Iso 27002 - 2005

La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier
organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por
tanto, un objetivo de primer nivel para la organizacin.
Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que
aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de
seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la
organizacin.
SO/EC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por SO
(nternational Organization for Standardization) e EC (nternational Electrotechnical Commission),
que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier
tipo de organizacin, pblica o privada, grande o pequea.
En este apartado se resumen las distintas normas que componen la serie SO 27000 y se indica
cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin
(SGS) basado en SO 27001.
ISC 27000200S
esde 1901, y como primera entidad de normalizacin a nivel mundial, BS (British Standards
nstitution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la
publicacin de importantes normas como:
1979. Publicacin BS 5750 - ahora SO 9001
1992. Publicacin BS 7750 - ahora SO 14001
1996. Publicacin BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BS apareci por primera vez en 1995, con objeto de proporcionar a
cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad
de su informacin.
La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se
estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera
vez en 1998, la que estableci los requisitos de un sistema de seguridad de la informacin (SGS)
para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por SO,
sin cambios sustanciales, como SO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas SO de sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, este esquema se public por SO
como estndar SO 27001, al tiempo que se revis y actualiz SO 17799. Esta ltima norma se
renombr como SO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao
de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de SO 27001:2005, BS public la BS 7799-
5.1. PoItica de seguridad de Ia informacin
Objetivo
roporclonar la gula y apoyo de la ulreccln para la segurldad de la lnformacln en
relacln a los requlslLos del negoclo y a las leyes y regulaclones relevanLes
La ulreccln deberla esLablecer una pollLlca clara y en llnea con los ob[eLlvos del
negoclo y demosLrar su apoyo y compromlso con la segurldad de la lnformacln
medlanLe la publlcacln y manLenlmlenLo de una pollLlca de segurldad de la
lnformacln para Loda la organlzacln
S11 Documento de po||t|ca de segur|dad de |a |nformac|n
ontro/
La ulreccln deberla aprobar y publlcar un documenLo de la pollLlca de segurldad de
la lnformacln y comunlcar la pollLlca a Lodos los empleados y las parLes exLernas
relevanLes
ISC 27001200S
0 Introducc|n generalldades e lnLroduccln al meLodo uCA
01 Ceneralldades
02 Lnfoque por proceso
03 CompaLlbllldad con oLros slsLemas de gesLln
1 Cb[eto y campo de ap||cac|n se especlflca el ob[eLlvo la apllcacln y el LraLamlenLo de
excluslones
11 Ceneralldades
12 Apllcacln
2 Normas para consu|ta oLras normas que slrven de referencla
3 1rm|nos y def|n|c|ones breve descrlpcln de los Lermlnos ms usados en la norma
S|stema de gest|n de |a segur|dad de |a |nformac|n cmo crear lmplemenLar operar
supervlsar revlsar manLener y me[orar el SCSl requlslLos de documenLacln y conLrol de la
mlsma
41 8equlslLos generales
42 Creacln y gesLln del SCSl
421 Creacln del SCSl
422 lmplemenLacln y operacln del SCSl
423 Supervlsln y revlsln del SCSl
424 ManLenlmlenLo y me[ora del SCSl
43 8equlslLos de documenLacln
431 Ceneralldades
432 ConLrol de documenLos
433 ConLrol de reglsLros
S kesponsab|||dad de |a d|recc|n en cuanLo a compromlso con el SCSl gesLln y provlsln
de recursos y conclenclacln formacln y capaclLacln del personal
31 Compromlso de la dlreccln
32 CesLln de los recursos
321 rovlsln de los recursos
322 Conclenclacln formacln y compeLencla
6 Aud|tor|as |nternas de| SGSI cmo reallzar las audlLorlas lnLernas de conLrol y
cumpllmlenLo
7 kev|s|n de| SGSI por |a d|recc|n cmo gesLlonar el proceso perldlco de revlsln del
SCSl por parLe de la dlreccln
71 Ceneralldades
72 uaLos lnlclales de la revlsln
73 8esulLados de la revlsln
8 Me[ora de| SGSI me[ora conLlnua acclones correcLlvas y acclones prevenLlvas
81 Me[ora conLlnua
82 Accln correcLlva
83 Accln prevenLlva
Anexo A (normaLlvo) Cb[eLlvos de conLrol y conLroles anexo normaLlvo que enumera
los ob[eLlvos de conLrol y conLroles que se encuenLran deLallados en la norma lSC
270022003
Anexo 8 (lnformaLlvo) 8elacln con los rlnclplos de la CCuL con la correspondencla
enLre los aparLados de la lSC 27001 y los prlnclplos de buen goblerno de la CCuL
Anexo C (lnformaLlvo) Correspondencla con oLras normas medlanLe una Labla de
correspondencla de clusulas con lSC 9001 e lSC 14001
8|b||ograf|a normas y publlcaclones de referencla
ISC 27002200S (anter|or ISC 17799200S)
0 Introducc|n concepLos generales de segurldad de la lnformacln y SCSl
1 Campo de ap||cac|n se especlflca el ob[eLlvo de la norma
2 1rm|nos y def|n|c|ones breve descrlpcln de los Lermlnos ms usados en la norma
3 Lstructura de| estndar descrlpcln de la esLrucLura de la norma
Lva|uac|n y tratam|ento de| r|esgo lndlcaclones sobre cmo evaluar y LraLar los rlesgos de
segurldad de la lnformacln
hLLp//wwwlso27000es/download/ConLroleslSC270022003pdf
S o||t|ca de segur|dad documenLo de pollLlca de segurldad y su gesLln
6 Aspectos organ|zat|vos de |a segur|dad de |a |nformac|n organlzacln lnLerna Lerceros
7 Gest|n de act|vos responsabllldad sobre los acLlvos claslflcacln de la lnformacln
8 Segur|dad ||gada a |os recursos humanos anLes del empleo duranLe el empleo cese del
empleo o camblo de puesLo de Lraba[o
9 Segur|dad f|s|ca y amb|enta| reas seguras segurldad de los equlpos
10 Gest|n de comun|cac|ones y operac|ones responsabllldades y procedlmlenLos de
operacln gesLln de la provlsln de servlclos por Lerceros planlflcacln y acepLacln del
slsLema proLeccln conLra cdlgo mallcloso y descargable coplas de segurldad gesLln de la
segurldad de las redes manlpulacln de los soporLes lnLercamblo de lnformacln servlclos de
comerclo elecLrnlco supervlsln
11 Contro| de acceso requlslLos de negoclo para el conLrol de acceso gesLln de acceso de
usuarlo responsabllldades de usuarlo conLrol de acceso a la red conLrol de acceso al slsLema
operaLlvo conLrol de acceso a las apllcaclones y a la lnformacln ordenadores porLLlles y
LeleLraba[o
12 Adqu|s|c|n desarro||o y manten|m|ento de |os s|stemas de |nformac|n0b requ|s|tos de
segur|dad de |os s|stemas de |nformac|n tratam|ento correcto de |as ap||cac|ones contro|es
cr|ptogrf|cos segur|dad de |os arch|vos de s|stema segur|dad en |os procesos de desarro||o y
soporte gest|n de |a vu|nerab|||dad tcn|ca
13 Gest|n de |nc|dentes de segur|dad de |a |nformac|n noLlflcacln de evenLos y punLos
deblles de la segurldad de la lnformacln gesLln de lncldenLes de segurldad de la lnformacln
y me[oras
1 Gest|n de |a cont|nu|dad de| negoc|o aspecLos de la segurldad de la lnformacln en la
gesLln de la conLlnuldad del negoclo
1S Cump||m|ento cumpllmlenLo de los requlslLos legales cumpllmlenLo de las pollLlcas y
normas de segurldad y cumpllmlenLo Lecnlco conslderaclones sobre las audlLorlas de los
slsLemas de lnformacln
8|b||ograf|a normas y publlcaclones de referencla
Ind|ce
uede descargarse una llsLa de Lodos los conLroles que conLlene esLa norma aqul
06 Crgan|zac|n de |a Segur|dad de Informac|n
61 Crgan|zac|n Interna
Objetivo
CesLlonar la segurldad de la lnformacln denLro de la Crganlzacln
Se deberla esLablecer una esLrucLura de gesLln con ob[eLo de lnlclar y conLrolar la lmplanLacln
de la segurldad de la lnformacln denLro de la Crganlzacln
Ll rgano de dlreccln deberla aprobar la pollLlca de segurldad de la lnformacln aslgnar los
roles de segurldad y coordlnar y revlsar la lmplanLacln de la segurldad en Loda la Crganlzacln
Sl fuera necesarlo en la Crganlzacln se deberla esLablecer y faclllLar el acceso a una fuenLe
especlallzada de consulLa en segurldad de la lnformacln ueberlan desarrollarse conLacLos con
especlallsLas exLernos en segurldad que lncluyan a las admlnlsLraclones perLlnenLes con ob[eLo
de manLenerse acLuallzado en las Lendenclas de la lndusLrla la evolucln de las normas y los
meLodos de evaluacln asl como proporclonar enlaces adecuados para el LraLamlenLo de las
lncldenclas de segurldad
ueberla fomenLarse un enfoque mulLldlsclpllnarlo de la segurldad de la lnformacln que por
e[emplo lmpllque la cooperacln y la colaboracln de dlrecLores usuarlos admlnlsLradores
dlsenadores de apllcaclones audlLores y el equlpo de segurldad con experLos en reas como la
gesLln de seguros y la gesLln de rlesgos
611 Comprom|so de |a D|recc|n con |a Segur|dad de |a Informac|n
Contro|
Los mlembros de la ulreccln deberlan respaldar acLlvamenLe las lnlclaLlvas de
segurldad demosLrando su claro apoyo y compromlso aslgnando y aprobando
expllclLamenLe las responsabllldades en segurldad de la lnformacln denLro de la
Crganlzacln
612 Coord|nac|n de |a Segur|dad de |a Informac|n
Contro|
Las acLlvldades para la segurldad de la lnformacln deberlan ser coordlnadas por
represenLanLes que posean de clerLa relevancla en su puesLo y funclones y de los
dlsLlnLos secLores que forman la Crganlzacln
lanLllla para el reglsLro de los mlembros del grupo para la gesLln de la segurldad
(llbre descargalngles)
9SecurlLy ManagemenL Croup Membersdoc
613 As|gnac|n de responsab|||dades
Contro|
Se deberlan deflnlr claramenLe Lodas las responsabllldades para la segurldad de la
lnformacln
lanLllla de documenLacln relaclonada con la responsabllldad de un perfll de un
asesor en segurldad de la lnformacln
10lnformaLlon SecurlLy Advlsordoc
61 roceso de Autor|zac|n de kecursos para e| 1ratam|ento de |a Informac|n
Contro|
Se deberla deflnlr y esLablecer un proceso de gesLln de auLorlzaclones para los
nuevos recursos de LraLamlenLo de la lnformacln
61S Acuerdos de Conf|denc|a||dad
Contro|
Se deberlan ldenLlflcar y revlsar regularmenLe en los acuerdos aquellos requlslLos de
confldenclalldad o no dlvulgacln que conLemplan las necesldades de proLeccln de
la lnformacln de la Crganlzacln
617 Contacto con Grupos de Inters Lspec|a|
Contro|
Se deberla manLener el conLacLo con grupos o foros de segurldad especlallzados y
asoclaclones profeslonales
McAfee Consumer 1hreaL AlerLs warn you abouL Lhe mosL dangerous
downloads polsonous popups and susplclous spam so you can sLay ahead of
Lhe cyberscammers and keep your C and personal lnformaLlon safe Slgn up
for Lhe free alerLs by fllllng ouL Lhe lnformaLlon below
McAfee AlerLs
lnLernaLlonal ln scope and free for publlc use CWL` provldes a unlfled
measurable seL of sofLware weaknesses LhaL ls enabllng more effecLlve
dlscusslon descrlpLlon selecLlon and use of sofLware securlLy Lools and
servlces LhaL can flnd Lhese weaknesses ln source code and operaLlonal
sysLems as well as beLLer undersLandlng and managemenL of sofLware
weaknesses relaLed Lo archlLecLure and deslgn
CWL
lnformacln acLuallzada y muy compleLa sobre aquellas amenazas de lnLerneL
que esLn acLlvas y expllca cmo evlLarlas Ll porLal lncluye dlferenLes
secclones con arLlculos lnformaLlvos y anllsls blogs una enclclopedla de
segurldad lnformLlca y descrlpclones de malware asl como un ampllo glosarlo
de Lermlnos
kaspersky AlerLs
Conse[os de segurldad para el uso seguro del ordenador y de la lnformacln
senslble y personal
AlerLas LSL1
618 kev|s|n Independ|ente de |a Segur|dad de |a Informac|n
Contro|
Se deberlan revlsar las prcLlcas de la Crganlzacln para la gesLln de la segurldad de la
lnformacln y su lmplanLacln (por e[ ob[eLlvos de conLrol pollLlcas procesos y
procedlmlenLos de segurldad) de forma lndependlenLe y a lnLervalos planlflcados o
cuando se produzcan camblos slgnlflcaLlvos para la segurldad de la lnformacln
lSMS audlLlng guldellne lso27001securlLy
1hls procedure lncludes plannlng execuLlon reporLlng
and followup of an lnLernal lSMS audlL and applles Lo all
deparLmenLs LhaL form parL of Lhe company lnformaLlon
securlLy managemenL sysLem
lso27001securlLy
La PerramlenLa de Lvaluacln de Segurldad de MlcrosofL
(MSA1) es una herramlenLa graLulLa dlsenada para
ayudar a las organlzaclones de menos de 1000
empleados a evaluar los punLos deblles de su enLorno de
segurldad de 1l resenLa un llsLado de cuesLlones
ordenadas por prlorldad asl como orlenLacln especlflca
para mlnlmlzar esos rlesgos
1echCenLer de
segurldad
1he SymanLec Small 8uslness Checkup enables small
buslnesses Lo benchmark Lhemselves agalnsL survey
resulLs from 700 small buslnesses across Lurope Lhe
Mlddle LasL and Afrlca (LMLA)
SymanLec Small
8uslness Checkup
os|b|es So|uc|ones a este contro|
07 Gest|n de Act|vos
7.1. Responsab|||dad sobre |os act|vos.
7.1.1. |nventar|o de act|vos.
7.1.2. Responsab|e de |os act|vos.
7.1.3. Acuerdos sobre e| uso aceptab|e de |os act|vos.
7.2. 6|as|f|cac|n de |a |nformac|n
7.2.1. 0|rectr|ces de c|as|f|cac|n.
7.2.2. Harcado y tratam|ento de |a |nformac|n.
La eslruclura de esle purlo de |a rorra es:
7.1. Responsab|||dad sobre |os act|vos.
Objetivo
Alcanzar y manLener una proLeccln adecuada de los acLlvos de la Crganlzacln
9rincipios
1odos los acLlvos deberlan ser [usLlflcados y Lener aslgnado un propleLarlo
Se deberlan ldenLlflcar a los propleLarlos para Lodos los acLlvos y aslgnarles la
responsabllldad del manLenlmlenLo de los conLroles adecuados La lmplanLacln de
conLroles especlflcos podrla ser delegada por el propleLarlo convenlenLemenLe no
obsLanLe el propleLarlo permanece como responsable de la adecuada proLeccln de los
acLlvos
Ll Lermlno propleLarlo" ldenLlflca a un lndlvlduo o enLldad responsable que cuenLa con
la aprobacln del rgano de dlreccln para el conLrol de la produccln desarrollo
manLenlmlenLo uso y segurldad de los acLlvos Ll Lermlno propleLarlo" no slgnlflca que la
persona dlsponga de los derechos de propledad reales del acLlvo
Contro|
1odos los acLlvos deberlan esLar claramenLe ldenLlflcados confecclonando y manLenlendo
un lnvenLarlo con los ms lmporLanLes
7.1.1. |nventar|o de act|vos.
Splceworks ls Lhe compleLe neLwork managemenL
monlLorlng helpdesk C lnvenLory sofLware
reporLlng soluLlon Lo manage LveryLhlng l1 ln small
and medlum buslnesses
Splceworks
aglo ls ondemand Lool 8uslnesses can dlscover
all Lhelr l1 lnformaLlon and geL lnsLanL answers Lo
Lhelr compuLer neLwork and securlLy quesLlons
aglo
lanLllla de lnvenLarlo de acLlvos manual en ho[a
excel (llbre descargalngles)
Calllo 1echnologles
Pos|b|es 8o|uc|ones a este contro|:
7.1.2. Responsab|e de |os act|vos.
Contro|
1oda la lnformacln y acLlvos asoclados a los recursos para el LraLamlenLo de la
lnformacln deberlan perLenecer a una parLe deslgnada de la Crganlzacln
lanLllla para la gesLln de roles y
responsabllldades asocladas a los acLlvos
Calllo 1echnologles
713 Acuerdos sobre e| uso adecuado de |os act|vos
Contro|
Se deberlan ldenLlflcar documenLar e lmplanLar regulaclones para el uso adecuado de la
lnformacln y los acLlvos asoclados a recursos de LraLamlenLo de la lnformacln
(consulLar 108)
Cula para proLeger y usar de
forma segura su mvll
Cula ln1LCC
08 Segur|dad ||gada a |os kecursos numanos
.1. 8egur|dad en |a def|n|c|n de| trabajo y |os recursos.
.1.1. |nc|us|n de |a segur|dad en |as responsab|||dades |abora|es.
.1.2. 8e|ecc|n y po||t|ca de persona|.
.1.3. Trm|nos y cond|c|ones de |a re|ac|n |abora|.
.2. 8egur|dad en e| desempeo de |as func|ones de| emp|eo.
.2.1. 8uperv|s|n de |as ob||gac|ones.
.2.2. Formac|n y capac|tac|n en segur|dad de |a |nformac|n.
.2.3. Proced|m|ento d|sc|p||nar|o.
.3. F|na||zac|n o camb|o de| puesto de trabajo.
.3.1. 6ese de responsab|||dades.
.3.2. Rest|tuc|n de act|vos.
.3.3. 6ance|ac|n de perm|sos de acceso.
.1. Seguridad en Ia definicin deI trabajo y Ios recursos
Objetivo
Asegurar que los empleados conLraLlsLas y usuarlos de Lerceras parLes enLlendan sus
responsabllldades y sean apLos para las funclones que desarrollen 8educlr el rlesgo
de robo fraude y mal uso de las lnsLalaclones y medlos
r|nc|p|os
Las responsabllldades de la segurldad se deberlan deflnlr anLes de la
conLraLacln laboral medlanLe la descrlpcln adecuada del Lraba[o y los Lermlnos
y condlclones del empleo
1odos los candldaLos para el empleo los conLraLlsLas y los usuarlos de Lerceras
parLes se deberlan selecclonar adecuadamenLe especlalmenLe para los Lraba[os
senslbles
Los empleados conLraLlsLas y usuarlos de Lerceras parLes de los servlclos de
procesamlenLo de la lnformacln deberlan flrmar un acuerdo sobre sus
funclones y responsabllldades con relacln a la segurldad
811 Inc|us|n de |a segur|dad en |as responsab|||dades |abora|es
Contro|
Se deberlan deflnlr y documenLar los roles y responsabllldades de la segurldad de los
empleados conLraLlsLas y Lerceros en concordancla con la pollLlca de segurldad de la
lnformacln de la organlzacln
ulversas lanLlllas
relaclonadas
(lngles)
LlemenLos de la descrlpcln de
Lraba[o
Modelo de descrlpcln de
funclones
L[emplo 1 uescrlpcln Asesor
de Segurldad
L[emplo 2 uescrlpclones de
poslclones y funclones en
segurldad
PosibIes SoIuciones a este controI:
ulversas lanLlllas
relaclonadas (lngles)
8elacln para el chequeo de
referenclas
AuLorlzacln prevla al chequeo de
referenclas
SecurlLy screenlng of
lndlvlduals employed ln a
securlLy envlronmenL
Code of pracLlce
8S 78382006+A22009
.1.2. SeIeccin y poItica de personaI
6ontro|:
$e deoeriar rea||zar rev|s|ores de ver|l|cac|r de arlecederles de |os card|dalos a| erp|eo, corlral|slas
y lerceros y er corcordarc|a cor |as regu|ac|ores, l|ca y |eyes re|evarles y deoer ser proporc|ora|es a
|os requer|r|erlos de| regoc|o, |a c|as|l|cac|r de |a |rlorrac|r a |a cua| se va a lerer acceso y |os
r|esgos perc|o|dos.
ulversas lanLlllas
Acuerdo de Confldenclalldad
L[emplo 1 acuerdo de confldenclalldad
L[emplo 2 acuerdo de no revelacln
ConLraLo del personal
.1.3. Trminos y condiciones de Ia reIacin IaboraI.
6ontro|:
oro parle de su oo||gac|r corlraclua|, erp|eados, corlral|slas y lerceros deoeriar aceplar y l|rrar |os
lrr|ros y cord|c|ores de| corlralo de erp|eo, e| cua| eslao|ecer sus oo||gac|ores y |as oo||gac|ores de
|a orgar|zac|r para |a segur|dad de |rlorrac|r.
(Pos|b|es 8o|uc|ones a este contro|:
.2. Seguridad en eI desempeo de Ias funciones deI empIeo
Cb[et|vo
Asegurar que los empleados conLraLlsLas y Lerceras parLes son consclenLes de las amenazas de
segurldad de sus responsabllldades y obllgaclones y que esLn equlpados para cumpllr con la
pollLlca de segurldad de la organlzacln en el desempeno de sus labores dlarlas para reduclr el
rlesgo asoclado a los errores humanos
r|nc|p|os
Se deberla deflnlr las responsabllldades de la ulreccln para garanLlzar que la segurldad se
apllca en Lodos los puesLos de Lraba[o de las personas de la organlzacln
A Lodos los usuarlos empleados conLraLlsLas y Lerceras personas se les deberla proporclonar
un adecuado nlvel de conclenclacln educacln y capaclLacln en procedlmlenLos de
segurldad y en el uso correcLo de los medlos dlsponlbles para el procesamlenLo de la
lnformacln con ob[eLo de mlnlmlzar los poslbles rlesgos de segurldad
Se deberla esLablecer un proceso dlsclpllnarlo normal para gesLlonar las brechas en
segurldad
ulversas lanLlllas
8elacln para la supervlsln del personal
lormularlo de supervlslon del personal
.2.1. Supervisin de Ias obIigaciones
6ontro|:
La 0|recc|r deoeria requer|r a erp|eados, corlral|slas y usuar|os de lerceras parles ap||car |a segur|dad
er corcordarc|a cor |as po|il|cas y |os proced|r|erlos eslao|ec|dos de |a orgar|zac|r.
Curso lnLroducLorlo graLulLo de 20h a los SlsLemas de CesLln de la Segurldad
de la lnformacln (SCSl) segun la norma unLlSC/lLC 27001 Se darn a
conocer los concepLos bslcos necesarlos para lnLroduclr al usuarlo en la
gesLln de la Segurldad de la lnformacln asl como conocer la dlmensln y
alcance que suponen la lmplanLacln cerLlflcacln y manLenlmlenLo de un
SlsLema de CesLln de Segurldad de la lnformacln en una Crganlzacln en
base a la norma lSC/lLC 27001
lnLecoes
1he buslness value of lSC27k case_sLudy for senlor managers 1hls case ls
derlved from a presenLaLlon by Lhe Managlng ulrecLor of servlceCo an l1
servlces company Lo an audlence of lnformaLlon securlLy and l1 audlL
speclallsL
lso27001securlLy
1hls klL lncludes a plannlng gulde LemplaLes polnLers Lo maLerlal can LhaL can
help speed Lhe developmenL of a securlLy awareness program a sample
general securlLy awareness presenLaLlon LhaL can be modlfled and Lallored Lo
any organlzaLlon maLerlal Lo help arLlculaLe Lhe value Lo peers and managers
and Lhree example awareness campalgns from MlcrosofL lnformaLlon SecurlLy
MlcrosofL SecurlLy
Awareness 1oolklL
6ontro|:
%odos |os erp|eados de |a orgar|zac|r y dorde sea re|evarle, corlral|slas y usuar|os de lerceros
deoeriar rec|o|r erlrerar|erlo aprop|ado de| coroc|r|erlo y aclua||zac|ores regu|ares er po|il|cas y
proced|r|erlos orgar|zac|ora|es coro sear re|evarles para |a lurc|r de su lraoajo.
(Pos|b|es 8o|uc|ones a este contro|:
.2.2. Formacin y capacitacin en seguridad de Ia informacin
un LMS es un programa (apllcacln de sofLware) lnsLalado en un servldor que
se emplea para admlnlsLrar dlsLrlbulr y conLrolar las acLlvldades de formacln
no presenclal o eLearnlng de una lnsLlLucln u organlzacln
Learnlng ManagemenL
sysLems
lncluye conLenldo de muesLra sobre conclenclacln uLlllzado en Lodo el
mundo para ayudar a reconocer y responder a problemas de segurldad y
proLeccln LsLe conLenldo se ha uLlllzado en programas de la comunldad en
escuelas empresas lndusLrlales y en llnea a Lraves de sLaysafeorg uede
emplear esLe maLerlal como e[emplo o dlrecLamenLe en sus proplos
programas lnLernos de conclenclacln
1echCenLer de segurldad
lnfoSec lnsLlLuLes LnLerprlse SecurlLy Awareness for SofLware uevelopers
hlghllghLs Lhe lmporLanL sub[ecL areas and besL pracLlces of secure codlng An
emphasls ls placed on Lhe mosL common LhreaLs Lo appllcaLlons as well as
language or archlLecLurespeclflc remedlaLlon 1here are Lhree formaLs of Lhe
course avallable * SecurlLy Awareness for nL1/C#/v8 developers * SecurlLy
Awareness for !2LL/!ava developers * SecurlLy Awareness for C/C++
developers
lnfoSec lnsLlLuLe
MlndfulSecurlLycom ls a personal webslLe creaLed owned and malnLalned by
aul !ohnson 1hls slLe ls prlmarlly deslgned as a resource for buslnesses
seeklng maLerlals and ldeas for ralslng Lhe lnformaLlon securlLy awareness
levels of Lhelr employees and workers
mlndfulsecurlLy
Ln esLa pglna la ALu pone a dlsposlcln de los cludadanos lnformacln
conse[os asl como recursos y maLerlales para fomenLar una parLlclpacln
segura en las mulLlples poslbllldades que hoy nos ofrece lnLerneL
Agencla roLeccln de
uaLos
lormacln en que conslsLe y cmo lnformar de lncldenLes de segurldad Slrve
como modelo de formacln uLll a lmplanLar lnLernamenLe por una
organlzacln lCS dlspone de maLerlal dlverso de demosLracln y Lamblen
para su adqulslcln y Lraduccln al espanol
lSC
.2.3. Procedimiento discipIinario
Contro|
ueberla exlsLlr un proceso formal dlsclpllnarlo para empleados que produzcan brechas en la
segurldad
.3. FinaIizacin o cambio deI puesto de trabajo
Cb[et|vo
CaranLlzar que los empleados conLraLlsLas y Lerceras personas abandonan la
organlzacln o camblan de empleo de forma organlzada
r|nc|p|os
Se deberlan esLablecer las responsabllldades para asegurar que el abandono de la organlzacln
por parLe de los empleados conLraLlsLas o Lerceras personas se conLrola que se devuelve Lodo
el equlpamlenLo y se ellmlnan compleLamenLe Lodos los derechos de acceso
Los camblos en las responsabllldades y empleos en la organlzacln se deberlan mane[ar en el
caso de su flnallzacln en llnea con esLa seccln y para el caso de nuevos empleos como se
descrlbe en la seccln 81
.3.1. Cese de responsabiIidades
Contro|
Las responsabllldades para e[ecuLar la flnallzacln de un empleo o el camblo de esLe deberlan
esLar claramenLe deflnldas y aslgnadas
.3.2. Restitucin de activos
Contro|
1odos los empleados conLraLlsLas y Lerceros deberlan devolver Lodos los acLlvos de la
organlzacln que esLen en su posesln a la flnallzacln de su empleo conLraLo o acuerdo
Gu|a
Ll proceso de flnallzacln deberla esLar formallzado para lnclulr el reLorno prevlo de los
sofLware documenLos corporaLlvos y equlpos
CLros acLlvos de la organlzacln como dlsposlLlvos mvlles de compuLo Lar[eLas de credlLo
Lar[eLas de acceso manuales sofLware e lnformacln guardada en medlos elecLrnlcos Lamblen
neceslLan ser devuelLos
Ln casos donde el empleado conLraLlsLa o Lercero compra el equlpo de la organlzacln o usa su
proplo equlpo se deberla segulr procedlmlenLos para asegurar que Loda la lnformacln
relevanLe es Lransferlda a la organlzacln y borrado con segurldad del equlpo (consulLar 1071)
Ln casos donde un empleado conLraLlsLa o Lercero Llene conoclmlenLo que es lmporLanLe para
las operaclones en curso esa lnformacln debe ser documenLada y Lransferlda a la organlzacln
.3.3. CanceIacin de permisos de acceso
Contro|
Se deberlan reLlrar los derechos de acceso para Lodos los empleados conLraLlsLas o usuarlos de
Lerceros a la lnformacln y a las lnsLalaclones del procesamlenLo de lnformacln a la flnallzacln
del empleo conLraLo o acuerdo o ser revlsada en caso de camblo
Gu|a
1ras la flnallzacln se deberlan reconslderar los derechos de acceso de un lndlvlduo a los acLlvos
asoclados con los slsLemas de lnformacln y a los servlclos LsLo deLermlnara sl es necesarlo
reLlrar los derechos de acceso
Los camblos en un empleo deberlan refle[arse en la reLlrada de Lodos los derechos de acceso
que no sean aprobados para el nuevo empleo
Los derechos de acceso deberlan ser reLlrados o adapLados lncluyendo acceso flslco y lglco
llaves Lar[eLas de ldenLlflcacln lnsLalaclones del proceso de lnformacln (consulLar 1124)
subscrlpclones y reLlrada de cualquler documenLacln que los ldenLlflca como un mlembro
acLual de la organlzacln
Sl un empleado conLraLlsLa o usuarlo de Lercero sallenLe ha sabldo conLrasenas para acLlvos
resLanLes de las cuenLas deberlan ser cambladas hasLa la flnallzacln o camblo del empleo
conLraLo o acuerdo
.3.3. CanceIacin de permisos de acceso
Los derechos de acceso para acLlvos de lnformacln y equlpos se deberlan reduclr o reLlrar
anLes que el empleo Lermlne o camble dependlendo de la evaluacln de los facLores de rlesgo
como
a) sl la flnallzacln o camblo es lnlclado por el empleado conLraLlsLa o usuarlo de Lercero o por
la gerencla y la razn de la flnallzacln
b) las responsabllldades acLuales del empleado u oLro usuarlo
c) el valor de los acLlvos a los que se accede acLualmenLe
Informac|n ad|c|ona|
Ln clerLas clrcunsLanclas los derechos de acceso pueden ser aslgnados en base a la
dlsponlbllldad hacla ms personas que el empleado conLraLlsLa o usuarlo de Lercero sallenLe
Ln esLas clrcunsLanclas los lndlvlduos sallenLes deberlan ser removldos de cualquler llsLa de
grupos de acceso y se deben reallzar arreglos para adverLlr a los dems empleados conLraLlsLas
y usuarlos de Lerceros lnvolucrados de no comparLlr esLa lnformacln con la persona sallenLe
Ln casos de gerencla Lermlnada conLrarledad con los empleados conLraLlsLas o usuarlos de
Lerceros pueden llevar a corromper lnformacln dellberadamenLe o a saboLear las lnsLalaclones
del procesamlenLo de lnformacln
Ln casos de renuncla de personal esLos pueden ser LenLados a recolecLar lnformacln para usos
fuLuros
. Seguridad Fsica y deI Entorno
.1. Areas seguras.
.1.1. Per|metro de segur|dad f|s|ca.
.1.2. 6ontro|es f|s|cos de entrada.
.1.3. 8egur|dad de of|c|nas, despachos y recursos.
.1.4. Protecc|n contra amenazas externas y de| entorno.
.1.5. E| trabajo en reas seguras.
.1.. Areas a|s|adas de carga y descarga.
.2. 8egur|dad de |os equ|pos.
.2.1. |nsta|ac|n y protecc|n de equ|pos.
.2.2. 8um|n|stro e|ctr|co.
.2.3. 8egur|dad de| cab|eado.
.2.4. Hanten|m|ento de equ|pos.
.2.5. 8egur|dad de equ|pos fuera de |os |oca|es de |a 0rgan|zac|n.
.2.. 8egur|dad en |a reut|||zac|n o e||m|nac|n de equ|pos.
.2.7. Tras|ado de act|vos.
LvlLar el acceso flslco no auLorlzado danos o
lnLromlslones en las lnsLalaclones y a la lnformacln de la
organlzacln
Los servlclos de procesamlenLo de lnformacln senslble
deberlan ublcarse en reas seguras y proLegldas en un
perlmeLro de segurldad deflnldo por barreras y conLroles
de enLrada adecuados LsLas reas deberlan esLar
proLegldas flslcamenLe conLra accesos no auLorlzados
danos e lnLerferenclas
La proLeccln sumlnlsLrada deberla esLar acorde con los
rlesgos ldenLlflcados
.1. reas seguras
TabIa de contenidos
No hay encabezados
911 er|metro de segur|dad f|s|ca
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Los perlmeLros de segurldad (como paredes
Lar[eLas de conLrol de enLrada a puerLas o un
puesLo manual de recepcln) deberlan
uLlllzarse para proLeger las reas que
conLengan lnformacln y recursos para su
procesamlenLo
912 Contro|es f|s|cos de entrada
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Las reas de segurldad deberlan esLar
proLegldas por conLroles de enLrada
adecuados que garanLlcen el acceso
unlcamenLe al personal auLorlzado
913 Segur|dad de of|c|nas despachos y
recursos
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Se deberla aslgnar y apllcar la segurldad flslca
para oflclnas despachos y recursos
91 rotecc|n contra amenazas externas y
de| entorno
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Se deberla deslgnar y apllcar medldas de
proLeccln flslca conLra lncendlo lnundacln
LerremoLo explosln malesLar clvll y oLras
formas de desasLre naLural o humano
91S L| traba[o en reas seguras
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Se deberla dlsenar y apllcar proLeccln flslca y
pauLas para Lraba[ar en las reas seguras
916 reas a|s|adas de carga y descarga
Contro|
Se deberlan conLrolar las reas de carga y descarga con ob[eLo de evlLar accesos no auLorlzados
y sl es poslble alslarlas de los recursos para el LraLamlenLo de la lnformacln
LvlLar la perdlda dano robo o puesLa en pellgro de los
acLlvos y lnLerrupcln de las acLlvldades de la
organlzacln
ueberlan proLegerse los equlpos conLra las amenazas
flslcas y amblenLales La proLeccln del equlpo es
necesarla para reduclr el rlesgo de acceso no auLorlzado a
la lnformacln y su proLeccln conLra perdlda o robo
Asl mlsmo se deberla conslderar la ublcacln y
ellmlnacln de los equlpos
Se podrlan requerlr conLroles especlales para la
proLeccln conLra amenazas flslcas y para salvaguardar
servlclos de apoyo como energla elecLrlca e
lnfraesLrucLura de lcableado
.2. Seguridad de Ios equipos
921 Insta|ac|n y protecc|n de equ|pos
Contro|
Ll equlpo deberla slLuarse y proLegerse para reduclr el rlesgo de maLerlallzacln de las amenazas
del enLorno asl como las oporLunldades de acceso no auLorlzado
922 Sum|n|stro e|ctr|co
Contro|
Se deberlan proLeger los equlpos conLra fallos en el sumlnlsLro de energla u oLras anomallas
elecLrlcas en los equlpos de apoyo
923 Segur|dad de| cab|eado
Contro|
Se deberla proLeger el cableado de energla y de Lelecomunlcaclones que LransporLen daLos o
soporLen servlclos de lnformacln conLra poslbles lnLercepLaclones o danos
92 Manten|m|ento de equ|pos
Contro|
Se deberlan manLener adecuadamenLe los equlpos para garanLlzar su conLlnua dlsponlbllldad e
lnLegrldad
92S Segur|dad de equ|pos fuera de |os |oca|es de |a Crgan|zac|n
Contro|
Se deberla apllcar segurldad a los equlpos que se encuenLran fuera de los locales de la
organlzacln conslderando los dlversos rlesgos a los que esLn expuesLos
uarlks 8ooL and nuke (u8An) ls a self
conLalned booL dlsk LhaL securely wlpes Lhe
hard dlsks of mosL compuLers u8An wlll
auLomaLlcally and compleLely deleLe Lhe
conLenLs of any hard dlsk LhaL lL can deLecL
whlch makes lL an approprlaLe uLlllLy for bulk
or emergency daLa desLrucLlon
u8An
.2.6. Seguridad en Ia reutiIizacin o eIiminacin de equipos
6ontro|:
0eoeria rev|sarse cua|qu|er e|ererlo de| equ|po que corlerga d|spos|l|vos de a|racerar|erlo cor e| l|r
de gararl|zar que cua|qu|er dalo sers|o|e y sollWare cor ||cerc|a se raya e||r|rado o soorescr|lo cor
segur|dad arles de |a e||r|rac|r.
927 1ras|ado de act|vos
Contro|
no deberlan sacarse equlpos lnformacln o sofLware fuera del local sln una auLorlzacln
1. Gestin de Comunicaciones y Operaciones
10.1. Proced|m|entos y responsab|||dades de operac|n.
10.1.1. 0ocumentac|n de proced|m|entos operat|vos.
10.1.2. 6ontro| de camb|os operac|ona|es.
10.1.3. 8egregac|n de tareas.
10.1.4. 8eparac|n de |os recursos para desarro||o y producc|n.
10.2. 8uperv|s|n de |os serv|c|os contratados a terceros.
10.2.1. Prestac|n de serv|c|os.
10.2.2. Hon|tor|zac|n y rev|s|n de |os serv|c|os contratados.
10.2.3. Cest|n de |os camb|os en |os serv|c|os contratados.
10.3. P|an|f|cac|n y aceptac|n de| s|stema.
10.3.1. P|an|f|cac|n de capac|dades.
10.3.2. Aceptac|n de| s|stema.
10.4. Protecc|n contra software ma||c|oso y cd|go mv||.
10.4.1. Hed|das y contro|es contra software ma||c|oso.
10.4.2. Hed|das y contro|es contra cd|go mv||.
10.5. Cest|n |nterna de soportes y recuperac|n.
10.5.1. Recuperac|n de |a |nformac|n.
10.. Cest|n de redes.
10..1. 6ontro|es de red.
10..2. 8egur|dad en |os serv|c|os de red.
10.7. Ut|||zac|n y segur|dad de |os soportes de |nformac|n.
10.7.1. Cest|n de soportes extra|b|es.
10.7.2. E||m|nac|n de soportes.
10.7.3. Proced|m|entos de ut|||zac|n de |a |nformac|n.
10.7.4. 8egur|dad de |a documentac|n de s|stemas.
10.. |ntercamb|o de |nformac|n y software.
10..1. Acuerdos para |ntercamb|o de |nformac|n y software.
10..2. 8egur|dad de soportes en trns|to.
10..3. Hensajer|a e|ectrn|ca.
10..4. |nterconex|n de s|stemas con |nformac|n de negoc|o
10..5. 8|stemas de |nformac|n empresar|a|es.
10.. 8erv|c|os de comerc|o e|ectrn|co.
10..1. 8egur|dad en comerc|o e|ectrn|co.
10..2. 8egur|dad en transacc|ones en ||nea.
10..3. 8egur|dad en |nformac|n pb||ca.
10.10. Hon|tor|zac|n
10.10.1. Reg|stro de |nc|denc|as.
10.10.2. 8egu|m|ento de| uso de |os s|stemas.
10.10.3. Protecc|n de |os reg|stros de |nc|denc|as.
10.10.4. 0|ar|os de operac|n de| adm|n|strador y operador.
10.10.5. Reg|stro de fa||os.
10.10.. 8|ncron|zac|n de re|oj.
Asegurar la operacln correcLa y segura de los recursos de
LraLamlenLo de lnformacln
Se deberlan esLablecer responsabllldades y
procedlmlenLos para la gesLln y operacln de Lodos los
recursos para el LraLamlenLo de la lnformacln
LsLo lncluye el desarrollo de lnsLrucclones apropladas de
operacln y de procedlmlenLos de respuesLa anLe
lncldenclas
Se lmplanLar la segregacln de Lareas cuando sea
adecuado para reduclr el rlesgo de un mal uso del
slsLema dellberado o por negllgencla
1. 1. Procedimientos y responsabiIidades de operacin
TabIa de contenidos
No hay encabezados
1011 Documentac|n de proced|m|entos
operat|vos
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Se deberlan documenLar y manLener los
procedlmlenLos de operacln y ponerlos a
dlsposlcln de Lodos los usuarlos que lo
neceslLen
1012 Contro| de camb|os operac|ona|es
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Se deberlan conLrolar los camblos en los
slsLemas y en los recursos de LraLamlenLo de la
lnformacln
1he sofLwarebased soluLlon
capLures user acLlvlLy ln any
user sesslon lncludlng 1ermlnal
8emoLe ueskLop ClLrlx
vMWare vnC neLC and C
Anywhere Cbservel1 xpress ls a
compleLely free verslon of Lhe
Cbservel1 producL wlLh no Llme
llmlL 1he free verslon can
monlLor a maxlmum of 3 servers
Cbservel1
xpress
1he segregaLlon of duLles
conLrol maLrlx ls lllusLraLlve of
poLenLlal segregaLlon of duLles
lssues
lSACA
6ontro|:
$e deoeriar segregar |as lareas y |as reas de resporsao|||dad cor e| l|r de reduc|r |as oporlur|dades de ura
101 Separac|n de |os recursos para desarro||o y producc|n
Contro|
La separacln de los recursos para el desarrollo prueba y produccln es lmporLanLe para
reduclr los rlesgos de un acceso no auLorlzado o de camblos al slsLema operaclonal
lmplemenLar y manLener un nlvel aproplado de segurldad
de la lnformacln y de la presLacln del servlclo en llnea
con los acuerdos de presLacln del servlclo por Lerceros
La organlzacln deberla verlflcar la lmplemenLacln de
acuerdos el monlLoreo de su cumpllmlenLo y gesLln de
los camblos con el fln de asegurar que los servlclos que se
ser presLan cumplen con Lodos los requerlmlenLos
acordados con los Lerceros
1. 2. Supervisin de Ios servicios contratados a terceros
TabIa de contenidos
No hay encabezados
L[emplos de peLlclones de
propuesLas en los que se
lncluyen descrlpclones del
servlclo enLregado y acuerdos
de segurldad con Lerceros asl
como deflnlclones de servlclo
y aspecLos de la gesLln del
servlclo (lngles)
kerala SLaLe Wlde
Area neLwork
lnfrasLrucLure
kerala SLaLe lSMS
lmplanLaLlon
6ontro|:
$e deoeria gararl|zar que |os corlro|es de segur|dad, del|r|c|ores de serv|c|o y r|ve|es de erlrega |rc|u|dos e
(consu|tar 14.1)
1022 Mon|tor|zac|n y rev|s|n de |os
serv|c|os contratados
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Los servlclos lnformes y reglsLros
sumlnlsLrados por Lerceros deberlan ser
monlLoreados y revlsados regularmenLe y las
audlLorlas se deberlan reallzar a lnLervalos
regulares
1023 Gest|n de |os camb|os en |os serv|c|os contratados
Contro|
Se deberlan gesLlonar los camblos en la provlsln del servlclo lncluyendo manLenlmlenLo y
me[oras en las pollLlcas de segurldad de lnformacln exlsLenLes en los procedlmlenLos y los
conLroles Lenlendo en cuenLa la lmporLancla de los slsLemas y procesos del negoclo
lnvolucrados asl como la reevaluacln de los rlesgos
Mlnlmlzar el rlesgo de fallos en los slsLemas
Se requlere una planlflcacln y preparacln avanzadas
para garanLlzar la adecuada capacldad y recursos con
ob[eLo de manLener la dlsponlbllldad de los slsLemas
requerlda
ueberlan reallzarse proyecclones de los requlslLos de
capacldad en el fuLuro para reduclr el rlesgo de
sobrecarga de los slsLemas
Se deberlan esLablecer documenLar y probar anLes de su
acepLacln los requlslLos operaclonales de los nuevos
slsLemas
1. 3. PIanificacin y aceptacin deI sistema
TabIa de contenidos
No hay encabezados
10 3 1 |an|f|cac|n de capac|dades
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Se deberla monlLorlzar el uso de recursos asl como de las proyecclones de los requlslLos de las
capacldades adecuadas para el fuLuro con ob[eLo de asegurar el funclonamlenLo requerldo del
slsLema
10 3 2 Aceptac|n de| s|stema
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Se deberlan esLablecer crlLerlos de acepLacln para nuevos slsLemas de lnformacln
acLuallzaclones y verslones nuevas Se deberlan desarrollar las pruebas adecuadas del slsLema
duranLe el desarrollo y anLes de su acepLacln
roLeger la lnLegrldad del sofLware y de la lnformacln
Se requleren clerLas precauclones para prevenlr y
deLecLar la lnLroduccln de cdlgo mallcloso y cdlgos
mvlles no auLorlzados
Ll sofLware y los recursos de LraLamlenLo de lnformacln
son vulnerables a la lnLroduccln de sofLware mallcloso
como vlrus lnformLlcos gusanos de la red caballos de
Lroya y bombas lglcas
Los usuarlos deberlan conocer los pellgros que puede
ocaslonar el sofLware mallcloso o no auLor lzado y los
admlnlsLradores deberlan lnLroduclr conLroles y medldas
especlales para deLecLar o evlLar su lnLroduccln
1. 4. Proteccin contra software maIicioso y cdigo mviI
TabIa de contenidos
No hay encabezados
Servlce onllne for malware SubmlL
your J|ndows executab|e and
recelve an analysls reporL Lelllng you
whaL lL does lor analyzlng !avascrlpL
and llash flles Lry WepaweL
Anubls
vlrus1oLal es un servlclo de anllsls
de archlvos sospechosos que
permlLe deLecLar vlrus gusanos
Lroyanos y malware en general
CaracLerlsLlcas Servlclo
lndependlenLe y graLulLo uso
slmulLneo de mulLlples moLores
anLlvlrus AcLuallzacln auLomLlca
de los moLores en Llempo real
8esulLados deLallados por cada uno
de los anLlvlrus LsLadlsLlcas globales
en Llempo real
vlrus1oLal
Lspeclflcaclones para el eLlqueLado
de sofLware con el ob[eLo de
opLlmlzar su ldenLlflcacln y gesLln
(lngles)
lSC/lLC
19077
22009
MlcrosofL SecurlLy LssenLlals
proporclona proLeccln en Llempo
real conLra vlrus spyware y oLros
Llpos de sofLware mallnLenclonado
para Cs
MlcrosofL
SecurlLy
LssenLlals
neLCop ls u1M server wlLh
lnLegraLed CSno need Lo lnsLall any
sofLware aL cllenL sldeneLCop does
ConLenL fllLerCache LnglneSpam
proLecLlonPoLspoLbandwldLh
conLrol Also proLecL your neLwork
from lncomlng LhreaLs llke vlrus
SAM 1ro[an eLc
neLCop
u1M
(consu|tar 15.1.2)
(consu|tar 13.1 y 13.2)
(consu|tar 14)
10 2 Med|das y contro|es contra cd|go
mv||
1ab|a de conten|dos
No boy eocobezoJos
Contro|
Cuando se auLorlca la uLlllzacln de cdlgo
mvll la conflguracln deberla asegurar que
dlcho cdlgo mvll opera de acuerdo a una
pollLlca de segurldad deflnlda y se deberla
evlLar la e[ecucln de los cdlgos mvlles no
auLorlzados
ManLener la lnLegrldad y la dlsponlbllldad de los servlclos
de LraLamlenLo de lnformacln y comunlcacln
Se deberlan esLablecer procedlmlenLos ruLlnarlos para
consegulr la esLraLegla acepLada de respaldo (consulLar
141) para reallzar coplas de segurldad y probar su
punLual recuperacln
1. 5. Gestin interna de soportes y recuperacin
TabIa de contenidos
No hay encabezados
10 S 1 kecuperac|n de |a |nformac|n
Contro|
Se deberlan hacer regularmenLe coplas de segurldad de Loda la lnformacln esenclal del
negoclo y del sofLware de acuerdo con la pollLlca acordada de recuperacln
Asegurar la proLeccln de la lnformacln en las redes y la
proLeccln de su lnfraesLrucLura de apoyo
La gesLln de la segurldad de las redes las cuales pueden
cruzar las fronLeras de la organlzacln exlge la aLencln a
los flu[os de daLos lmpllcaclones legales monlLoreo y la
proLeccln
odrlan ser necesarlos conLroles adlclonales con el fln de
proLeger la lnformacln senslble que pasa por las redes
publlcas
1. 6. Gestin de redes
TabIa de contenidos
No hay encabezados
nmap (neLwork Mapper) es una
uLllldad llbre y en cdlgo
ablerLo de exploracln de redes o
audlLorla de segurldad Lll
para lnvenLarlo de red
planlflcacln de acLuallzaclones y
monlLorlzacln de dlsponlblldad
de servldores o servlclos (lngles)
nMA
1he CSWAAsslsLanL` ls a freely
downloadable selfconLalned
wlrelessaudlLlng LoolklL for boLh
l1securlLy professlonals and Lnd
users allke
CSWA
klsmeL ldenLlfles neLworks by
passlvely collecLlng packeLs and
deLecLlng sLandard named
neLworks deLecLlng (and glven
Llme decloaklng) hldden
neLworks and lnferlng Lhe
presence of nonbeaconlng
neLworks vla daLa Lrafflc
klsme
L
klsMAC ls a free open source
wlreless sLumbllng and securlLy
Lool for Mac CS x
klsma
c
lreeware employee monlLorlng
neLwork1ools owner sues
MlcrosofL Clsco ComcasL and
18uS1e over l Address
8lackllsLlng SulL alleges
eavdropplng prlvacy pollcy fraud
breach of conLracL and
defamaLlon
neLwo
rk1ool
s
lree lSC 27001/lSC17799 Wlreless
LAn SecurlLy Summary
conLro
lscada
lllnL examlnes flrewalls qulckly
compuLes Lhe effecL of all Lhe
conflguraLlon rules and Lhen spoLs
problems
MaLas
ano
lllnL
|nfomac|n ad|c|ona|:
$e puede ercorlrar |rlorrac|r ad|c|ora| soore er segur|dad de redes er l$lE 18028, Teono|oia oe |a |n
Cisco Router Audit Tool for Windows and Unix. Ability to score Cisco Router OS,
Ability to score Cisco PX firewalls and ncludes benchmark documents (P) for
both Cisco OS and Cisco ASA, WSM, and PX security settings. (ingls)
RAT Cisco
This guide discusses the Cisco SAE best practices, designs and configurations,
and provides network and security engineers with the necessary information to
help them succeed in designing, implementing and operating secure network
infrastructures based on Cisco products and technologies. (ingls)
SAE Cisco
Open Source Tripwire software is a security and data integrity tool useful for
monitoring and alerting on specific file change(s) on a range of systems. The
project is based on code originally contributed by Tripwire, nc. in 2000.
Tripwire
Advanced ntrusion etection Environment. Host-based tool. AE
6ontro|:
Se deberan identificar e incluir, en cualquier acuerdo sobre servicios de red, las caractersticas de
seguridad, los niveles de servicio y los requisitos de gestin de todos los servicios de red,
independientemente de que estos servicios sean provistos desde la propia organizacin o se
contratan desde el exterior.
1. 6. 2. Seguridad en Ios servicios de red
5en-source host-based intrusion detection system (HS) provides file integrity
checking and log file monitoring/analysis, as well as rootkit detection, port
monitoring, detection of rogue SU executables, and hidden processes. esigned
to monitor multiple hosts with potentially different operating systems (Unix, Linux,
Cygwin/Windows).
Samhain
1. 6. 2. Seguridad en Ios servicios de red
1. 7. UtiIizacin y seguridad de Ios soportes de informacin
Pr|nc|p|os:
Los medlos deberlan ser conLrolados y flslcamenLe proLegldos
Se deberlan esLablecer los procedlmlenLos operaLlvos adecuados para proLeger los documenLos
medlos lnformLlcos (dlscos clnLas eLc) daLos de enLrada o sallda y documenLacln del slsLema
conLra la dlvulgacln modlflcacln reLlrada o desLruccln de acLlvos no auLorlzadas
0bjet|vo:
LvlLar la dlvulgacln modlflcacln reLlrada o desLruccln de acLlvos no auLorlzada e
lnLerrupclones en las acLlvldades de la organlzacln
6ontro|:
Se deberan establecer procedimientos para la gestin de los medios informticos removibles.
10 7 1 Gest|n de soportes extra|b|es
nAlu es la asoclacln lnLernaclonal de empresas que
presLan servlclos de desLruccln de la lnformacln Lnlace
para locallzar sus mlembros de los dlsLlnLos palses e
lnformacln sobre normas eLlca y audlLorlas de
cerLlflcacln de empresas
naldonllneorg
6ontro|:
Se deberan eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos,
utilizando procedimientos formales.
1. 7. 2. EIiminacin de soportes
6ontro|:
Se deberan establecer procedimientos para la manipulacin y almacenamiento de la
informacin con el objeto de proteger esta informacin contra divulgaciones o usos no autorizados
o inadecuados.
10 7 3 roced|m|entos de utiIizacin de |a |nformac|n
6ontro|:
Se debera proteger la documentacin de los sistemas contra accesos no autorizados
1. 7. 4. Seguridad de Ia documentacin de sistemas
1. . Intercambio de informacin y software
Pr|nc|p|os:
Se deberan realizar los intercambios sobre la base de una poltica formal de intercambio, segn
los acuerdos de intercambio y cumplir con la legislacin correspondiente (consultar clusula 15).
Se deberan establecer procedimientos y normas para proteger la informacin y los medios fsicos
que contienen informacin en trnsito.
0bjet|vo:
ManLener la segurldad de la lnformacln y del sofLware que se lnLercamblan denLro de la
organlzacln o con cualquler enLldad exLerna
Complementos para navegador relacionados con la
Privacidad y seguridad
Complementos ireox
Anlisis de vulnerabilidades para PBX (voz) Special Publication NST 800-24
VAST has been released with UCSniff 3.0 which includes
GU interface, VoP video realtime monitoring, TTP MitM
modification of P phone features, Gratuitous ARP
disablement bypass support, and support for several
compression codecs
VPERVAST
WarVOX is a suite of tools for exploring, classifying, and
auditing telephone systems.
WarVOX
6ontro|:
Se deberan establecer polticas, procedimientos y controles formales de intercambio con objeto de
proteger la informacin mediante el uso de todo tipo de servicios de comunicacin.
1. . 1. PoIticas y procedimientos de intercambio de informacin
lree CpenSource ulsk
LncrypLlon SofLware
hLLp//wwwLruecrypLorg
6ontro|:
Se deberan establecer acuerdos para el intercambio de informacin y software entre la
organizacin y las partes externas.
1. . 2. Acuerdos de intercambio
lree CpenSource ulsk LncrypLlon SofLware 1ruecrypL
8ohos Mlnl urlve es una apllcacln graLulLa que permlLe crear
parLlclones con clfrado oculLarlas y proLegerlas con conLrasena
en cualquler unldad uS8 flash Con los daLos clfrados puede
Lraba[ar en cualquler ordenador aun sln derechos
admlnlsLraLlvos Ll programa crea una parLlcln proLeglda con el
esLndar ALS 236 blLs acceslble slo con la clave secreLa que
ell[as
8ohos
6ontro|:
Se deberan proteger los medios que contienen informacin contra acceso no autorizado, mal uso
o corrupcin durante el transporte fuera de los limites fsicos de la organizacin.
1. . 3. Soportes fsicos en trnsito
PerramlenLa graLulLa y genera
flrmas codlflcadas segun el
formaLo kCS#7 o CMS
(CrypLographlc Message SynLax)
Alballallrmazlp
6ontro|:
Se debera proteger adecuadamente la informacin contenida en la mensajera electrnica.
1. . 4. Mensajera eIectrnica
6ontro|:
Se deberan desarrollar e implementar polticas y procedimientos con el fin de proteger la
informacin asociada con la interconexin de sistemas de informacin del negocio.
1. . 5. Sistemas de informacin empresariaIes
1. . Servicios de comercio eIectrnico
0bjet|vo:
Asegurar la segurldad de los servlclos de comerclo elecLrnlco y de su uso seguro
Pr|nc|p|os:
Se deberlan conslderar las lmpllcaclones de segurldad asocladas con el uso de servlclos de
comerclo elecLrnlco lncluyendo Lransacclones en llnea y los requlslLos para los conLroles
La lnLegrldad y dlsponlbllldad de la lnformacln elecLrnlca publlcada a Lraves de slsLemas
dlsponlbles de publlcldad deberlan ser Lamblen conslderadas
PerramlenLa graLulLa y genera flrmas codlflcadas segun el formaLo kCS#7
o CMS (CrypLographlc Message SynLax)
Alballallrmazlp
Many Luropean ldenLlLy cards now conLaln a smarLcard chlp equlpped
wlLh funcLlonallLles for onllne auLhenLlcaLlon 1hey are usually called
elecLronlc ldenLlLy cards (elu cards) 1hls reporL focuses on
auLhenLlcaLlon uslng smarL cards and compares Lhls approach wlLh oLher
common means of auLhenLlcaLlon
LnlSA reporL
6ontro|:
Se debera proteger la informacin involucrada en el comercio electrnico que pasa por redes
publicas contra actividades fraudulentas, disputas por contratos y divulgacin o modificacin no
autorizadas.
1. . 1. Seguridad en comercio eIectrnico
Herramienta gratuita y genera firmas codificadas segn el formato
PKCS#7 o CMS (Cryptographic Message Syntax)
Albaliairma.zip
Many European identity cards now contain a smart-card chip,
equipped with functionalities for online authentication. They are
usually called 'electronic identity cards' (e cards). This report
focuses on authentication using smart cards and compares this
approach with other common means of authentication.
ENSA report
6ontro|:
Se debera proteger la informacin implicada en las transacciones en lnea para prevenir la
transmisin incompleta, enrutamiento equivocado, alteracin, divulgacin, duplicacin o repeticin
no autorizada del mensaje.
1. . 2. Seguridad en transacciones en Inea
Herramienta gratuita y genera firmas codificadas segn el
formato PKCS#7 o CMS (Cryptographic Message
Syntax)
Albaliairma.zip
iScanner is free open source tool lets you detect and
remove malicious codes and web pages viruses from
your Linux/Unix server easily and automatically.
iScanner
6ontro|:
Se debera proteger la integridad de la informacin que pone a disposicin en un sistema de
acceso pblico para prevenir modificaciones no autorizadas.
1. . 3. Seguridad en informacin pbIica
1.1. Monitorizacin
Pr|nc|p|os:
Los sistemas deberan ser monitoreados y los eventos de la seguridad de informacin registrados.
El registro de los operadores y el registro de fallos debera ser usado para garantizar la
identificacin de los problemas del sistema de informacin.
La organizacin debera cumplir con todos los requerimientos legales aplicables para el
monitoreo y el registro de actividades.
El monitoreo del sistema debera ser utilizado para verificar la efectividad de los controles
adoptados y para verificar la conformidad del modelo de poltica de acceso
0bjet|vo:
etectar actividades de procesamiento de la informacin no autorizadas.
Solutions from Q1 Labs are quickly becoming the standard for centralized
management of enterprise network and security information.
Q1labs
Splunk is an T search and analysis engine. t's software that lets you index, search,
alert and report on live and historical T data giving you visibility across your
entire T infrastructure from one location in real time. Reduce the time to
troubleshoot T problems and security incidents to minutes or seconds instead of
hours or days.
Splunk
The Samhain host-based intrusion detection system (HS) provides file integrity
checking and log file monitoring/analysis, as well as rootkit detection, port
monitoring, detection of rogue SU executables, and hidden processes. Samhain
been designed to monitor multiple hosts with potentially different operating
systems, providing centralized logging and maintenance, although it can also be
used as standalone application on a single host.
Samhain
6ontro|:
Se deberan producir y mantener durante un periodo establecido los registros de
auditoria con la grabacin de las actividades de los usuarios, excepciones y eventos de la
seguridad de informacin, con el fin de facilitar las investigaciones futuras y el monitoreo de los
controles de acceso.
1. 1. 1. Registro de incidencias
Uniblue libre y la biblioteca en lnea comprensiva de procesos est
para cada uno que necesite saber la naturaleza y el propsito exactos
de cada proceso que debe, y no deba, funcionar en su PC
Processlibrary
Spiceworks is the complete network management & monitoring,
helpdesk, PC inventory & software reporting solution to manage
Everything T in small and medium businesses.
Spiceworks
Paglo is on-demand tool. Businesses can discover all their T
information and get instant answers to their computer, network, and
security questions.
Paglo
Snort is an open source network intrusion prevention and detection
system (S/PS) developed by Sourcefire. Combining the benefits of
signature, protocol and anomaly-based inspection, Snort is the most
widely deployed S/PS technology worldwide.
Snort
1. 1. 2. Supervisin deI uso de Ios sistemas
6ontro|:
Se deberan establecer procedimientos para el uso del monitoreo de las instalacin de
procesamiento de informacin y revisar regularmente los resultados de las actividades de
monitoreo.
Open Source Host-based ntrusion etection System. t performs log
analysis, file integrity checking, policy monitoring, rootkit detection,
real-time alerting and active response. t runs on most operating
systems, including Linux, MacOS, Solaris, HP-UX, AX and Windows.
OSSEC
The software-based solution captures user activity in any user
session, including Terminal, Remote esktop, Citrix, VMWare, VNC,
NetOP and PC Anywhere. ObserveT Xpress is a completely free
version of the ObserveT product, with no time limit. The free version
can monitor a maximum of 5 servers
ObserveT
Xpress
6ontro|:
Se deberan establecer procedimientos para el uso del monitoreo de las instalacin de
procesamiento de informacin y revisar regularmente los resultados de las actividades de
monitoreo.
1. 1. 2. Supervisin deI uso de Ios sistemas
6ontro|:
Se deberan proteger los servicios y la informacin de registro de la actividad contra acciones
forzosas o accesos no autorizados.
1. 1. 3. Proteccin de Ios registros de incidencias
The software-based solution captures user activity in any user
session, including Terminal, Remote esktop, Citrix, VMWare, VNC,
NetOP and PC Anywhere. ObserveT Xpress is a completely free
version of the ObserveT product, with no time limit. The free version
can monitor a maximum of 5 servers
ObserveT Xpress
6ontro|:
Se deberan registrar las actividades del administrador y de los operadores del sistema.
1. 1. 4. Diarios de operacin deI administrador y operador
Splunk is an T search and analysis engine. t's software that lets you index,
search, alert and report on live and historical T data giving you visibility
across your entire T infrastructure from one location in real time. Reduce
the time to troubleshoot T problems and security incidents to minutes or
seconds instead of hours or days.
Splunk
dradis is an open source framework to enable effective information sharing.
dradis is a self-contained web application that provides a centralised
repository of information to keep track of what has been done so far, and
what is still ahead.
dradis
6ontro|:
Se deberan registrar, analizar y tomar acciones apropiadas de las averas.
1. 1. 5. Registro de faIIos
Servldores de hora n1 para Lodo el mundo poolnLporg
Lnlace con lnformacln compleLa de proLocolos y
enlaces
Wlklpedla
6ontro|:
Se deberan sincronizar los relojes de todos los sistemas de procesamiento de informacin dentro
de la organizacin o en el dominio de seguridad, con una fuente acordada y exacta de tiempo.
Pos|b|es 8o|uc|ones a este contro|
1. 1. 6. Sincronizacin deI reIoj
11.1. Requisitos de negocio para eI controI de accesos.
11.1.1. PoItica de controI de accesos.
11.2. Gestin de acceso de usuario.
11.2.1. Registro de usuario.
11.2.2. Gestin de priviIegios.
11.2.3. Gestin de contraseas de usuario.
11.2.4. Revisin de Ios derechos de acceso de Ios usuarios.
11.3. ResponsabiIidades deI usuario.
11.3.1. Uso de contrasea.
11.3.2. Equipo informtico de usuario desatendido.
11.3.3. PoIticas para escritorios y monitores sin informacin.
11.4. ControI de acceso en red.
11.4.1. PoItica de uso de Ios servicios de red.
11.4.2. Autenticacin de usuario para conexiones externas. 11.4.3. Autenticacin
de nodos de Ia red.
11. ControI de Accesos
11.4.4. Proteccin a puertos de diagnstico remoto.
11.4.5. Segregacin en Ias redes.
11.4.6. ControI de conexin a Ias redes.
11.4.7. ControI de encaminamiento en Ia red.
11.5. ControI de acceso aI sistema operativo.
11.5.1. Procedimientos de conexin de terminaIes.
11.5.2. Identificacin y autenticacin de usuario.
11.5.3. Sistema de gestin de contraseas.
11.5.4. Uso de Ios servicios deI sistema.
11.5.5. Desconexin automtica de terminaIes.
11.5.6. Limitacin deI tiempo de conexin.
11.6. ControI de acceso a Ias apIicaciones.
11.6.1. Restriccin de acceso a Ia informacin.
11.6.2. AisIamiento de sistemas sensibIes.
11.7. Informtica mviI y teIe trabajo.
11.7.1. Informtica mviI.
11.7.2. TeIe trabajo.
11. ControI de Accesos
11.1. Requerimientos de negocio para eI controI de acceso
0bjet|vo:
ConLrolar los accesos a la lnformacln
Pr|nc|p|os:
Se deberlan conLrolar los accesos a la lnformacln los recursos de LraLamlenLo de la lnformacln
y los procesos de negoclo en base a las necesldades de segurldad y de negoclo de la
Crganlzacln
Las regulaclones para el conLrol de los accesos deberlan conslderar las pollLlcas de dlsLrlbucln
de la lnformacln y de auLorlzaclones
11.1.1. PoItica de controI de accesos
6ontro|:
Se deberla esLablecer documenLar y revlsar una pollLlca de conLrol de accesos en base a las
necesldades de segurldad y de negoclo de la Crganlzacln
11.2. Gestin de acceso de usuario
0bjet|vo:
Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los
sistemas de informacin.
Pr|nc|p|os:
Se deberan establecer procedimientos formales para controlar la asignacin de los permisos de
acceso a los sistemas y servicios de informacin.
Los procedimientos deberan cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
acceso a los sistemas y servicios de informacin.
Se debera prestar especial atencin, si fuera oportuno, a la necesidad de controlar la asignacin
de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del
sistema.
uocumenLo con modelos y
Lecnlcas de conLrol de accesos
(lngles)
hLLp//shoposbornecom
6ontro|:
ebera existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y
cancelar los accesos a todos los sistemas y servicios de informacin.
11.2.1. Registro de usuario
Solucin web (free trial 30 days) que permite realizar las tareas ms comunes, como las altas
y bajas de usuarios y la aplicacin de polticas de grupo, a travs de un interfaz intuitivo y fcil
de aprender. A travs de sus informes detallados, ofrece visibilidad completa sobre todos los
objetivos en el irectorio Activo.
Manageengine.com
B Audit is a complete out-of-the-box database security & auditing solution for Oracle,
Sybase, MySQL, B2 and MS SQL Server. B Audit allows database and system
administrators, security administrators, auditors and operators to track and analyze any
database activity including database access and usage, data creation, change or deletion;
mananage database users; quickly discover uprotected PC and P data; enforce SOX,
PC/CSP, HPAA, GLBA compliance; and more.
B Audit
Once it detects one or more SQL injections on the target host, the user can choose among a
variety of options to perform an extensive back-end database management system fingerprint,
retrieve BMS session user and database, enumerate users, password hashes, privileges,
databases, dump entire or user's specific BMS tables/columns, run his own SQL statement,
read specific files on the file system and more.
Pangolin audit tool
UserLock permite proteger el acceso a las redes de Windows, impidiendo las conexiones
simultneas, al dar la posibilidad de limitar las conexiones de los usuarios y proporcionando a
los administradores el control remoto de las sesiones, de las funcionalidades de alerta, de
informes y anlisis sobre todas las conexiones/desconexiones efectuadas en sus redes.La
versin de evaluacin de UserLock es vlida durante 180 das. No comporta ninguna
limitacin en trminos de funcionalidades.
Userlock
6ontro|:
Se debera restringir y controlar la asignacin y uso de los privilegios.
11.2.2. Gestin de priviIegios
6ontro|:
Se debera controlar la asignacin de contraseas mediante un proceso de gestin formal.
11.2.3. Gestin de contraseas de usuario
6ontro|:
El rgano de ireccin debera revisar con regularidad los derechos de acceso de los usuarios,
siguiendo un procedimiento formal.
11.2.4. Revisin de Ios derechos de acceso de Ios usuarios
11.3. ResponsabiIidades deI usuario
Pr|nc|p|os:
La cooperacln de los usuarlos auLorlzados es esenclal para una segurldad efecLlva
Los usuarlos deberlan ser consclenLes de sus responsabllldades en el manLenlmlenLo de
conLroles de acceso eflcaces en parLlcular respecLo al uso de conLrasenas y segurldad en los
equlpos puesLos a su dlsposlcln
Se deberla lmplanLar una pollLlca para manLener mesas de escrlLorlo y monlLores llbres de
cualquler lnformacln con ob[eLo de reduclr el rlesgo de accesos no auLorlzados o el deLerloro
de documenLos medlos y recursos para el LraLamlenLo de la lnformacln
0bjet|vo:
lmpedlr el acceso de usuarlos no auLorlzados y el compromlso o robo de lnformacln y recursos
para el LraLamlenLo de la lnformacln
Random Password Generator (freeware) is designed to help you create secure Random
passwords that are extremely difficult to crack or guess, with a combination of random
lower and upper case letters, numbers and punctuation symbols. And these random
generated passwords will be saved for memo. You can give a mark to the generated
random password for later check.
Password
generator
Generador on-line de contraseas. Password.es
Ophcrack is a free Windows password cracker based on rainbow tables. t is a very
efficient implementation of rainbow tables done by the inventors of the method. t comes
with a Graphical User nterface and runs on multiple platforms.
ophcrack
Cain & Abel is a password recovery tool for Microsoft Operating Systems. t allows easy
recovery of various kind of passwords by sniffing the network, cracking encrypted
passwords using ictionary, Brute-orce and Cryptanalysis attacks, recording VoP
conversations, decoding scrambled passwords, recovering wireless network keys,
revealing password boxes, uncovering cached passwords and analyzing routing
protocols.
Cain & Abel
John the Ripper is free and Open Source software, distributed primarily in source code
form. f you would rather use a commercial product tailored for your specific operating
system, please consider John the Ripper Pro, which is distributed primarily in the form of
"native" packages for the target operating systems and in general is meant to be easier to
install and use while delivering optimal performance. td>
John the Ripper
6ontro|:
Se debera exigir a los usuarios el uso de las buenas prcticas de seguridad en la seleccin y uso
de las contraseas.
PosibIes SoIuciones a este controI:
11.3.1. Uso de contrasea
6ontro|:
Los usuarios deberan garantizar que los equipos desatendidos disponen de la proteccin
apropiada.
11.3.2. Equipo informtico de usuario desatendido
osLers are uLlllzed Lo efflclenLly and effecLlvely educaLe
numerous sLaff on new securlLy Loplcs each and every
monLh Cur eyecaLchlng enLerLalnlng posLers wlll help
lncrease Lhe securlLy awareness level ln your workplace
ClSSC
6ontro|:
Polticas para escritorios y monitores limpios de informacin
11.3.3. PoIticas para escritorios y monitores sin informacin
11.4. ControI de acceso en red
Pr|nc|p|os:
Se deberlan conLrolar los accesos a servlclos lnLernos y exLernos conecLados en red
Ll acceso de los usuarlos a redes y servlclos en red no deberla compromeLer la segurldad de los
servlclos en red sl se garanLlzan
a) que exlsLen lnLerfaces adecuadas enLre la red de la Crganlzacln y las redes
publlcas o prlvadas de oLras organlzaclones
b) que los mecanlsmos de auLenLlcacln adecuados se apllcan a los usuarlos y
equlpos
c) el cumpllmlenLo del conLrol de los accesos de los usuarlos a los servlclos de
lnformacln
0bjet|vo:
lmpedlr el acceso no auLorlzado a los servlclos en red
6ontro|:
Se debera proveer a los usuarios de los accesos a los servicios para los que han sido
expresamente autorizados a utilizar.
11.4.1. PoItica de uso de Ios servicios de red
6ontro|:
Se deberan utilizar mtodos de autenticacin adecuados para el control del acceso remoto de los
usuarios.
11.4.2. Autenticacin de usuario para conexiones externas
Spiceworks is the complete network management & monitoring,
helpdesk, PC inventory & software reporting solution to manage
Everything T in small and medium businesses.
Spiceworks
Paglo is on-demand tool. Businesses can discover all their T
information and get instant answers to their computer, network, and
security questions.
Paglo
6ontro|:
$e deoeria cors|derar |a |derl|l|cac|r aulorl|ca de |os equ|pos coro ur red|o de aulerl|cac|r de corex|ores
procederles de |ugares y equ|pos especil|cos.
11.4.3. Autenticacin de nodos de Ia red
6ontro|:
Se deberla conLrolar la conflguracln y el acceso flslco y lglco a los puerLos de dlagnsLlco
11.4.4. Proteccin a puertos de diagnstico remoto
6ontro|:
Se deberan segregar los grupos de usuarios, servicios y sistemas de informacin en las redes
11.4.5. Segregacin en Ias redes
11.4.6. ControI de conexin a Ias redes
6ontro|:
En el caso de las redes compartidas, especialmente aquellas que se extienden ms all de los
lmites de la propia Organizacin, se deberan restringir las competencias de los usuarios para
conectarse en red segn la poltica de control de accesos y necesidad de uso de las aplicaciones
de negocio.
reeware employee monitoring. Network-Tools owner
sues Microsoft, Cisco, Comcast and TRUSTe over P
Address Blacklisting. Suit alleges eavdropping, privacy
policy fraud, breach of contract and defamation.
NetworkTools
Simply use this list via NS at ips.backscatterer.org for
scoring or rejecting bounces and sender callouts from
abusive systems.
Backscatterer
6ontro|:
Se deberan establecer controles de enrutamiento en las redes para asegurar que las conexiones
de los ordenadores y flujos de informacin no incumplen la poltica de control de accesos a las
aplicaciones de negocio.
11.4.7. ControI de encaminamiento en Ia red
11.5. ControI de acceso aI sistema operativo
Pr|nc|p|os:
Se deberlan uLlllzar las presLaclones de segurldad del slsLema operaLlvo para permlLlr el acceso
excluslvo a los usuarlos auLorlzados
Las presLaclones deberlan ser capaces de
a) la auLenLlcacln de los usuarlos auLorlzados de acuerdo a la pollLlca de conLrol de accesos
deflnlda
b) reglsLrar los lnLenLos de auLenLlcacln correcLos y fallldos del slsLema
c) reglsLrar el uso de prlvlleglos especlales del slsLema
d) emlLlr senales de alarma cuando se vlolan las pollLlcas de segurldad del slsLema
e) dlsponer los recursos adecuados para la auLenLlcacln
f) resLrlnglr los horarlos de conexln de los usuarlos cuando sea necesarlo
0bjet|vo:
lmpedlr el acceso no auLorlzado al slsLema operaLlvo de los slsLemas
6ontro|:
ebera controlarse el acceso al sistema operativo mediante procedimientos seguros de conexin.
11.5.1. Procedimientos de conexin de terminaIes
6ontro|:
Todos los usuarios deberan disponer de un nico identificador propio para su uso personal y
exclusivo. Se debera elegir una tcnica de autenticacin adecuada que verifique la identidad
reclamada por un usuario.
11.5.2. Identificacin y autenticacin de usuario
6ontro|:
Los sistemas de gestin de contraseas deberan ser interactivos y garantizar la calidad de las
contraseas.
11.5.3. Sistema de gestin de contraseas
6ontro|:
Se debera restringir y controlar muy de cerca el uso de programas de utilidad del sistema que
pudieran ser capaces de eludir los controles del propio sistema y de las aplicaciones.
11.5.4. Uso de Ios servicios deI sistema
6ontro|:
Se deberan desconectar las sesiones tras un determinado periodo de inactividad.
11.5.5. Desconexin automtica de terminaIes
6ontro|:
Se deberan utilizar limitaciones en el tiempo de conexin que proporcionen un nivel de seguridad
adicional a las aplicaciones de alto riesgo.
11.5.6. Limitacin deI tiempo de conexin
11.6. ControI de acceso a Ias apIicaciones
Pr|nc|p|os:
Se deberan utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y
sus contenidos.
Se debera restringir el acceso lgico a las aplicaciones software y su informacin nicamente a
usuarios autorizados.
Los sistemas de aplicacin deberan:
a) controlar el acceso de los usuarios a la informacin y funciones de los sistemas de aplicaciones,
en relacin a la poltica de control de accesos definida;
b) proporcionar proteccin contra accesos no autorizados derivados del uso de cualquier utilidad,
software del sistema operativo y software malicioso que puedan traspasar o eludir los controles del
sistema o de las aplicaciones;
c) no comprometer otros sistemas con los que se compartan recursos de informacin.
0bjet|vo:
mpedir el acceso no autorizado a la informacin mantenida por los sistemas de las aplicaciones.
6ontro|:
Se debera restringir el acceso de los usuarios y el personal de mantenimiento a la informacin y
funciones de los sistemas de aplicaciones, en relacin a la poltica de control de accesos definida.
11.6.1. Restriccin de acceso a Ia informacin
La blblloLeca 1echneL Llbrary es
un recurso esenclal para los
profeslonales de 1l que usan los
producLos herramlenLas y
Lecnologla de MlcrosofL
LechneL llbrary
6ontro|:
Los sistemas sensibles deberan disponer de un entorno informtico dedicado (propio).
11.6.2. AisIamiento de sistemas sensibIes
11.7. Informtica mviI y teIe trabajo
0bjet|vo:
CaranLlzar la segurldad de la lnformacln en el uso de recursos de lnformLlca mvll y
LeleLraba[o
Pr|nc|p|os:
La proLeccln exlglble deberla esLar en relacln a los rlesgos especlflcos que ocaslonan esLas
formas especlflcas de Lraba[o Ln el uso de la lnformLlca mvll deberlan conslderarse los rlesgos
de Lraba[ar en enLornos desproLegldos y apllcar la proLeccln convenlenLe
Ln el caso del LeleLraba[o la Crganlzacln deberla apllcar las medldas de proLeccln al lugar
remoLo y garanLlzar que las dlsposlclones adecuadas esLen dlsponlbles para esLa modalldad de
Lraba[o
Checklist de revisin de controles para equipos
porttiles, trabajo en movilidad, teletrabajo y redes
inalmbricas (ingls)
http://tinyurl.com/PortableTchecklist
Gua para proteger y usar de forma segura su mvil Gua NTECO
6ontro|:
Se debera establecer una poltica formal y se deberan adoptar las medidas de seguridad
adecuadas para la proteccin contra los riesgos derivados del uso de los recursos de
informtica mvil y las telecomunicaciones.
11.7.1. Informtica mviI
The OSWA-Assistant is a freely-downloadable, self-
contained, wireless-auditing toolkit for both T-security
professionals and End-users alike.
OSWA
6ontro|:
Se debera desarrollar e implantar una poltica, planes operacionales y procedimientos para las
actividades de teletrabajo.
11.7.2. TeIe trabajo
12. Adquisicin, DesarroIIo y Mantenimiento de Sistemas de Informacin
La estructura de este punto de la norma es:
12.1. Requisitos de seguridad de Ios sistemas.
12.1.1. AnIisis y especificacin de Ios requisitos de seguridad.
12.2. Seguridad de Ias apIicaciones deI sistema.
12.2.1. VaIidacin de Ios datos de entrada.
12.2.2. ControI deI proceso interno.
12.2.3. Autenticacin de mensajes.
12.2.4. VaIidacin de Ios datos de saIida.
12.3. ControIes criptogrficos.
12.3.1. PoItica de uso de Ios controIes criptogrficos.
12.3.2. Cifrado.
12.4. Seguridad de Ios ficheros deI sistema.
12.4.1. ControI deI software en expIotacin.
12.4.2. Proteccin de Ios datos de prueba deI sistema.
12.4.3. ControI de acceso a Ia Iibrera de programas fuente.
12. Adquisicin, DesarroIIo y Mantenimiento de Sistemas de Informacin
12.5. Seguridad en Ios procesos de desarroIIo y soporte.
12.5.1. Procedimientos de controI de cambios.
12.5.2. Revisin tcnica de Ios cambios en eI sistema operativo.
12.5.3. Restricciones en Ios cambios a Ios paquetes de software.
12.5.4. CanaIes encubiertos y cdigo Troyano.
12.5.5. DesarroIIo externaIizado deI software.
12.6. Gestin de Ias vuInerabiIidades tcnicas.
12.6.1. ControI de Ias vuInerabiIidades tcnicas.
12.1. Requisitos de seguridad de Ios sistemas
0bjet|vo:
Garantizar que la seguridad es parte integral de los sistemas de informacin.
Pr|nc|p|os:
entro de los sistemas de informacin se incluyen los sistemas operativos, infraestructuras,
aplicaciones de negocio, aplicaciones estndar o de uso generalizado, servicios y aplicaciones
desarrolladas por los usuarios.
El diseo e implantacin de los sistemas de informacin que sustentan los procesos de negocio
pueden ser cruciales para la seguridad. Los requisitos de seguridad deberan ser identificados y
consensuados previamente al desarrollo y/o implantacin de los sistemas de informacin.
Todos los requisitos de seguridad deberan identificarse en la fase de recogida de requisitos de un
proyecto y ser justificados, aceptados y documentados como parte del proceso completo para un
sistema de informacin.
lSC/lLC 21827 speclfles Lhe SysLems SecurlLy Lnglneerlng CapablllLy
MaLurlLy Model whlch descrlbes Lhe characLerlsLlcs essenLlal Lo Lhe
success of an organlzaLlons securlLy englneerlng process and ls appllcable
Lo all securlLy englneerlng organlzaLlons lncludlng governmenL
commerclal and academlc lSC/lLC 21827 does noL prescrlbe a parLlcular
process or sequence buL capLures pracLlces generally observed ln lndusLry
lSC/lLC 21827
6ontro|:
Las demandas de nuevos sistemas de informacin para el negocio o mejoras de los sistemas ya
existentes deberan especificar los requisitos de los controles de seguridad.
12.1.1. AnIisis y especificacin de Ios requisitos de seguridad
12.2. Seguridad de Ias apIicaciones deI sistema
0bjet|vo:
Evitar errores, prdidas, modificaciones no autorizadas o mal uso de la informacin en las
aplicaciones.
Pr|nc|p|os:
Se deberan disear controles apropiados en las propias aplicaciones, incluidas las desarrolladas
por los propios usuarios, para asegurar el procesamiento correcto de la informacin. Estos
controles deberan incluir la validacin de los datos de entrada, el tratamiento interno y los datos de
salida.
Podran ser requeridos controles adicionales para los sistemas que procesan o tienen algn efecto
en activos de informacin de carcter sensible, valioso o crtico. ichos controles deberan ser
determinados en funcin de los requisitos de seguridad y la estimacin del riesgo.
6ontro|:
Se deberlan valldar los daLos de enLrada uLlllzados por las apllcaclones para garanLlzar que esLos
daLos son correcLos y aproplados
12.2.1. VaIidacin de Ios datos de entrada
Rough Auditing Tool for Security (RATS) is an automated code review
tool, provided originally by Secure Software nc, who were acquired by
ortify Software nc. t scans C, C++, Perl, PHP and Python source code
and flags common security related programming errors such as buffer
overflows and TOCTOU (Time Of Check, Time Of Use) race conditions.
The tool performs a rough analysis of the source code.
RATS
Graudit is a simple script and signature sets that allows you to find
potential security flaws in source code using the GNU utility grep. t's
comparable to other static analysis applications like RATS, SWAAT and
flaw-finder while keeping the technical requirements to a minimum and
being very flexible. Graudit supports scanning code written in several
languages; asp, jsp, perl, php and python.
GRAudit
Code Analysis Tool .NET is a binary code analysis tool that helps identify
common variants of certain prevailing vulnerabilities that can give rise to
common attack vectors such as Cross-Site Scripting (XSS), SQL
njection and XPath njection.
Microsoft CAT .NET
The 2010 CWE/SANS Top 25 Most angerous Programming Errors is a
list of the most widespread and critical programming errors that can lead
to serious software vulnerabilities.
CWE
6ontro|:
Se deberan incluir chequeos de validacin en las aplicaciones para la deteccin de una posible
corrupcin en la informacin debida a errores de procesamiento o de acciones deliberadas.
12.2.2. ControI deI proceso interno
6ontro|:
Se deberan identificar los requisitos para asegurar la autenticidad y proteccin de la integridad del
contenido de los mensajes en las aplicaciones, e identificar e implantar los controles apropiados.
12.2.3. Autenticacin de mensajes
6ontro|:
Se deberan validar los datos de salida de las aplicaciones para garantizar que el procesamiento
de la informacin almacenada es correcto y apropiado a las circunstancias.
12.2.4. VaIidacin de Ios datos de saIida
12.3. ControIes criptogrficos
0bjet|vo:
Proteger la confidencialidad, autenticidad o integridad de la informacin con la ayuda de tcnicas
criptogrficas.
Pr|nc|p|os:
Se debera desarrollar una poltica de uso de controles criptogrficos.
Se debera establecer una gestin de claves que de soporte al uso de de tcnicas criptogrficas.
lree CpenSource ulsk LncrypLlon SofLware LruecrypL
Modelo de pollLlca de encrlpLacln (lngles) Sans
Low cosL easy Lo use and hlghly secure encrypLlon and dlglLal slgnaLure
soluLlons for every one from blg companles Lo lndlvldual users
MCx
PerramlenLa graLulLa y genera flrmas codlflcadas segun el formaLo kCS#7 o
CMS (CrypLographlc Message SynLax)
Alballa
lmplemenLaLlon of Lhe CpenC sLandard as deflned by 8lC4880 CnuC
allows Lo encrypL and slgn your daLa and communlcaLlon feaLures a versaLlle
key managmenL sysLem as well as access modules for all klnd of publlc key
dlrecLorles verslon 2 of CnuC also provldes supporL for S/MlML
Cnu pro[ecL
1abla resumen descrlpLlva de producLos y sus funclonalldades de clfrado norLhwesLern
6ontro|:
Se debera desarrollar e implantar una poltica de uso de controles criptogrficos para la proteccin
de la informacin.
12.3.1. PoItica de uso de Ios controIes criptogrficos
lree CpenSource ulsk
LncrypLlon SofLware
hLLp//wwwLruecrypLorg
PerramlenLa graLulLa y genera
flrmas codlflcadas segun el
formaLo kCS#7 o CMS
(CrypLographlc Message
SynLax)
Alballallrmazlp
6ontro|:
$e deoeria eslao|ecer ura gesl|r de |as c|aves que respa|de e| uso de |as lcr|cas cr|plogrl|cas er |a
rgar|zac|r.
12.3.2. Cifrado
0bjet|vo:
CaranLlzar la segurldad de los slsLemas de flcheros
Pr|nc|p|os:
Se deberla conLrolar el acceso a los slsLemas de flcheros y cdlgo fuenLe de los programas
Los proyecLos 1l y las acLlvldades de soporLe deberlan ser dlrlgldos de un modo seguro
Se deberla evlLar la exposlcln de daLos senslbles en enLornos de prueba
12.4. Seguridad de Ios ficheros deI sistema
This document is a guide to patch management, defined
as the process of controlling the deployment and
maintenance of interim software releases into operational
environments.
CPN
This document provides guidance on creating a security
patch and vulnerability management program and testing
the effectiveness of that program.
NST
6ontro|:
Se deberan establecer procedimientos con objeto de controlar la instalacin de software en
sistemas que estn operativos.
12.4.1. ControI deI software en expIotacin
Culdellnes for Lhe use of ersonal uaLa ln
SysLem 1esLlng (Second LdlLlon)
hLLp//shopbslgroupcom
6ontro|:
Se deberan seleccionar, proteger y controlar cuidadosamente los datos utilizados para las
pruebas.
12.4.2. Proteccin de Ios datos de prueba deI sistema
12.4.3. ControI de acceso a Ia Iibrera de programas fuente
6ontro|:
Se debera restringir el acceso al cdigo fuente de los programas.
12.5. Seguridad en Ios procesos de desarroIIo y soporte
0bjet|vo:
Mantener la seguridad del software del sistema de aplicaciones y la informacin.
Pr|nc|p|os:
Se deberan controlar estrictamente los entornos de desarrollo de proyectos y de soporte.
Los directivos responsables de los sistemas de aplicaciones deberan ser tambin responsables de
la seguridad del proyecto o del entorno de soporte. Ellos deberan garantizar que todas las
propuestas de cambio en los sistemas son revisadas para verificar que no comprometen la
seguridad del sistema o del entorno operativo.
6ontro|:
Se debera controlar la implantacin de cambios mediante la aplicacin de procedimientos
formales de control de cambios
12.5.1. Procedimientos de controI de cambios
6ontro|:
Se deberlan revlsar y probar las apllcaclones crlLlcas de negoclo cuando se reallcen camblos en
el slsLema operaLlvo con ob[eLo de garanLlzar que no exlsLen lmpacLos adversos para las
acLlvldades o segurldad de la Crganlzacln
12.5.2. Revisin tcnica de Ios cambios en eI sistema operativo
6ontro|:
Se deberla desaconse[ar la modlflcacln de los paqueLes de sofLware resLrlnglendose a lo
lmpresclndlble y Lodos los camblos deberlan ser esLrlcLamenLe conLrolados
12.5.3. Restricciones en Ios cambios a Ios paquetes de software
6ontro|:
Se deberla prevenlr las poslbllldades de fuga de lnformacln
(consulLar lSC/lLC 13408)
12.5.4. CanaIes encubiertos y cdigo Troyano
6ontro|:
Se debera supervisar y monitorizar el desarrollo del software subcontratado por la Organizacin
12.5.5. DesarroIIo externaIizado deI software
12.6. Gestin de Ias vuInerabiIidades tcnicas
0bjet|vo:
8educlr los rlesgos orlglnados por la exploLacln de vulnerabllldades Lecnlcas publlcadas
Pr|nc|p|os:
Se deberla lmplanLar una gesLln de la vulnerabllldad Lecnlca slgulendo un meLodo efecLlvo
slsLemLlco y clcllco con la Loma de medldas que conflrmen su efecLlvldad
Se deberlan conslderar slsLemas operaLlvos asl como Lodas las apllcaclones que se encuenLren
en uso
1hls ls a vA / 1 reporL for a flcLlLlous bank called eCllpse 8ank LC carrled ouL by
anoLher flcLlLlous company Cynergl SoluLlons lnc All names u8Ls ls eLc are
flcLlLlous
vulnerablllLy AssessmenL
eneLraLlon 1esL 8eporL
LemplaLe
SCLmap ls an open source auLomaLlc SCL ln[ecLlon Lool lL ls able Lo deLecL and
explolL SCL ln[ecLlons and allows Lhe user Lo enumeraLe daLa from Lhe daLabase
execuLe commands on Lhe operaLlng sysLem esLabllsh an ouLofband connecLlon
and much more
SCL Map
CpenvAS sLands for Cpen vulnerablllLy AssessmenL SysLem and ls a neLwork
securlLy scanner wlLh assoclaLed Lools llke a graphlcal user fronLend 1he core
componenL ls a server wlLh a seL of neLwork vulnerablllLy LesLs (nv1s) Lo deLecL
securlLy problems ln remoLe sysLems and appllcaLlons CpenvAS producLs are
lree SofLware under Cnu CL
CpenvAS
6ontro|:
Se debera obtener informacin oportuna sobre la vulnerabilidad tcnica de los sistemas de
informacin que se estn utilizando, evaluar la exposicin de la organizacin ante tal vulnerabilidad
y tomar las medidas adecuadas para hacer frente a los riesgos asociados.
12.6.1. ControI de Ias vuInerabiIidades tcnicas
1he Cpen Web AppllcaLlon SecurlLy ro[ecL (CWAS) ls a noLforproflL worldwlde
charlLable organlzaLlon focused on lmprovlng Lhe securlLy of appllcaLlon sofLware
CWAS
nexpose CommunlLy LdlLlon enables securlLy professlonals Lo sLarL lmplemenLlng a
formallzed vulnerablllLy managemenL program prove Lhe value of Lhelr securlLy LesLlng
efforLs and proLecL buslness daLa ln crlLlcal lnfrasLrucLure asseLs
nexpose
lully feaLured securlLy dlsLrlbuLlon conslsLlng of a bunch of powerful open source and
free Lools LhaL can be used for varlous purposes lncludlng buL noL llmlLed Lo
peneLraLlon LesLlng eLhlcal hacklng sysLem and neLwork admlnlsLraLlon cyber
forenslcs lnvesLlgaLlons securlLy LesLlng vulnerablllLy analysls and much more
MaLrlux
A fully auLomaLed acLlve web appllcaLlon securlLy reconnalssance Lool Coogle Code Sklpflsh
1hls documenL ls a sample of a vulnerablllLy LesLlng process for a flcLlLlous company
Company x lL ouLllnes Company x's Lechnlcal securlLy LesLlng process 1he key
dellverable ls Lo Lake a rlsk base approach Lo ldenLlfylng and valldaLlng sysLem
vulnerablllLles
1esLlng rocess
Cuando se compleLa un anllsls de red las capacldades de CesLln de AcLuallzaclones
de Cll LAnguard le proporclonan lo que neceslLa para lnsLalar y admlnlsLrar
eflcazmenLe las acLuallzaclones en Lodos los equlpos a Lraves de dlferenLes plaLaformas
de slsLemas operaLlvos y producLos MlcrosofL en 38 ldlomas no slo puede descargar
auLomLlcamenLe las acLuallzaclones de segurldad de MlcrosofL que falLen Lamblen
puede lmplanLar auLomLlcamenLe las acLuallzaclones o servlce packs de MlcrosofL
que falLen en Loda la red al flnal de los anllsls programados
Cll LAnguard
12.6.1. ControI de Ias vuInerabiIidades tcnicas
13.1. Comunicacin de eventos y debiIidades en Ia seguridad de Ia informacin.
13.1.1. Comunicacin de eventos en seguridad.
13.1.2. Comunicacin de debiIidades en seguridad.
13.2. Gestin de incidentes y mejoras en Ia seguridad de Ia informacin.
13.2.1. Identificacin de responsabiIidades y procedimientos.
13.2.2. EvaIuacin de incidentes en seguridad.
13.2.3. Recogida de pruebas.
13. Gestin de Incidentes de Seguridad de Ia Informacin
13.1. Comunicacin de eventos y debiIidades en Ia seguridad de Ia
informacin
0bjet|vo:
Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de
informacin se comuniquen de modo que se puedan realizar acciones correctivas oportunas.
Pr|nc|p|os:
ebera establecerse el informe formal de los eventos y de los procedimientos de escalada.
Todos los empleados, contratistas y terceros deberan estar al tanto de los procedimientos para
informar de los diferentes tipos de eventos y debilidades que puedan tener impacto en la
seguridad de los activos organizacionales.
Se les debera exigir que informen de cualquier evento o debilidad en la seguridad de informacin
lo ms rpido posible y al punto de contacto designado.
Modelos para la comunlcacln y gesLln de lncldenLes (lngles) Sansorg
Splceworks ls Lhe compleLe neLwork managemenL monlLorlng
helpdesk C lnvenLory sofLware reporLlng soluLlon Lo manage
LveryLhlng l1 ln small and medlum buslnesses
Splceworks
aglo ls ondemand Lool 8uslnesses can dlscover all Lhelr l1
lnformaLlon and geL lnsLanL answers Lo Lhelr compuLer neLwork
and securlLy quesLlons
aglo
CMl ls a free sofLware pro[ecL dlsLrlbuLed under Lhe CL (Cnu
ubllc Llcense) lL provldes a general framework Lo manage
conLenLs golng a sLep furLher of LradlLlonal CMS whlch are bullL
Lhlnklng abouL conLenL publlshlng
CMl CenosCrg
6ontro|:
Se deberan comunicar los eventos en la seguridad de informacin lo ms rpido posible mediante
canales de gestin apropiados.
Para mayor informacin sobre el reporte de eventos y la gestin de incidentes en la seguridad de
informacin se puede consultar la norma SO/EC TR 18044.
13.1.1. Comunicacin de eventos en seguridad
6ontro|:
Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de
informacin deberan anotar y comunicar cualquier debilidad observada o sospechada en la
seguridad de los mismos.
13.1.2. Comunicacin de debiIidades en seguridad
13.2. Gestin de incidentes y mejoras en Ia seguridad de Ia informacin
0bjet|vo:
Garantizar que se aplica un enfoque consistente y eficaz para la gestin de los incidentes en
la seguridad de informacin.
Pr|nc|p|os:
eberan establecerse las responsabilidades y procedimientos para manejar los eventos y
debilidades en la seguridad de informacin de una manera efectiva y una vez que hayan sido
comunicados.
Se debera aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y
gestionar en su totalidad los incidentes en la seguridad de informacin.
Cuando se requieran evidencias, stas deben ser recogidas para asegurar el cumplimiento de los
requisitos legales.
6ontro|:
Se deberlan esLablecer las responsabllldades y procedlmlenLos de gesLln para asegurar una
respuesLa rplda efecLlva y ordenada a los lncldenLes en la segurldad de lnformacln
13.2.1. Identificacin de responsabiIidades y procedimientos
Cula de respuesLa a lncldenLes del CovCerLuk
organlsmo responsable del soporLe a los
deparLamenLos gubernamenLales del 8elno
unldo en los lncldenLes de segurldad
lncldenL 8esponse
Culdellnes
6ontro|:
ebera existir un mecanismo que permitan cuantificar y monitorear los tipos, volmenes y costes
de los incidentes en la seguridad de informacin.
13.2.2. EvaIuacin de incidentes en seguridad
Closed circuit television (CCTV). Management and operation. Code of practice http://shop.bsigroup.com
CANE (Computer Aided Nvestigative Environment) is an talian GNU/Linux
live distribution created as a project of igital orensics. CANE offers a
complete forensic environment that is organized to integrate existing software
tools as software modules and to provide a friendly graphical interface.
Caine
ully featured security distribution consisting of a bunch of powerful, open
source and free tools that can be used for various purposes including, but not
limited to, penetration testing, ethical hacking, system and network
administration, cyber forensics investigations, security testing, vulnerability
analysis, and much more.
Matriux
AVG Rescue C es un poderoso juego de herramientas indispensable para
rescatar y reparar equipos infectados.
AVG C rescate
The SANS ST Workstation is a VMware Appliance that is pre-configured with
all the necessary tools to perform a detailed digital forensic examination. t is
compatible with Expert Witness ormat (E01), Advanced orensic ormat
(A), and raw (dd) evidence formats. The brand new version has been
completely rebuilt on an Ubuntu base with many additional tools and
capabilities that can match any modern forensic tool suite.
SANS
13.2.3. Recogida de pruebas
6ontro|:
Cuando una accin de seguimiento contra una persona u organizacin, despus de un incidente
en la seguridad de informacin, implique accin legal (civil o criminal), la evidencia debe ser
recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la
jurisdiccin relevante.
14. Gestin de Continuidad deI Negocio
14.1. Aspectos de Ia gestin de continuidad deI negocio.
14.1.1. Proceso de Ia gestin de continuidad deI negocio.
14.1.2. Continuidad deI negocio y anIisis de impactos.
14.1.3. Redaccin e impIantacin de pIanes de continuidad.
14.1.4. Marco de pIanificacin para Ia continuidad deI negocio.
14.1.5. Prueba, mantenimiento y reevaIuacin de pIanes de continuidad
14. Gestin de Continuidad deI Negocio
14.1. Aspectos de Ia gestin de continuidad deI negocio
0bjet|vo:
Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos
crticos frente a desastres o grandes fallos de los sistemas de informacin.
Pr|nc|p|os:
Se debera implantar un proceso de gestin de continuidad del negocio para reducir, a niveles
aceptables, la interrupcin causada por los desastres y fallos de seguridad (que, por ejemplo,
puedan resultar de desastres naturales, accidentes, fallas de equipos o acciones deliberadas)
mediante una combinacin de controles preventivos y de recuperacin.
Este proceso debera identificar los procesos crticos de negocio e integrar los requisitos de gestin
de la seguridad de informacin para la continuidad del negocio con otros requisitos de continuidad
relacionados con dichos aspectos como operaciones, proveedores de personal, materiales,
transporte e instalaciones.
Se deberan analizar las consecuencias de los desastres, fallas de seguridad, prdidas de
servicio y la disponibilidad del servicio y desarrollar e implantar planes de contingencia para
asegurar que los procesos del negocio se pueden restaurar en los plazos requeridos las
operaciones esenciales.
La seguridad de informacin debera ser una parte integral del plan general de continuidad del
negocio y de los dems procesos de gestin dentro de la organizacin.
La gestin de la continuidad del negocio debera incluir adicionalmente al proceso de evaluacin,
controles para la identificacin y reduccin de riesgos, limitar las consecuencias de
incidencias dainas y asegurar la reanudacin a tiempo de las operaciones esenciales.
6ontro|:
Se debera desarrollar y mantener un proceso de gestin de la continuidad del negocio en la
organizacin que trate los requerimientos de seguridad de la informacin necesarios para la
continuidad del negocio.
14.1.1. Proceso de Ia gestin de continuidad deI negocio
SoluLlons from C1 Labs are qulckly
becomlng Lhe sLandard for cenLrallzed
managemenL of enLerprlse neLwork and
securlLy lnformaLlon
Cradar
8aslc Lools Lo help you geL your 8CM
programme underway 1hey are all free
and can be adapLed for mosL Lypes of
organlsaLlon (excepL maybe Lhe very large)
1alklng 8uslness
6ontro|:
Se deberan identificar los eventos que puedan causar interrupciones a los procesos de negocio
junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad
de informacin.
14.1.2. Continuidad deI negocio y anIisis de impactos
6ontro|:
Se deberan desarrollar e implantar planes de mantenimiento o recuperacin de las operaciones
del negocio para asegurar la disponibilidad de la informacin en el grado y en las escalas de
tiempo requeridos, tras la interrupcin o fallo de los procesos crticos de negocio.
14.1.3. Redaccin e impIantacin de pIanes de continuidad
6ontro|:
Se debera mantener un esquema nico de planes de continuidad del negocio para garantizar que
dichos planes son consistentes, para tratar los requisitos de seguridad y para identificar las
prioridades de prueba y mantenimiento.
14.1.4. Marco de pIanificacin para Ia continuidad deI negocio
1ableLop Lxerclse WhlLe aper 1he purpose of
buslness conLlnulLy plannlng (8C) LableLop exerclslng
ls Lo demonsLraLe Lo managemenL Lhe ablllLy of one
or more crlLlcal buslness processes Lo conLlnue
funcLlonallLy wlLhln Lhe requlred Llme frame
followlng an lnLerrupLlon
ulsasLer
8ecovery
!ournal
6ontro|:
Se deberan probar regularmente los planes de continuidad del negocio para garantizar su
actualizacin y eficacia.
14.1.5. Prueba, mantenimiento y reevaIuacin de pIanes de continuidad
15. Conformidad
15.1. Conformidad con Ios requisitos IegaIes.
15.1.1. Identificacin de Ia IegisIacin apIicabIe.
15.1.2. Derechos de propiedad inteIectuaI (IPR).
15.1.3. SaIvaguarda de Ios registros de Ia Organizacin.
15.1.4. Proteccin de datos de carcter personaI y de Ia intimidad de Ias personas.
15.1.5. Evitar maI uso de Ios dispositivos de tratamiento. de Ia informacin.
15.1.6. RegIamentacin de Ios controIes de cifrados.
15.2. Revisiones de Ia poItica de seguridad y de Ia conformidad tcnica.
15.2.1. Conformidad con Ia poItica de seguridad.
15.2.2. Comprobacin de Ia conformidad tcnica.
15.3. Consideraciones sobre Ia auditoria de sistemas.
15.3.1. ControIes de auditoria de sistemas.
15.3.2. Proteccin de Ias herramientas de auditoria de sistemas
15.1. Conformidad con Ios requisitos IegaIes
0bjet|vo:
Evitar incumplimientos de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier
requisito de seguridad.
Pr|nc|p|os:
El diseo, operacin, uso y gestin de los sistemas de informacin pueden ser objeto de
requisitos estatutarios, reguladores y de seguridad contractuales.
Los requisitos legales especficos deberan ser advertidos por los asesores legales de la
organizacin o por profesionales adecuadamente cualificados.
Los requisitos que marca la legislacin cambian de un pas a otro y pueden variar para la
informacin que se genera en un pas y se transmite a otro pas distinto (por ej., flujos de datos
entre fronteras).
Lnlace a una llsLa de leyes lnLernaclonales de
prlvacldad por pals y regln (lngles)
hLLp//wwwlnformaLlonshleldc
om/lnLprlvacylawshLml
lree vulnerablllLy AssessmenL 1ools and
CheckllsLs 1hls slmple checkllsL could be used Lo
help every company perform Lhelr own
assessmenL for Lhe l1 envlronmenL and
lnfrasLrucLure 1hls checkllsL based on
lSC17799/lSC27001 and can be used for Cl uSS
SCx or PlAA compllances
conLrolscada
6ontro|:
Todos los requisitos estatutarios, de regulacin u obligaciones contractuales relevantes, as como
las acciones de la Organizacin para cumplir con estos requisitos, deberan ser explcitamente
definidos, documentados y actualizados para cada uno de los sistemas de informacin y la
Organizacin.
15.1.1. Identificacin de Ia IegisIacin apIicabIe
Modelos para la comunlcacln y gesLln de
lncldenLes conLra la propledad lnLelecLual (lngles)
hLLp//wwwsansorg
Lspeclflcaclones para el eLlqueLado de sofLware
con el ob[eLo de opLlmlzar su ldenLlflcacln y
gesLln (lngles)
LsLndar lSC/lLC 1977022009
Modlflcacln de la Ley Crgnlca 10/1993 de 23 de
novlembre del Cdlgo enal
Ley Crgnlca 3/2010 de 22 de [unlo
6ontro|:
Se deberan implantar procedimientos adecuados que garanticen el cumplimento de la legislacin,
regulaciones y requisitos contractuales para el uso de material con posibles derechos de propiedad
intelectual asociados y para el uso de productos software propietario.
15.1.2. Derechos de propiedad inteIectuaI (IPR)
6ontro|:
Los registros importantes se deberan proteger de la prdida, destruccin y falsificacin, de
acuerdo a los requisitos estatutarios, regulaciones, contractuales y de negocio.
1S13 Sa|vaguarda de |os reg|stros de |a Crgan|zac|n
PerramlenLa de dlagnsLlco basado en un
auLoLesL basado en pregunLas con respuesLa
mulLlple Al flnal la Agencla Lspanola de
roLeccln de uaLos le faclllLa un lnforme con
lndlcaclones y recursos que le orlenLen en su
caso para cumpllr con lo dlspuesLo en la LCu
Agencla Lspanola de
roLeccln de uaLos
6ontro|:
Se debera garantizar la proteccin y privacidad de los datos y segn requiera la legislacin,
regulaciones y, si fueran aplicables, las clusulas relevantes contractuales.
15.1.4. Proteccin de datos de carcter personaI y de Ia intimidad de Ias
personas
6ontro|:
Se debera disuadir a los usuarios del uso de los recursos dedicados al tratamiento de la
informacin para propsitos no autorizados.
15.1.5. Evitar maI uso de Ios dispositivos de tratamiento de Ia informacin
La slLuacln legal de los programas crlpLolglcos varla
segun los palses y las leyes que rlgen el uso y comerclo de
esLos programas evoluclonan con rapldez WlklLel es un
proyecLo promovldo por la Comlsln del Mercado de las
1elecomunlcaclones (CM1)
WlklLel
6ontro|:
Se deberlan uLlllzar conLroles clfrados en conformldad con Lodos acuerdos leyes y regulaclones
perLlnenLes
15.1.6. RegIamentacin de Ios controIes de cifrados
15.2. Revisiones de Ia poItica de seguridad y de Ia conformidad tcnica
0bjet|vo:
Garantizar la conformidad de los sistemas con las polticas y estndares de seguridad de la
Organizacin.
Pr|nc|p|os:
Se deberan realizar revisiones regulares de la seguridad de los sistemas de informacin.
Las revisiones se deberan realizar segn las polticas de seguridad apropiadas y las plataformas
tcnicas y sistemas de informacin deberan ser auditados para el cumplimiento de los estndares
adecuados de implantacin de la seguridad y controles de seguridad documentados.
15.2.1. Conformidad con Ia poItica de seguridad
6ontro|:
Los dlrecLlvos se deberlan asegurar que Lodos los procedlmlenLos de segurldad denLro de su
rea de responsabllldad se reallzan correcLamenLe y cumplen con los esLndares y pollLlcas de
segurldad
ClS offers a varleLy of audlL Lools for
assesslng compllance wlLh ClS
8enchmarks
ClS
8enchmarks
6ontro|:
Se debera comprobar regularmente la conformidad de los sistemas de informacin con los
estndares de implantacin de la seguridad.
15.2.2. Comprobacin de Ia conformidad tcnica
15.3. Consideraciones sobre Ia auditora de sistemas
0bjet|vo:
Maximizar la efectividad del proceso de auditora de los sistemas de informacin y minimizar las
intromisiones a/desde ste proceso.
Pr|nc|p|os:
eberan existir controles para proteger los sistemas en activo y las herramientas de auditora
durante el desarrollo de las auditoras de los sistemas de informacin.
Tambin se requiere la proteccin para salvaguardar la integridad y prevenir el mal uso de las
herramientas de auditora.
6ontro|:
Se deberan planificar y acordar cuidadosamente los requisitos y actividades de auditora que
impliquen comprobaciones en los sistemas en activo con objeto de minimizar el riesgo de
interrupciones de los procesos de negocio.
15.3.1. ControIes de auditoria de sistemas
1hls ls a vA / 1 reporL for a flcLlLlous bank called eCllpse 8ank LC carrled
ouL by anoLher flcLlLlous company Cynergl SoluLlons lnc All names u8Ls
ls eLc are flcLlLlous
vulnerablllLy
AssessmenL
eneLraLlon 1esL
8eporL LemplaLe
Cpen Source SecurlLy lnformaLlon ManagemenL Coleccln de
herramlenLas ba[o la llcencla 8Su dlsenadas para ayudar a los
admlnlsLradores de red en la segurldad de las compuLadoras deLeccln de
lnLrusos y prevencln
CSSlM
CollecLlon of Lools for neLwork audlLlng and peneLraLlon LesLlng dsnlff
fllesnarf mallsnarf msgsnarf urlsnarf and webspy passlvely monlLor a
neLwork for lnLeresLlng daLa (passwords emall flles eLc) arpspoof
dnsspoof and macof faclllLaLe Lhe lnLercepLlon of neLwork Lrafflc normally
unavallable Lo an aLLacker (eg due Lo layer2 swlLchlng) sshmlLm and
webmlLm lmplemenL acLlve monkeylnLhemlddle aLLacks agalnsL
redlrecLed SSP and P11S sesslons by explolLlng weak blndlngs ln adhoc
kl
usnlff
assword audlLlng and recovery 13 days Lrlal l0phLcrack
6ontro|:
Se deberan proteger los accesos a las herramientas de auditora de los sistemas de informacin
con objeto de prevenir cualquier posible mal uso o compromiso.
8ack1rack ls lnLended for all audlences from Lhe mosL savvy securlLy
professlonals Lo early newcomers Lo Lhe lnformaLlon securlLy fleld
8ack1rack promoLes a qulck and easy way Lo flnd and updaLe Lhe largesL
daLabase of securlLy Lool collecLlon LodaLe
8ack1rack
lully feaLured securlLy dlsLrlbuLlon conslsLlng of a bunch of powerful open
source and free Lools LhaL can be used for varlous purposes lncludlng buL
noL llmlLed Lo peneLraLlon LesLlng eLhlcal hacklng sysLem and neLwork
admlnlsLraLlon cyber forenslcs lnvesLlgaLlons securlLy LesLlng
vulnerablllLy analysls and much more
MaLrlux
1he SAnS Sll1 WorksLaLlon ls a vMware Appllance LhaL ls preconflgured
wlLh all Lhe necessary Lools Lo perform a deLalled dlglLal forenslc
examlnaLlon lL ls compaLlble wlLh LxperL WlLness lormaL (L01) Advanced
lorenslc lormaL (All) and raw (dd) evldence formaLs 1he brand new
verslon has been compleLely rebullL on an ubunLu base wlLh many
addlLlonal Lools and capablllLles LhaL can maLch any modern forenslc Lool
sulLe
SAnS
luA ro ls a Wlndows or Llnux hosLed mulLlprocessor dlsassembler and
debugger LhaL offers so many feaLures lL ls hard Lo descrlbe Lhem all
luA ro

Iso 27002 - 2005

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Iso 27002 - 2005

Caricato da

Copyright:

Formati disponibili

La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier

Potrebbero piacerti anche