Traducción Propia SGS ISO IEC 27001.2022

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 26

ISO/IEC 27001:2022

Seguridad de la información,
ciberseguridad y
Protección de la privacidad. Sistema de
gestión de la seguridad de la información

Traducción propia exclusiva con fines académicos


Traducción propia exclusiva con fines
académicos

ISO/IEC 27001:2022

Seguridad de la Información, Ciberseguridad y Protección de la


Privacidad

Sistema de Gestión de la Seguridad de la Información

CONTENIDO Pág

0. INTRODUCCIÓN 3

0.1 GENERALIDADES 3

0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTIÓN 3

1. ALCANCE.................................................................................................................... 4

2. REFERENCIAS NORMATIVAS .................................................................................. 5

3. TÉRMINOS Y DEFINICIONES .................................................................................... 5

4. CONTEXTO DE LA ORGANIZACIÓN ......................................................................... 5

4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO ........................ 5

4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES


INTERESADAS ............................................................................................................ 5

4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE


SEGURIDAD DE LA INFORMACIÓN .......................................................................... 5

4.4 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ....................... 6

5. LIDERAZGO ................................................................................................................ 6

5.1 LIDERAZGO Y COMPROMISO ............................................................................. 6

5.2 POLÍTICA ............................................................................................................... 6

5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN..... 7

6. PLANIFICACIÓN ......................................................................................................... 7

2
Traducción propia exclusiva con fines
académicos
6.1 ACCIONES PARA ABORDAR LOS RIESGOS Y OPORTUNIDADES .................. 7

6.2 OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA


LOGRARLOS ............................................................................................................. 10

6.3 PLANIFICACIÓN DE CAMBIOS .......................................................................... 10

7. SOPORTE ................................................................................................................. 11

7.1 RECURSOS ......................................................................................................... 11

7.2 COMPETENCIA ................................................................................................... 11

7.3 TOMA DE CONCIENCIA ..................................................................................... 11

7.4 COMUNICACIÓN ................................................................................................. 11

7.5 INFORMACIÓN DOCUMENTADA ....................................................................... 12

8. OPERACIÓN ............................................................................................................. 13

8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL ................................................. 13

8.2 EVALUACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN ........ 13

8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN ..... 13

9. EVALUACIÓN DEL DESEMPEÑO ............................................................................ 14

9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN ................................... 14

9.2 AUDITORÍA INTERNA ......................................................................................... 14

9.2.2 Programa de auditorías internas ....................................................................... 15

9.3 REVISIÓN POR LA DIRECCIÓN ......................................................................... 15

10. MEJORA.................................................................................................................. 16

10.1 MEJORA CONTINUA ......................................................................................... 16

10.2 NO CONFORMIDADES Y ACCIONES CORRECTIVAS ................................... 16

ANEXO A (NORMATIVO).............................................................................................. 18

3
Traducción propia exclusiva con fines
académicos

0. INTRODUCCIÓN

0.1 GENERALIDADES

Esta norma ha sido elaborada para suministrar los requisitos para establecer, implementar,
mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información, en
adelante SGSI de la información. La adopción del SGSI de la información es una decisión
estratégica para una organización. El establecimiento e implementación de un SGSI de la
información para una organización esta influenciado por las necesidades de la organización y sus
objetivos, los requerimientos en seguridad, los procesos organizacionales usados y el tamaño y
la estructura de la organización. Todos estos factores influenciadores son esperados que
cambien en el tiempo.

El SGSI de la información está diseñado para preservar la confidencialidad, la integridad y la


disponibilidad de la información a través de la aplicación de un proceso de gestión del riesgo y
generando confianza a las partes interesadas que los riesgos son gestionados adecuadamente.

Es importante que el SGSI de la información sea parte de la estructura organizacional y esté


integrado con los procesos de la organización, además de ser tenido en cuenta en el diseño de
los procesos, los sistemas de información y los controles. Es esperado que la implementación de
un SGSI de la información sea gradual de acuerdo con las necesidades de la organización.

Este documento puede ser usado por las partes interesadas internas y externas para valorar la
habilidad de la organización para cumplir con sus propios requerimientos de seguridad de la
información.

El orden en el cual lo requerimientos son presentados en este documento no refleja su


importancia o el orden en el cual serán implementados. Estos están enumerados solo con el
propósito de tener una referencia.

0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTIÓN

Esta norma aplica la estructura de alto nivel, títulos idénticos de apartados, textos idénticos,
términos comunes y definiciones esenciales definidas en el Anexo SL de las Directivas ISO/IEC
y por tanto es compatible con otras normas de sistemas de gestión que han adoptado el Anexo
SL.

1. ALCANCE
Esta norma específica los requisitos para establecer, implementar, mantener y mejorar
continuamente un SGSI de la información dentro del contexto de la organización. Este documento
también Incluye los requisitos para la evaluación y el tratamiento de riesgos de seguridad de la
información ajustados a las necesidades de la organización.

Los requisitos abordados en esta norma son genéricos y están previstos para ser aplicables a
todas las organizaciones, independiente de su tipo, tamaño o naturaleza. La exclusión de alguno
4
Traducción propia exclusiva con fines
académicos
de los requisitos especificados en las cláusulas del 4 al 10 no es aceptable cuando una
organización declara conformidad con esta norma.

2. REFERENCIAS NORMATIVAS
ISO/IEC 27000, Tecnología de la Información – Técnicas de Seguridad – Sistema de Gestión de
Seguridad de la Información – Resumen y Vocabulario

3. TÉRMINOS Y DEFINICIONES
Se aplican los términos y definiciones presentados en la norma ISO/IEC 27000.

4. CONTEXTO DE LA ORGANIZACIÓN

4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO

La organización debe determinar los asuntos externos e internos que son relevantes para su
propósito y lo que podría afectar su habilidad para alcanzar los resultados necesarios para cumplir
con su propósito y qué afectan su habilidad para lograr los resultados previstos en el SGSI de la
información.

NOTA: La determinación de estos asuntos hace referencia a establecer el contexto interno y externo de la
organización, referencia la cláusula 5.4.1 de la norma ISO 31000:2018

4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES


INTERESADAS

La organización debe determinar:

a. Las partes interesadas que son relevantes para el SGSI;

b. Los requisitos relevantes de estas partes interesadas;

c. Cuáles de estos requisitos serán tratados a través del SGSI

Nota. Los requerimientos de las partes interesadas pueden incluir requerimientos legales, regulatorios y obligaciones
contractuales.

4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD


DE LA INFORMACIÓN

La organización debe determinar los límites y la aplicabilidad del SGSI de la información para
establecer su alcance.

Para determinar el alcance la organización debe considerar:

a. Los asuntos externos e internos mencionados en el numeral 4.1;


5
Traducción propia exclusiva con fines
académicos
b. Los requisitos mencionados en el numeral 4.2;

c. Las interfaces y dependencias entre las actividades realizadas por la organización, y las
que son realizan por otras organizaciones.

El alcance debe estar disponible como información documentada.

4.4 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

La organización debe establecer, implementar, mantener y mejorar continuamente un SGSI de


la información, incluyendo los procesos necesarios y sus interacciones, de acuerdo con los
requisitos de esta norma.

5. LIDERAZGO

5.1 LIDERAZGO Y COMPROMISO

La alta dirección debe demostrar liderazgo y compromiso con respecto al SGSI de la información:

a. Asegurando que la política de seguridad de la información y los objetivos de seguridad de la


información están establecidos y son compatibles con la dirección estratégica de la
organización;

b. Asegurando la integración de los requisitos del SGSI de la información con los procesos de
la organización;

c. Asegurando que los recursos requeridos para el SGSI de la información estén disponibles;

d. Comunicando la importancia de una gestión efectiva de la seguridad de la información y de


la conformidad con los requisitos del SGSI de la información;

e. Asegurando que el SGSI de la información logre los resultados previstos;

f. Dirigiendo y apoyando al personal para contribuir a la eficacia del SGSI de la información;

g. Promoviendo la mejora continua;

h. Apoyando otros roles de gestión relevantes para demostrar su liderazgo aplicado a sus áreas
de responsabilidad.

5.2 POLÍTICA

La alta dirección debe establecer una política de seguridad de la información que:

a. Sea apropiada al propósito de la organización;

6
Traducción propia exclusiva con fines
académicos
b. Incluya objetivos de seguridad de la información (6.2) o proporcione el marco para el
establecimiento de estos;

c. Incluya un compromiso de cumplir los requisitos aplicables relacionados con la seguridad


de la información;

d. Incluya un compromiso para de mejora continua del SGSI de la información.

La política de seguridad de la información debe:

e. Estar disponible como información documentada;

f. Ser comunicada dentro de la organización;

g. Estar disponible para las partes interesadas, según sea apropiado.

5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN

La alta dirección debe asegurar que las responsabilidades y autoridades para los roles
relevantes para la seguridad de la información sean asignados y comunicados dentro de la
organización.

La alta dirección debe asignar la responsabilidad y autoridad para:

a. Asegurarse de que el SGSI de la información es conforme con los requisitos de la norma;

b. Informar a la alta dirección sobre el desempeño del SGSI de la información.

Nota. La alta dirección también puede asignar responsabilidad y autoridades para informar sobre el desempeño del
SGSI de la información dentro de la organización.

6. PLANIFICACIÓN

6.1 ACCIONES PARA ABORDAR LOS RIESGOS Y OPORTUNIDADES

6.1.1 GENERALIDADES

Al planificar el SGSI de la información se debe considerar las cuestiones referidas en el apartado


4.1 y los requisitos a que se hace referencia en el apartado 4.2, y determinar los riesgos y
oportunidades que son necesarios ser tratados para:

a. Asegurar que el SGSI de la información pueda lograr los resultados previstos;

b. Prevenir o reducir los efectos indeseados;

c. Lograr la mejora continua.

7
Traducción propia exclusiva con fines
académicos
La organización debe planificar:

d. Acciones para tratar los riesgos y oportunidades identificados;

e. La manera de:

1. Integrar e implementar las acciones en los procesos del SGSI de la información

2. Evaluar la eficacia de estas acciones

6.1.2 EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

La organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad de


la información que:

a. Establezca y mantenga criterios de riesgo de seguridad que incluya:

1. Criterios de aceptación de riesgos; y

2. Criterios para realizar evaluaciones de riesgos de seguridad de la información;

b. Asegure que las evaluaciones repetidas de riesgos produzcan resultados consistentes,


válidos y comparables;

c. Identifique los riesgos de la seguridad de la información:

1. Aplicar el proceso de evaluación de riesgos de la seguridad de la información para


identificar riesgos asociados con la pérdida de la confidencialidad, la integridad y la
disponibilidad de la información dentro del alcance del SGSI de la información; y

2. Identificar a los dueños de los riesgos.

d. Analice los riesgos de la seguridad de la información:

1. Evaluar las consecuencias potenciales que resultarían si los riesgos identificados en


6.1.2 c) 1) se materializarán;

2. Evaluar la probabilidad realista de la ocurrencia de los riesgos identificados en 6.1.2


c) 1); y

3. Determinar los niveles de riesgo.

e. Evalúe los riesgos de la seguridad de la información:

1. Comparar los resultados del análisis de riesgos con los criterios de riesgo establecidos
en 6.1.2 a); y

2. Priorizar los riesgos analizados para el tratamiento de riesgos.


8
Traducción propia exclusiva con fines
académicos
La organización debe conservar información documentada acerca del proceso de evaluación de
riesgos de la seguridad de la información.

6.1.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

La organización debe definir y aplicar un proceso de tratamiento de riesgos de la seguridad de la


información para:

a. Seleccionar las opciones apropiadas de tratamiento de riesgos de la seguridad de la


información, teniendo en cuenta los resultados de la evaluación de riesgos;

b. Determinar todos los controles que son necesarios para implementar las opciones de
tratamiento de riesgos de la seguridad de la información seleccionadas;

Nota 1: la organización puede diseñar controles según las necesidades, o identificarlos de


cualquier fuente;

c. Comparar los controles determinados en 6.1.3 b) con los del anexo A y verificar que no
se han omitidos controles necesarios;

Nota 2: el Anexo A contiene una lista de posibles controles de seguridad de la información. Los
usuarios de esta norma son direccionados al Anexo A para asegurar que controles de seguridad
de la información no sean pasados por alto.

Nota 3: los controles de seguridad de la información listados en el Anexo A no son exhaustivos y


controles adicionales de seguridad de la información pueden ser incluidos si es necesario.

d. Elaborar una declaración de aplicabilidad que contenga:

- Los controles necesarios (ver 6.1.3 b) y c));

- Justificación para la inclusión;

- Si los controles necesarios son implementados o no; y

- La justificación por la exclusión de cualquiera de los controles del Anexo A.

e. Formular un plan de tratamiento de riesgos de la seguridad de la información; y

f. Obtener la aprobación del plan te tratamiento de riesgos de la seguridad de la información


y la aceptación de los riesgos residuales de la seguridad de la información por parte de
los dueños de los riesgos.

La organización debe conservar información documentada acerca del proceso de tratamiento de


riesgos de la seguridad de la información.

9
Traducción propia exclusiva con fines
académicos
Nota 4: el proceso de valoración y tratamiento de riesgos de la seguridad de la información en
esta norma se alinea con los principios y lineamientos genéricos provistos en ISO 31000.

6.2 OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA


LOGRARLOS

La organización debe establecer objetivos de seguridad de la información en las funciones y


niveles pertinentes. Los objetivos de seguridad de la información deben:

a. Ser coherentes con la política de seguridad de la información;

b. Ser medibles (si es viable);

c. Tener en cuenta los requisitos de seguridad de la información aplicables y los resultados


de la evaluación y el tratamiento de riesgo;

d. Ser monitoreados;

e. Ser comunicados;

f. Ser actualizados según sea apropiado;

g. Estar disponibles como información documentada.

La organización debe mantener información documentada sobre los objetivos de la seguridad de


la información.

Al planificar el logro de los objetivos de la seguridad de la información, la organización debe


determinar:

h. Qué se va a hacer;

i. Qué recursos serán requeridos;

j. Quién será responsable;

k. Cuándo serán completados; y

l. Cómo los resultados serán evaluados.

6.3 PLANIFICACIÓN DE CAMBIOS

Cuando la organización determina la necesidad de cambios para el SGSI de la información, los


cambios deben ser realizados de forma planificada.

10
Traducción propia exclusiva con fines
académicos

7. SOPORTE

7.1 RECURSOS

La organización debe determinar y proveer los recursos necesarios para el establecimiento, la


implementación, el mantenimiento y la mejora continua del SGSI de la información.

7.2 COMPETENCIA

La organización debe:

a. Determinar la competencia necesaria de las personas que realizan un trabajo, que bajo
su control, afecte el desempeño de la seguridad de la información;

b. Asegurar que las personas sean competentes, basándose en apropiada educación,


formación o experiencia;

c. Donde sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar su
eficacia de las acciones tomadas; y

d. Conservar información documentada apropiada como evidencia de la competencia.

7.3 TOMA DE CONCIENCIA

Las personas que realizan un trabajo bajo el control de la organización deben ser conscientes
de:

a. La política de seguridad de la información;

b. Su contribución a la eficacia del SGSI de la información, incluyendo los beneficios de


mejorar el desempeño de la seguridad de la información; y

c. Las implicaciones de la no Conformidad con los requisitos del SGSI de la información.

7.4 COMUNICACIÓN

La organización debe determinar la necesidad de las comunicaciones externas e internas


relevantes para el SGSI de la información, incluyendo:

a. Sobre qué comunicar;

b. Cuándo comunicar;

c. A quién comunicar;

d. Cómo comunicar.

11
Traducción propia exclusiva con fines
académicos
7.5 INFORMACIÓN DOCUMENTADA

7.5.1 GENERALIDADES

El SGSI de la información de la organización debe incluir:

a. Información documentada requerida por esta norma; y

b. Información documentada que la organización ha determinado que es necesaria para la


eficacia del SGSI de la información

NOTA El alcance de la información documentada puede ser diferente de una organización a otra, debido
a:

• El tamaño de la organización, tipo de actividades, procesos, productos y servicios

• La complejidad de los procesos y sus interacciones

• La competencia de las personas

7.5.2 CREACIÓN Y ACTUALIZACIÓN

Cuando se crea o actualiza información documentada, la organización debe asegurar que sea
apropiada a:

a. La identificación y descripción (por ejemplo, un título, fecha, autor, o número de


referencia);

b. El formato (por ejemplo, lenguaje, versión de software, gráficos) y sus medios de soporte
(por ejemplo, papel, electrónicos); y

c. La revisión y aprobación con respecto a la idoneidad y adecuación.

7.5.3 CONTROL DE LA INFORMACIÓN DOCUMENTADA

La información documentada requerida por el SGSI de la información y por esta norma se debe
controlar para asegurar:

a. Su disponibilidad y adecuación para su uso, dónde y cuándo se necesite; y

b. Su protección adecuada (por ejemplo, de la perdida de la confidencialidad, uso


inapropiado o la perdida de la integridad).

Para el control de la información documentada, la organización debe abordar las siguientes


actividades, según sea apropiado:

c. Distribución, acceso, recuperación y uso;

12
Traducción propia exclusiva con fines
académicos
d. Almacenamiento y preservación, incluida la preservación de la legibilidad;

e. Control de cambios; y

f. Retención y disposición.

Información documentada de origen externo que la organización ha determinado es necesaria


para la planeación y operación del SGSI de la información, debe ser identificada y controlada
según sea lo apropiado.

8. OPERACIÓN

8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir
los requisitos e implementar las acciones determinadas en la cláusula 6, para:

- Establecer criterios para los procesos;

- Implementar controles a los procesos de acuerdo con los criterios.

Información documentada debe estar disponible en lo posible para tener la confianza en que los
procesos han venido siendo ejecutados según lo planeado.

La organización debe controlar los cambios planificados y revisar las consecuencias de cambios
no previstos, tomando acciones para mitigar cualquier efecto adverso, según sea posible.

La organización debe asegurar que los procesos contratados externamente, así como los
productos o servicios que son relevantes para el SGSI de la información estén
controlados.

8.2 EVALUACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

La organización debe llevar a cabo evaluaciones de riesgos de la seguridad de la información a


intervalos planificados o cuando se propongan u ocurran cambios significativos, teniendo en
cuenta los criterios establecidos en 6.1.2 a).

La organización de conservar información documentada de los resultados de las evaluaciones de


riesgo de la seguridad de la información.

8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

La organización debe implementar el plan de tratamiento de riesgos de la seguridad de la


información.

13
Traducción propia exclusiva con fines
académicos
La organización debe conservar información documentada de los resultados del tratamiento de
riesgos de la seguridad de la información.

9. EVALUACIÓN DEL DESEMPEÑO

9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

Se debe evaluar el desempeño del SGSI de la información y la eficacia del SGSI de la


información. Se debe determinar:

a. A qué requiere realizar seguimiento y medición, incluyendo procesos y controles de la


seguridad de la información;

b. Los métodos para el seguimiento, la medición, el análisis y la evaluación, según aplique,


para asegurar resultados válidos. Los métodos seleccionados deben producir resultados
comparables y reproducibles para ser considerados válidos;

c. Cuándo se debe llevar a cabo el seguimiento y la medición;

d. Quién debe llevar a cabo el seguimiento y la medición;

e. Cuándo se deben analizar y evaluar los resultados del seguimiento y la medición;

f. Quién debe analizar y evaluar estos resultados.

Información documentada debe estar disponible como evidencia de los resultados.

La organización debe evaluar el desempeño de la seguridad de la información y la efectividad del


SGSI de la información.

9.2 AUDITORÍA INTERNA

9.2.1 Generalidades

La organización debe realizar auditorías internas a intervalos planificados para brindar


información acerca de si el SGSI de la información:

a. Es conforme con:

1. Los requisitos propios de la organización para el SGSI de la información;

2. Los requisitos de la norma;

b. Está implementado y mantenido eficazmente.

14
Traducción propia exclusiva con fines
académicos
9.2.2 Programa de auditorías internas

La organización debe planificar, establecer, implementar y mantener uno o varios programas de


auditoría, que incluya: la frecuencia, métodos, requerimientos de planificación e informes.

Cuando se establezca el(los) programa(s) de auditoría, la organización debe considerar la


importancia de los procesos y los resultados de las auditorías previas. La organización debe:

a. Definir criterios de auditoría y el alcance para cada auditoría;

b. Seleccionar los auditores y realizar auditorías que aseguren la objetividad e imparcialidad


de los procesos auditados;

c. Asegurarse de que los resultados de las auditorías se informen a la dirección pertinente;

Información documentada sebe estar disponible como evidencia de la implementación del


programa de auditoría y los resultados de la auditoría.

9.3 REVISIÓN POR LA DIRECCIÓN

9.3.1 Generalidades

La alta gerencia debe revisar el SGSI de la información de la organización a intervalos


planificados para asegurar la continuidad de la conveniencia, adecuación y eficacia.

9.3.2 Entradas para la revisión por la dirección

La revisión por la dirección debe incluir:

a. El estado de las acciones de las revisiones por la dirección previas;

b. Cambios en los aspectos externos e internos que son relevantes para el SGSI de la
información;

c. Cambios en las necesidades y expectativas de las partes interesadas que son relevantes
para el SGSI de la información;

d. Retroalimentación del desempeño de la seguridad de la información, incluyendo


tendencias en:

1. No conformidades y acciones correctivas;

2. Resultados del seguimiento y la medición;

3. Resultados de auditoría;

4. Cumplimiento de los objetivos de la seguridad de la información;


15
Traducción propia exclusiva con fines
académicos
e. Retroalimentación de las partes interesadas;

f. Resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos;

g. Oportunidades de mejora continua.

9.3.3 Resultados de la revisión por la dirección

Los resultados de la revisión por la dirección deben incluir decisiones relacionadas con las
oportunidades de mejora continua y las necesidades para cambios para el SGSI de la
información.

Información documentada de estar disponible como evidencia de los resultados de la revisión por
la dirección.

10. MEJORA

10.1 MEJORA CONTINUA

La organización debe continuamente mejorar la conveniencia, adecuación y eficacia del SGSI de


la información.

10.2 NO CONFORMIDADES Y ACCIONES CORRECTIVAS

Cuando se presenta una no conformidad, la organización debe:

a. Reaccionar ante la no conformidad, y según aplique:

1. Tomar acciones para controlarla y corregirla;

2. Enfrentar las consecuencias;

b. Evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el


fin de que no vuelvan a ocurrir u ocurran en otro lugar, mediante:

1. Revisión de la no conformidad;

2. Determinar las causas de la no conformidad; y

3. Determinar si existen no conformidades similares o que potencialmente podrían


ocurrir;

c. Implementar cualquier acción requerida;

d. Revisar la eficacia de cualquier acción tomada; y

e. Hacer cambios al SGSI de la información, si es necesario.

16
Traducción propia exclusiva con fines
académicos
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.

Información documentada debe estar disponible como evidencia de:

f. La naturaleza de las no conformidades y las acciones tomadas posteriormente,

g. Los resultados de cualquier acción correctiva

17
Traducción propia exclusiva con fines
académicos

ANEXO A (NORMATIVO)

REFERENCIA DE CONTROLES DE LA SEGURIDAD DE LA INFORMACIÓN

Los controles de la seguridad de la información listados en la Tabla A.1 se derivan y están


alineados con los controles listados en ISO/IEC 27002:2022[1], clausulas 5 a la 8, y deben ser
usados en contexto con 6.1.3.

Tabla A.1 — Controles de la seguridad de información

5 Controles organizacionales
Control
La política de seguridad de la información y las políticas de
Políticas para la temas específicos deben ser definidas, aprobadas por la
5.1 seguridad de la dirección, publicadas, comunicadas a y conocidas por el
información personal relevante y las partes interesadas pertinentes, y
revisadas a intervalos planificados y si se producen
cambios significativos
Funciones y
Control
responsabilidades
Las funciones y responsabilidades de seguridad de la
5.2 en materia de
información se deben definir y asignar de acuerdo con las
seguridad de la
necesidades de la organización.
información
Control
Segregación de
5.3 funciones
Las funciones y las áreas de responsabilidad conflictivas
deben estar separadas.
Control
La administración debe exigirle a todo el personal que
Responsabilidades
5.4 de gestión
aplique la seguridad de la información de acuerdo con la
política de seguridad de la información establecida, las
políticas y los procedimientos específicos de cada tema.
Control
Contacto con
5.5 La organización debe establecer y mantener contacto con
autoridades
las autoridades pertinentes.
Control
Contacto con
La organización debe establecer y mantener contacto con
5.6 grupos de interés
grupos de interés especial u otros foros de seguridad
especial
especializados y asociaciones profesionales.
Control
Inteligencia sobre La información relativa a las amenazas a la seguridad de la
5.7 amenazas información se debe recopilar y analizar para producir
inteligencia sobre amenazas
Seguridad de la
Control
información en la
5.8 La seguridad de la información se debe integrar en la
gestión de
gestión de proyectos.
proyectos
Control
Inventario de
5.9 Se debe elaborar y mantener un inventario de información
activos de
y otros activos asociados, incluidos los propietarios.

18
Traducción propia exclusiva con fines
académicos
información y otros
activos asociados
Uso aceptable de la Control
información y los Se deben identificar, documentar y aplicar normas para el
5.10 activos asociados uso aceptable y procedimientos para el manejo de la
información y otros activos asociados.
Control
Devolución de El personal y otras partes interesadas, según corresponda,
5.11 activos deben devolver todos los activos de la organización que
estén en su poder al cambiar o terminar su empleo, contrato
o acuerdo.
Control
La información se debe clasificar según las necesidades de
Clasificación de la
5.12 seguridad de la información de la organización en función
información
de la confidencialidad, la integridad, la disponibilidad y los
requisitos pertinentes de las partes interesadas.
Control
Debe elaborarse y aplicarse un conjunto adecuado de
Etiquetado de la
5.13 procedimientos para el etiquetado de la información de
información
conformidad con el plan de clasificación de la información
adoptado por la organización.
Control
Se deben establecer normas, procedimientos o acuerdos
Transferencia de
5.14 de transferencia de información para todos los tipos de
información
facilidades de transferencia dentro de la organización y
entre la organización y otras partes.
Control
Las reglas para controlar el acceso físico y lógico a la
5.15 Control de acceso información y otros activos asociados deben establecerse
e implementarse en función de los requisitos de seguridad
de la información y del negocio.
Gestión de Control
5.16 identidades Se debe gestionar todo el ciclo de vida de las identidades.
Control
La asignación y gestión de la información de autenticación
Información de
5.17 autenticación
debe controlarse mediante un proceso de gestión, que
incluya el asesoramiento del personal sobre el tratamiento
adecuado de la información de autenticación.
Control
Los derechos de acceso a la información y a otros activos
Derechos de
5.18 asociados se deben proveer, revisar, modificar y eliminar
acceso
de acuerdo con la política y las reglas de control de acceso
específicas del tema de la organización.
Control
seguridad de la
Deben definirse e implementarse procesos y
información en las
5.19 procedimientos para gestionar los riesgos de seguridad de
relaciones con los
la información asociados con el uso de los productos o
proveedores
servicios del proveedor.

19
Traducción propia exclusiva con fines
académicos
Abordar la
Control
seguridad de la
Los requisitos de seguridad de la información pertinentes
5.20 información en los
debieran establecerse y acordarse con cada proveedor en
acuerdos con los
función del tipo de relación con el proveedor.
proveedores
Gestión de la Control
seguridad de la Deben definirse y aplicarse procesos y procedimientos para
5.21 información en la gestionar los riesgos de seguridad de la información
cadena de asociados a la cadena de suministro de productos y
suministro TIC servicios de TIC.
Seguimiento,
Control
revisión y gestión
La organización debe supervisar, revisar, evaluar y
de cambios de los
5.22 gestionar regularmente los cambios en las prácticas de
servicios de los
seguridad de la información del proveedor y en la
proveedores
prestación de servicios.
Control
seguridad de la
Los procesos de adquisición, uso, gestión y salida de los
información para el
5.23 servicios en la nube deben establecerse de acuerdo con los
uso de servicios en
requisitos de seguridad de la información de la
la nube
organización.
Planificación y Control
preparación de la La organización debe planificar y prepararse para gestionar
gestión de los incidentes de seguridad de la información definiendo,
5.24 incidentes de la estableciendo y comunicando los procesos, funciones y
seguridad de la responsabilidades de gestión de incidentes de seguridad
información de la información.
Evaluación y
Control
decisión sobre
La organización debe evaluar los eventos de seguridad de
5.25 eventos de
la información y decidir si se deben clasificar como
seguridad de la
incidentes de seguridad de la información.
información
Respuesta a Control
incidentes de Los incidentes de seguridad de la información deben
5.26 seguridad de la responderse en conformidad con los procedimientos
información documentados.
Aprendizaje de los Control
incidentes de Los conocimientos obtenidos de los incidentes de
5.27 seguridad de la seguridad de la información deben utilizarse para reforzar y
información mejorar los controles de seguridad de la información.
Control
La organización debe establecer e implementar
Recopilación de
5.28 pruebas
procedimientos para la identificación, recolección,
adquisición y preservación de pruebas relacionadas con
eventos de seguridad de la información.
seguridad de la Control
información La organización debe planificar cómo mantener la
5.29 durante una seguridad de la información en un nivel adecuado durante
interrupción la interrupción.

20
Traducción propia exclusiva con fines
académicos
Preparación de las Control
TIC para la La preparación para las TIC debe planificarse,
5.30 continuidad de la implementarse, mantenerse y probarse sobre la base de los
actividad objetivos de continuidad empresarial y los requisitos de
continuidad de las TIC.
Control
Los requisitos legales, estatutarios, reglamentarios y
Requisitos legales,
contractuales relevantes para la seguridad de la
5.31 reglamentarios y
información y el enfoque de la organización para cumplir
contractuales
con estos requisitos deben ser identificados,
documentados y actualizados.
Control
Derechos de
La organización debe aplicar los procedimientos
5.32 propiedad
apropiados para proteger los derechos de propiedad
intelectual
intelectual.
Control
Protección de los Los registros deben estar protegidos de pérdidas,
5.33 registros destrucción, falsificación, acceso no autorizado y liberación
no autorizada.
Control
La organización debe identificar y cumplir con los requisitos
Privacidad y
5.34 relativos a la preservación de la privacidad y la protección
protección de la IIP
de la IIP de acuerdo con las leyes y reglamentos aplicables
y los requisitos contractuales.
Control
Revisión El enfoque de la organización para gestionar la seguridad
independiente de la de la información y su implementación, incluidas las
5.35 seguridad de la personas, los procesos y las tecnologías, debe revisarse de
información forma independiente a intervalos planificados o cuando se
produzcan cambios significativos.
Cumplimiento de Control
políticas, reglas y El cumplimiento de la política de seguridad de la
5.36 normas de información de la organización, las políticas, las reglas y los
seguridad de la estándares específicos de cada tema deben revisarse
información periódicamente.
Control
Procedimientos Los procedimientos operativos para las instalaciones de
5.37 operativos procesamiento de la información deben estar
documentados documentados y disponibles para el personal que los
necesite.
6 Controles de personas
Control
Las verificaciones de los antecedentes de todos los
candidatos a convertirse en personal deben llevarse a cabo
antes de incorporarse a la organización y de forma
6.1 Selección
continuada, tomando en consideración las leyes, los
reglamentos y la ética aplicables y ser proporcionales a los
requisitos de la empresa, la clasificación de la información
a la que se va a acceder y los riesgos percibidos.

21
Traducción propia exclusiva con fines
académicos
Control
Condiciones del Los acuerdos contractuales de empleo deben indicar las
6.2 empleo responsabilidades del personal y de la organización en
materia de seguridad de la información.
Control
El personal de la organización y las partes interesadas
Sensibilización,
pertinentes deben recibir una sensibilización, educación y
educación y
formación adecuadas en materia de si, así como
6.3 formación en
actualizaciones periódicas de la política de seguridad de la
temas de seguridad
información de la organización y de las políticas y
de la información
procedimientos específicos, según sea pertinente para su
función laboral.
Control
Se debe formalizar y comunicar un proceso disciplinario
Proceso
6.4 para tomar medidas contra el personal y otras partes
disciplinario
interesadas pertinentes que hayan cometido una violación
de la política de seguridad de la información.
Control
Responsabilidades Las responsabilidades y deberes de seguridad de la
después de la información que siguen siendo válidos después de la
6.5 terminación o terminación o el cambio de empleo deben definirse,
cambio de empleo aplicarse y comunicarse al personal pertinente y a otras
partes interesadas.
Control
Los acuerdos de confidencialidad o no divulgación que
Acuerdos de
reflejen las necesidades de la organización para la
6.6 confidencialidad o
protección de la información deben ser identificados,
no divulgación
documentados, revisados y firmados regularmente por el
personal y otras partes interesadas pertinentes.
Control
Deben implementarse medidas de seguridad cuando el
6.7 Trabajo remoto personal trabaja de forma remota para proteger la
información a la que se accede, procesa o almacena fuera
de las instalaciones de la organización.
Control
Informe de eventos La organización debe proporcionar un mecanismo para que
6.8 de seguridad de la el personal informe sobre los eventos de seguridad de la
información información observados o sospechosos a través de los
canales apropiados de manera oportuna.
7 Controles físicos
Control
Perímetros de Los perímetros de seguridad deben definirse y utilizarse
7.1 seguridad física para proteger las áreas que contienen información y otros
activos asociados.
Control
7.2 Entrada física Las áreas seguras deben protegerse mediante controles de
entrada y puntos de acceso adecuados.
Protección de Control
7.3 oficinas, salas e Se debe diseñar e implementar la seguridad física de las
instalaciones oficinas, salas e instalaciones.

22
Traducción propia exclusiva con fines
académicos
Control
Monitoreo de
7.4 seguridad física
Las instalaciones deben ser vigiladas continuamente para
detectar el acceso físico no autorizado.
Control
Protección contra Debe diseñarse y aplicarse la protección contra las
7.5 amenazas físicas y amenazas físicas y ambientales, como los desastres
medioambientales naturales y otras amenazas físicas intencionales o no
intencionales a la infraestructura.
Control
Trabajo en áreas
7.6 Deben diseñarse y aplicarse medidas de seguridad para
seguras
trabajar en zonas seguras.
Control
Se deben definir y aplicar de forma adecuada reglas para
Escritorio y
7.7 papeles y medios de almacenamiento extraíbles en los
pantalla limpios
escritorios, así como reglas de pantalla limpia para las
instalaciones de procesamiento de información.
Ubicación y
Control
7.8 protección de los
Los equipos deben ubicarse de forma segura y protegidos.
equipos
Seguridad de los Control
7.9 activos fuera de las Los activos fuera de las instalaciones deben estar
instalaciones protegidos.
Control
Los medios de almacenamiento deben gestionarse a través
Medios de
7.10 almacenamiento
de su ciclo de vida de adquisición, uso, transporte y
eliminación de acuerdo con el esquema de clasificación y
los requisitos de manipulación de la organización.
Control
Las instalaciones de procesamiento de la información
Servicios públicos
7.11 deben estar protegidas contra los cortes de energía y otras
de respaldo
interrupciones causadas por fallas en los servicios públicos
de respaldo.
Control
Seguridad del Los cables que transportan energía, datos o servicios de
7.12 cableado información de respaldo deben estar protegidos contra la
interceptación, las interferencias o los daños.
Control
Mantenimiento de Los equipos deben mantenerse correctamente para
7.13 equipos garantizar la disponibilidad, integridad y confidencialidad de
la información.
Control
Los elementos de los equipos que contienen medios de
Eliminación segura
almacenamiento deben verificarse para garantizar que los
7.14 o reutilización de
datos confidenciales y el software con licencia se han
equipos
eliminado o sobrescrito de forma segura antes de
desecharlos o reutilizarlos.
8 Controles tecnológicos
Dispositivos finales
8.1 del usuario
Control

23
Traducción propia exclusiva con fines
académicos
La información almacenada, procesada o accesible a
través de los dispositivos de punto final del usuario debe
estar protegida.
Derechos de Control
8.2 acceso La asignación y el uso de los derechos de acceso
privilegiados privilegiados deben ser restringidos y gestionados.
Control
Restricción de
El acceso a la información y a otros activos asociados debe
8.3 acceso a la
restringirse de conformidad con la política establecida
información
sobre el control del acceso relativa a temas específicos.
Control
Acceso al código El acceso de lectura y escritura al código fuente, las
8.4 fuente herramientas de desarrollo y las bibliotecas de software se
deben administrar adecuadamente.
Control
Las tecnologías y los procedimientos de autenticación
Autenticación
8.5 segura deben implementarse en función de las
segura
restricciones de acceso a la información y de la política de
control de acceso específica del tema.
Control
Gestión de la La utilización de los recursos debe supervisarse y ajustarse
8.6 capacidad de conformidad con las necesidades de capacidad actuales
y previstas.
Control
Protección contra
8.7 malware
La protección contra el malware debe implementarse y
respaldarse con el conocimiento adecuado del usuario.
Control
Se debe obtener información sobre las vulnerabilidades
Gestión de las
técnicas de los sistemas de información en uso, se debe
8.8 vulnerabilidades
evaluar la exposición de la organización a esas
técnicas
vulnerabilidades y se deben adoptar las medidas
apropiadas.
Control
Las configuraciones, incluidas las configuraciones de
Gestión de la
8.9 seguridad, de hardware, software, servicios y redes deben
configuración
establecerse, documentarse, implementarse, supervisarse
y revisarse.
Control
Eliminación de La información almacenada en sistemas de información,
8.10 información dispositivos o cualquier otro medio de almacenamiento
debe eliminarse cuando ya no sea necesario.
Control
El enmascaramiento de datos debe utilizarse de acuerdo
Enmascaramiento con la política de la organización sobre el control de acceso
8.11 de datos y otras políticas específicas de temas relacionados, así
como con los requisitos empresariales, tomando en
consideración la legislación aplicable.
Control
Prevención de fuga
8.12 de datos
Las medidas de prevención de fugas de datos deben
aplicarse a los sistemas, redes y cualquier otro dispositivo

24
Traducción propia exclusiva con fines
académicos
que procese, almacene o transmita información
confidencial.
Control
Copias de Las copias de seguridad (respaldos) de la información, del
8.13 seguridad de la software y de los sistemas deben mantenerse y probarse
información periódicamente de conformidad con la política de copia de
seguridad específica del tema acordado.
Redundancia de las Control
instalaciones de Las instalaciones de procesamiento de información deben
8.14 tratamiento de implementarse con redundancia suficiente para satisfacer
información los requisitos de disponibilidad.
Control
Deben producirse, almacenarse, protegerse y analizarse
8.15 Registros
los registros que recogen las actividades, las excepciones,
las fallas y otros eventos relevantes.
Control
Las redes, los sistemas y las aplicaciones deben ser
Actividad de
8.16 monitoreo
monitoreados para detectar comportamientos anómalos y
tomar las medidas apropiadas para evaluar posibles
incidentes de seguridad de la información.
Control
Sincronización de Los relojes de los sistemas de procesamiento de
8.17 relojes información utilizados por la organización deben
sincronizarse con las fuentes de tiempo aprobadas.
Control
Uso de programas
El uso de programas utilitarios capaces de anular los
8.18 utilitarios
controles del sistema y de las aplicaciones debe estar
privilegiados
restringido y controlado de forma estricta.
Instalación de Control
software en Deben implementarse procedimientos y medidas para
8.19 sistemas administrar de forma segura la instalación de software en
operativos sistemas operativos.
Control
Seguridad de las Las redes y los dispositivos de red deben estar protegidos,
8.20 redes gestionados y controlados para proteger la información de
los sistemas y las aplicaciones.
Control
Seguridad de los Deben identificarse, implementarse y supervisarse los
8.21 servicios de red mecanismos de seguridad, los niveles de servicio y los
requisitos de servicio de los servicios de red.
Control
Segregación de las Los grupos de servicios de información, usuarios y
8.22 redes sistemas de información deben separarse en las redes de
la organización.
Control
8.23 Filtrado web El acceso a sitios web externos debe gestionarse para
reducir la exposición a contenido malintencionado.
8.24 Uso de criptografía Control

25
Traducción propia exclusiva con fines
académicos
Se deben definir e implementar reglas para el uso efectivo
de la criptografía, incluida la administración de claves
cifradas.
Control
Ciclo de vida de
8.25 Deben establecerse y aplicarse normas para el desarrollo
desarrollo seguro
seguro de software y sistemas.
Control
Requisitos de
Los requisitos de SEGURIDAD DE LA INFORMACIÓN
8.26 seguridad en
deben ser identificados, especificados y aprobados al
aplicaciones
desarrollar o adquirir aplicaciones.
Arquitectura de Control
sistemas seguros y Los principios para la ingeniería de sistemas seguros deben
8.27 principios de establecerse, documentarse, mantenerse y aplicarse a
ingeniería segura cualquier actividad de desarrollo de sistemas de
información.
Control
Codificación
8.28 Los principios de codificación segura se deben aplicar al
segura
desarrollo del software.
Pruebas de
Control
seguridad y de
8.29 Los procesos de pruebas de seguridad deben definirse e
aceptación en el
implementarse en el ciclo de vida del desarrollo.
desarrollo
Control
Desarrollo La organización debe controlar, monitorear y revisar las
8.30 tercerizado actividades relacionadas con el desarrollo de sistemas
tercerizados.
Separación de los
Control
entornos de
8.31 Los entornos de desarrollo, prueba y producción deben
desarrollo, pruebas
estar separados y protegidos.
y producción
Control
Gestión de Los cambios en las instalaciones de procesamiento de la
8.32 cambios información y en los sistemas de información deben estar
sujetos a procedimientos de gestión del cambio.
Control
Información para
8.33 las pruebas
La información para las pruebas debe seleccionarse,
protegerse y gestionarse adecuadamente.
Protección de los
Control
sistemas de
Las pruebas de auditoría y otras actividades de garantía
información
8.34 que impliquen la evaluación de los sistemas operativos
durante las
deben planificarse y acordarse entre el encargado de las
pruebas de
pruebas y la dirección correspondiente.
auditoría

26

También podría gustarte