Seguridad relacionada con el personal

Objetivos. Asegurar el establecimiento de polticas, estndares, procedimientos y guas para que el personal desempee sus funciones y actividades adecuadamente, de tal manera que se reduzcan los riesgos potenciales (ejem.robo, fraude, desfalco) que resultan de contratar personal no calificado, deshonesto o con antecedentes cuestionables. Asegurar la observancia continua del personal en las buenas prcticas de Seguridad de la Informacin. Asegurar el establecimiento de un sistema de registro de las actividades del personal sobre el sistema y recursos de cmputo y que permita conocer las consecuencias de acciones impropias. Asegurar el acceso controlado, de agentes de riesgo, al sistema de cmputo, equipo perifrico, datos, programas, archivos y bases de datos para minimizar la vulnerabilidad potencial.

Seguridad relacionada con el personal

Guas y Tcnicas de control 1/2 1. Efectuar una completa verificacin de los antecedentes de los candidatos a contratar. 2. Establecer unas claras polticas y procedimientos para el proceso de terminacin de la relacin laboral con empleados. 3. Establecer un adecuado programa de administracin de passwords e identificaciones de usuarios. 4. Entrenar al personal informtico en aspectos de Seguridad de la Informacin. 5. Rotar a los empleados clave involucrados en el manejo de entrada y salida de datos del sistema computarizado. 6. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, separar responsabilidades en las reas funcionales usuarias.

Seguridad relacionada con el personal

Guas y Tcnicas de control 2/2 7. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. 8. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 9. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente sus responsabilidades, la forma en que ser evaluado as como su nivel de autoridad. 10. Asegurar que los empleados tomen sus vacaciones cuando les corresponda. 11. Promover entre los empleados el desarrollo de una conciencia sobre la Seguridad de la Informacin.

3. Seguridad Fsica

Seguridad Fsica

Alcance
Controles de acceso fsico. Control de condiciones ambientales. Proteccin contra incendios, inundaciones y desastres naturales. Procedimientos de emergencia.

Objetivos
1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad fsica, que reduzcan los riesgos potenciales de dao y destruccin que resultan del acceso no autorizado a edificios, equipo e instalaciones informticas. 2. Asegurar que slo al personal autorizado se le permita el acceso al centro de cmputo y que todos los visitantes sean acompaados por un empleado responsable de ellos durante su visita. 3. Asegurar que existan controles adecuados para las condiciones ambientales (calor, polvo, humedad, aire acondicionado), que reduzcan el riesgo por fallas o malfuncionamiento del equipo, del SW, de los datos y de los medios de almacenamiento. 4. Controlar el acceso, de agentes de riesgo, al equipo y sistema de cmputo para minimizar la vulnerabilidad potencial.

Seguridad Fsica
Guas y Tcnicas de Control 1. Requerir que todos los empleados usen su gafete de identificacin. 2. Establecer una adecuada seguridad fsica sobre el centro de cmputo, terminales, PCs, workstations y la documentacin. 3. Controlar entrada al centro de cmputo. 4. Instalar detectores de metal en las diferentes entradas a las instalaciones. 5. Instalar dispositivos para la deteccin y extincin de fuego. 6. Mantener un inventario del equipo y accesorios de cmputo y realizar verificaciones peridicas. 7. Instalar mecanismos o dispositivos para la vigilancia continua de reas. 8. Mantener apropiados controles ambientales para la humedad y el aire acondicionado.

4. Seguridad de Datos

Seguridad de Datos

Alcance.
Evaluacin de la funcin de seguridad de datos. Administracin de passwords. Clasificacin y proteccin de datos acorde a su grado de sensitividad y criticidad. Definicin y administracin de perfiles de usuario con propsitos de definir sus niveles de acceso. Reportes de integridad de archivos y bases de datos. Manejo, almacenamiento y disposicin de datos sensitivos o confidenciales almacenados en registros de papel, mecnico o electrnicos.

Objetivos.
1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad de datos, que reduzcan los riesgos potenciales de modificacin, destruccin o revelacin de datos que resultan del acceso no autorizado a archivos y bases de datos. 2. Asegurar la existencia de un sistema de asignacin de privilegios para el acceso a los datos acorde con la sensitividad de los mismos y las responsabilidades y nivel de autoridad de cada empleado. 3. Asegurar que la creacin y mantenimiento de archivos y bases de datos se realice en forma apropiada y que sea revisada peridicamente. 4. Controlar el acceso, de agentes de riesgo, a las entradas al sistema tales como documentos fuente, formatos, archivos y salidas del sistema tales como reportes, para minimizar la vulnerabilidad potencial.

Seguridad de Datos
Guas y Tcnicas de Control 1/4 1. Adquirir o desarrollar software de seguridad de control automatizado de acceso. 2. Implantar adecuadas tcnicas de identificacin y autenticacin de usuarios. 3. Establecer los principios de seguridad de menor privilegio y requiere saber. 4. Restringir los privilegios para procesar transacciones desde terminales (agregar, cambiar, borrar, consultar). 5. Emitir guas para el manejo, almacenamiento y destruccin de registros usados, ya sean registros en papel (cartas, documentos y reportes), o registros electrnicos (cintas, cartuchos, diskettes, etc.). 6. Implantar un sistema que registre la fecha de la ltima actividad o el ltimo sign-on de un usuario sobre el sistema. 7. Revisar los logs de actividad del sistema, los journals, y reportes de excepcin para detectar violaciones a la seguridad.

Seguridad de Datos
Guas y Tcnicas de Control 2/4 8. Instalar controles para el manejo apropiado de datos a travs de todas las fases de operacin del sistema. 9. Donde sea apropiado y se justifique, aplicar tcnicas criptogrficas para proteger datos confidenciales. 10. Instalar el log-off automtico de las terminales, despus de un perodo de inactividad. 11. Establecer un sistema para el etiquetado standard de archivos. 12. Implantar adecuadas tcnicas para el diseo de documentos de entrada y diseo de pantallas. 14. Disear e incluir rutinas de control para la validacin y edicin de datos en el software para asegurar la integridad y seguridad de los datos. 15. Disear reportes de auditora, reportes de control, reportes de antigedad de registros y reportes de excepcin para que sean revisados y analizados por usuarios y auditores.

Seguridad de Datos
Guas y Tcnicas de Control 16. Proveer a los usuarios, para su revisin, reportes de error generados por la aplicacin. 17. Establecer guas para el reinicio y recuperacin de la aplicacin. 18. Establecer guas respecto a la proteccin de derechos de autor de todo el software y la documentacin.

5.

SEGURIDAD DEL SW DE APLICACIONES

SEGURIDAD DEL SW DE APLICACIONES

ALCANCE: Aplicaciones en desarrollo. Administracin del proyecto de desarrollo. Aplicaciones en produccin. Controles de acceso sobre cambios a programas.

OBJETIVOS: (1/2) 1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad para el software de aplicaciones que reduzcan los riesgos potenciales de modificacin, destruccin o revelacin de programas que resultan del acceso no autorizado a archivos de programas. 2. Asegurar que el diseo del sistema incluya controles, componentes de auditabilidad y seguridad, as como facilidades para su uso y mantenimiento. (Ejemplo: uso de tcnicas estructuradas en el diseo, programacin y prueba del sistema para proveer una razonable certeza de que el software ser fcil de usar, fcil de mantener, controlado, auditable, flexible, legible y entendible).

SEGURIDAD DEL SW DE APLICACIONES

OBJETIVOS: (2/2) 3. Asegurar que todo nuevo programa sea probado completamente. 4. Asegurar que toda nueva aplicacin sea probada completamente, se le apliquen pruebas de aceptacin y/o pruebas de paralelo/piloto, donde los usuarios preparen los datos de prueba y verifiquen los resultados. 5. Asegurar que a los empleados se les restrinja el acceso, a los programas de produccin, de acuerdo a sus descripciones de puesto, o sea, de acuerdo a sus responsabilidades y nivel de autoridad establecidos. 6. Asegurar que el mantenimiento a programas y sistemas incluya revisiones y pruebas apropiadas realizadas por los usuarios funcionales. 7. Controlar el acceso, de agentes de riesgo, a los productos de la aplicacin tales como listados de programas fuente, especificaciones de programas y diseos, documentacin y formatos de la aplicacin, archivos y bibliotecas de programas fuente y ejecutables, con el fin de minimizar la vulnerabilidad.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (1/3) 1. Adquirir o desarrollar software de seguridad de control automatizado de acceso. 2. Implantar adecuadas tcnicas de identificacin y autenticacin de usuarios. 3. Restringir los privilegios para procesar transacciones desde terminales (Por ejemplo: capacidad para leer, grabar, ejecutar, copiar, modificar o desplegar programas). 4. Instalar controles para el manejo apropiado de datos a travs de todas las fases de operacin del sistema. 5. Disear aplicaciones que requieran la mnima intervencin de los operadores. 6. Proveer proteccin criptogrfica apropiada a los programas durante el almacenamiento y transmisin de los mismos.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (2/3) 7. Construir programas modulares estructurados durante el desarrollo y mantenimiento de las aplicaciones. 8. Desarrollar y promover estndares de programacin para el desarrollo y mantenimiento de sistemas. 9. Establecer la funcin de aseguramiento de calidad la cual pruebe e inspeccione independientemente los programas y aplicaciones durante su desarrollo. 10. Utilizar peridicamente utileras de comparacin de cdigo fuente para detectar cambios e impropiedades. 11. Asegurar que en produccin se usen las versiones correctas de programas. 12. Probar peridicamente las aplicaciones en produccin para asegurar la integridad de datos. 13. Controlar los cambios a programas para asegurar que slo se hagan cambios autorizados.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (3/3) 14. Disear e incluir rutinas de control para la validacin y edicin de datos en el software de aplicaciones para asegurar la integridad y seguridad de los datos. 15. Disear e incluir dentro de la aplicacin, componentes de correccin automtica de errores. 16. Utilizar tcnicas y herramientas de rastreo de programas. 17. Aplicar tcnicas de validacin y verificacin de software. 18. Desarrollar y actualizar la documentacin 19. Establecer guas para el reinicio y recuperacin de la aplicacin.