Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Gua de implementacin
Los requisitos de seguridad de la informacin deben identificarse usando varios
mtodos tales como derivar requisitos de cumplimiento de polticas y
regulaciones, modelado de amenazas, revisiones de incidentes o uso de
umbrales de vulnerabilidad. Los resultados de la identificacin deben ser
documentados y revisados por todas las partes interesadas.
Otra informacin
ISO / IEC 27005 [11] e ISO 31000 [27] proporcionan orientacin sobre el uso de
los procesos de gestin de riesgos para identificar los controles que cumplan
los requisitos de seguridad de la informacin.
Gua de implementacin
Las consideraciones de seguridad de la informacin para los servicios de
aplicacin que pasan por redes pblicas deben incluir lo siguiente:
Otra informacin
Las aplicaciones accesibles a travs de redes pblicas estn sujetas a una
serie de amenazas relacionadas con la red, tales como actividades
fraudulentas, disputas contractuales o divulgacin de informacin al
pblico. Por lo tanto, son indispensables las evaluaciones detalladas del riesgo
y la seleccin adecuada de los controles. Los controles necesarios incluyen a
menudo mtodos criptogrficos para la autenticacin y la transferencia de
datos.
Gua de implementacin
Las consideraciones de seguridad de la informacin para transacciones de
servicios de aplicaciones deben incluir lo siguiente:
Otra informacin
El alcance de los controles adoptados debe ser proporcional al nivel del riesgo
asociado con cada forma de transaccin de servicio de aplicacin.
Es posible que las transacciones tengan que cumplir con los requisitos legales
y reglamentarios en la jurisdiccin de la que se genera la transaccin,
procesada a travs de, completada o almacenada en.
Gua de implementacin
El desarrollo seguro es un requisito para construir un servicio, una arquitectura,
un software y un sistema seguros.
Otra informacin
El desarrollo tambin puede tener lugar dentro de aplicaciones, como
aplicaciones de oficina, scripts, navegadores y bases de datos.
Este proceso debe incluir una evaluacin del riesgo, un anlisis de los impactos
de los cambios y la especificacin de los controles de seguridad
necesarios. Este proceso tambin debe garantizar que los procedimientos de
seguridad y control existentes no se vean comprometidos, que los
programadores de soporte slo tengan acceso a las partes del sistema
necesarias para su trabajo y que se obtenga un acuerdo y aprobacin formal
para cualquier cambio.
Otra informacin
El cambio de software puede afectar el entorno operativo y viceversa.
Gua de implementacin
Este proceso debe abarcar:
Otra informacin
Las plataformas operativas incluyen sistemas operativos, bases de datos y
plataformas middleware. El control tambin debe aplicarse para cambios de
aplicaciones.
Gua de implementacin
En la medida que sea posible y factible, los paquetes de software
suministrados por el proveedor deben utilizarse sin modificaciones. Cuando un
paquete de software necesita ser modificado, deben tenerse en cuenta los
siguientes puntos:
Si los cambios son necesarios el software original debe ser guardado y los
cambios aplicados a una copia designada. Se debe implementar un proceso de
administracin de actualizaciones de software para asegurar que los parches
aprobados y actualizaciones de aplicaciones ms recientes estn instalados
para todos los programas autorizados (Consulte 12.6.1). Todos los cambios
deben ser completamente probados y documentados, de modo que puedan ser
replicados, si es necesario, a futuras actualizaciones de software. Si es
necesario, las modificaciones deben ser probadas y validadas por un
organismo de evaluacin independiente.
14.2.5 Principios seguros de ingeniera de sistemas
Controlar
Los principios para la ingeniera de sistemas seguros deben establecerse,
documentarse, mantenerse y aplicarse a cualquier esfuerzo de implementacin
de sistema de informacin.
Gua de implementacin
Los procedimientos de ingeniera de sistemas seguros de informacin basados
en los principios de ingeniera de seguridad deben ser establecidos,
documentados y aplicados a las actividades de ingeniera de sistema de
informacin interna. La seguridad debe disearse en todas las capas de la
arquitectura (negocios, datos, aplicaciones y tecnologa) equilibrado la
necesidad de seguridad de la informacin con la necesidad de accesibilidad.
Se debe analizar la nueva tecnologa para los riesgos de seguridad y el diseo
debe ser revisado contra patrones de ataques conocidos.
Otra informacin
Los procedimientos de desarrollo de aplicaciones deben aplicar tcnicas de
ingeniera seguras en el desarrollo de las aplicaciones que tengan interfaces de
entrada y salida. Las tcnicas de ingeniera seguras proporcionan orientacin
sobre tcnicas de autenticacin de usuarios, control de sesin seguro y
validacin de datos, limpieza y eliminacin de cdigos de depuracin.
14.2.6 Entorno de desarrollo seguro
Controlar
Las organizaciones deben establecer y proteger apropiadamente los entornos
de desarrollo seguro para el desarrollo del sistema y los esfuerzos de
integracin que cubren todo el ciclo de vida del desarrollo de sistema.
Gua de implementacin
Un entorno de desarrollo seguro incluye personas, procesos y tecnologas
asociados con el desarrollo e integracin de sistemas.
Las organizaciones deben evaluar los riesgos asociados con los esfuerzos
individuales de desarrollo del sistema y establecer entornos de desarrollo
seguros para los esfuerzos especficos de desarrollo del sistema,
considerando.
Gua de implementacin:
Cuando se subcontrata el desarrollo del sistema, se deben considerar los
siguientes puntos en toda la cadena de suministros externa de la organizacin.
Otra informacin
Puede encontrar ms informacin sobre las relaciones con los proveedores en
ISO / IEC 27036.
Gua de implementacin
Los sistemas nuevos y actualizados requieren pruebas y verificaciones
minuciosas durante los procesos de desarrollo, incluyendo la preparacin de un
calendario detallado de actividades e insumos de prueba y resultados
esperados bajo una serie de condiciones. Para los desarrollos internos, estas
pruebas deben ser realizadas inicialmente por el equipo de desarrollo. Debern
realizarse pruebas de aceptacin independientes (tanto para desarrollo internos
como externos) para asegurar que el sistema trabaje como se esperaba y solo
como se esperaba (vase 14.1.1 y 14.1.9). El grado de prueba debe ser
proporcional a la importancia y naturaleza del sistema.
Gua de Implementacin
Las pruebas de aceptacin del sistema deben incluir pruebas de los requisitos
de seguridad de la informacin (ver 14.1.1 y 14.1.2) y unirse a las prcticas
seguras de desarrollo del sistema (ver 14.2.1). Las pruebas tambin deben
realizarse sobre los componentes recibidos y los sistemas integrados. Las
organizaciones pueden aprovechar herramientas automatizadas, como
herramientas de anlisis de cdigo o escneres de vulnerabilidad, y deben
verificar la correccin de defectos relacionados con la seguridad.
Gua de Implementacin
Debe evitarse el uso de datos operativos que contengan informacin de
identificacin personal o cualquier otra informacin confidencial para fines de
prueba. Si se utiliza informacin de identificacin personal o informacin
confidencial para fines de prueba, todos los detalles y contenido sensibles
deben ser protegidos por remocin o modificacin (ver ISO / IEC 29101 [26]).
Se deben aplicar las siguientes reglas para proteger los datos operativos,
cuando se usen para fines de pruebas:
Otra informacin
Las pruebas de sistema y de aceptacin generalmente requieren volmenes
sustanciales de datos de prueba que estn lo ms cerca posible de los datos
operacionales.
15 Relaciones de Proveedores
15.1 Seguridad de la informacin en las relaciones con proveedores
Objetivo:
Asegurar la proteccin de los activos de la organizacin a los que pueden
acceder los proveedores.
Otra informacin
La informacin puede ser puesta en riesgo por los proveedores con una gestin
inadecuada de la seguridad de la informacin. Los controles deben ser
identificados y aplicados para administrar el acceso de los proveedores a las
instalaciones de procesamiento de informacin. Por ejemplo, si hay una
necesidad especial de confidencialidad de la informacin, se pueden usar
acuerdos de no divulgacin. Otro ejemplo son los riesgos de proteccin de
datos cuando el acuerdo de proveedor implica la transferencia de informacin a
travs de las fronteras o el acceso a ella. La organizacin debe ser consciente
de que la responsabilidad legal o contractual de proteger la informacin recae
en la organizacin.
Otra informacin
Los acuerdos pueden variar considerablemente para diferentes organizaciones
y entre los diferentes tipos de proveedores. Por lo tanto, se debe tener cuidado
de incluir todos los riesgos y requisitos de seguridad de la informacin
pertinentes. Los acuerdos de proveedores tambin pueden implicar a otras
partes (por ejemplo, sub-proveedores).
Gua de implementacin
Los siguientes temas deben considerarse para su inclusin en los acuerdos de
proveedores acerca de la seguridad de la cadena de suministro:
Otra informacin
Objetivo:
Para mantener un nivel acordado de seguridad de la informacin y prestacin
de servicios de acuerdo con los acuerdos con los proveedores.
Gua de implementacin
El monitoreo y revisin de los servicios de proveedores debe asegurar que los
trminos y condiciones de seguridad de la informacin de los acuerdos se
estn cumpliendo y que los incidentes y problemas de seguridad de la
informacin se gestionan adecuadamente.
Gua de implementacin
Deben tenerse en cuenta los siguientes aspectos: