplo. entonces se necesitará idear controles para que se involucren dos o más personas.

funcionar en diferentes procesadores de la computadora o en diferentes dominios o directorios. Se deberían encarar temas especiales como ser: a) b) La identificación de aplicaciones críticas o confidenciales que es mejor realizar dentro de la empresa.1.3 con respecto a los lineamientos de contratos de terceros que involucran acceso a la organización y contratos de prestación de servicios por parte de servicios). editores y otros útiles del sistema desde los sistemas operativos salvo que así se deba proceder. La separación del desarrollo. En algunos sistemas.2. Estos riesgos deberían ser señalados por anticipado acordando con el contratista la instrumentación de controles adecuados e incorporándolos al contrato (véase también 4. Administración externa e) 8.Si el personal de desarrollo y el de prueba tienen acceso al sistema operativo y a su información. El personal encargado de las tareas de desarrollo solamente tendrá acceso a las contraseñas operativas cuando haya controles para la emisión de las contraseñas en los sistemas operativos. No se debería poder acceder a los compiladores. la prueba y el aspecto operativo es por ende deseable a fin de reducir el riesgo de cambio accidental o acceso no autorizado a programas operativos y datos empresariales. Se debería alentar a los usuarios a los efectos de que usen contraseñas diferentes para estos sistemas y los menús deberían mostrar los mensajes de identificación pertinentes. daños o pérdida de datos en el lugar de trabajo del contratista.2 y 4. esta capacidad podría ser utilizada indebidamente para cometer fraude o introducir códigos dolosos o indeseados. Se deberían tener en cuenta los controles que se enumeran a continuación: a) b) c) d) Los programas para desarrollo y operaciones deberían. Obtención de aprobación de parte de los titulares de la aplicación comercial. Los encargados del desarrollo y de las pruebas también constituyen una amenaza a la confidencialidad de la información operativa. pueden llegar a introducir códigos no probados y sin autorización o alterar datos operativos. Las actividades de desarrollo y prueba pueden provocar cambios no intencionales en los programas y la información si comparten el mismo contexto computacional. Los controles deberían garantizar que tales contraseñas sean modificadas después de ser usadas. 39 . en lo posible. separadas. Las actividades de desarrollo y prueba deberían encontrarse en la medida de lo posible. Un código doloso o indeseado puede provocar graves problemas operativos. Se deberían utilizar diferentes procedimientos de establecimiento de comunicación para los sistemas operativos y de prueba a fin de reducir la posibilidad de error.6 El uso de un contratista externo para administrar el procesamiento informático puede introducir riesgos de seguridad como ser compromisos.

impresoras y otros elementos de producto y sistemas de comunicaciones. Los administradores deberían usar esta información para identificar y evitar potenciales cuellos de botella que pudieran constituir una amenaza para la seguridad del sistema o los servicios para usuarios y planificar los cursos de acción pertinentes para resolver la situación. Los servidores exigen especial atención debido al costo mucho mayor y al tiempo que lleva obtener capacidad nueva. almacenamiento principal. Se deberían determinar las exigencias operativas para los sistemas nuevos. almacenamiento de archivos.1.2. Estas proyecciones deberían tomar en cuenta las nuevas exigencias en materia de negocios y sistemas y las tendencias actuales y proyectadas en cuanto a procesamiento informático en la organización. en especial con relación a aplicaciones comerciales o herramientas informáticas para la administración. Responsabilidades y procedimientos de comunicación y manejo de los incidentes de seguridad (véase 8. Se requiere contar con planificación y preparación por anticipado a fin de garantizar contar con capacidad y recursos adecuados. Los administradores de servicios de servidores deberían controlar la utilización de los principales recursos del sistema con inclusión de procesadores. 8. Normas de seguridad a especificar y proceso de medición de su cumplimiento.1. Asignación de responsabilidades y procedimientos específicos para controlar eficazmente todos las actividades de seguridad pertinentes. documentándolas y verificándolas previo a su aceptación y uso.3).2.c) d) e) f) Consecuencias para los planes de continuidad comercial. 40 . Planificación de la Capacidad Las exigencias en cuanto a capacidad deberían ser controladas y se deberían realizar proyecciones de necesidades futuras de capacidad a fin de garantizar de que se disponga de energía suficiente para efectuar tareas de procesamiento y almacenamiento. Deberían señalar las tendencias en cuanto a uso. Se deberían efectuar proyecciones sobre los requerimientos futuros en cuanto a capacidad a los efectos de reducir el riesgo de sobrecarga del sistema. Planificación y Aceptación de Sistemas 8. Objetivo: Minimizar el riesgo de fallas en los sistemas.

Procedimientos manuales eficaces.1.5. gusanos en red. a) b) c) d) e) f) g) h) i) Requisitos en materia de funcionamiento y capacidad de la computadora Procedimientos para la solución de errores y reiniciación de tareas y planes de contingencia.2. Se debería considerar la instrumentación de los controles que se enumeran a continuación. “Caballos de Troya” (véase asimismo 10. resulta esencial que se tomen precauciones para detectar la presencia de virus de computación en las computadoras personales e impedir su acción. especialmente en horas pico de procesamiento tales como fin de mes. 8. actualizaciones y versiones nuevas así como pruebas convenientes a aplicar al sistema antes de su aceptación. Acuerdo para la continuidad de los negocios tal como se establece en 11. Los programas y el procesamiento informático son vulnerables a la introducción de programas ilícitos como ser virus de computación. documentadas y probadas con claridad. Los usuarios deberían tener presente los peligros que conllevan los programas ilícitos o carentes de autorización y los administradores deberían.4) y bombas lógicas. 41 . Acuerdo en cuanto a la vigencia de un conjunto de controles en materia de seguridad. En especial. Los administradores deberían garantizar que las exigencias y criterios de aceptación de sistemas nuevas se encuentren definidas. Prueba de que se ha prestado atención al efecto que el nuevo sistema tiene sobre la seguridad global de la organización. Se deberían llevar a cabo pruebas adecuadas para confirmar que se hayan satisfecho plenamente todos los criterios de aceptación. se debería consultar la función operaciones y a los usuarios durante todas las etapas del proceso de desarrollo a los efectos de garantizar la eficiencia operativa del diseño de sistema que se proyecte.2 Aceptación del sistema Deberían establecerse criterios de aceptación para nuevos sistemas informáticos. acordadas. Preparación y prueba de procedimientos operativos de rutina según normas definidas.2 Protección contra programas ilícitos Objetivo: Proteger la integridad de los programas y la información Es necesario adoptar precauciones para impedir y detectar la introducción de programas ilícitos. introducir controles especiales para detectar su introducción o impedirla.8. cuando sea pertinente. Capacitación para hacer funcionar o utilizar los nuevos sistemas. A los fines de procurar novedades de importancia. Prueba de que la instalación del nuevo sistema no afectará los sistemas existentes.

La presencia de cualquier archivo no aprobado o de enmiendas no autorizadas debería ser formalmente investigada.1. Verificación de cualquier anexo de correo electrónico y de las descargas de los mismos a los fines de detectar la presencia de programas ilícitos antes de su uso. c) d) e) f) g) h) 42 . señalando las medidas de protección que deban adoptarse (véase asimismo 10. Realización de exámenes periódicos de los programas y del contenido en datos de los sistemas que constituyen el soporte de procesos fundamentales para la empresa. Se debería considerar la utilización de los controles que se enumeran a continuación: a) b) Una política formal que exija el cumplimiento de las licencias de programas y prohíba el uso de programas no autorizados (véase 12.4 y 10.2. Procedimientos y responsabilidades administrativas para enfrentar el tema de la protección antivirus en los sistemas con capacitación para su uso. especialmente 10.3).8.1.5.3 y 8. inclusive a través de la recuperación de todos los datos necesarios y la creación de resguardos en los programas y medidas destinadas a la recuperación de datos (véase cláusula 11). computadoras de mesa o al ingresar en la red de la organización. en los servidores de correo electrónico.5.5). Esta verificación puede ser llevada a cabo en lugares diferentes.3. por ejemplo. La protección frente a la acción de programas ilícitos debería basarse en la conciencia respecto de la importancia de la seguridad. comunicación y recuperación frente a ataques de virus (véase 6. acceso adecuado al sistema y controles para la administración de modificaciones.1 Controles contra programas ilícitos Se deberían implementar controles para detectar e inhibir la acción de programas ilícitos así como procedimientos destinados a crear una adecuada conciencia al respecto en los usuarios. Verificación en los medios electrónicos de cualquier archivo de procedencia incierta o no autorizada o de archivos recibidos por intermedio de redes no confiables a los efectos de detectar virus antes de usarlos.2).5. Planes adecuados de continuidad de la actividad comercial para hacer frente a ataques de virus. Instalación y actualización a intervalos periódicos de métodos para la detección de virus y de programas de reparaciones para explorar computadoras y medios como medida de control precautorio o en forma rutinaria. Una política formal de protección frente a riesgos conexos con la obtención de archivos y programas de redes externas o por su intermedio o por cualquier otro medio.

Se debería considerar aplicar los controles que se enumeran a continuación: a) Un nivel mínimo de información en copia de resguardo junto con registros completos y exactos de las copias de resguardos y de los procedimientos de restablecimiento documentados deberían ser almacenados en un sitio remoto a distancia suficiente como para escapar de cualquier daño debido a desastre en el sitio principal. Los administradores deberían garantizar que fuentes confiables. Como mínimo.4 Tareas Internas Objetivo: Mantener la integridad y disponibilidad del procesamiento informático y los servicios de comunicación. Se deberían realizar resguardos de archivo adecuados a fin de garantizar que toda la información esencial de los negocios y sus programas puedan ser recuperados luego de un desastre o falla en los medios. 43 . Se deberían crear procedimientos de rutina para lleva a cabo la estrategia acordada en materia de resguardo de archivos (véase 112. se deberían retener tres generaciones o ciclos de información resguardada correspondiente a aplicaciones comerciales importantes. El personal debería tener presente el problema constituido por los engaños y qué hacer al recibir uno. se deberían realizar copias de resguardo de archivos que contenga programas e información esencial para el desarrollo de los negocios. sucesos que involucren el establecimiento de comunicación y fallas en el mismo y. toma de copias de resguardo de datos y ensayo de su oportuna restauración. sitios de Internet confiables o proveedores de programas antivirus sean empleados para diferencia entre engaños y virus reales. por ejemplo. 8. 8.1). el control del contexto que rodea al equipo. diarios de buena reputación..1 Resguardo de la Información Periódicamente.4.i) Procedimientos para verificar toda la información relacionada con programas ilícitos y garantizar que los boletines de advertencia sean exactos e informativos. Estos controles son especialmente importantes respecto de servidores de archivos en red que constituyen el soporte de un gran número de estaciones de trabajo. cuando sea pertinente. Las medidas destinadas a realizar los resguardas de cada sistema deberían ser probadas periódicamente para garantizar que cumplan con los requisitos contenidos en los planes de continuidad de la empresa (véase cláusula 11).

c) Confirmación del correcto manejo de archivos de datos y producto de la computadora. Examen de las medidas correctivas para garantizar que no se hayan comprometido los controles y que las medidas tomadas cuenten con autorización plena. b) Errores de sistema y medidas correctivas adoptadas. Los controles aplicados a los medios en el sitio principal deberían extenderse para que cubran el sitio de resguardo.1. Deberían existir normas claras para el manejo de las fallas que se comuniquen con inclusión de: a) b) Examen de los registros de fallas para garantizar que las fallas hayan sido resueltas en forma satisfactoria. cuando pueda hacerse. c) d) Se debería determinar el período de retención en lo que respecta a información comercial esencial y también cualquier requisito en materia de copias de archivo que deban ser retenidas en forma permanente (véase 12. Los procedimientos de restablecimiento deberían ser verificado en forma periódicamente y sometidos a prueba para garantizar que resulten efectivos y que se puedan ejecutar en forma completa dentro del tiempo asignado al efecto en los procedimientos operativos para recuperación de archivos. Los libros de registro de operadores deberían esta sometidos a verificaciones periódicas e independientes en el marco de los procedimientos operativos vigentes.4. 44 . para garantizar que resultan confiables en caso de uso de emergencia.2 Conexión de operadores El personal operativo debería mantener un registro de sus actividades. Los medios de resguardo deberían ser probados periódicamente. d) Nombre de la persona que efectúa el asiento en el registro. según corresponda: a) Iniciación del sistema y tiempos de finalización. Los registros deberían incluir. 8.3).4.3 Conexiones defectuosas Se deberían comunicar las fallas y tomar medidas para corregirlas.b) La información resguardada deberían tener un nivel adecuado de protección ambiental y física (véase cláusula 7) congruente con las normas aplicadas en el sitio principal. Las fallas comunicadas por los usuarios con respecto a problemas en el proceso informático o en los sistemas de comunicaciones deberían ser asentadas en registros. 8.

Las actividades de administración deberían estar estrechamente coordinadas tanto a fin de optimizar el servicio a la empresa como garantizar que los controles sean aplicados en forma congruente dentro de la infraestructura de procesamiento informático.5 Administración de la Red Objetivo: Garantizar la salvaguardia de la información en las redes y la protección de la infraestructura de apoyo. Se deberían crear procedimientos ope4rativos adecuados para proteger documentos. 8. En caso necesario.4 y 10. elementos de computadoras (cintas.1 Controles de la Red Es necesario contar con una gama de controles a fin de lograr seguridad en las redes de computadoras y mantenerlas. En especial. La administración de la seguridad de las redes que puede alcanzar los límites de la organización exige atención. Manejo y Seguridad de los Medios c) d) 8. robo y acceso no autorizado. Los medios de comunicación deberían estar contr0olados y protegidos en forma física. También pueden resultar necesarios controles adicionales para proteger el traspaso de datos confidenciales a las redes públicas. casetes) ingreso y egreso de datos y documentación del sistema contra daño.1.4). Los administradores de redes deberían aplicar controles para garantizar la seguridad de los datos en las redes y proteger los servicios conectados frente a accesos no autorizados. También puede ser necesario crear controles esp3eciales para mantener la disponibilidad de los servicios de red y de las computadoras que se encuentren conectadas. se deberían establecer controles especiales para salvaguardar la confidencialidad e integridad del traspaso de datos a las redes públicos y proteger los sistemas conectados ( véase 9. 45 .8. Se deberían establecer cuáles son las responsabilidades y procedimientos respecto de la administración de los equipos ubicados en lugares remotos inclusive aquellos equipos situados en zonas frecuentadas por usuarios. discos.5.6 Objetivo: Impedir daños a los activos e interrupciones en las actividades de la empresa.3). se deberían considerar los controles que se enumeran a continuación: a) b) Se debería separar la responsabilidad operativas de las redes del manejo operativo de las computadoras cuando sea pertinente (véase 8.

Se debería considerar la instrumentación de los controles que se enumeran a continuación: a) La disposición de los medios que contengan información confidencial se debería efectuar en forma segura.6. Todos los medios deberían ser guardados en un ambiente seguro en caja de seguridad de conformidad con las especificaciones de los fabricantes. Datos de pruebas. La información confidencial podría filtrarse a personas ajenas a ala empresa por la disposición negligente de los medios. Discos o casetes removibles. Se deberían crear procedimientos formales para la disposición segura de medios.2).1 Administración de los medios informáticos removibles Deberían existir procedimientos de administración de medios de computación removibles como lo son las cintas. Documentación de sistemas. Cintas magnéticas.2 Disposición de los medios La disposición de los medios cuando ya no se los necesite debería ser segura. Cintas de impresión utilizables una sola vez. por ejemplo a través de su incineración o fragmentación o vaciándolos de datos a fin de que puedan ser usados nuevamente: La lista siguiente identifica los rubros que puedan requerir seguridad en su disposición: 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) Documentos en soporte papel. inclusive todos los medios de distribución de programas con que cuente el fabricante). Listas de programas. b) c) Todos procedimientos y autorizaciones deberían estar claramente documentados. los contenidos previos de cualquier medio que pueda volver a ser utilizados que deban ser eliminados de la organización deberían ser borrados. 8. Medios de almacenamiento óptico (de todo tipo. Se debería contar con autorización para la remoción de todos los medios de la organización y se llevará un registro de todas las remociones que se efectúen a fin de poder seguirlas mediante auditoria (véase 8.8.6. Papel carbónico. Informes de producto. Registros de voz o de otro tipo. Se debería considerar la utilización de los controles que se enumeran a continuación: a) En caso de que ya no sean necesarios. 46 b) . discos.7. casetes e informes impresos.

correo de voz. se debería tener presente el efecto agregado que puede hacer que una cantidad grande información no clasificada como confidencial adquiera un cariz de mayor confidencialidad que una pequeña cantidad de información clasificada. corre o electrónico. equipo y medios. por ejemplo: cheques en blanco. multimedios.2): a) b) c) d) e) f) g) Manejo y etiquetamiento de todos los medios [véase también 8. Mantenimiento de un registro formal de receptores de datos autorizados. Mantenimiento de la distribución de los datos a un nivel mínimo. a fin de poder efectuar un seguimiento por auditoria. uso de fax y cualquier otro rubro confidencial. computación móvil. Se debe tener cuidado en seleccionar un contratista conveniente y someterlo a controles adecuados.2) en documentos.6. Garantía de que los datos ingresados sean completos. cuando fuere posible. redes. que su procesamiento se complete adecuadamente y que se aplique validación a la salida de datos. 8.7. Protección de datos que esperan salida a un nivel compatible con su confidencialidad. d) e) Al acumular medios para su disposición. Se deberían redactar procedimientos de manejo de información compatible con su clasificación (véase 5. servicios postales.2 y 8. Muchas organizaciones ofrecen servicios de recolección y disposición de pápeles. 47 .3 Procedimientos de manejo de información Los procedimientos de manejo y almacenamiento de información deberían ser creados a los fines de proteger dicha información de divulgación no autorizada o uso indebido. La disposición de elementos confidenciales debería registrarse. Se debería considerar la utilización de los controles que se enumeran a continuación (véase asimismo 5. comunicaciones de voz en general. facturas. sistemas de computación.7.c) Puede resultar más sencillo tomar medidas conducentes a recolectar todos los medios y disponer de los mismos en forma segura en lugar de intentar separar aquellos medios que se consideren confidenciales. Almacenamiento de medios en forma congruente con las especificaciones suministradas por los fabricantes. comunicaciones móviles.2]] Restricciones al acceso a fin de identificar personal que carezca de autorización de ingreso.

El contenido de seguridad de dicho acuerdo debería reflejar la confidencialidad de la información comercial involucrada. La lista de acceso de la documentación del sistema debería ser reducida y contar con la autorización del titular de la aplicación. estructuras de datos.7. Deberían crearse procedimiento y normas de protección de información y medios en tránsito. comercio electrónico y correo electrónico y los requisitos para su control. Seguridad de la documentación del sistema La documentación del sistema puede contener una gama de información confidencial. Se deberían considerar las consecuencias para los negocios y la seguridad conexas con el intercambio electrónico de datos.7 La documentación del sistema se debería almacenar en condiciones seguras.1).6. Examen de las listas de distribución y de receptores autorizados a intervalos periódicos. Intercambios de Información y Programas Objetivo: Impedir la pérdida. La documentación del sistema en poder de una red pública o provista por intermedio de una red pública debería encontrarse debidamente protegida. Los intercambios deberían llevarse a cabo en base a acuerdos. inclusive los acuerdos de salvaguardia de programas cuando corresponda. 8.h) i) 8. procedimientos.4 Clasificación de todas las copias de datos correspondientes a receptores autorizados. a) b) c) 8. procesos de autorización (véase también 9.1 Acuerdos de intercambio de información y programas Los acuerdos. Los intercambios de información y programas entre organizaciones deberían ser controlados y dar cumplimiento a cualquier legislación pertinente (véase la cláusula 12). Los acuerdos sobre condiciones de seguridad deberían considerar lo siguiente: 48 . por ejemplo: descripciones de procesos de aplicación. algunos de los cuales pueden ser formales. modificación o uso indebido de información intercambiada entre organizaciones. deberían ser creados en el caso que haya intercambio de información y programas (electrónico o manual) entre organizaciones. Se debería considerar la utilización de los controles que se enumeran a continuación a los efectos de proteger la documentación de sistemas de acceso no autorizado.

1. Se deberían adoptar controles especiales. Empaquetamiento de seguridad (que revele cualquier intento de obtener acceso indebido). Los controles que se enuncian a continuación deberían ser aplicados para salvaguardar los medios de computación que se transporten entre distintos lugares. transmisión. en caso de pérdida de datos.3. su despacho y recibo. Seguridad de los Medios en Tránsito g) h) i) 8. Procedimientos para notificar al remitente. a fin de proteger información confidencial de divulgación o modificación efectuadas sin previa autorización.1.7. despacho y recibo. incluso legales. Entrega en mano. a) Se deberían emplear transporte o correos privados confiables. Responsabilidades. Normas técnicas para registrar y leer información y programas.a) b) c) d) e) f) Responsabilidades de la administración con respecto a la transmisión de control y notificación. Cualquier control especial que pueda ser necesario a fin de proteger rubros confidenciales como claves criptográficas (véase 10.5). Se debería acordar con la administración una lista de correo privados autorizados y se instrumentará un procedimiento de verificación de la identificación de los correos privados. por ejemplo. Titularidad de la información y los programas y responsabilidades en cuanto a protección de los datos. El empaquetamiento debería ser suficiente para proteger los contenidos del daño físico que puedan sufrir durante el transporte en debida conformidad con las especificaciones suministradas por los fabricantes. Normas técnicas mínimas para la constitución y transmisión de paquetes.4). cuando se envían medios por intermedio del servicio postal o correo privado. Uso de un sistema de etiquetamiento consensuado para información crítica o confidencial que garantice que el significado de las etiquetas sea comprendido de inmediato y que la información se encuentre adecuadamente protegida.2 La información puede ser vulnerable ante el acceso no autorizado.2 y 12. cumplimiento de las normas del derecho de autor de los programas y temas similares (véase 12. uso indebido o actos de corrupción durante su transporte físico. Normas de identificación de “couriers”. Los ejemplos incluyen lo siguiente: 1) 2) 3) Uso de contenedores cerrados. en caso necesario. 49 b) c) .

3 Seguridad del comercio electrónico El comercio electrónico puede comprender el uso de intercambio electrónico de datos (EDI). Autorización. emitir o firmar documentos comerciales fundamentales? ¿Cómo llegan a conocimiento del socio comercial estas operaciones?. ¿Quién se halla autorizado a determinar precios. ¿En que consistente la confidencialidad e integridad de la dirección de la orden de compra. ¿Qué protección se necesita para mantener la confidencialidad e integridad de la información de órdenes y evitar la pérdida o duplicación de operaciones? Responsabilidad Legal. litigios contractuales y divulgación o modificación de información. ¿Cuál es el nivel de confianza que se pone en la integridad de la lista de precios publicada y en la confidencialidad de los acuerdos de descuento confidenciales? Operaciones de Pedidos. véase 10. Se deberían aplicar controles para proteger el comercio electrónico ante dichas amenazas. división de la consignación en más de un despacho y entrega que serán realizados por rutas diferentes. integridad y prueba de despacho y recibo de documentos fundamentales y de falta de rechazo de los contratos? Información sobre Fijación de Precios. El comercio electrónico es vulnerable en la red a amenazas que pueden dar como resultado actividades fraudulentas. Proceso de Licitación y Contratación. pago y entrega y confirmación de recibo que se otorga? Inspección.4) 5) 8. correo electrónico y operaciones en línea por redes públicas como Internet.7. Los temas de seguridad relacionados con el comercio electrónico deberían incluir los controles que se enumeran a continuación: a) b) Autenticación. Uso de firmas digitales y encriptación confidencial. ¿Cuál es el nivel de confianza existente en caso de que el cliente y el operador se exijan verificación de identidad?. ¿Cuál es la forma de pago más adecuada para impedir fraudes? Ordenes.3 En casos excepcionales. ¿Cuáles son los requisitos de confidencialidad. ¿Cuál es el grado de inspección apropiado para verificar la información de pago suministrada por el cliente? Pago. ¿Quién asume el riesgo ante cualquier operación fraudulenta? c) d) e) f) g) h) i) 50 .

Se debería prestar atención a la necesidad de introducir controles que reduzcan los riesgos de seguridad creados por el correo electrónico. 8.7).1. Los sistemas de comercialización pública deberían publicitar ante sus clientes sus términos y condiciones de negociación. despacho. grado de informalidad y vulnerabilidad ante acciones no autorizadas.7. Consecuencias de la divulgación pública de listas del personal.Muchos de los puntos tratados precedentemente pueden ser encarados a través de la utilización de técnicas criptográficas delineadas en 10. Pueden ser necesarios otros acuerdos relacionados con prestadores de redes de valor agregado y servicios informáticos.1 Riesgos para la Seguridad El correo electrónico es usado para comunicaciones comerciales en reemplazo de formas tradicionales de comunicación como el telex y las cartas. su velocidad.1. entrega y aceptación. Los riesgos de seguridad incluyen: a) b) c) Vulnerabilidad de los mensajes frente a accesos no autorizados o modificación o denegatoria del servicio. Consideraciones legales como ser la necesidad potencial de demostrar origen. El correo electrónico difiere de las formas tradicionales de comunicación comercial en. Influencia del cambio en los medios de comunicación sobre los procesos comerciales. por ejemplo en cuanto a dirección incorrecta o equivocada y a la confiabilidad y disponibilidad del servicio en general. d) e) f) 51 .3. por ejemplo.4 Seguridad del Correo Electrónico 8. especialmente 12. Vulnerabilidad frente al error.4. incluyendo detalles acerca de la autorización (véase b) precedente). Se debería prestar debida atención a la resistencia al ataque del huésped usado para el comercio electrónico y las consecuencias en materia de seguridad de la interconexión de cualquier red que sea necesaria para su instrumentación (véase 9.4.6 en lo que respecta a la legislación sobre criptografía). por ejemplo. estructura del mensaje. efecto del aumento de la velocidad de despacho o efecto del envío de mensajes formales de persona a persona en lugar de entre empresas. Control del acceso de usuarios alejados a las cuentas de correo electrónico.7. tomando en cuenta el cumplimiento de los debidos requisitos legales (véase 12. Los acuerdos sobre comercio electrónico entre socios comerciales deberían ser respaldados por un acuerdo documentado que comprometa a ambas partes a cumplir los términos de intercambio acordados.

Responsabilidad del empleado en cuanto a no comprometer a la empresa. distribución del correo electrónico. apertura de correo electrónico. comunicaciones móviles. confidencialidad de las llamadas. por ejemplo.4. intercepción. Uso de técnicas criptográficas para proteger la confidencialidad e integridad de los mensajes electrónicos (véase 10. multimedios.3).2). computadoras. Estos sistemas proporcionan la oportunidad de lograr una divulgación y utilización compartida más rápida de la información comercial a través del uso de una combinación de documentos.5 Se deberían preparar políticas y lineamientos a instrumentar para controlar los riesgos comerciales y de seguridad relacionados con sistemas de oficinas electrónicas. compras no autorizadas. Exclusión de ciertas categorías de información comercial confidencial en caso de que el sistema no provea un nivel adecuado de protección (véase 5. correo electrónico. a saber: a) Vulnerabilidad de la información en los sistemas de oficinas. servicios postales y fax.1. por ejemplo. acoso. almacenamiento de fax. Controles adicionales para la inspección del envío de mensajes que no puedan ser autenticados. podrían ser utilizados en caso de litigio.1). mediante envío de correos electrónicos difamatorios. Se debería prestar atención a las consecuencias en materia de transacciones y de su seguridad que presenta la interconexión de sistemas. por virus. Protección de anexos al correo electrónico. correo de voz. Lineamientos sobre cuando no usar el correo electrónico. uso de boletines electrónicos en la empresa (véase 9. almacenados. Retención de mensajes que. Política de controles adecuados para administrar la información compartida.1 Política sobre Correos Electrónicos Las organizaciones deberían instrumentar políticas claras con respecto al uso del correo electrónico. Seguridad de los sistemas de oficinas electrónicas e) f) g) 8. b) c) 52 . computación móvil. registro de llamadas telefónicas o conferencias telefónicas. por ejemplo.7. comunicaciones de voz en general.8. inclusive respecto de: a) b) c) d) Ataques al correo electrónico: por ejemplo.7.

53 . Categorías del personal.d) e) f) g) h) i) j) 8. La información contenida en un sistema que se encuentra a disposición del público. la informador contenida en un servidor de la Web accesible por intermedio de Internet puede tener que cumplir con leyes. Los sistemas de publicación electrónicos.3). por ejemplo: personal que trabaja en proyectos confidenciales. vale decir.3 y 8.2): Restricciones del uso de usuarios. Requerimientos y acuerdos de emergencia (véase 11. empleados de la organización o contratistas en directorios a beneficio de otros usuarios: Retención y resguardo de la información del sistema (véase 12. como ser comunicación de órdenes o autorizaciones.6 Restricción del acceso a la información diaria de ciertas personas físicas.7. vale decir. especialmente los que permiten retroalimentación e ingreso directo de información.3. La conveniencia o no de que el sistema respalde las aplicaciones comerciales.4. Los programas.1). contratistas o socios comerciales a quienes se permite el uso del sistema y ubicaciones desde las cuales pueden tener acceso (véase 4. ciertos elementos a determinadas categorías de Identificación de la condición de usuarios.4).1) Sistemas a disposición del público Se debe tener cuidado en proteger la integridad de la información que se publica por vía electrónica a fin de impedir su modificación sin autorización lo cual podría dañar la reputación de la organización editora.1. c) La información confidencial sea protegida durante el proceso de recopilación y al ser almacenada. Debería existir un proceso de autorización formal antes de que se facilite la información al público. deberían ser controlados cuidadosamente a fin de que: a) La información sea obtenida cumpliendo con toda la legislación de protección de datos (véase 12. normas y disposiciones de la jurisdicción en la cual se encuentre ubicado el sistema o en que se realice la operación comercial. por ejemplo mediante firmas digitales (véase 10. b) El ingreso de información y su procesamiento por el sistema de publicación sea procesado en su totalidad con exactitud y oportunidad. datos y otra información que demande un elevado nivel de integridad y que se encuentren a disposición del público deberían ser protegidos a través de los mecanismos que resulten adecuados.1.

La información podría verse comprometida debido a falta de conciencia. 8. Asimismo.2 y cláusula 11). los cuales deberían incluir: a) Recordar al personal que deberían tomar las precauciones debidas. fax y otros medios de comunicaciones. Escuchas grabadas y otras formas de escuchas ilegales realizadas a través del acceso físico a teléfonos manuales o líneas telefónicas o el empleo de receptores-exploradores al usar teléfonos móviles analógicos. en máquinas de contestación. la información podría verse en `peligro si usuarios no autorizados tuviesen acceso a la misma (ver cláusula 9). por ejemplo: no revelar información confidencial a fin de evitar ser escuchados o interceptados al efectuar una llamada telefónica por: 1) 2) Gente en la inmediata vecindad. Gente ubicada del lado receptor de la línea: 3) b) Recordar al personal que no deberían efectuar conversaciones de índole confidencial en lugares públicos u oficinas abiertas y lugares de reunión con paredes delgadas. especialmente al usar teléfonos celulares.7. No permitir la existencia de máquinas de contestación o de mensajes pues pueden ser rebobinadas por personas carentes de autorización. políticas o procedimientos respecto del uso de dichos medios.7. fax y video. principalmente: c) d) 54 . almacenadas en sistemas de acceso común o depositadas en forma incorrecta como resultado de un discado equivocado.d) El acceso al sistema de publicación no permita el cacceso no previsto a redes a las cuales se encuentre conectado. sobre carga o interrupción (véase 7. Otras Formas de Intercambio Informático Deberían existir procedimientos y controles que protejan el intercambio informático mediante el uso de voz. por ejemplo podría ser escuchada en un teléfono móvil en un lugar público. Se deberían establecer en forma explícita los procedimientos que se espera el personal siga en cuanto a uso de voz. podría producirse un acceso no autorizado a través de sistemas de correo electrónico de voz por discado o accidentalmente mediante el envío de fax a la persona equivocada usando el equipo de envío de fax. Las operaciones de la empresa se podrían ver perturbadas y podría ponerse en peligro la información si hubiese una falla en las comunicaciones. Recordar al personal los problemas que presenta el uso de máquinas de fax.

Las normas de control de acceso y los derechos de cada usuario o grupo de usuarios deberían encontrarse claramente manifestados en la declaración sobre política de acceso.1. Se deberían tomar en cuenta las políticas de autorización para la divulgación de información. necesidad de conocer los niveles en cuanto a principios y seguridad y clasificación de información.1 CONTROL DE ACCESO Requisitos de control de acceso de la empresa Objetivo: Control del acceso informático. Políticas de autorización para la divulgación de información.1 Política de control de acceso 9.1 Requisitos de la empresa y determinados por la política de la empresa Los requisitos de la empresa respecto del control de acceso deberían ser definidos y documentados. La programación deliberada o accidental de las máquinas para que envíen mensajes a determinados números. 9. Dicha política debería tener en cuenta lo siguiente: a) b) c) Los requisitos de seguridad referidos a cada solicitud individualmente considerada.1) 2) 3) El acceso no autorizado a depósitos de mensajes incorporados para recuperar dichos mensajes.1. Identificación de toda la información relacionada con cada solicitud. El acceso informático y los procedimientos de la empresa deberían ser controlados en base a exigencias de seguridad y de índole empresaria. 9. El envío de documentos y mensajes a números equivocados sea mediante discado incorrecto o bien por el uso de un número incorrecto previamente almacenado. 55 . por ejemplo. Se debería proporcionar a usuarios y prestadores de servicios una declaración explícita de los requisitos que la empresa exige cumplir en materia de controles de acceso.1. 9.

2 Normas sobre control de acceso Al especificar las normas de control de acceso. b) Establecimiento de normas en función de la premisa “Está prohibido a menos que se encuentre permitido en forma expresa” en lugar de la norma más débil de que “Todo está permitido salvo que esté prohibido en forma expresa”. Administración de los derechos de acceso en un contexto de conexión en red que permita reconocer todos los tipos de conexiones disponibles. se debería tener cuidado en considerar lo siguiente: a) Diferenciación entre normas que siempre deben ser cumplidas y normas que son opcionales o condicionales.1. d) Cambios en los permisos que se conceden al usuario para iniciar el sistema informático automáticamente y aquellos cuya iniciación depende de un administrador. Perfiles estandarizados de acceso por parte de usuarios conforme a categorías comunes. c) Cambios en los rótulos de información (véase 5. 56 . Legislación pertinente y cualquier obligación contractual respecto de protección al acceso a datos o servicios (véase cláusula 12).1. e) Normas que exigen contar con la aprobación del administrador o de otra persona antes de ser puestas en práctica y otras que no requieren tal aprobación. 9.2) que se inician automáticamente en los procesos informáticos y aquellos que se inician a criterio del usuario.d) e) f) g) Congruencia entre el control de acceso y las políticas de clasificación de información de los distintos sistemas y redes.

1 Registro del usuario Deberían existir procedimientos formales de registro del usuario y de anulación de dicho registro que permitan acceso a todos los sistemas y servicios informáticos de acceso múltiple por parte de los usuarios. Los procedimientos deberían abarcar todas las etapas del ciclo vital del acceso por parte del usuario desde el registro inicial de nuevos usuarios a la cesación definitiva del registro de usuarios que ya no requieren contar con acceso a los sistemas y servicios informáticos. Verificación de que el nivel de acceso concedido es adecuado a los fines de la empresa (véase 9. Deberían existir procedimientos formales que controlen la asignación de derechos de acceso a los sistemas y servicios informáticos. 9. Garantizar que los prestadores de servicios no brinden acceso hasta tanto se hayan completado los procedimientos de autorización.2. por ejemplo que no compromete la separación de deberes (véase 8. Se debería prestar especial atención. Puede ser también conveniente que la administración también brinde su aprobación por separado al derecho de acceso.2 Administración del acceso del usuario Objetivo: Impedir el acceso sin autorización a los sistemas informáticos. Verificación de que el usuario está autorizado por el titular del sistema para usar el sistema o servicio informático.1) y congruente con la política de seguridad de la organización. El acceso a servicios informáticos de acceso múltiple debería encontrarse controlado a través de un proceso formal de registro del usuario que debería incluir: a) Usar una identificación única para el usuario de modo que se lo pueda vincular y responsabilizar por sus acciones. Exigir a los usuarios que firmen manifestaciones que señalen que comprenden las condiciones de acceso. El uso de identificación grupal solamente debería permitirse cuando sea conveniente a efectos de la tarea a realizar. b) c) d) e) f) 57 .4). en los casos que corresponda.9. a la necesidad de controlar la asignación de derechos de acceso privilegiado que permiten a los usuarios pasar por alto los controles del sistema. Proporcionar al usuario una declaración escrita respecto de sus derechos de acceso.1.

g) h) i) j) Mantenimiento de un registro formal de todas las personas registradas como usuarios de servicios. por ejemplo.3. es decir que se debería establecer un requisito mínimo para su papel funcional solamente en caso necesario.4 y 6. Remoción inmediata de los derechos de acceso a los usuarios que hayan cambiado de trabajo o dejado la organización. Se debería prestar atención a la inclusión de cláusulas en los contratos del personal y de servicios que determinen sanciones en caso de intento de acceso no autorizado por parte del personal o de los agentes de los servicios (véase también 6. 9. Se debería considerar la instrumentación de los pasos que se enumeran a continuación: a) Los privilegios relacionados con cada producto del sistema. Los privilegios deberían ser asignados a personas físicas en función de las necesidades de uso y analizando caso por caso. Se debería instrumentar un proceso de autorización y llevar un registro de todos los privilegios que se asignen. deberían identificar las categorías del personal a las cuales resulte necesario asignar tales privilegios. Se debería promover el desarrollo y uso de rutinas de sistemas a fin de evitar la necesidad de conceder privilegios a los usuarios. b) c) d) 58 .2 Administración de Privilegios La asignación y uso de privilegios (cualquier rasgo o elemento de un sistema informático de usuarios múltiples que permite que el usuario pase por alto los controles del sistema o de la aplicación) debería ser restringido y controlado.2. El uso inadecuado de los privilegios del sistema es a menudo un factor que contribuye al fracaso de los sistemas debido a su violación. No se deberían conceder privilegios sin completar previamente el proceso de autorización. sistema de administración de base de datos y cada aplicación. Verificación periódica y eliminación de identificación y cuentas de usuarios redundantes.1. Los sistemas habilitados para usuarios múltiples que requieren contar con protección frente a acceso no autorizado deberían ser controlados en cuanto a la asignación de privilegios mediante un proceso de autorización formal.5). sistema operativo. Garantizar que las identificaciones de usuarios que sean redundantes no sean emitidas a favor de otros usuarios.

9. verificación de firma y uso de cospeles para discos rígidos. se recomienda que sea cada 3 meses.2.4).2. b) c) 59 .2. b) c) Las contraseñas nunca deberían ser almacenadas en un sistema de computación carente de protección (véase: Otras tecnologías de identificación y autenticación del usuario como la biométrica que permite. La asignación de contraseñas debería ser controlada mediante un proceso de administración formal.3 La identidad del beneficiario de un privilegio debería ser diferente a la identidad que utilice para sus operaciones normales en la empresa. Los usuarios deberían acusar recibo de las contraseñas. Las contraseñas temporarias que se suministren cuando los usuarios olviden su contraseña serán concedidas solamente cuando se logre la debida identificación del usuario. la administración debería llevar a cabo un examen formal y periódico de los derechos de acceso de los usuarios a fin de que: a) se examinen en forma periódica los derechos de acceso de los usuarios (se recomienda que sea a intervalos de seis meses) y con posterioridad a la introducción de cualquier modificación (véase 9. por ejemplo la verificación de impresiones digitales. véase 6.4 Revisión de los derechos de acceso de los usuarios A fin de mantener un control eficaz del acceso a los servicios y datos informáticos. Se requerirá que la entrega de contraseñas a los usuarios sea segura.1. por ejemplo si correspondiere podrían usarse tarjetas con chips). se examinen las autorizaciones de derecho de acceso especial y privilegiado (véase 9.2) a intervalos más frecuentes .e) 9. Se verifiquen las asignaciones de privilegios a intervalos periódicos a fin de garantizar que no se obtengan privilegios que carezcan de autorización. Se garantizará a los usuarios que mantengan sus propias contraseñas que se les suministrará inicialmente una contraseña temporaria segura que deberían cambiar inmediatamente.2. El uso de terceros o de mensajes de correo electrónico sin protección (texto claro) debería evitarse. Administración de las contraseñas de los usuarios Las contraseñas son un medio común de validar la identidad de un usuario para acceder a un sistema o servicio informático. cuyo enfoque debería ser el siguiente: a) Se requerirá a los usuarios que firmen una declaración de confidencialidad de sus contraseñas personales y del uso de las contraseñas grupales solamente par los miembros del grupo (este requisito podría ser incluido dentro de los términos y condiciones de empleo.1).

una forma de determinar los derechos de acceso a los servicios de procesamiento informático. Los usuarios deberían tener presente sus responsabilidades en materia de mantenimiento de un control eficaz de los accesos. e) Se deberían cambiar las contraseñas periódicamente o en función del número de acceso (las contraseñas de cuentas privilegiadas deberían ser cambiadas con mayor frecuencia que las contraseñas normales) y evitar volver a utilizar o reciclar contraseñas viejas. Las contraseñas proporcionan un medio de validación de la identidad del usuario y por ende. Se deben seleccionar contraseñas de calidad de extensión mínima de seis caracteres que sean: 1) Fáciles de recordar. nombres. 9.1 Uso de la Contraseña Los usuarios deberían seguir la buena práctica en materia de seguridad en la selección y uso de contraseñas.3 Responsabilidades de los Usuarios Objetivo: Impedir el acceso de un usuario que carezca de autorización. Se debe cambiar la contraseña siempre que haya indicios de posible peligro para el sistema o la contraseña. etc. números telefónicos y fechas de nacimiento. especialmente en lo que respecta al uso de contraseñas y a la seguridad del equipo del usuario. La cooperación de los usuarios autorizados es esencial paras lograr eficacia en la seguridad.3. Se debe evitar guardar un registro en papel de las contraseñas a menos que sea guardado en lugar seguro.. 3) Deben encontrarse libres de caracteres idénticos consecutivos o de agrupamientos que sean totalmente numéricos o alfabéticos. 60 .9. por ejemplo. Se debería aconsejar a todos los usuarios lo siguiente: a) b) c) d) Las contraseñas deben ser confidenciales. 2) No se encuentren relacionadas con algo que cualquier otra persona pueda adivinar fácilmente u obtener usando información relacionada con la persona.

Los equipos instalados en áreas frecuentadas por usuarios. garantizando: a) La existencia de interfaces adecuadas entre la red de la organización y las redes de propiedad de otras organizaciones o redes públicas. guardadas en una macro o función clave. Se debería aconsejar a los usuarios que: a) Finalicen las sesiones activas cuando hayan terminado su tarea a menos que pueden tener la garantía de contar con un mecanismo de cierre adecuado. No se incluirán contraseñas en cualquier proceso de ingreso automático. Control de acceso a la red Protección de los servicios en red. estaciones de trabajo o servidores de archivos pueden requerir contar con protección específica frente a acceso no autorizado cuando se los deje solos por un período prolongado. b) La existencia de mecanismos de autenticación adecuados para usuarios y equipo. Garantizar la seguridad de las computadoras personales o terminales frente al uso no autorizado a través del uso de un cierre bajo llave o control equivalente. se les debería informar que pueden usar una única contraseña de calidad [véase d) precedente] para todos los servicios que proporcionen un nivel adecuado de protección para las contraseñas guardadas.3. por ejemplo acceso con contraseña cuando los equipos no se encuentren en uso. 61 .2 Equipos de usuarios sin protección Los usuarios deberían garantizar que el quipo no utilizado tenga protección adecuada. por ejemplo un protector de pantalla que proteja la contraseña. por ejemplo. Este control es necesario a fin de asegurar que los usuarios que cuenten con acceso a las redes y a los servicios en red no pongan en peligro la seguridad de estos servicios en red. por ejemplo. Si los usuarios necesitan tener acceso a servicios o plataformas múltiples y deben mantener contraseñas múltiples. Todos los usuarios y contratistas deberían tener presente los requisitos y procedimientos de seguridad para la protección de equipos sin atención como también sus responsabilidades en cuanto a la instrumentación de dicha protección. b) c) 9. c) Control del acceso del usuario a los servicios informáticos. Apaguen las computadoras principales multiusuario al finalizar la sesión (es decir que no se debe simplemente apagar la PC o terminal). 9.4 Objetivo: Se debería controlar el acceso tanto a los servicios en red internos como externos. h) No se compartirán las contraseñas de usuario individuales.f) g) Se deberían cambiar las contraseñas temporarias al producirse el primer ingreso.

Se debería formular una política concerniente al uso de redes y servicios en red. a través por ejemplo de la creación de una ruta obligatoria. Estos rasgos pueden también proporcionar oportunidades de acceso no autorizado a las aplicaciones de la empresa o de uso indebido de los sistemas informáticos. Esto normalmente exige instrumentar un cierto número de controles en distintos puntos de la ruta. Este control es importante especialmente para las conexiones en red a aplicaciones confidenciales o de importancia fundamental para la empresa o a usuarios en ubicaciones de alto riesgo. 62 .4.4. Los procedimientos de autorización para determinar quiénes tendrán acceso a determinadas redes y servicios suministrados en red.9. El principio consiste en limitar las opciones de rutas en cada punto de la red a través de elecciones predefinidas. Puertos de conexión automática a sistemas de aplicación específica o puertas de seguridad.1 Política sobre el uso de servicios en red Las conexiones inseguras a servicios en red pueden afectar a toda la organización. La reducción de dichos riesgos se puede lograr mediante la incorporación de controles que restrinjan la ruta entre una terminal de usuario y los servicios de computación a los cuales dicho usuario tiene acceso autorizado. Como ejemplos se pueden mencionar los siguientes: a) b) Asignación de líneas especiales o números telefónicos. 9.2 Ruta Obligatoria Puede que haya necesidad de controlar la ruta entre la terminal del usuario y el servicio de computación. Esta política debería ser compatible con la política de acceso a la empresa (véase 9. Las redes tienen por fin brindar el máximo alcance al uso compartido de recursos y proporcionar flexibilidad en las rutas. El objetivo de la ruta obligatoria es impedir que cualquier usuario seleccione rutas fuera de aquella que le que corresponda entre la terminal del usuario y los servicios a los cuales dicho usuario tiene acceso. por ejemplo áreas públicas o externas que se encuentren fuera de la administración y control de la organización. Los usuarios solamente deberían ser provistos de acceso directo a los servicios que se encuentren específicamente autorizados a usar.1). Dicha política debería abarcar: a) b) c) Las redes y servicios en red a los cuales se permite el acceso. Controles y procedimientos administrativos destinados a proteger el acceso a las conexiones en red y servicios en red.

Las líneas privadas especiales o un sistema de verificación de direcciones de usuarios en red también pueden emplearse para proporcionar una garantía en cuanto al origen de la conexión. por ejemplo. menú secundario respecto de cada Impedimento al “rastreo de rutas” (roaming) ilimitado en la red. por ejemplo. debería desconectar esos sistemas para evitar las debilidades que conlleva la transferencia de llamadas. Control activo de las comunicaciones permitidas entre su fuente y destino mediante puertas de seguridad. algunos de ellos brindan un mayor nivel de protección que otros.3 Autenticación del usuario para conexiones externas Las conexiones externas proporcionan un terreno propicio para el acceso no autorizado a la información de la empresa.4. Este tipo de control autentica a los usuarios intentando establecer una conexión con una red de la organización desde un punto lejano.1). uso de modems puede proporcionar protección frente a conexiones indeseadas o carentes de autorización efectuadas a los sistemas de procesamiento informático de la empresa.4. Es importante determinar a través de una evaluación del riesgo. redes privadas virtuales para grupos de usuarios dentro de la organización (véase también 9. de una técnica de base criptográfica. También. De otro modo. Existen diferentes métodos de autenticación. (véase 9. por ejemplo. Por lo tanto. Al usar este control. el nivel de protección con el cual se necesita contar. Los procedimientos y controles a través del discado del número telefónico del usuario como método de autenticación de la llamada mediante. los métodos basados en el uso de técnicas criptográficas pueden proporcionar una autenticación sólida. si lo hace. por ejemplo el acceso mediante métodos de discado. el acceso por parte de usuarios ubicados en sitios alejados debería encontrarse sometido a autenticación. La autenticación de usuarios alejados puede lograrse mediante el uso. Restricción del acceso a la red a través de la creación de dominios lógicos separados. resulta importante que el proceso de nueva llamada incluya la garantía de que se produzca una desconexión real de parte de la organización. Utilización efectiva de sistemas de aplicación específica y / o puertas de seguridad para los usuarios de redes externas. por ejemplo cortafuegos. La política de control de acceso a la empresa regirá los requisitos a aplicar para la creación de una ruta obligatoria. 9. cospeles para soporte físico o con la existencia de un protocolo de desafío y respuesta.6). Esta evaluación es necesaria para lograr una selección adecuada de un método de autenticación. por ejemplo. la organización no debería emplear los servicios en red que incluyen la transferencia de llamadas o. el usuario ubicado en sitio 63 .c) d) e) f) g) Limitación de las opciones de menú y usuario.

3 precedente se proporcionan algunos ejemplos de autenticación y de cómo lograrla. un cierre bajo llave así como un procedimiento que garantice que solamente resultarán accesibles a través de un acuerdo celebrado entre el administrador del servicio de computación y el personal de apoyo en materia de programas y discos rígidos que solicita acceso.4. por ejemplo.remoto podría mantener la línea abierta pretendiendo que se ha producido la verificación de la llamada. Si dichos puertos de diagnóstico quedan sin protección. Los procedimientos de nueva llamada y sus controles deberían ser chequeados en profundidad para evitar que se dé esta posibilidad. 9. En 9. protegidos por un perímetro de seguridad definido. por ejemplo. Esto es de especial importancia si la conexión usa una red que está fuera del control de la administración de seguridad de la organización.4. Dicho perímetro puede instrumentarse mediante la instalación de una puerta segura entre las dos redes a interconectar a fin de controlar el acceso y flujo informático entre los dos dominios. usuarios y sistemas informáticos debería ser considerada. Por lo tanto. Un método de control de la seguridad de grandes redes consiste en su división en dominios lógicos de redes separadas.6 La segregación dentro de las redes Las redes se extienden en forma creciente más allá de los limites de las organizaciones a medida que se forman sociedades empresariales que exigen la interconexión o participación en el procesamiento informático y en las redes. Esta puerta debería esta configurada de tal modo que filtre el tráfico entre estos dominios (véase 64 .5 Protección de puertos de diagnóstico remoto El acceso a puertos de diagnóstico debería estar controlado en forma segura. Dicha extensión podría incrementar el resigo de acceso no autorizado a sistemas informáticos ya existentes que usan la red. proporcionan un medio de acceso no autorizado.4.3). La autenticación de computadoras en red puede servir como un medio alternativo para autenticar grupos de usuarios ubicados en sitios lejanos a través de una conexión a una sistema de computadoras seguro y compartido (véase 9. Las conexiones a sistemas de computadoras situadas en lugares lejanos deberían por lo tanto contar con la debida autenticación.4. Muchas computadoras y sistemas de comunicaciones instalados contienen un sistema de diagnóstico remoto mediante discado que será usado por los ingenieros de mantenimiento.4. la instrumentación de controles dentro de la red a fin de segregar grupos de servicios informáticos. deberían ser protegidos mediante un mecanismo de seguridad adecuado. algunos de los cuales podría requerir protección frente a los usuarios de otras redes debido a la confidencialidad o importancia crítica que tienen. un dominio de red interno a la organización y otro externo. 9. 9. En tales circunstancias.4 Autenticación de Computadoras Computadoras enganchadas a una Red de Un sistema de conexión automática a una computadora situada en sitio remoto podría brindar una forma de obtener acceso no autorizado a una aplicación de la empresa.

Se pueden instrumentar a través de programas o discos rígidos.1). Los encargados de la instrumentación deberían ser conscientes de la solidez de cualquier mecanismo que desplieguen. Dichos controles pueden instrumentarse a través de puertas a la redes que filtren el tráfico mediante cuadros o normas predefinidos.4.4. Transferencias de archivos de doble vía.7 Control de conexión a redes Los requisitos de la política de control de acceso en el caso de redes compartidas. 9.7 y 9. Control de Rutas de la Red Las redes compartidas.1) y deberían mantenerse y actualizarse consecuentemente. Este control es a menudo especial para las redes que se comparten con terceros que no son usuarios de la organización.1) y también tomar en cuenta el costo relativo y el impacto que provoque en el desenvolvimiento de la empresa debido a la incorporación de rutas de red convenientes o tecnología de puertas (véase 9. especialmente aquellas que cruzan los límites de la organización pueden exigir la instrumentación de controles de ruta que garanticen que las conexiones de la computadora y los flujos informático no violen la política de control de acceso de las aplicaciones de la empresa (véase 9.9.4. Los criterios de segregación de redes en dominios deberían basarse en la política de control de acceso y en los requisitos de acceso (véase 9. Acceso interactivo. 65 .4.4.8). especialmente aquellas que se extienden a través de los límites de la organización pueden demandar la instrumentación de controles destinados a restringir la capacidad de conexión de los usuarios. Acceso a red vinculado a la hora del día o a la fecha. Las restricciones que se apliquen deberían basarse en los requisitos y política para acceso correspondiente a las aplicaciones de la empresa (véase 9.8) y para que bloquee el acceso no autorizado conforme a la política de control de acceso que tenga la organización (véase 9.4.1).8 Correo electrónico: Transferencia de archivos de una vía.7 y 9. Los siguiente son ejemplos de las aplicaciones a las cuales se les podrá aplicar restricciones: a) b) c) d) e) 9. Los controles de rutas deberían basarse en mecanismos de verificación positivos de direcciones de origen y destino. La traducción de dirección ded la red es también un mecanismo muy útil para aislar las redes e impedir que las rutas se propaguen de la red de una organización a la red de otro. Un ejemplo de este tipo de puerta es lo que comúnmente se conoce como cortafuego.

5 Control de acceso al sistema operativo Objetivo: Impedir el acceso no autorizado a las computadoras. La identificación automática de terminales es una técnica que puede usarse en caso de que sea importante que la sesión solamente pueda ser iniciada desde una ubicación o terminal de computación determinada. 66 .9 Seguridad de los servicios de la red La red ofrece una amplia gama de servicios públicos y privados. como el de desafío y respuesta. algunos de los cuales permiten incorporar valor agregado. Estos elementos deberían estar dotados a los efectos de: a) Identificar y verificar la identidad y en caso necesario la termina o ubicación de cada usuario autorizado. Se puede usar un identificador incluido en.d]].1. 9. 9. la terminal para señalar si la terminal dada tiene permiso para iniciar o recibir operaciones determinadas. o adjunto a. c) Proporcionar medios adecuado para efectuar autenticación.4.. Las organizaciones que utilizan servicios de la red deberían garantizar que cuentan con una descripción clara de los atributos de seguridad de todos los servicios que usan. en caso de que se utilice un sistema de administración por contraseña. se debería restringir los tiempos de conexión de los usuarios.4. Los servicios de la red pueden tener características de seguridad únicas o complejas. d) En los casos pertinentes.9.3. b) Registrar los accesos al sistema exitosos y fallidos.5. se debería garantizar la calidad de las contraseñas [véase 9. Los elementos de seguridad a nivel de sistema operativo deberían ser usados para restringir el acceso a los recursos de las computadoras.3). Se pueden asimismo usar algu8nas otras técnicas para autenticar usuarios (véase 9. Puede ser necesario aplicar protección física a la terminal a fin de mantener la seguridad del identificador de terminal. pueden ser utilizados si se justifican en base al riesgo para la empresa. Otros métodos de control de accesos.1 Identificación automática de la terminal Se debería sopesar la posibilidad de contar con identificación automática de la terminal a fin de autenticar las conexiones con ubicaciones determinadas y equipos portátiles.

3 fecha y hora del ingreso exitoso anterior.5. en caso de ser excedido.2) por ejemplo. validar la información de ingreso solamente al completarse la carga de todos los datos. detalles de cualquier intento de ingreso fallido producido desde el último ingreso exitoso. 3) desconectar las conexiones de vinculación con los datos. no proporcionar mensajes de ayuda durante el procedimiento de ingreso que contribuyan a permitir el acceso a un usuario no autorizado.2 Procedimientos de conexión a la terminal El acceso a los servicios informáticos debería conseguirse por intermedio de un proceso de ingreso seguro. supervisor. La identificación de usuario no debería proporcionar indicio alguno del nivel de privilegio del usuario (véase 9. El procedimiento de ingreso debería por lo tanto revelar un mínimo de información respecto del sistema a fin de evitar proporcionar al usuario no autorizado asistencia innecesaria. Un buen procedimiento de ingreso debería: a) b) c) d) e) no revelar los identificadores del sistema o de la aplicación hasta que se haya completa exitosamente el proceso de ingreso. el sistema no debería indicar que parte de los datos es correcta o no lo es. administradores de redes. El procedimiento para ingresar al sistema de una computadora debería estar diseñado en forma tal que minimice la oportunidad de acceso no autorizado. limitar el número de intentos fallidos de ingreso permitidos (se recomienda que sean tres) y considerar: 1) registrar los intentos fallidos. administrador.5.2. revelar un aviso general en cuanto a que solamente los usuarios autorizados podrán acceder a la computadora. desplegar la información siguiente al lograrse un ingreso exitoso: 1) 2) 9.9. 67 . programadores de sistema y administradores de base de datos) deberían contar con un identificador único (identificación de usuario) para su uso único y personal de modo que se puedan efectuar un seguimiento de actividades hasta la persona responsable de las mismas. 2) forzar una demora temporal antes de permitir otros inentos de ingreso o rechazar cualquier otro intento sin autorización específica. Identificación y Autenticación del Usuario Todos los usuarios (inclusive el personal de apoyo técnico como ser operadores. Si se produjera una situación de error. el sistema debería dar por terminado el ingreso. f) g) limitar los tiempos mínimo y máximo permitido para el procedimiento de ingreso.

las contraseñas son seleccionadas y mantenidas por lo usuarios. deberían modificar las contraseñas temporales cuando efectúen el primer ingreso (véase 9. 68 . mantener un registro de contraseñas de usuario anteriores. Se debería documentar la aprobación por parte de la administración en tales casos.3.3).2. en los casos pertinentes. Las tecnologías de autenticación biométrica que usan las características únicas de una persona también pueden emplearse para autenticar la identidad de una persona.En casos excepcionales. permiten que los usuarios seleccionen y cambien sus propias contraseñas e incluir un procedimiento de confirmación para cubrir errores de carga. Existen varios procedimientos de autenticación que pueden usarse para substanciar el reclamo de identidad de un usuario. cuando se obtenga de ello un claro beneficio empr4esarial. Lo mismo se puede lograr a través de medios criptográficos y protocolos de autenticación. Una combinación de tecnologías y mecanismos vinculados con seguridad dará como resultado una autenticación más sólida.1 y siguiente) son un medio muy común de brindar identificación y autenticación en base a un secreto que so0lo el usuario conoce.3.5.1. Las contraseñas (véase también 9. Objetos tales como cospeles con memoria o tarjetas inteligentes que posean los usuarios también pueden usarse para lograr identificación y autenticación. Algunas aplicaciones exigen del usuario contraseñas asignadas por una autoridad independiente. Los sistemas de administración de contraseñas deberían proporcionar un contexto eficaz e interactivo que asegure la calidad de4 las contraseñas (véase x9. Se podrán exigir controles adicionales para mantener la responsabilidad legal. se puede usar una identificación de usuario compartida para un grupo de usuarios o en una tarea específica. En la mayoría de los caso.1.3.4 Sistemas de administración de contraseñas Las contraseñas son uno de los medios principales para validar la facultad de un usuario para acceder a un servicio de computación. instrumentar cambios en la contraseña de la forma descripta en 9.1 por los lineamientos sobre uso de contraseñas). 9. instrumentar un a elección de contraseñas de calidad de la forma descrita en 9. en los casos en que los usuarios mantengan sus propias contraseñas. por ejemplo de los 12 meses anteriores a fin de impedir utilizarlas nuevamente. en los casos en que los usuarios seleccionan contraseñas.3. Un buen sistema de administración de contraseñas debería: a) b) c) d) e) f) instrumentar el uso de contraseñas individuales para mantener la responsabilidad legal del usuario.

La demora para salida de 69 . Guardar las contraseñas en archivos separados de los archivos de datos del sistema de aplicaciones. es esencial que se uso se encuentre restringido y sumamente controlado. remoción de todos los instrumentos innecesarios basados en programas y de los programas del sistema. establecimiento de requisitos de ingreso para el uso de los instrumentos del sistema. El programa de salida de servicio debería limpiar la pantalla de la terminar y cerrar tanto la aplicación como las sesiones de red después de un período definido de inactividad.7 Salida de sistema de la terminal Las terminales inactivas ubicadas en sitios de alto riesgo.g) h) i) No permitir la visualización de las contraseñas en la pantalla cuando se produce el ingreso. La decisión en cuanto a suministrar ese tipo de alarma se debería fundamentar en una evaluación de riesgos.6 uso de procedimientos de autenticación para los instrumentos del sistema. Alarma de coacción para salvaguardia de los usuarios Se debería considerar la posibilidad de proveer una alarma de coacción para aquellos usuarios que puedan ser blanco de coerción. Se deberían definir las responsabilidades y procedimientos para responder a una alarma por coacción. por ejemplo durante la vigencia de un cambio autorizado. definición y documentación de los niveles de autorización correspondientes a instrumentos del sistema.5.5.5 La mayoría de las instalaciones de computación tienen uno o más programas de instrumentos del sistema que pueden ser capaces de sobrepasar los controles de aplicaciones y sistemas. por ejemplo zonas públicas o de acceso externo situadas fuera de la zona de administración de seguridad de la organización o que sirvan a sistemas de alto riesgo deberían ser cerradas después de u período definido de inactividad a fin de impedir el acceso de personas no autorizadas. autorización para uso ad hoc de instrumentos del sistema.5. Uso de las aplicaciones del sistema 9. segregación de los instrumentos del sistema del programa de aplicaciones. limitación de la disponibilidad de instrumentos del sistema. Alterar las contraseñas por omisión del vendedor luego de la instalación del programa. Se debería considerar la instrumentación de los controles que se enumeran a continuación: a) b) c) d) e) f) g) h) 9. limitación del uso de instrumentos del sistema al número mínimo práctica necesario para que trabajen usuarios confiable y autorizados. 9.

no comprometer la seguridad de otros sistemas con los cuales se comparten recursos informáticos. proteger cualquier a los programas de los sistemas operativos o instrumentos frente a los intentos de acceso no autorizado capaces de superar los controles de las aplicaciones o del sistema. poder brindar acceso a la información solamente al titular. La limitación del período durante el cual se permiten conexiones de terminal a los servicios de computación reduce las oportunidades para lograr el acceso sin previa 9utorización. 9. b) 9. 70 .6 Control de acceso a las aplicaciones Objetivo: Impedir el acceso no autorizado a la información contenida en los sistemas informáticos.5. Dicho control debería ser tenido en cuenta en el caso de aplicaciones de la computadora de carácter confidencial especialmente en el caso de terminales instaladas en sitios de alto riesgo como ser zonas públicas y de acceso desde el exterior fuera del control por parte de la administración de seguridad de la organización. Los sistemas de aplicación deberían: a) b) c) d) controlar el acceso del usuario a las funciones informáticas y de sistema de aplicaciones conforme a la política definida por la empresa en materia del control de acceso. activas regulares de corta duración: restricción a los tiempos de conexión para que no excedan de las horas normales de trabajo en la oficina en caso de que no haya necesidad de trabajar horas extraordinarios o ampliar el horario de operaciones.8 Limitación al tiempo de conexión Las restricciones a los tiempos de conexión deberían proporcionar seguridad adicional para aplicaciones de alto riesgo. otras personas autorizadas al efecto o grupos definidos de usuarios. El acceso lógico a los programas y la información se debería restringir a los usuarios autorizados. Una forma limitada de programa de salida de servicio de terminal puede ser proporcionado por algunas computadoras personales que limpian la pantalla e impiden el acceso no autorizado pero no cierran la aplicación o sesiones de red. Se deberían utilizar los instrumentos de seguridad a fin de restringir el acceso al interior de los sistemas de aplicaciones. Entre los ejemplos de tales restricciones se incluye los siguiente: a) el uso de lapso temporales predeterminados. por ejemplo en el caso de transmisiones de archivo en grupo o sesiones inter.servicio debería ser reflejo de los riesgos de seguridad que sobrellevan la zona y los usuarios de la terminal.

deberían contar con acceso informático y a las funciones del sistema de aplicaciones conforme a la política que se defina respecto del control de acceso en base a las necesidades respecto de cada aplicación de la empresa y congruentemente con la política de acc4eso informático de la organización (véase 9.1). eliminación y ejecución. Restricciones al acceso informático Los usuarios de sistemas de aplicación. escritura. los sistemas de aplicaciones con los cuales se comparten recursos deberían encontrarse identificados y llegar a un acuerdo al respecto con el titular de la aplicación confidencial.7 Sistema de verificación del acceso y uso Objetivo: Detectar actividades carentes de autorización. Algunos sistemas de aplicaciones son lo suficientemente sensibles ante pérdida potenciales que requieren que se los maneje de forma especial. a) b) c) d) dotar de menús de control de acceso a las funciones del sistema de aplicaciones.2 Los sistemas confidenciales pueden exigir contar con un contexto de computación especial (asilado). con inclusión de una revisión periódica de dichas salidas de datos a fin de garantizar que se elimine la información redundante.1) 71 . inclusive personal de apoyo. garantizar que las salidas de los sistemas de aplicaciones que manejen información confidencial contenga solamente la información que sea pertinente para el uso del dato descargado y se envíen solamente a terminales y ui8bcaciones autorizadas.1. 9.6. restringir el conocimiento que el usuario disponga de las funciones informáticos o del sistema de aplicaciones a las cuales no tenga autorización de acceso mediante la edición adecuada de la d90cumentación del usuario.9. Dicha sensibilidad puede indicar que el sistema de aplicaciones deba funcionar en una computadora especial. Cuando una aplicación confidencial haya de funcionar en un contexto compartido. Se deben tener presentes los conceptos siguientes: a) b) La confidencialidad de un sistema de aplicaciones debería ser identificada explícitamente y documentada por el titular de la aplicación (véase 4.1. por ejemplo. Aislamiento de los sistemas confidenciales 9. Se debería tener presente la utilización de los controles que se enumeran abajo a fin de respaldar las necesidades en materia de restricción al acceso. control los derechos de acceso de los usuarios. La verificación de los sistemas permite determinar la eficacia de los controles adoptados y controlar su compatibilidad con el modelo de política de acceso (véase 9.3). Los sistemas deberían ser verificados a los efectos de detectar desvíos respecto de la política de control de acceso y registrar los sucesos verificables a fin de proporciona pruebas en caso de incidentes de seguridad. lectura. compartiendo recursos solamente con sistemas de aplicaciones confiables o funcionar sin limitaciones.6.

iniciación y detención del sistema. elemento para adjuntar ingresos y salidas de datos / separación c) Intentos de acceso no autorizado como ser: 1) 2) 3) intentos fallidos.7.1 Procedimientos y zonas de riesgo Se deberían crear los procedimientos destinados a verificar el uso que se hace de los procesos informáticos.2 Verificación del uso del sistema 9.7. fecha y horas de ingreso y egreso. archivos a los cuales se ha tenido acceso. El nivel de verificación exigido para cada proceso debería ser determinado mediante una evaluación del riesgo. inclusive sus detalles como ser: 1) 2) 3) 4) 5) b) identificación del usuario.9. registros de intentos exitosos y fallidos por ingresar al sistema. Ciertos ingresos a efectos de auditoria pueden tener que ser archivados como parte de la política de retención de registros o debido a exigencias de recolección de pruebas (véase también la cláusula 12). identidad de la terminal o ubicación si fuere posible. alertas provenientes de sistemas propios de detección de intrusos.2. fecha y hora de sucesos fundamentales. registros de internos de acceso a datos y otros recursos exitosos y fallidos. tipos de sucesos.7. violaciones a la política de acceso y notificaciones de puertas y cortafuegos de red. Todas las operaciones privilegiadas como ser: 1) 2) 3) uso de cuenta de supervisor. 9.1 Registro de incidentes Las búsquedas realizadas por la auditoria que registren excepciones y otros sucesos de importancia en materia de seguridad deberían ser guardados por un período previamente pactado a fin de que puedan ser utilizados en investigaciones y verificaciones de control de acceso que se hagan el futuro. Dichos procedimientos son necesarios a los efectos de garantizar que los usuarios solamente realicen actividades que sean autorizadas en forma explicita. Se deberían considerar áreas que incluyan: a) acceso autorizado. Los ingresos de auditoria deberían incluir asimismo: a) b) c) d) e) identificación del usuario. programas e instrumentos utilizados. 72 .

7. El resultado de las actividades de verificación debería ser revisado en forma periódica. valor. En 9. Los controles deberían tener por objetivo proteger contra cambios no autorizados y problemas operativos inclusive: a) b) c) d) que el registro se encuentre desactivado.d) fallas o alertas del sistema como ser: 1) 2) 3) alertas o mensajes en la consola. mucha de la cual es extraña al tema de la verificación de la seguridad. Se deberían considerar factores de riesgo que incluyen: a) b) c) d) 9. Los registros del sistema a menudo contienen un gran volumen de información. grado de interconexión del sistema (especialmente con redes públicas). excepciones al ingreso al sistema. Al asignar la responsabilidad respecto de una revisión de registro. se debería considerar la realización de una separación de roles entre la persona o personas que emprenden la revisión y aquellas cuyas actividades se encuentran bajo verificación. La frecuencia de la revisión debería depender de los riesgos involucrados. 73 .7. se debería considerar la realización de una copia automática de mensajes adecuados en un segundo registro y / o el uso de instrumentos del sistema que resulten convenientes o herramientas de auditorias para realizar un interrogatorio a los archivos. confidencialidad y estado crítico de la información involucrada. alarmas de la administración de la red.7.2.1 se dan ejemplos de sucesos que pueden exigir una ulterior investigación en caso de existencia de incidentes de seguridad.3 situación crítica de los procesos de aplicación.2. Registro y revisión de incidentes Una revisión de los registros efectuados involucra comprender las amenazas que enfrenta el sistema y la forma en que dichas amenazas pueden surgir. experiencia anterior en materia de infiltración y uso indebido de sistemas. Factores de riesgo 9. Se debería presta especial atención a la seguridad del registro debido a que si se lo maneja indebidamente puede crear una falsa sensación de seguridad. alteraciones en los tipos de mensajes que se registran. A fin de ayudar a identificar los sucesos significativos a los efectos de una verificación de seguridad.2. la edición o eliminación de archivos del registro: el agotamiento de los medios de archivo en registro que provoquen el no registro de sucesos o su sobre escritura.

8. controles de acceso. Se debería contar con equipo que permite el 74 . libretas de mano. por ejemplo mediante el uso de técnicas criptográficas (véase 10.1. Por ejemplo. debería existir un procedimiento que verifique y corrija cualquier variación significativa.3). La protección requerida debería resulta compatible con los riesgos que causan estos formas específicas de trabajo. Dado que algunos relojes pueden brindar la hora en forma incorrecta con el tiempo.3). técnicas criptográficas. Esta política debería incluir asimismo normas y asesoramiento con respecto a la conexión de computadoras móviles a redes y guía sobre el uso de dichas computadoras en lugares públicos. En los casos en que un computador o un elemento para comunicaciones cuenta con el funcionamiento de u reloj en tiempo real. 9. se debería tener especial cuidado en garantizar que no se ponga en peligro la información de la empresa. Computación móvil Al usar computación móvil.8 Computación móvil y teletrabajo Objetivo: Garantizar la seguridad de la información al usar computación móvil y sistemas de tele trabajo.7. Al usar computación móvil. 9. se deberían considerar los riesgos de trabajar en un contexto desprotegido aplicándose al efecto la protección pertinente. el mismo debería ser fijado según una pauta previamente acordada. pro ejemplo Hora Universal Coordinada (UCT) u hora estándar local.9. Es importante que cuando se use computación móvil en lugares públicos se tenga cuidado en evitar el riesgo de intrusión visual por parte de personas no autorizadas. Los registros de auditoria inexactos pueden obstruir tales investigaciones y dañar la credibilidad de dichas pruebas.3 Sincronización de relojes La correcta fijación de los relojes de las computadoras es importante a fin de garantizar la exactitud de los registros de auditoria que pueden resultar necesarios para realizar investigaciones o como prueba en casos legales o disciplinarios. En el caso del tele trabajo. la organización debería proteger el sitio donde se realiza el tele trabajo y garantizar que se den las condiciones que permitan esta forma de trabajo. en especial en situaciones de desprotección. por ejemplo. Deberían existir procedimientos que brinden protección contra la acción de programas ilícitos los cuales deberían encontrarse actualizados (véase 8. dicha política debería incluir requisitos de protección física. computadoras manuales y portátiles y teléfonos móviles. Debería haber protección para evitar el acceso no autorizado a la información guardad y procesada por dichos elementos y su divulgación. salas de reuniones y otras zonas desprotegidas que se encuentren fuera de las instalaciones de la organización. Se debería tener cuidado en el cuidado de computación móvil en lugares públicos. Se debería adoptar una política formal que tome en cuenta los riesgos del trabajo con computación móvil. resguardo de archivos y protección antivirus.

La computación móvil también deberían contar con protección física frente a robo. especialmente cuando quede. 9. Se debería brindar la protección debida al uso de computación móvil conectada a redes. Las organizaciones solamente deberían autorizar las actividades de tele trabajo en caso que estén conformes en cuanto a la existencia de medidas y controles de seguridad y que los mismos cumplen con la política de seguridad de la organización. por ejemplo. tomando en cuenta la seguridad física del edificio y el contexto local.2. por ejemplo. Estos resguardos deberían proporcionar debida protección frente. d) 75 .5.8. Para mayor información respecto de la protección física del equipo móvil ver 7. Las organizaciones deberían la posibilidad de desarrollar políticas.2. centros de conferencia y salas de reuniones.resguardo rápido y fácil de la información. Debería existir protección adecuada del sitio de tele trabajo frente a robo del equipo y la información divulgación indebida de la información. habitaciones de hotel. El equipo que contenga información confidencial. El acceso desde lugares lejanos a información de la empresa por intermedio de la red pública y mediante el uso de computación móvil solamente se debería producir después de que se haya producido una identificación y autenticación exitosa y si existieren mecanismos de control de acceso adecuados (véase 9. Se debería tener presente lo siguiente: a) b) c) la seguridad física existente en el sitio de tele trabajo. Teletrabajo El tele trabajo usa la tecnología de las comunicaciones para permitir que el personal trabaje fuera de la organización alejado de su sitio físico de trabajo. al robo o pérdida de información. procedimientos y pautas de control de las actividades de tele trabajo. debería ser colocado bajo llave o con cerraduras especiales que lo aseguren. Es importante que el tele trabajo sea autorizado y controlado por la administración y que se existan disposiciones que reglamenten este tipo de trabajo. Debería capacitarse al personal en el uso de computación móvil a los efectos de incrementar su conciencia respecto de los riesgos adicionales que emergen de esta forma de trabajo y acerca de los controles que deberían instrumentarse. la propuesta en materia de marco para el tele trabajo: los requisitos en cuanto a seguridad en las comunicaciones. en aut0móviles y otras medios de transporte. la confidencialidad de la información a la cual se tendrá acceso y el vínculo de comunicaciones y confidencialidad del sistema interno: la amenaza de acceso no autorizado a la información o recursos por personas ajenas que usen el sistema. importante y / o crítica para la empresa no debería quedar sin custodia y. acceso no autorizado desde lugares remotos a los sistemas internos de la organización o uso indebido de los mismos. la familia y los amigos. teniendo en cuenta la necesidad de acceso remoto a los sistemas internos de la organización. cuando sea posible. por ejemplo.4).

10. Análisis y especificaciones de los requisitos de seguridad Las declaraciones de requisitos de la empresa respecto de nuevos sistemas y mejoras en los existentes deberían especificar los requisitos de control. Si se considera adecuado. Similares consideraciones deberían aplicarse al evaluar los paquetes de programas para aplicaciones de la empresa. suministro de computadoras y programas así como asistencia técnica y mantenimiento. deberían encontrarse identificados en la fase de establecimiento de los requisitos de un proyecto y justificados. derechos de acceso y devolución del equipo en caso de cese de las actividades de tele trabajo. la administración podrá desear usar productos certificados y evaluados en forma independiente.1 el suministro de equipo o muebles adecuados para las actividades de tele trabajo. procedimientos de resguardo de archivos y continuidad de la tarea. Todos los requisitos de seguridad. Los requisitos de seguridad deberían encontrarse identificados y acordados con anterioridad al desarrollo de los sistemas informáticos. 76 . normas y guía para el acceso de la familia o visitantes al equipo y la información. con inclusión de la necesidad de medidas de emergencia. El diseño e instrumentación del proceso comercial que respalda la aplicación o servicio puede ser crucial en materia de seguridad. horas de trabajo. revocación de la autorización. seguridad física.1. Dichas especificaciones deberían considerar la inclusión de controles automatizados en el sistema y la necesidad de contar con controles manuales como apoyo. con inclusión de métodos que garanticen el acceso remoto. 10. DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requisitos de seguridad de los sistemas Objetivo: Garantizar que la seguridad se encuentre incorporada en los sistemas informáticos con inclusión de la infraestructura. clasificación de la información que se pueda tener y sistemas y servicios internos a los cuales tenga acceso el tele trabajador.Los controles y acuerdos que se consideren deberían incluir lo siguiente: a) b) c) d) e) f) g) h) i) 10. aplicaciones comerciales y aplicaciones para el usuario. definición del trabajo permitido.1. auditoria y verificación de la seguridad. suministro de equipo adecuado para comunicarse. convenidos y documentados como parte del perfil global del sistema informático de la empresa.

datos de control incongruentes o carentes de autorización.2 Seguridad en los sistemas de aplicaciones Objetivo: Impedir pérdidas.Los requisitos y controles de seguridad deberían ser el reflejo del valor que la empresa asigna a los activos informáticos involucradas sy del daño potencial que la empresa pueda experimentar a resultas de falla o ausencia de medidas de seguridad. Se deberían incluir la validación de los datos ingresados. valiosos o confidenciales de la organización. datos incompletos o faltantes. 1) 2) 3) 4) 5) b) valores fuera de lugar. datos permanentes (nombres y direcciones. 10. Dichos controles deberían ser determinados en función de los requisitos de seguridad existentes y de la evaluación que se haga del riesgo. Se deberían utilizar verificaciones al ingreso de operaciones de la empresa. Los controles introducidos en la etapa de diseño son significativamente más baratos de instrumentar y mantener que los que se incluye durante la fase de instrumentación o con posterioridad a la misma. en activos críticos. Se deberían diseñar controles adecuados y rutas de auditoria o registros de actividades que se incluyan en los sistemas de aplicaciones inclusive aplicaciones del usuario puestas por escrito. o influyan.1 Validación de datos ingresados. Se deberían tener presente los controles siguientes: a) Verificaciones duales o de otro tipo a los ingresos de datos a fin de detectar los errores siguientes. límites al crédito. su procesamiento interno y salida de los mismos. tipos de conversión monetarias. El marco de análisis de los requisitos de seguridad e identificación de los controles para cumplirlos lo realiza la evaluación del riesgo y su administración. exceso en los límites de volúmenes de datos superior e inferior. Pueden ser necesarios controles adicionales para sistemas que procesan. revisión periódica del contenido de campos o archivos de datos fundamentales a los efectos de confirmar su validez e integridad. caracteres inválidos en los campos de datos. 77 . tasas impositivas). modificaciones o uso indebido de datos del usuario en los sistemas de aplicaciones. 10.2. Los ingresos de datos en los sistemas de aplicaciones deberían ser validados para garantizar que sean correctos y adecuados. números de referencia de clientes) y cuadros de parámetros (precios de venta.

2. definición de las responsabilidades de todo el personal involucrado en el proceso de ingreso de datos.1. c) uso de programas correctos a fin de lograr la recuperación de fallas y garantizar el procesamiento correcto de los datos.2.2 Verificaciones y Controles Los controles requeridos dependerán de la naturaleza de la aplicación y del impacto en la empresa debido a cualquier corrupción en los datos. El diseño de las aplicaciones debería garantizar que se instrumenten restricciones a los efectos de minimizar el riesgo de que se produzcan fallas de procesamiento que conduzcan a una pérdida de integridad. totales para la actualización de archivos.2.1).2. Control de Procesamiento Interno Áreas de Riesgo Los datos que han sido ingresados correctamente pueden alterarse por errores de procesamiento o actos deliberados. controles de programas. Se incluyen a continuación algunos ejemplos de verificaciones que pueden incorporarse. 78 . 10.3). verificaciones de la integridad de los datos o de la descarga de programas o su carga entre computadoras centrales y aquellos ubicado en sitios remotos (véase 10. Deberían incorporarse a los sistemas verificaciones de validación para detectar dichas alteraciones. validación de datos generados por el sistema (véase 10. a) b) controles de sesiones o grupos de operaciones a fin de conciliar los saldos de los archivos de datos con las actualizaciones en las operaciones.2.2. procedimientos para responder frente a errores de validación.1.1 inspección de documentos de ingreso en copia dura para detectar cualquier cambio no autorizado en los datos ingresados (todos los cambios en los documentos para el ingreso de datos deberían contar con autorización).2 10.3.c) d) e) f) 10.). totales criptográficos de registros y archivos. procedimientos para verificar la plausibilidad de los datos ingresados. Las áreas específicas a considerar incluyen: a) el uso y ubicación en los programas de funciones de incorporación y eliminación a fin de instrumentar cambios en los datos. b) procedimientos destinados a impedir que los programas funcionen en un sentido equivocado o que sigan funcionando después de producida una falla en el procesamiento previo (véase también 8. controles de saldos para verificar los saldos de apertura con los saldos de cierre previos vale decir: 1) 2) 3) c) d) e) controles de ejecución.

3. por ejemplo en el caso de transferencias electrónicas de fondos. Se debería considerar contar con autenticación de mensajes para las aplicaciones cuando existe la necesidad en virtud de consideraciones de seguridad de proteger la integridad del contenido del mensaje.f) g) verificaciones destinadas a garantizar que los programas de aplicaciones sen ejecutados en el tiempo correcto.2 y 10. 10. Se puede instrumentar en el soporte físico o en los programas que constituyen el soporte de un aparato de autenticación de mensajes físicos o en un algoritmo del programa. La autenticación de mensajes no tiene por fin proteger los contenidos de un mensaje frente a su divulgación no autorizada.2. 79 . Comúnmente. totalidad. verificación y pruebas adecuadas. los sistemas se construyen sobre la premisa de que producida la validación. Se pueden usar técnicas criptográficas (véase 10. suministro de información suficiente para que un lector o sistema de procesamiento subsiguiente determinar la exactitud. especificaciones. definición de las responsabilidades de todo el personal involucrado el proceso de egreso de datos.3. Se debería llevar a cabo una evaluación de los riesgos de seguridad a fin de determinar si se requiere la autenticación del mensaje y para identificar el método más adecuado para llevarla a cabo.2. procedimientos de respuesta a las pruebas de validación de egreso de datos. verificaciones para garantizar que los programas sean ejecutados en el orden correcto y terminen en caso de falla y que todo ulterior procesamiento se detenga hasta que se produzca la resolución del problema.3 La autenticación de mensajes es una técnica usada para detectar cambios no autorizados o corrupción en el contenido de un mensaje transmitido electrónicamente. los datos que egresen siempre serán correctos. contratos.3) como medio adecuado para instrumentar la autenticación de mensajes. La validación de los datos egresados puede incluir: a) b) c) d) e) verificación de probabilidad para probar si los datos egresados resultan razonables. controles de conciliación para garantizar que todos los datos han sido procesados. Autenticación de mensajes 10. propuestas etc. No siempre es así. De gran importancia u otros intercambios electrónicos de datos de similares características.4 Validación de egreso de datos Los datos egresados de un sistema de aplicaciones deberían ser validados a fin de garantizar que el procesamiento de la información almacenada sea correcto y adecuado a las circunstancias. precisión y clasificación de la información.

roles y responsabilidades.3. La evaluación del riesgo debería ser llevada a cabo a fin de determinar el nivel de protección que se deba brindar a la información. normas a adoptar para lograr la instrumentación eficaz en toda la organización (solución a emplear respecto de los procesos de la empresa). qué tipo de control se deba aplicar y a qué fines y sobre qué procesos de la empresa. Dicha política es necesaria a fin de maximizar los beneficios y minimizar los riesgos de usar técnicas criptográficas y para evitar el uso inadecuado o incorrecto. inclusive sobre los métodos a utilizar para enfrentar la recuperación de información encirptada en el caso de claves. Los sistemas y técnicas criptográficas deberían ser usados para proteger la información que se considere en riesgo y respecto de la cual otros controles no proporcionen protección adecuada.3 Controles criptográficos Objetivo: Proteger la confidencialidad. En base a una evaluación del riesgo. se debería tener en cuenta lo siguiente: a) b) c) d) e) f) g) 10. La organización debería desarrollar una política para el uso de controles criptográficos destinados a la protección de su información. Se la debería tener en cuenta respecto de la protección de información confidencial o crítica.3. pérdidas. Encriptación La encriptación es una técnica criptográfica que se puede usar para proteger la confidencialidad de la información. autenticidad o integridad de la información. Al desarrollar dicha política. 80 .10. 10. determinación del nivel adecuado de protección criptográfica. Esta evaluación puede entonces ser usada para determinar si es adecuado contar con un control criptográfico. instrumentación de la política: administración de claves. el enfoque frente a la administración de las claves. inclusive respecto de los principios generales bajo los cuales se debería proteger la información de la empresa.1 Política para el uso de los controles criptográficos La decisión respecto de si es adecuado contar con una solución criptográfica debería ser vista como parte de un proceso más amplio de evaluación de riesgos y selección de controles. se debería identificar el nivel necesario de protección tomando en cuenta el tipo y calidad de algoritmo de encriptación usado y la longitud de las claves criptográficas utilizadas. dañadas o en peligro.2 el enfoque administrativa con respecto al uso de controles criptográficos en la organización.

es importante saber la situación legal de las firmas digitales. Por ejemplo.6). Además.2). Esta protección es brindada mediante el uso de un certificado de clave pública (véase 10. la protección de la integridad de la clave pública también es importante.3. en el caso del comercio electrónico. puede ser necesario contar con asesoramiento legal respecto de las leye3s y reglamentaciones de aplicación al uso que la organización pretenda hacer de la encriptación.1. seleccionar los productos adecuados que brinden el nivel de protección requerida y la instrumentación de un sistema seguro de administración de claves (véase también 10. se deberían tener presente los controles de aplicación a la exportación e importación de tecnología criptográfica (véase asimismo 12. Las firmas digitales pueden ser aplicadas a cualquier forma de documento que se procese electrónicamente. Las firmas digitales pueden ser instrumentadas usando una técnica criptográfica basada en un para de claves con relación única respecto de las cuales una clave se usa para crear una firma (la clave privada) y la otra para verificar la firma (la clave pública). Se debería buscar el consejo de los especialistas para identificar el nivel adecuado de protección. se los puede utilizar en el comercio electrónico donde hay necesidad de verificar quién ha firmado un documento electrónico y controlar si los contenidos del documento firmado han sido modificados.Al instrumentar la política criptográfica de la organización.5).. 81 . por ende falsificando la firma del titular de dicha clave. transferencias de fondos. Las c.3. pagos.3. contratos y convenios. Se debería buscar asesoramiento legal con respecto a las leyes y reglamentaciones que puedan ser de aplicación al uso que la organización intente hacer de las firmas digitales.aves criptográficas usadas para firmas digitales deberían ser diferentes de las empleadas para encriptación (véase 10. Además. Esta clave debería ser mantenida en secreto puesto que cualquiera que tenga acceso a la misma puede firma documentos.3 Firmas digitales Las firmas digitales proporcionan un medio de protección de la autenticidad e integridad de los documentos electrónicos. por ejemplo se pueden usar para firmar pagos electrónicos. pro ejemplo. 10. se debería tener en cuenta cualquier disposición legal pertinente que describa las condiciones bajo las cuales una firma digital es legalmente vinculante.5). Se debería tener cuidado en proteger la confidencialidad de la clave privada. Puede ser necesario tener contratos vinculantes u otros acuerdos que respalden el uso de firmas digitales en caso de que el marco legal no resulte adecuado. se deberían tener presente las reglamentaciones y restricciones nacionales que puedan ser de aplicación al uso de técnicas criptográficas en diferentes partes del mundo y a temas relacionados con el flujos transnacionales de información encriptada. contratos. Al usar firmas digitales.3. Por ejemplo. Se necesita tener en cuenta el tipo y calidad del algoritmo de la firma usada y la longitud de las claves a utilizar. Además.

El sistema de administración debe respaldar el uso que la organización haga de los distintos tipos de técnicas criptográficas a saber: a) las tendencias de claves secretas en que dos o más partes comparten la misma clave y se usa tanto para encriptar como para descifrar información. 10.3) b) Todas las claves deberían encontrarse protegidas frente a modificación y destrucción y las claves secretas y privadas tienen que contar con protección frente a divulgación no autorizada. por ejemplo un litigio que involucre el uso de una firma digital en un contrato o pago electrónico. Esta clave tiene que mantenerse en secreto pues cualquier que tenga acceso a la misma podrá descifrar la información encriptada de esa manera o introducir información no autorizada.4 Servicio de pruebas irrefutables Se deberían utilizar los servicios de pruebas irrefutables cuando sea necesario dirimir controversias acerca de si un hecho o acción ha ocurrido o no.3.3. Estos servicios se fundamentan en el uso de las técnicas de encriptación y firma digital (véase también 10. Estos servicios pueden ayudar a determinar la prueba para substanciar si sucedió un determinado hecho o acción. Técnicas de clave públicas en que cada usuario tiene un par de claves. una clave pública (que puede ser revelada a cualquiera) y una clave privada (que tiene que ser mantenida en secreto).3.2 Normas.3. por ejemplo.10.5 Administración de claves 10. Las técnicas de claves públicas pueden ser usadas para encriptar (véase 10.5. Se debería utilizar protección física para proteger el equipó usado para generar. procedimientos y métodos Un sistema de administración de claves se debería basar en un conjunto de normas.2) y producir firmas digitales (véase 10. la negativa a enviar una instrucción firmada digitalmente usando el correo electrónico. distribuir claves a usuarios. Cualquier peligro o pérdida que afecte a las claves criptográficas puede comprometer la confidencialidad.3. 10.1.2 y 10. Protección de claves criptográficas La administración de las claves criptográficas es esencial para lograr un uso eficaz de las técnicas criptográficas.5.3. autenticada y / o integridad de la información.3). procedimientos y métodos seguros previamente convenidos a los efectos de: a) b) c) generar claves para diferentes sistemas criptográficos y aplicaciones: genera y obtener certificados de claves públicas. 82 .3. Las técnicas criptográficas también pueden ser usadas a tal fin.3. explicando inclusive la forma de activarlas al ser recibidas. guardar y archivar claves.

Enfrentar el problema de la claves en peligro: Revocar claves inclusive la forma de su retiro y desactivación. las claves deberían contar con fechas de activación y desactivación definidas de modo que solamente puedan ser usadas durante un período limitado de tiempo. en caso de que las claves han sido comprometidos o cuando un usuario deje una organización (en cuyo caso las claves deberían ser archivadas). por ejemplo.d) e) f) g) h) i) j) k) Almacenar las claves. Se puede tener que considerar la instrumentación de procedimientos para el manejo de pedidos legales de acceso a las claves criptográficas. recuperación de información encriptada. Este proceso normalmente es llevado a cabo por una autoridad de certificación que debe ser una organización reconocida que posea controles y procedimientos que brinden el grado requerido de confianza. por ejemplo. Recuperar claves perdidas o corrompidas como parte de la administración de la empresa. respecto de la información archivado o resguardada.2). confiabilidad de los servicios y tiempos de respuesta para la prestación de los servicios (véase 4. también se debería tener en cuenta la protección de las claves públicas. Este período de tiempo debería depender de las circunstancias bajo las cuales se use el control criptográfico y la percepción del riesgo. Destruir las claves. El mantenimiento de la integridad del sistema debería ser responsabilidad de la función usuario o grupo de desarrollo al cual pertenezca el sistema o programa de aplicación 83 . 10. Los contenidos de los convenios de nivel de servicios o contratos con proveedores externos de servicios criptográficos. es importante que el proceso de administración que origine estos certificados sea confiable. Existe la amenaza de que alguien falsifique una firma digital mediante el reemplazo de la clave pública del usuario por la propia. Activar las claves.2. Modificar o actualizar claves inclusive las normas de modificación de las claves y su empelo. por ejemplo.4 Seguridad de los archivos del sistema Objetivo: Garantizar que los proyectos informáticos y actividades de apoyo sean llevados a cabo en forma seguro. Este problema se encara con el uso de un certificado de clave pública. Estos certificados deberían ser emitidos en forma tal que vincula en forma univoca la información relacionada con el titular del par de clave privada y pública con la clave pública. puede ser necesario facilitar la información encriptada en forma descifrada como prueba en un caso judicial. Se debería controlar el acceso a los archivos del sistema. por ejemplo. los celebrados con una autoridad de certificación. Registrar y auditar las actividades relacionadas con la administración de claves. deberían abarcar temas tales como la responsabilidad legal. e informar la forma en que los usuarios autorizadas obtendrá acceso a las mismas. por ejemplo. Por lo tanto. Además del tema de la seguridad de las claves privadas y secretas. A fin de reducir la probabilidad de riesgo.

b) debería contarse con autorización separada cada vez que se copie información operativa en un sistema de aplicación para pruebas.4. se deberían retener las versiones anteriores del programa como medida de contingencia. Las actividades del proveedor deberían ser verificadas.3). El uso de bases de datos operativas que contengan información personal debería ser evitado. los sistemas operativos solamente deberían poseer código ejecutable. es decir la introducción de nuevas funciones de seguridad o el número y gravedad de los problemas de seguridad que afecten esta versión. se deberían tener en cuenta los controles que se enumeran a continuación: a) b) c) actualización de las bibliotecas de programas operativos se debería realizar solamente a través de bibliotecario nombrado al efecto que cuente con la debida autorización de la administración (véase 10. en caso de ser posible. a) los procedimientos de control de acceso. el código ejecutable no debería instrumentarse en un sistema operativo hasta tanto se cuente con pruebas de que se o ha probado con éxito y se ha obtenido la aceptación del usuario y que se han actualizado las correspondientes bibliotecas de origen de los programas. Se deberían aplicar los controles siguientes a fin de proteger los datos operativos cuando se usen a los fines de efectuar pruebas. Las pruebas de aceptación y del sistema normalmente exigen volúmenes considerables de datos de prueba que se acerquen lo más posible a los datos operativos.2 Protección de los datos de prueba del sistema Los datos de prueba deberían ser protegidos y controlados. Se debería controlar la instrumentación de los programas a utilizar en los sistemas operativos. 10. Si se usa dicha información se la debería despersonalizar previamente.4. A fin de minimizar el riesgo de corrupción de los sistemas operativos. se debería llevar un registro de auditoria con todas las actualizaciones correspondientes a las bibliotecas de programas operativos.10. que se apliquen a sistemas de aplicaciones operativas deberían también aplicarse a los sistemas de aplicaciones para pruebas.1 Control de programas operativos. Cualquier decisión de actualizar el programa debería tomar en cuenta la seguridad de la nueva versión. c) la información operativa debería ser borrada de un sistema de aplicación para prueba inmediatamente después de que se complete la prueba. Se deberían efectuar arreglos parciales de los programas cuando contribuyan a eliminar o reducir las debilidades en materia de seguridad.4. 84 . Los proveedores tendrán acceso físico o lógico a efectos de brindar apoyo solamente en caso necesario y con aprobación de la administración. d) e) Los programas proporcionados por el vendedor usados en los sistemas ope5rativos deberían ser mantenidos con apoyo de dicho proveedor.

c) El personal de apoyo informático no debería tener acceso irrestricto a las bibliotecas fuente de los programas. control de tareas.6.4).1). 85 . b) Se debería nombrar un bibliotecario de programa para cada aplicación. i) El mantenimiento y copia de las bibliotecas de origen de los programas deberían estar sujetos a procedimientos estrictos de control de cambios (véase 10.d) la copia y uso de información operativa debería ser registrada a fin de permitir su seguimiento mediante auditoria.3) a) cuando sea posible. 10. f) Las listas de programas deberían ser guardadas en lugar seguro (véase 8. indicándose claramente las fechas y horas precisas en que funcionaban. Proyectar y apoyar contextos bajo estricto control. Los administradores responsables de los sistemas de aplicaciones deberían también responsabilizarse por la seguridad del proyecto o del contexto de apoyo. se debería mantener un control estricto sobre el acceso a bibliotecas de origen de programas de la manera siguiente (véase también 8. g) Se debería mantener un registro de auditoria de todos los accesos a las bibliotecas de origen de los programas. e) La actualización de bibliotecas de origen de programas y la emisión de orígenes de programa a los programadores será realizada solamente por el bibliotecario nombrado que cuente con autorización del administrador de apoyo informático de la aplicación.5 La seguridad en los procesos de desarrollo y apoyo Objetivo: Mantener la seguridad de los programas de los sistemas de aplicación y de la información. las bibliotecas de origen de los programas no deberían estar en los sistemas operativos. junto con la totalidad de los programas de apoyo. 10. h) Las versiones antiguas de programas de origen deberían ser archivadas.3 Control del acceso a la biblioteca de origen de los programas A fin de reducir las posibilidades de que se produzca corrupción en los programas de computación. d) Los programas bajo desarrollo o mantenimiento no deberían encontrarse en bibliotecas de origen de programas operativos. Deberían garantizar que todos los cambios que se vayan a introducir a los sistemas sean examinados para verificar que pon ponen en peligro la seguridad sea del sistema o del contexto operativo. definiciones de datos y procedimientos.4.4.

El cambio del programa de aplicaciones puede tener influencia en el contexto operativo. e) La obtención de aprobación formal de propuestas detalladas antes de la iniciación de trabajos. Periódicamente es necesario cambiar el sistema operativo.1 Procedimientos para controlar los cambios A fin de minimizar la corrupción de los sistemas informáticos. f) Garantía de que el usuario autorizado acepta los cambios antes de que se produzca cualquier instrumentación. g) Garantía de que la instrumentación se lleve a cabo con mínima interrupción de las tareas de la empresa. debería haber control estricto sobre la instrumentación de cambios. información. se deberían integrar las aplicaciones y los procedimientos de control de cambios operativos (véase también 8. Donde sea practicable. los sistemas de aplicaciones deberían ser revisados y robados para garantizar que no haya impacto adverso sobre el funcionamiento o la seguridad. 10. b) garantía de que los cambios sean solicitados por usuarios autorizados. c) revisión de los controles y procedimientos de integridad a fin de garantizar que no se vean comprometidos por los cambios: d) identificación de todos los programas de computación. El proceso debería incluir lo siguiente: a) mantenimiento de un registro previamente acordado de niveles de autorización. por ejemplo instalando un programa o partes del mismo de nueva creación. Este proceso debería abarcar: 86 .10. Cuando se producen los cambios.1) y los procedimientos para el usuario sean cambiados en la forma necesaria para que el cambio resultado adecuado.2 Revisión técnica de los cambios en el sistema operativo. l) Garantía de que la instrumentación de cambios se produzca en el momento correcto y no perturbe los procesos de la empresa involucrados. j) Mantenimiento de una ruta de auditoria para todas las solicitudes de cambios.5. Los procedimientos formales de control de cambios deberían ser aplicados.1. Muchas organizaciones mantienen un contexto en el cual los usuarios prueban los nuevos programas segregado de los marcos de desarrollo y producción. Se deberían garantizar que los procedimientos de control y seguridad no sean puestos en peligro.1. que los programadores de apoyo tengan acceso solamente a las partes del sistema a las cuales necesitan acceder debido a su trabajo y que se obtenga acuerdo forma y aprobación para la introducción de cualquier cambio. k) Garantía de que la documentación operativa (véase 8. h) Garantía de que la documentación del sistema sea actualizada al finalizar cada cambio y que la documentación antigua sea archivada o eliminada: i) Mantenimiento de un control de versión para todas las actualizaciones de programas. Esta separación brinda el medio de controlar los nuevos programas y permite protección adicional para la información operativa que se emplea a efectos de realizar la prueba.5. bases de datos y discos rígidos que tengan que ser modificados.2).

5. Si se considera indispensable introducir cambios. Puede activarse mediante el cambio de un parámetro accesible tanto a través de elementos seguros como inseguros de un sistema de computación o mediante la información incorporada a la corriente de datos.4 Canales encubiertos y Código Troyano Un canal encubierto puede exponer información a través de alguno medio indirecto y oscuro. d) garantía que se efectúen los cambios pertinentes en los planes de continuidad empresaria (véase cláusula 11). Cuando se considere esencial modificar un paquete de programas. se debería tener en cuenta lo siguiente: a) los programas deben ser comprados solamente a proveedores conocidos de buena reputación: 87 . Todos los cambios deberían ser probado plenamente y documentados de modo que se pueda reaplicar en caso necesario a futuras actualizaciones del programa.5. Los canales encubiertos y el código troyano rara vez ocurren por accidente. 10.3 Restricciones a los cambios en los paquetes de programas Las modificaciones en los paquetes de programas deberían ser desalentadas. El Código Troyano tiene por fin afectar un sistema en una forma no autorizada y no fácilmente notada así como en forma no requerida por el receptor o usuario del programa. Influencia del cambio en los casos en que la organización se responsabiliza por el mantenimiento futuro del programa. 10. En los casos en que los canales encubiertos o el Código Troyano son un problema. b) garantía de que el plan anual y presupuesto de apoyo cubrirá las revisiones y pruebas del sistema resultantes de la introducción de cambios operativos. En la medida de lo posible. se deberían tener en cuenta los puntos siguientes: a) b) c) d) el riesgo de que se pongan en riesgo los controles y procesos de integridad incorporados. c) garantía de que la notificación de cambios en el sistema operativa sea suministrado con tiempo suficiente para permitir las revisiones oportunas previo a su instrumentación. si se pudiese. los paquetes de programas proporcionados por el vendedor deberían ser usados sin introducirles modificación alguna.a) revisión de los procedimientos de integridad y control de aplicaciones a fin de garantizar que sean puestos en peligro por los cambios que se produzcan en el sistema operativo. el programa original debería ser retenido y los cambios aplicados a una copia claramente identificada. la posibilidad de obtener los cambios requeridos del propio vendedor en carácter de actualizaciones de programas estándar. se debería averiguar si se tendrá que contar con el previo asentimiento del vendedor.

2). derecho de acceso respecto para realizar una auditoria de la calidad y exactitud del trabajo realizado. se debe inspeccionar el código de origen antes de usar el programa en las operaciones de la empresa: se debería controlar el acceso al código y su modificación. se debería tener en cuenta lo siguiente: a) b) c) d) e) f) acuerdos de licencia. prueba previa a la instalación a fin de detectar un código troyano. se deben usar productos ya evaluados. certificación de la calidad y exactitud del trabajo ejecutado. titularidad del código y derechos de propiedad intelectual (véase 12. requisitos contractuales de calidad del código. 88 . luego de instalarlo.5 los programas que se adquieran deben tener el código de origen a fin de poder verificarlo.5.b) c) d) e) f) 10. Contratación externa del desarrollo de los programas Cuando se contrate externamente el desarrollo de los programas.1. acuerdos de depósito de seguridad en caso de incumplimiento de tercero. uso de personal plenamente confiable para trabajar en los sistemas de claves.

b) c) d) 89 . fallas en los equipos y acciones deliberadas) a un nivel aceptable mediante una combinación de controles preventivos y acciones de recuperación. 11. Un proceso de administración de la continuidad de la empresa debería ser instrumentado a los efectos de reducir la perturbación causada por desastres y fallas de seguridad (que puedan ser el resultado.ADMINISTRACIÓN DE LA CONTINUIDAD DE LA EMPRESA 11. limitar las consecuencias de los daños provocados por incidentes y asegurar la reanudación oportuna de las operaciones esenciales. de desastres naturales. formulación y documentación de una estrategia de continuidad de la empresa congruente con los objetivos y prioridades acordados por la misma.1 Proceso de administración de la continuidad de la empresa Debería contarse con un proceso administrado para desarrollar y mantener la continuidad de la empresa en toda la organización. Dichos planes deberían ser mantenidos y se tendrán que convertir en parte integrante de todos los procesos administrativos. fallas de seguridad y pérdidas de servicio deberían ser analizadas. Se deberían desarrollar e instrumentar planes de contigencia que garanticen que los procesos de la empresa puedan ser reestablecidos dentro de un tiempo propicio.1. por ejemplo. se debería además identificar y priorizar los procesos de mayor importancia para la empresa. Las consecuencias de desastres. comprensión del impacto probable de las interrupciones en la empresa (es importante que se encuentren soluciones tanto para enfrentar incidentes de menor envergaduras como así también para hacerlos con aquellos incidentes graves que puedan poner en peligro la viabilidad de la organización) y determinación de los objetivos de la empresa en materia de procesamiento informático.1 Aspectos de la administración de la continuidad de la empresa Objetivo: Contrarrestar las interrupciones en las actividades de la empresa y proteger procesos empresariales críticos frente a los efectos de grandes fallas o desastres. La administración de la continuidad de la empresa debería incluir controles para identificar y reducir riesgos. Se deberían aunar elementos fundamentales de la de la administración de la continuidad de la empresa como sigue: a) comprensión de los riesgos que enfrenta la organización en función de la probabilidad de que se materialicen y consideración de su impacto. accidentes. consideración de la adquisición de seguros apropiados que formen parte del proceso de continuidad de la empresa.

1). inundaciones e incendios. prueba y actualización periódica de los planes y procesos vigentes.1. se debería desarrollar un plan estratégico para determina r en enfoque global frente a la continuidad de la empresa. Según los resultados que arroje la evaluación de riesgo. El proceso de planificación de la continuidad de la empresa debería considera lo siguiente: a) b) identificación y acuerdo respecto procedimientos de emergencia. por ejemplo al foro de seguridad informática (véase 4. Ambas actividades deberían ser llevadas a cabo con plena participación de los titulares de los procesos y recursos de la empresa. Necesita brindarse especial atención a la evaluación de la dependencia externa de la empresa y los contratos que se encuentren en vigencia. c) d) e) 90 .1.3 Redacción e instrumentación de los planes de continuidad Los planes deberían ser desarrollados a fin de mantener o restablecer las operaciones de la empresa en las escalas temporales requeridas luego de una interrupción en procesos de importancia grande para la empresa o de haberse producido fallas en los mismos. Se debería asignar responsabilidad de coordinación del proceso de administración para la continuidad de la empresa a un nivel adecuado dentro de la organización. garantía de que la administración de la continuidad de la empresa se incluya en la estructura y en los procesos de la organización. debería recibir el apoyo de la administración 11. Esta evaluación considera todos los procesos de la empresa y no se limita a l procesamiento informático. por ejemplo fallas en los equipos.e) f) g) formulación y documentación de planes de continuidad de la empresa alineados con la estrategia establecida.2 Continuidad de la empresa y análisis de su impacto La continuidad de la empresa debería comenzar por la identificación de hechos que puedan provocar interrupciones en los procesos de la misma. instrucción adecuada del personal con relación a los procesos y procedimientos de emergencia acordados con inclusión del tema de la administración de crisis. 11. Este estudio debería ser seguido por una evaluación del riesgo para determinar la influencia de tales interrupciones tanto en términos de escala de daños como de período para la recuperación. Luego de que se haya creado este plan.1. prueba y actualización de los planes. documentación de los procedimientos y procesos acordados. de todas las responsabilidades y instrumentación de procedimientos de emergencia para permitir la recuperación y restablecimiento dentro de escalas temporales requeridas.

se deberían modificar de la manera que resulte pertinente los procedimientos de emergencia establecidos. planes de emergencia manuales y planes de reanudación deberían ser de responsabilidad de los titulares de cada proceso o recurso de la empresa que se encuentre involucrado. como también quienes son las personas responsables de la ejecución de cada elemento del plan. Cuando se identifiquen nuevas exigencias. Actividades de concientización y capacitación con el fin de crear comprensión respecto de los procesos de continuidad de la empresa y garantizar que dichos procesos sigan siendo eficaces. 11. por ejemplo.1.El proceso de planificación debería centrarse en los objetivos de la empresa. procedimientos de emergencia que describen las acciones a tomar luego de un incidente que ponga en peligro las operaciones de la empresa y / o la vida humana. por ejemplo. El marco de planificación de continuidad de la empresa debería tener en cuenta lo siguiente: a) b) las condiciones para activar los planes que describen el proceso a seguir (cómo evaluar la situación. los bomberos y el gobierno local. Se debería considera contar con los servicios y recursos que permitan que dicho restablecimiento se produzca inclusive personal. etc. se nombrarán alternativas al efecto. Según fuere necesario. Un programa de mantenimiento que especifique cómo y cuando se probará el plan y el proceso de mantenimiento del plan. por ejemplo planes de evacuación o cualquier acuerdo de medidas de emergencia vigente. la policía. recursos de procesamiento así como también medidas de emergencia relacionadas con el procesamiento informático. Los procedimientos de emergencia. restablecimiento de determinados servicios para clientes en un lapso de tiempo aceptable. Cada plan de continuidad de la empresa debería especificar claramente las condiciones para su activación. c) d) e) f) g) Cada plan debería tener un titular específico. personas a involucrar. procedimientos de emergencia que describan las acciones a tomar para trasladar las actividades esenciales de al empresa o servicios de apoyo a ubicaciones temporarias alternativas y para poner nuevamente en funcionamiento los procesos de la empresa dentro de las escalas temporales requeridas. Los cuerdos de medidas de emergencia a los fines de contar con servicios técnicos alternativos 91 .4 Marco de planificación de la continuidad de la empresa Se debería mantener un marco único en los planes de continuidad de la empresa a los efectos de garantizar que todos los planes sean congruentes e identificar las prioridades en materia de prueba y mantenimiento. procedimientos de reanudación que describan las acciones a tomar para volver a un ritmo de operaciones normales en la empresa.) antes de activar cada uno de los planes. Responsabilidades de las personas con descripción de las personas responsables de la ejecución de cada elemento del plan. Dichos procedimientos deberían incluir medidas de administración de relaciones públicos y un enlace eficaz con las autoridades públicas pertinentes.

15. El programa de pruebas para la continuidad del plan o los planes deber{a indicar c{como y cuando cada elemento del plan deba ser probado. olvidos o cambios en equipo o personal. 11.5. su personal. mantenimiento y nueva evaluación de los planes de continuidad de la empresa 11.1 Prueba de los planes Puede que se omita probar los planes de continuidad.3). Estas técnicas pueden ser usadas por cualquier organización y deberían ser reflejo del carácter de cada plan de recuperación. Dichas técnicas incluyen lo siguiente: a) b) c) d) e) f) prueba en gabinete de diversos escenarios (con discusión de las medidas de recuperación de la empresa a través de ejemplos de interrupciones).5.1. sistemas y procesos pueden enfrentar una interrupción). Se deberían emplear diversas técnicas a fin de proporcionar garantías de que el plan o los planes funcionarán en situaciones reales. Se recomienda probar cada elemento del plan o los planes con frecuencia.como ser comunicaciones y procesamiento informático deberían comúnmente ser de responsabilidad de los prestadores del servicio. 92 . Se deberían incluir procedimientos dentro del programa de administración del cambio en la organización a los efectos de garantizar que los temas atinentes a la continuidad de la empresa sean encarados de manera adecuada.5.1. 11.1. prueba de recuperación en un sitio alternativa (con funcionamiento de los procesos de la empresa en paralelo con las operaciones de recuperación fuera del sitio principal). dichos planes deberían ser probados en forma periódica para garantizar que se encuentren actualizados y sean eficaces.1. Por lo tanto. a menudo debido a la existencia de suposiciones incorrectas. Dichas pruebas deberían también garantizar que todos los miembros del equipo de recuperación y otro personal pertinente sean conscientes de la existencia de los planes. pruebas de líneas de proveedores y servicios (a fin de garantizar que los servicios prestados externamente y sus productos satisfagan los compromisos contraídos): ensayos completos (prueba de que la organización.2 Mantenimiento de los planes y nueva evaluación Los planes de continuidad de la empresa deberían ser mantenidos a través de revisiones y actualizaciones periódicas destinadas a garantizar su continuada eficacia (véase 11. simulaciones (especialmente para capacitar a la gente en los roles a asumir en el manejo de una crisis y de los incidentes posteriores): prueba de recuperación técnica (a fin de garantizar que los sistemas informáticos pueden ser restablecidos con eficacia). equipo.5 Prueba.1 a 11.1.

de disposiciones legales. El diseño.2 Derechos de Propiedad Intelectual (IPR) 12. 12 12. legislación. El proceso formal de control de los cambios debería garantizar que los planes de actualización sean distribuidos y reforzadas mediante revisiones periódicas de la totalidad del plan.1 CUMPLIMIENTO Cumplimiento con los requisitos legales Objetivo: Evitar violación de cualquier ley criminal o civil.1. se debería efectuar un seguimiento y actualización adecuada del plan a través de la identificación de los cambios producidos en las disposiciones de la empresa que aún no se reflejen en los planes de continuidad de la misma. Los requisitos de índole legislativa varían de país en país y con respecto a la información creada en un país que se transmite a otro(por ejemplo. proveedores y clientes principales: procesos y procesos nuevos o retirados. los flujos de datos transnacionales). 12.1 Identificación de la legislación aplicable Todos los requisitos legales.2. marcas de 93 . de obligaciones o cualquier requisito en materia de seguridad.1. Se debería buscar asesoramiento sobre requisitos legales específicos ante los asesores legales de la organización o expertos legales debidamente calificados. reglamentarias o contractuales. instalaciones y recursos. uso y administración de un sistema informático puede estar sujeto a requisitos reglamentarios. derecho de diseño. estrategia de la empresa. reglamentarios y contractuales deberían ser definidos explícitamente y documentada en cada sistema informático. Los controles específicos y responsabilidades individuales en cuanto al cumplimiento de dichos requisitos deberían encontrarse claramente definidos y documentados.Se deberían asignar responsabilidades para las revisiones periódicas de cada plan de continuidad de la empresa.1 Derecho de autor Se deberían instrumentar procedimientos adecuados para garantizar el cumplimiento de restricciones legales sobre el uso de material con respecto al cual puedan existir derechos de propiedad intelectual como ser derecho de autor.1. ubicación. 12. funcionamiento. direcciones o números telefónicos. contratistas. riesgo (operativo y financiero). legal y contractuales en materia de seguridad. a) b) c) d) e) f) g) h) personal.

socios y auditores. b) emisión de normas de procedimientos para la adquisición de programas. Ejemplos de esto son los registros que puedan resultar necesarios como prueba del funcionamiento de la organización en el marco de normas legales o reglamentarias o para garantizar la adecuada defensa frente a posibles acciones civiles o penales o para confirmar la situación financiera de una organización con respecto a sus accionistas.3 Salvaguardia de los registros de la organización Los registros importantes de una organización debería ser protegidos frente a pérdida. Puede ser necesario que algunos registros sean retenidos en lugar seguro a fin de satisfacer requisitos legales o reglamentarios como también como apoyo de actividades esenciales para la empresa. Los requisitos legislativos. discos maestros y manuales. El período temporal y el contenido de datos a retener como información puede ser determinado a través de una ley o reglamentación nacional. c) conciencia de la necesidad de mantener los derechos de autor sobre los programas y las políticas de adquisición y de notificación la intención de tomar medidas disciplinarias contra el personal que viole dichos derechos.comercio. i) creación de una política de disposición o transferencia de programas a otros. f) instrumentación de controles destinados a garantizar que el número máximo de usuarios permitido no sea superado.7. etc. reglamentarios y contractuales pueden imponer restricciones a la copia de material cubierto por derechos de propiedad. En especial. 12. h) creación de una política de mantenimiento de condiciones adecuadas de licencia. La violación del derecho de autor puede conducir a acciones legal que involucren eventualmente procedimientos penales. k) cumplimiento de los términos y condiciones de los programas e informaciones obtenidas de redes públicas (véase también 8.1.2. dichos requisitos pueden exigir que solo el material que sea desarrollado por la organización y que cuente con licencia o sea proporcionado por el diagramador a la organización. e) mantenimiento de prueba de titularidad de licencias. Se deberían considerar los controles siguientes: a) publicidad de una política de cumplimiento con los derechos de autor sobre los programas que defina el uso legal de programas y productos informáticos.6).1. 12.2 Derecho de Autor sobre los Programas Los programas cubiertos por derechos de autor son comúnmente provisto en virtud de un convenio de licencia que limita el uso de los productos a máquinas determinadas y puede limitar la copia a la creación de copias de resguardo del material solamente. destrucción y falsificación. pueda ser utilizado. j) uso de herramientas de auditoria adecuadas. g) ejecución de verificaciones para que solo se instalen programas y productos bajo licencia debidamente autorizados. d) mantenimiento de registros de activos adecuados. 94 .

auditorias y procedimientos operativos. microficha. papel. Se debería prestar atención a la posibilidad de degradación de medios usados para el almacenamiento de registros.3) debería ser guardado en forma segura a disposición de las personas autorizadas cuando corresponda. registros de transacciones. bases de datos. se deberían tomar las medidas siguientes en el marco de la organización: a) b) c) d) Se deberían emitir lineamientos sobre la retención. óptico. A fin de cumplir con estas obligaciones. Debería permitir la destrucción adecuada de los registros luego de dicho período en caso de que no resulten necesarios para la organización.3.3. cada uno de ellos con detalles de los períodos de retención y tipo de medio de almacenamiento. Los procedimientos de almacenamiento y manejo deberían ser instrumentados conforme a las recomendaciones del fabricantes. procesamiento y divulgación de información personal y puede restringir la capacidad de transferir la misma a otros países.1. En los casos en que se elijan medios de almacenamiento electrónicos. por ejemplo. registros contables. almacenamiento. 12. Se debería mantener un inventario de fuentes de información sobre claves. Los controles pueden imponer obligaciones respecto de la recopilación. se debería n incluir procedimientos que garanticen la capacidad de acceso a los datos (tanto a través de medios de comunicación como de la legibilidad del formato) durante todo el período de retención como salvaguardia contra pérdida debida a futuros cambios tecnológicos Los sistemas de almacenamiento de datos deberían ser elegidos de manera tal que los datos requeridos puedan ser recuperados en forma aceptable para un tribunal de justicia.Los registros deberían ser ordenados en categorías según tipo.2 y 10. Se deberían instrumentar controles adecuados para la protección de registros e información esenciales contra pérdida. magnético. 95 . Se debería redactar un programa de retención con identificación de los tipos de registros esenciales y el lapso de tiempo de retención. destrucción y falsificación. por ejemplo que se puedan recuperar todos los registros requeridos en un tiempo y formato aceptables. manejo y disposición de registros e información. por ejemplo. Cualquier clave criptográfica conexa con archivos encriptados o firmas digitales (véase 10. El sistema de almacenamiento y manejo debería garantizar la identificación clara de los registros y de su período de retención legal o reglamentario.4 Protección de datos y privacidad de la información personal Una serie de países ha introducido legislación que impone controles al procesamiento y transmisión de información personal (en general se trata de información sobre personas que pueden identificarse a partir de dicha información).

La responsabilidad de informar al funcionario a cargo de la protección de datos acerca de toda propuesta de mantener la información personal en un archivo estructurado y de asegurar que conoce los principios de protección de datos definidos en la legislación aplicable debería recaer en el propietario de la información. Debería contarse con asesoramiento jurídico antes de aplicar los procedimientos de control. leyes.6 Reglamentación de los controles criptográficos Algunos países han aplicado acuerdos.La observancia de la legislación sobre protección de información requiere estructuras de administración y control. reglamentaciones u otros instrumentos para controlar el acceso a los controles criptográficos o el uso de los mismos. 12. La administración debería autorizar el uso de los mismos. Puede constituir un delito penal utilizar una computadora con fines no autorizados. Muchos países cuentan con una legislación para evitar el mal uso de la informática o bien están en proceso de introducir la misma.1. es esencial que todos los usuarios tengan conciencia del alcance exacto de su alcance permitido. Por consiguiente.1. 96 . El usuario debe tomar conocimiento y actuar en consecuencia a fin de continuar con el proceso de conexión. debería ponerse en conocimiento del administrador correspondiente a fin de tomar la medida disciplinaria pertinente. deberían tener conocimiento de que no se permite acceso alguno excepto el autorizado. A menudo esto se logra designando a un empleado a cargo de la protección de la información quién debería constituir una referencia para los administradores. Tales controles pueden incluir: A) la importación y/o exportación de soporte informático físico y magnético para realizar funciones de criptografía. Por ejemplo esto puede lograrse otorgando a los usuarios una autorización por escrito. cuya copia debería ser firmada por el usuario y retenida por la organización en forma segura. Los empleados de una organización. 12. y terceros usuarios. B) importación y/o exportación de soporte informático físico y magnético diseñado para realizar funciones de criptografía adherido al mismo.5 Prevención del mal uso de los medios de procesamiento informático Los medios de procesamiento de información de una organización se proporcionan a los fines comerciales. usuarios y proveedores de servicios respecto de sus responsabilidades individuales y procedimientos específicos que deberían seguirse. Al conectarse al sistema debería visualizarse un mensaje de advertencia en pantalla indicando que el sistema al que se intenta acceder es privado y que el acceso no autorizado no está permitido. Si se identifica dicha actividad por medio de controles o de otro modo. Todo uso que se de a los mismos con fines distintos a los comerciales o bien que no estén autorizados por la administración deberían considerarse como inapropiado. La legalidad del control del uso varía de un país a otro y puede exigir a los empleados que informen tales controles o que acuerden los mismos.

Debería contarse con asesoramiento jurídico a fin de asegurar el cumplimiento de la ley nacional. estas disposiciones abarcan: a) b) c) la admisibilidad de la prueba: si se puede usar o no la prueba ante un tribunal.7. Normas para las pruebas Resulta necesario contar con pruebas adecuadas a fin de avalar una medida adoptada contra una persona u organización.2 A fin de lograr la admisibilidad de la prueba.3 Calidad e integridad de la prueba A fin de lograr la calidad e integridad de la prueba. dónde lo encontró. Siempre que esta medida sea de carácter disciplinario en el ámbito interno. información sobre discos rígidos o en memoria a fin de asegurar la disponibilidad. cuándo lo encontró y quién presenció dicho descubrimiento.1. prueba adecuada de que los controles se han realizado en forma correcta y coherente (por ejemplo. En general. 12. la prueba que se requiera se describirá en los procedimientos internos.1. se requiere un seguimiento de la misma. la prueba del control de un proceso) a lo largo del período en el que la prueba que debe recuperarse fue almacenada y procesada por el sistema: Admisibilidad de la prueba 12. 12.1.1.C) métodos de acceso obligatorios y discrecionales por parte de los países a la información encriptada mediante el soporte físico y magnético a fin de proporcionar la confidencialidad del contenido. Cuando una acción esté alcanzada por el derecho civil o penal. la carga de la prueba: la calidad e integridad de la prueba. Para la información en línea: deberían tomarse copias de todo medio removible.7 Recopilación de pruebas 12.1. la prueba que se presente debería observar las normas de prueba estipuladas en la respectiva ley aplicable o en las disposiciones del tribunal competente que entienda en la causa.7.7. La conexión de todas acciones durante el proceso de copiado b) 97 . Sería conveniente además contar con dicho asesoramiento antes de trasladar la información encriptada o los controles de criptografía a otro país. La investigación debería asegurar que no se ha accedido a los originales sin autorización. tal seguimiento puede determinarse bajo las siguientes condiciones: a) Para documentos impresos: el original se conserva en forma segura y se registra quién lo encontró. las organizaciones deberían asegurar que sus sistemas informáticos cumplan con las normas o códigos de práctica publicados en relación con la entrega de prueba admisible. En general.

debería mantenerse y el proceso debería realizarse en presencia de un testigo. 12. Por consiguiente. Resulta aconsejable recurrir a un abogado o a la policía tan pronto como sea posible en cualquier acción jurídica contemplada y recibir asesoramiento sobre la prueba requerida.1) deberían reforzar las revisiones regulares del cumplimiento de sus sistemas con políticas de seguridad. La verificación del cumplimiento técnico incluye el análisis de los sistemas operativos a fin de asegurar que los controles de soporte físico y magnético se han aplicado correctamente. b) proveedores de sistemas. Debería mantenerse una copia del medio y de la conexión en forma segura. Verificación del cumplimiento de las medidas técnicas Los sistemas informáticos deberían verificarse regularmente a fin de comprobar el cumplimiento de las normas de seguridad aplicables.1 Cumplimiento de la política de seguridad Los administradores deberían asegurar que todos los procedimientos de seguridad dentro de su área de responsabilidad se llevan a cabo en forma correcta. no necesariamente puede resultar obvio que finalice en una acción judicial. Un ingeniero en 98 . 12. Los propietarios de sistemas informáticos (véase 5. El control operativo del uso del sistema se describe en el apartado 9. Estas deberían incluir: a) sistemas informáticos. Cuando se detecta un incidente por primera vez. Además. todas las áreas dentro de la organización deberían considerarse a la hora de realizar las revisiones regulares a fin de cumplir con las políticas y normas de seguridad.7.2 Revisiones de la política de seguridad y cumplimiento de las medidas técnicas Objetivo: Asegurar el cumplimiento de los sistemas en el marco de las políticas y normas de seguridad de la organización.2. normas y otros requisitos de seguridad apropiados. Dichas revisiones deberían realizarse de conformidad con las políticas de seguridad y las plataformas técnicas apropiadas y los sistemas informáticos deberían auditarse de acuerdo con las normas de seguridad aplicables. Este tipo de verificación de cumplimiento requiere la asistencia de personal técnico específico.2. e) administración. c) propietarios de información y activos informáticos. 12.2. La seguridad de los sistemas de información deberían revisarse regularmente. existe el peligro de que la prueba necesaria se destruya por accidente antes de que se tome conciencia de la seriedad del incidente. d) usuarios.

la prueba de intrusión. 12. Los recursos informáticos para llevar a cabo las verificaciones deberían identificarse y estar disponibles en forma explícita. por ejemplo. Todo acceso diferente al de “sólo lectura” al soporte magnético e información sólo debería permitirse para copias separadas de los archivos del sistema. Las verificaciones deberían limitarse al acceso de “solo lectura” al soporte magnético y la información. Debería actuarse con precaución en caso de que la prueba de intrusión arroje como resultado el compromiso de la seguridad del sistema e inadvertidamente explote otras vulnerabilidades.3. Además se requiere protección a fin de salvaguardar la integridad e impedir el mal uso de las herramientas de auditoría.sistemas debería llevarse a cabo la misma en forma manual (recurriendo a herramientas de soporte magnético. 99 . las que deberían borrarse cuando finalice la auditoría. Esto puede ser útil para detectar vulnerabilidades en el sistema y para verificar hasta qué punto los controles son efectivos en cuanto a la prevención del acceso no autorizado debido a tales vulnerabilidades. Deberían observarse los siguientes rubros: a) b) c) d) e) f) Deberían acordarse requerimientos de auditoría acordes a una adecuada administración.3 Consideraciones sobre auditoría del sistema Objetivo: Maximizar la eficacia y minimizar la interferencia con los procesos de auditoría de sistemas. 12. Toda verificación de cumplimiento de medidas técnicas sólo debería llevarse a cabo por parte de personas competentes autorizadas. Deberían aplicarse controles a fin de salvaguardar los sistemas operativos y herramientas de auditoría durante la auditoría del sistema. que debería realizarla un experto independiente contratado específicamente para tal fin. Debería acordarse y controlarse el alcance de las verificaciones. si fuera necesario) o bien a través de un paquete de soporte magnético automático que genera un informe técnico para ser interpretado posteriormente por un especialista técnico.1 Controles de auditoría del sistema Los requerimientos y actividades de auditoría que incluyen verificaciones de los sistemas operativos deberían planearse y acordarse minuciosamente a fin de minimizar el riesgo de disrupciones del proceso comercial. La verificación de cumplimiento también abarca. Deberían identificarse y acordarse requisitos para procesos especiales o adicionales.

por ejemplo el soporte magnético o archivos de datos.g) h) Debería controlarse y conectarse todo acceso a fin de producir una ruta de referencia.2 Protección de las herramientas de auditoría del sistema El acceso a las herramientas de auditoría del sistema. Tales herramientas deberían separarse de los sistemas operativos y de desarrollo y no deberían almacenarse en bibliotecas magnéticas o áreas de usuarios a menos que exista un nivel apropiado de protección adicional. deberían protegerse a fin de impedir cualquier posible mal uso del sistema.3. 12. Deberían documentarse todos los procedimientos. requisitos y responsabilidades. 100 .

Sign up to vote on this title
UsefulNot useful