UniversidaddeTalca

FacultaddeCienciasEmpresariales
EscueladeContadorPblicoyAuditor

ISO27002&BS7799:2
ISO17799:2000
NdereasoDominiosdeControl:10

ISO17799:2005
NdereasoDominiosdeControl:11

1. PolticasdeSeguridad

1. Polticasdeseguridad

2. OrganizacindelaSeguridad

2. OrganizacindelaSeguridaddela

3. ClasificacinycontroldeActivos
4. SeguridaddelPersonal

informacin
3. GestindeActivos
4. Seguridad

de

los

Recursos

Humanos
5. SeguridadFsicayAmbiental

5. SeguridadFsicayAmbiental
6. Gestin de Comunicaciones y
6. Gestin de Comunicaciones y
Operaciones

Operaciones
7. ControldeAcceso

7. ControldeAcceso
8. Adquisicin,
8. Desarrollo y Mantenimiento de
Sistemas

9. Gestin de la continuidad del

desarrollo

mantenimientodelossistemasde
informacin
9. Gestindeincidentesdeseguridad
delainformacin
10. Gestin de la Continuidad del


ISO17799:2000
NdereasoDominiosdeControl:10

ISO17799:2005
NdereasoDominiosdeControl:11

negocio
10. Cumplimiento

Negocio
11. Cumplimiento1

ISO17799:2000
NdeObjetivosdeControl:36
1. PolticasdeSeguridad
1.1. Poltica de seguridad de la

ISO17799:2005(ISO27002)
NdeObjetivosdeControl:39
1. PolticasdeSeguridad
1.1. Poltica de seguridad de la

Informacin
2. SeguridadOrganizacional

Informacin
2. Organizacin de la seguridad de la
Informacin

2.1. Infraestructuradeseguridaddela
informacin

2.1. OrganizacinInterna
2.2. EntidadesExternas

2.2. Seguridad de acceso de terceras

partes
2.3. Outsourcing
3. ClasificacinyControldeActivos
3.1. ContabilidaddeActivos
3.2. ClasificacindelaInformacin
4. SeguridaddelPersonal

3. GestindeActivos
3.1. ResponsabilidadporlosActivos
3.2. ClasificacindelaInformacin
4. SeguridaddelosRecursosHumanos

4.1. Seguridad en la Definicin de

NEOSECURE(2005).ActualizacinISO/IEC17799:2005(E),pg.25.Extradoel15deSeptiembrede
2009de:http://cibsi05.inf.utfsm.cl/presentaciones/empresas/Neosecure.pdf


ISO17799:2000
NdeObjetivosdeControl:36
trabajos

ISO17799:2005(ISO27002)
NdeObjetivosdeControl:39
4.1. AntesdelEmpleo

4.2. Entrenamientodeusuarios

4.2. DuranteelEmpleo

4.3. Respondiendo a incidentes de

4.3. Terminacinocambiodeempleo

seguridadyfallas

4.4. SeguridadFsicayAmbiental

4.4. SeguridadFsicayambiental

4.5. reasSeguras

4.5. reasSeguras

4.6. SeguridaddelEquipamiento

4.6. Seguridaddelequipamiento

4.7. ControlesGenerales
5. Gestin

de

comunicaciones

Operaciones

responsabilidades

comunicaciones

5.1. Procedimientos Operacionales y

responsabilidades

5.2. Planificacin y aceptacin de

sistemas

5.2. Administracin de servicios de

terceraspartes

contra

software

malicioso

5.3. Planificacin y aceptacin de

sistemas

5.4. Mantenimiento

5.4. Proteccin

5.5. AdministracindeRedes
5.6. Manipulacin

de

Operaciones

5.1. Procedimientos operacionales y

5.3. Proteccin

5. Gestin

de

medios

contra

cdigo

maliciosoymvil
y

5.5. Respaldo

NEOSECURE(2005).ActualizacinISO/IEC17799:2005(E),pg.2732.Extradoel15deSeptiembre
de2009de:http://cibsi05.inf.utfsm.cl/presentaciones/empresas/Neosecure.pdf


ISO17799:2000
NdeObjetivosdeControl:36
seguridad

ISO17799:2005(ISO27002)
NdeObjetivosdeControl:39
5.6. Administracindelaseguridadde
redes

5.7. Intercambio de informacin y

5.7. Manipulacindemedios

Software

5.8. Intercambiodeinformacin

5.9. Serviciodecomercioelectrnico

5.10. Monitoreo
6.

6. ControldeAcceso
6.1. Requerimientos de la empresa

ControldeAcceso
6.1. Requerimientos de la empresa

paracontroldeacceso

paracontroldeacceso

6.2. Administracin de accesos de

6.2. Administracin de accesos de

usuarios

usuarios

6.3. Responsabilidadesdelosusuarios

6.3. Responsabilidadesdelosusuarios

6.4. ControldeAccesoaRedes

6.4. ControldeAccesoaredes

6.5. Control de Acceso a sistemas

6.5. Control de Acceso a sistemas

Operativos
6.6. Control

de

Operativos
Acceso

las

6.6. Control

Aplicaciones
6.7. Monitoreo del acceso y uso de

7. Desarrolloymantencindesistemas

Acceso

las

AplicacionesyDatos
6.7. Monitoreo del acceso y uso de

sistemas
6.8. Computacinmvilyteletrabajo

de

sistemas
6.8. Computacinmvilyteletrabajo

7. Adquisicin, desarrollo y mantencin

desistemasdeinformacin

7.1. Requerimientos de seguridad

7.1. Requerimientos de seguridad


ISO17799:2000
NdeObjetivosdeControl:36
paralossistemas

ISO17799:2005(ISO27002)
NdeObjetivosdeControl:39
parasistemasdeinformacin
7.2. Procesamiento

7.2. Seguridad en los sistemas de

en

aplicaciones

aplicacin
7.3. Controlescriptogrficos

7.3. ControlesCriptogrficos

7.4. Seguridad de los archivos de

7.4. Seguridad de los archivos de

sistemas

sistemas

7.5. Seguridad en los procesos de

7.5. Seguridad en el proceso de

desarrolloysoporte

desarrolloysoporte

7.6. Gestin

tcnicas

8. (ClusulaNoexiste)

de

vulnerabilidades

8. Gestindeincidentesdeseguridadde

lainformacin

8.1. Reportandoeventosydebilidades
enlaseguridaddelainformacin

8.2. Gestin de incidentes y Mejoras

enSeguridaddelaInformacin

9. Gestindelacontinuidaddelnegocio

9. Gestindelacontinuidaddelnegocio

9.1. Aspectos de Gestin en la

9.1. Aspectos de Seguridad de la

continuidaddelNegocio

Informacin en la Gestin de la

10.

correcto

ContinuidaddelNegocio.
Cumplimiento

10.

10.1.Cumplimiento

con

requerimientoslegales
10.2.Revisiones
Seguridad

de
y

Poltica

10.1.Cumplimiento

con

requerimientoslegales
de

compatibilidad

Tcnica
10.3.Consideraciones de Auditora de
Sistemas

Cumplimiento

10.2. Cumplimiento con Polticas y

Estndares

Cumplimiento

Tcnico
10.3.

Consideraciones

Auditora

de

Sistemas

de
de


ISO17799:2000
NdeObjetivosdeControl:36

ISO17799:2005(ISO27002)
NdeObjetivosdeControl:39
Informacin 2


CuestionarioMiguelAguero
ReferentealastecnologasdeinformacinTcnicasdeseguridadCdigosde
prcticaparalagestindelaseguridaddelainformacinISO27002

Graciasdeantemanoporparticiparenesteestudiorelacionadoalosriesgosdelaseguridadde
lainformacin.Todassusrespuestassernabsolutamenteannimasasqueporfavorconteste
lomshonestamenteposiblecadaunadelasaseveracionesqueseentregarnacontinuacin.
Suparticipacinesvoluntaria.
Usandolaescalasiguiente,porfavormarquelaalternativaquemejorreflejesuopininacerca
delaaseveracinpropuesta.

IParte
En esta etapa de la encuesta usted encontrar Aseveraciones relacionadas con los controles
expuestosenlanormaISO27002(ExISO17799:2005)

1ClusulaPolticasdeSeguridaddelaInformacin
Afirmaciones

Sin
importancia
Alguna

No
importante

Moderada
menteno
importante

neutral

Moderada
mente
importante

Importante

Muy
importante

1. El documento de la poltica de seguridad de la

informacin debiera ser aprobado por la gerencia, y
publicado y comunicado a todos los empleados y las
partesexternasrelevantes.

2. Lapolticadeseguridaddelainformacindebiera
ser revisada a intervalos planeados o si ocurren
cambios significativos para asegurar su continua
idoneidad,eficienciayefectividad.

2ClusulaOrganizacindelaSeguridaddelaInformacin
3. Lagerenciadebieraapoyarlaseguridaddentrode
la organizacin a travs de una direccin clara,
compromiso demostrado, asignacin explicita y
reconociendolasresponsabilidadesdelaseguridadde
lainformacin
4. Las actividades de la seguridad de la informacin
debieran ser coordinadas por representantes de
diferentes partes de la organizacin con roles y
funcioneslaboralesrelevantes.

5. Todas las responsabilidades de la seguridad de la

informacindebieranestarclaramentedefinidas.

6. Un proceso de la gerencia para la autorizacin de

facilidades nuevas de procesamiento de informacin,
debieraserdefinidoeimplementado.
7. Se debiera identificar y revisar regularmente que
los requerimientos de confidencialidad o acuerdos de
nodivulgacin reflejan las necesidades de la
organizacinparaprotegerlainformacin


8. Se debieran mantener los contactos apropiados
conlasautoridadesrelevantes

9. Se debieran mantener contactos apropiados con

grupos de inters especial u otros foros de seguridad
especializadosyasociacionesprofesionales
10. Se debiera revisar el enfoque de la organizacin
para manejar la seguridad de la informacin y su
implementacindemaneraindependienteaintervalos
planeados,ocuandoocurrancambiossignificativosen
laimplementacindelaseguridad.
11. Se debieran identificar los riesgos para la
informacin y los medios de procesamiento de la
informacin de la organizacin a raz de procesos
comerciales que involucran a grupos externos y se
debieran implementar controles apropiados antes de
otorgarlesacceso.
12. Se debieran tratar todos los requerimientos de
seguridad identificados antes de proporcionar a los
clientes acceso a la informacin o activos de la
organizacin.
13. Los acuerdos o contratos con terceros que
involucran el acceso, procesamiento, comunicacin o
manejodeinformacinomediosdeprocesamientode
informacin de la compaa, o agregan productos o
servicios a los medios de procesamiento de
informacin
debieran
abarcar
todos
los
requerimientosdeseguridadrelevantes.

3ClusulaGestindeactivos
14. Se debieran identificar todos los activos y se
debiera elaborar y mantener un inventario de todos
losactivosimportantes.
15. Todalainformacinylosactivosasociadosconlos
mediosdeprocesamientodeinformacindebieranser
propiedaddeunapartedesignadadelaorganizacin.
16. Sedebieranidentificar,documentareimplementar
reglas para el uso aceptable de la informacin y los
activos asociados con los medios del procesamiento
delainformacin.
17. Sedebieraclasificarlainformacinentrminosde
su valor, requerimientos legales, sensibilidad y grado
crticoparalaorganizacin.
18. Se debiera desarrollar e implementar un conjunto
apropiado de procedimientos para el etiquetado y
manejo de la informacin en concordancia con el
esquema de clasificacin adoptado por la
organizacin.

4ClusulaSeguridaddelosRecursosHumanos
Afirmaciones
19. Se debieran definir y documentar los roles y
responsabilidades de la seguridad de los empleados,
contratistasytercerosenconcordanciaconlapoltica
deseguridaddelainformacindelaorganizacin.

Sin
importancia
Alguna

No
importante

Moderada
menteno
importante

neutral

Moderada
mente
importante

Importante

Muy
importante


20. Los chequeos de verificacin de antecedentes de
todos los candidatos para el empleo, contratistas y
tercerosdebieranllevarseacaboenconcordanciacon
las leyes, regulaciones y tica relevantes; y debieran
ser proporcionales a los requerimientos comerciales,
laclasificacindelainformacinalacualsevaatener
accesoylosriesgos.
21. Como parte de su obligacin contractual; los
usuarios empleados, contratistas y terceros debieran
aceptar y firmar un contrato con los trminos y
condiciones de su empleo, el cual debiera establecer
sus responsabilidades y las de la organizacin para la
seguridaddelainformacin.
22. La gerencia debiera requerir a los usuarios
empleados, contratistas y terceras personas que
apliquenlaseguridadenconcordanciaconlaspolticas
yprocedimientosestablecidosporlaorganizacin.
23. Todoslosempleadosdelaorganizaciny,cuando
sea relevante, los contratistas y terceras personas
debieran recibir una adecuada capacitacin en
seguridad y actualizaciones regulares sobre las
polticas y procedimientos organizacionales conforme
searelevanteparasufuncinlaboral.
24. Debiera existir un proceso disciplinario para los
empleadosquehancometidounincumplimientodela
seguridad.
25. Se debieran definir y asignar claramente las
responsabilidades de realizar la terminacin del
empleooelcambiodeempleo
26. Todos los usuarios, empleados, contratistas y
terceraspersonasdebierandevolvertodoslosactivos
de la organizacin que tengan en su posesin a la
terminacindesuempleo,contratooacuerdo.
27. Los derechos de acceso de todos los usuarios
empleados, contratistas y terceras personas a la
informacin y los medios de procesamiento de
informacindebieranserretiradosalaterminacinde
su empleo, contrato o acuerdo, o debieran ser
reajustadosdeacuerdoalcambio.

5ClusulaSeguridadFsicayAmbiental
28. Se debieran utilizar permetros de seguridad
(barreras tales como paredes, rejas de entrada
controladas por tarjetas o recepcionistas) para
proteger las reas que contienen informacin y
mediosdeprocesamientodeinformacin.
29. Las reas seguras debieran protegerse mediante
controles de ingreso apropiados para asegurar que
sloselepermitaelaccesoalpersonalautorizado.
30. Sedebieradisearyaplicarlaseguridadfsicapara
lasoficinas,habitacionesymedios.
31. Sedebieraasignaryaplicarproteccinfsicacontra
dao por fuego, inundacin, terremoto, explosin,
revuelta civil y otras formas de desastres naturales o
causadosporelhombre.
32. Se debiera disear y aplicar la proteccin fsica y
loslineamientosparatrabajarenreasaseguradas.
33. Se debieran controlar los puntos de acceso como
lasreasdeentregaycargayotrospuntospordonde
personas noautorizadas pueda ingresar al local y, si
fuese posible, debieran aislarse de los medios de


procesamientodeinformacinparaevitarelaccesono
autorizado.
34. Sedebieraubicaroprotegerelequipoparareducir
las amenazas y peligros ambientales y oportunidades
paraelaccesonoautorizado.
35. Sedebieranprotegerelequipodefallasdeenerga
y otras interrupciones causadas por fallas en los
serviciospblicosdesoporte.
36. Elcableadodelaenergaylastelecomunicaciones
que llevan la data o dan soporte a los servicios de
informacin debieran protegerse contra la
intercepcinodao.
37. Sedebieramantenercorrectamenteelequipopara
asegurarsucontinuadisponibilidadeintegridad.
38. Se debiera aplicar seguridad al equipo fuera del
local tomando en cuenta los diferentes riesgos de
trabajarfueradellocaldelaorganizacin.
39. Se debiera chequear los tems del equipo que
contiene medios de almacenaje para asegurar que se
hay retirado o sobreescrito cualquier data
confidencial o licencia de software antes de su
eliminacin.
40. El equipo, informacin o software no debiera
retirarsesinautorizacinprevia.

6ClusulaGestindelascomunicacionesyoperaciones
41. Los procedimientos de operacin se debieran
documentar,manteneryponeradisposicindetodos
losusuariosquelonecesiten.
42. Sedebierancontrolarloscambiosenlosmediosy
sistemasdeprocesamientodelainformacin.
43. Los derechos y reas de responsabilidad debieran
estar segregados para reducir las oportunidades de
una modificacin noautorizada o mal uso no
intencional o mala utilizacin de los activos de la
organizacin.

44. Los medios de desarrollo, prueba y operacin

debieran estar separados para reducir los riesgos de
acceso noautorizado o cambios en el sistema
operacional.
45. Se debiera asegurar que los controles de
seguridad, definiciones del servicio y niveles de
entregaincluidosenelacuerdodeentregadelservicio
detercerosseimplementen,operenymantengan.
46. Los servicios, reportes y registros provistos por
terceros debieran ser monitoreados y revisados
regularmente, y se debieran llevar a cabo auditoras
normalmente.
47. Sedebieranmanejarloscambiosenlaprovisinde
servicios, incluyendo el mantenimiento y
mejoramiento de las polticas, procedimientos y
controles de seguridad de la informacin existentes
teniendo en cuenta el grado crtico de los sistemas y
procesos del negocio involucrados y la reevaluacin
delosriesgos.
48. Se debiera monitorear, afinar el uso de los
recursos y se debieran realizar proyecciones de los
requerimientos de capacidad futura para asegurar el


desempeorequeridodelsistema.
49. Se debiera establecer el criterio de aceptacin de
lossistemasdeinformacinnuevos,actualizacioneso
versiones nuevas y se debieran realizar pruebas
adecuadasdelsistema(s)duranteeldesarrolloyantes
desuaceptacin.
50. Controlesdedeteccin,prevencinyrecuperacin
paraprotegercontracdigosmaliciososysedebieran
implementar procedimientos para el apropiado
conocimientodelusuario.
51. Donde se autorice el uso del cdigo mvil, la
configuracin debiera asegurar que el cdigo mvil
autorizado opera de acuerdo con una poltica de
seguridad claramente definida, y se debiera evitar la
ejecucindelcdigomvilnoautorizado.
52. Se debieran hacer copias de respaldo de la
informacin y software y se debieran probar
regularmenteenconcordanciaconlapolticadecopias
derespaldoacordadas.
53. Lasredesdebieranseradecuadamentemanejadas
y controladas para poder proteger la informacin en
las redes y mantener la seguridad de los sistemas y
aplicaciones utilizando la red, incluyendo las
operacionesentrnsito.
54. Entodocontratoderedessedebieraidentificare
incluir las caractersticas de seguridad, niveles de
servicio y requerimientos de gestin de todos los
servicios de red, ya sea que estos servicios sean
provistosinternaoexternamente.
55. Debiera existir procedimientos para la gestin de
losmediosremovibles.
56. Se debiera disponer de los medios de
comunicacin de manera segura cuando ya no sean
requeridos,usandounprocedimientoformal
57. Se debieran establecer los procedimientos para el
manejo y el almacenamiento de la informacin para
protegerla de la divulgacin no autorizada o el mal
uso.

58. Sedebieraprotegerladocumentacindelsistema
conaccesosnoautorizados.
59. Se debiera establecer polticas, procedimientos y
controles de intercambio formales para proteger el
intercambiodeinformacinatravsdelusodetodos
lostiposdemediosdecomunicacin.
60. Los acuerdos deberan ser establecidos para el
intercambio de informacin y software entre la
organizacinylaspartesexternas.
61. Los medios que contienen informacin debieran
serprotegidoscontraaccesosnoautorizados,maluso
o corrupcin durante el transporte ms all de los
lmitesfsicosdelaorganizacin.
62. Se debiera proteger adecuadamente la
informacininvolucradaenmensajeselectrnicos.
63. Se debieran desarrollar e implementar polticas y
procedimientosparaprotegerlainformacinasociada
con la interconexin de los sistemas de informacin
comercial.
64. La informacin involucrada en el comercio
electrnico que pasa a travs de redes pblicas
debiera protegerse de la actividad fraudulenta,
disputas de contratos, divulgacin noautorizada y


modificacin.
65. Sedebieraprotegerlainformacininvolucradaen
lastransaccionesenlneaparaevitarunatransmisin
incompleta, routing equivocado, alteracin no
autorizada del mensaje, divulgacin noautorizada,
duplicacinorepeticinnoautorizadadelmensaje.
66. Sedebieraprotegerlaintegridaddelainformacin
puesta a disposicin en un sistema pblicamente
disponibleparaevitarunamodificacinnoautorizada.
67. Se debieran producir y mantener registros de
auditoradelasactividades,excepcionesyeventosde
seguridad de la informacin durante un periodo
acordado para ayudar en investigaciones futuras y
monitorearelcontroldeacceso.
68. Se debieran establecer procedimientos para el
monitoreodelusodelosmediosdeprocesamientode
la informacin y se debieran revisar regularmente los
resultadosdelasactividadesdemonitoreo.
69. Se debieran proteger los medios de registros y la
informacin del registro para evitar la alteracin y el
accesonoautorizado.
70. Se debieran registrar las actividades del
administradordelsistemayeloperadordelsistema.
71. Se debieran registrar y analizar las fallas, y se
debierantomarlasaccionesnecesarias.
72. Losrelojesdetodoslossistemasdeprocesamiento
de informacin relevante dentro de una organizacin
o dominio de seguridad se debieran sincronizar con
unafuentequeproporcionelahoraexactaacordada.

7ClusulaControldeAcceso
Afirmaciones

Sin
importancia
Alguna

No
importante

Moderada
menteno
importante

neutral

Moderada
mente
importante

Importante

Muy
importante

73. Se debiera establecer, documentar y revisar la

poltica de control de acceso en base a los
requerimientos comerciales y de seguridad para el
acceso.
74. Debiera existir un procedimiento formal para el
registro y desregistro del usuario para otorgar y
revocar el acceso a todos los sistemas y servicios de
informacin.
75. Sedebierarestringirycontrolarlaasignacinyuso
deprivilegios.

76. La asignacin de claves secretas se debiera

controlaratravsdeunprocesodegestinformal.

77. Lagerenciadebierarevisarlosderechosdeacceso
de los usuarios a intervalos regulares utilizando un
procesoformal.
78. Sedebierarequeriralosusuariosquesiganbuenas
prcticasdeseguridadenlaseleccinyusodeclaves
secretas.
79. Los usuarios debieran asegurar que el equipo
desatendidotengalaproteccinapropiada.

80. Sedebieraadoptarunapolticadeescritoriolimpio
para papeles y medios de almacenaje removibles y
una poltica de pantalla limpia para los medios de
procesamientodelainformacin.
81. Los usuarios slo debieran tener acceso a los
servicios para los cuales hayan sido especficamente
autorizados.


82. Se debieran utilizar mtodos de autenticacin
apropiados para controlar el acceso de usuarios
remotos.
83. Laidentificacinautomticadelequiposedebiera
considerar como un medio para autenticar las
conexionesdeubicacionesyequiposespecficos.
84. Se debiera controlar el acceso fsico y lgico a los
puertosdediagnsticoyconfiguracin.

85. Losgruposdeserviciosdeinformacin,usuariosy
sistemas de informacin debieran ser segregados en
redes.
86. Para las redes compartidas, especialmente
aquellasqueseextiendenatravsdelasfronterasde
la organizacin, se debiera restringir la capacidad de
los usuarios para conectarse a la red, en lnea con la
poltica de control de acceso y los requerimientos de
lasaplicacionescomerciales.
87. Se debieran implementar controles de routing en
las redes para asegurar las conexiones de la
computadora y los flujos de informacin no violen la
poltica de control de acceso de las aplicaciones
comerciales.
88. El acceso a los sistemas operativos debiera ser
controlado mediarte un procedimiento de registro
seguro.

89. Todoslosusuariostienenunidentificadornico(ID
deusuario)parasuusopersonal,ysedebieraescoger
unatcnicadeautenticacinadecuadaparasustanciar
laidentidaddeunusuario.
90. Los sistemas para el manejo de claves secretas
debieran ser interactivos y debieran asegurar claves
secretasadecuadas.
91. Se debiera restringir y controlar estrechamente el
uso de los programas de utilidad que podran ser
capaces de superar los controles del sistema y la
aplicacin.
92. Las sesiones inactivas debieran ser cerradas
despusdeunperiododeinactividaddefinido.
93. Sedebieranutilizarrestriccionessobrelostiempos
de conexin para proporcionar seguridad adicional
paralasaplicacionesdealtoriesgo.
94. Elaccesodelosusuariosydelpersonaldesoporte
a la informacin y las funciones del sistema de la
aplicacin debiera limitarse en concordancia con la
polticadecontroldeaccesodefinida.
95. Los sistemas confidenciales debieran tener un
ambientedecmputodedicado(aislado).
96. Se debiera establecer una poltica y adoptar las
medidasdeseguridadapropiadaparaprotegercontra
los riesgos de utilizar medios de computacin y
comunicacinmvil.
97. Sedebieradesarrollareimplementarunapoltica,
planes operacionales y procedimientos para las
actividadesdeteletrabajo.

8ClusulaAdquisicin,desarrolloymantenimientodelossistemasdeinformacin
98. Losenunciadosdelosrequerimientoscomerciales
paralossistemasdeinformacinnuevos,olasmejoras
a los sistemas de informacin existentes, debieran
especificar los requerimientos de los controles de
seguridad.


99. Se debiera validar la input data para las
aplicacionesparaasegurarqueestadataseacorrecta
yapropiada.
100. Los chequeos de validacin se debieran
incorporar enlasaplicacionespara detectarcualquier
corrupcin de la informacin a travs de errores de
procesamientooactosdeliberados.
101. Se debiera identificar los requerimientos para
asegurar la autenticidad y proteger la integridad del
mensajeenlasaplicaciones,ysedebieranidentificare
implementarloscontrolesapropiados.
102. Se debiera validar la output data de una
aplicacin para asegurar que el procesamiento de la
informacinalmacenadaseaelcorrectoyelapropiado
paralascircunstancias.
103. Se debiera desarrollar e implementar una
poltica sobre el uso de controles criptogrficos para
protegerlainformacin.
104. Se debiera establecer la gestin de claves para
dar soporte al uso de tcnicas criptogrficas en la
organizacin.

105. Se debieran establecer procedimientos para el

control de la instalacin del software en los sistemas
operacionales.
106. La data de prueba se debiera seleccionar
cuidadosamente,ysedebieraprotegerycontrolar.

107. Se debiera restringir el acceso al cdigo fuente

delprograma.

108. Se debiera controlar la implementacin de los

cambios medianteelusodeprocedimientosformales
paraelcontroldelcambio.
109. Cuando se cambian los sistemas de operacin,
se debieran revisar y probar las aplicaciones
comerciales crticas para asegurar que no exista un
impacto
adverso
sobre
las
operaciones
organizacionalesoenlaseguridad.
110. No se debieran fomentar modificaciones a los
paquetes de software, se debieran limitar a los
cambios necesarios y todos los cambios debieran ser
estrictamentecontrolados.
111. Se debieran evitar las oportunidades para la
filtracindeinformacin.

112. El desarrollo del software abastecido

externamentedebierasersupervisadoymonitoreado
porlaorganizacin.
113. Se debiera obtener oportunamente la
informacinsobrelasvulnerabilidadestcnicasdelos
sistemas de informacin que se estn utilizando, la
exposicindelaorganizacinadichasvulnerabilidades
evaluadas, y las medidas apropiadas tomadas para
tratarlosriesgosasociados.

9ClusulaGestindeunincidenteenlaseguridaddelainformacin
114. Los eventos de seguridad de la informacin
debieran ser reportados a travs de los canales
gerencialesapropiadoslomsrpidamenteposible.
115. Se debiera requerir que todos los usuarios
empleados, contratistas y terceros de los sistemas y
servicios de informacin tomen nota y reporten
cualquier debilidad de seguridad observada o
sospechadaenelsistemaolosservicios.


116. Se debieran establecer las responsabilidades y
los procedimientos de la gerencia para asegurar una
respuesta rpida, efectiva y metdica ante los
incidentesdelaseguridaddelainformacin.
117. Se debieran establecer mecanismos para
permitircuantificarymonitorearlostipos,volmenes
y costos de los incidentes en la seguridad de la
informacin.
118. Cuando una accin de seguimiento contra una
personauorganizacindespusdeunincidenteenla
seguridaddelainformacininvolucraunaaccinlegal
(ya sea civil o criminal); se debiera recolectar,
mantener y presentar evidencia para cumplir con las
reglas de evidencia establecidas en la(s)
jurisdiccin(es)relevante(s).

neutral

Moderada
mente
importante

Importante

Muy
importante

10ClusulaGestindelaContinuidaddelNegocio.
Sin
No
Moderada
Afirmaciones
importancia
importante
menteno
Alguna

119. Se debiera desarrollar y mantener un proceso

gerencial para la continuidad del negocio en toda la
organizacin para tratar los requerimientos de
seguridad de la informacin necesarios para la
continuidadcomercialdelaorganizacin.
120. Se debieran identificar los eventos que pueden
causar interrupciones a los procesos comerciales,
junto con la probabilidad y el impacto de dichas
interrupciones y sus consecuencias para la seguridad
delainformacin.
121. Se debieran desarrollar e implementar planes
paramantenerrestaurarlasoperacionesyasegurarla
disponibilidaddelainformacinenelnivelrequeridoy
en las escalas de tiempo requeridas despus de la
interrupcin, o falla, de los procesos comerciales
crticos.
122. Sedebieramantenerunsolo marcoreferencial
delosplanesdecontinuidaddelnegocioparaasegurar
que todos los planes sean consistentes, tratar
consistentementelosrequerimientosdeseguridadde
la informacin e identificar las prioridades para la
pruebayelmantenimiento.
123. Losplanesdecontinuidaddelnegociodebieran
ser probados y actualizados regularmente para
asegurarqueseanactualesyefectivos.

importante

11ClusulaCumplimiento
124. Sedebieradefinirexplcitamente,documentary
actualizar todos los requerimientos estatutarios,
reguladores y contractuales relevantes, y el enfoque
delaorganizacinparasatisfaceresosrequerimientos,
paracadasistemadeinformacinylaorganizacin.
125. Se debieran implementar los procedimientos
apropiados para asegurar el cumplimiento de los
requerimientos
legislativos,
reguladores
y
contractualessobreelusodelmaterialconrespectoa
los cuales puedan existir derechos de propiedad
intelectual y sobre el uso de productos de software
patentado.
126. Se debieran proteger los registros importantes
deprdida,destruccin,falsificacin;enconcordancia
con los requerimientos estatutarios, reguladores,
contractualesycomerciales.


127. Se debiera asegurar la proteccin y privacidad
de la data conforme lo requiera la legislacin,
regulaciones y, si fuesen aplicables, las clusulas
contractualesrelevantes.
128. Sedebieradisuadiralosusuariosdeutilizarlos
medios de procesamiento de la informacin para
propsitosnoautorizados.
129. Los controles criptogrficos se debieran utilizar
en cumplimiento con todos los acuerdos, leyes y
regulacionesrelevantes.

130. Losgerentesdebieranasegurarquesellevena
cabo correctamente todos los procedimientos de
seguridad dentro de su rea de responsabilidad para
asegurarelcumplimientodelaspolticasyestndares
deseguridad.
131. Los sistemas de informacin debieran
chequearseregularmenteparaverelcumplimientode
losestndaresdeimplementacindelaseguridad.
132. Las actividades y requerimientos de auditora
que involucran chequeos de los sistemas
operacionales debieran ser planeados y acordados
cuidadosamente para minimizar el riesgo de
interrupcionesenlosprocesoscomerciales.
133. Sedebieraprotegerelaccesoalasherramientas
deauditoradelossistemasdeinformacinparaevitar
cualquiermalusootrasgresinposible.