Logo ISO

Logo ISO
En este proyecto se generara una documentación de la red de Centro de Servicios y Gestión Empresarial que permita dar soluciones a esta gran problemática que se a generado en la red por la falta de una norma que de soporte a los administradores de dicha red para una correcta utilización de los dispositivos y demás implementos de la red.

miércoles, 18 de junio de 2008

Encuestas para administrador, docentes y usuarios de la red educativa


Encuesta para el administrador de la red educativa del CESGE:

SENA: CONOCIMIENTO PARA TODOS LOS COLOMBIANOS”


Encuesta dirigida al Administrador de la red educativa CESGE.

Encuesta sobre el aseguramiento de la red educativa CESGE con la norma ISO/IEC:


1. ¿El administrador de la red aplica politicas de seguridad en la red educativa?

Si______ No_____


2 . ¿Se permite el ingreso de equipos portátiles de computación, fotográficos, de vídeo, audio o cualquier otro tipo de equipamiento que registre información, a menos que hayan sido formalmente autorizados por el Responsable del espacio?

Si _____ No _____


3. ¿Utiliza un servidor de directorios para manejar los usuarios?

Si ______ No _____


4. ¿Maneja usuarios privilegiados para realizar tareas especificas ( imprimir, instalar, acceso a informacion critica, etc. ).?

Si ______ No ______

Que Permisos tienen estos usuarios ______________________________________________________________________


5.¿Maneja metodos de autenticacion para los usuarios de la red?

Si _______ No _______

¿Cuales? __________________________________________________________________________________________


6. ¿Utiliza protocolos de autenticacion avanzados?

Si _____ No _____


7. ¿Maneja usuarios con privilegios de administrador?

Si _____ No _____


8. ¿Asesora a los usuarios para manejar correctamente las contraseñas?

Si _____ No _____


9. ¿Maneja usuarios con privilegios de invitados?

Si _____ No ______


10. ¿Tiene politicas definidas para una longitud segura de contraseñas?

Si _____ No ______


11. ¿cada usuario tiene su cuenta dependiendo del cargo asignado?

Si _____ No ______


12.¿como es el proceso para asignar las contraseñas?

________________________________________________________________________________


13. ¿Ejecuta planes de contingencia de acuerdo al estado de la red?

Si______ No_______


14. ¿Revisa periodicamente los backup de los servicios criticos de la red ?

Si_______ No_______


15. ¿Maneja contratos con terceros?

Si_______ No_______


16. ¿Maneja perfiles de usuarios especificos para terceros?

Si ______ No ______


17. ¿Maneja seguridad cifrada?

Si________ No________


18. ¿Realiza algun Proceso de eleccion de personal?

Si _____ No _____


19. ¿Las oficinas del sector administrativo cuentan con primeros auxilios?

    Si _____ No _____


20.¿A la información crítica tienen acceso personas de acceso público o personas las ajenas a dicha información?

SI ______ No _____


21. ¿Las áreas protegidas permanecen cerradas, aseguradas periódicamente supervisadas fuera del horario normal de trabajo?

Si _____ No _____


22. ¿Se registra el material entrante (equipos, materiales de trabajo)?

Si ______ No _____


23. ¿Los recursos que requieren protección se encuentran aislados, para reducir el nivel de riesgo que puedan tener?

Si ______ No _____


24. ¿Se implantan sistemas anti-rayo en los edificios y protecciones contra descargas eléctricas en todas las líneas de energía y cables de comunicaciones?

Si ______ No ______


25. ¿Se cumple con los requisitos del cableado estructurado?

Si ______ No _____


26. ¿Se hace un cronograma de mantenimiento preventivo?

Si _______ No ______


27.¿Solo las personas autorizadas realizan el mantenimiento a los equipos?

Si ______ No ______


28. ¿Se registran todas las fallas posibles, existentes, y la totalidad de las actividades de mantenimiento preventivo y correctivo realizadas?

Si ______ No ______


Observaciones ________________________________________________________________________________________



Encuesta para los docentes:

SENA

SENA: CONOCIMIENTO PARA TODOS LOS COLOMBIANOS”


Encuesta dirigida a los docentes de la red educativa CESGE.

Encuesta sobre el aseguramiento de la red educativa CESGE con la norma ISO/IEC:


1. ¿Aplica politicas de seguridad en el aula?

Si______ No_______


2 . ¿Se permite el ingreso de equipos portátiles de computación, fotográficos, de vídeo, audio o cualquier otro tipo de equipamiento que registre información, a menos que hayan sido formalmente autorizados por el Responsable del espacio?

Si _____ No _____


3. ¿Utiliza un servidor de directorios para manejar los alumnos?

Si ______ No _____


4. ¿Maneja usuarios privilegiados para realizar tareas especificas?

Si ______ No ______

Que Permisos tienen estos usuarios _______________________________________________________________


5.¿Aplica metodos de autenticacion para los alumnos?

Si _______ No _______

¿Cuales? ______________________________________________________________________________________


6. ¿Maneja usred usuario con privilegios de administrador?

Si _____ No _____


7. ¿Asesora a los alumnos para manejar correctamente las contraseñas?

Si _____ No _____


8. ¿Tiene politicas definidas para una longitud segura de contraseñas?

Si _____ No ______


9. ¿Tiene usted su cuenta dependiendo del cargo asignado?

Si _____ No ______


10. ¿Maneja contratos con terceros?

Si______ No_______


11. ¿Cuentan con primeros auxilios?

    Si _____ No _____


12.¿Tiene acceso personas de acceso público a su informacion?

    SI ______ No _____

¿Que tipo de informacion?

____________________________________________________________


13. ¿Se registra el material entrante a las aulas (equipos, materiales de trabajo)?

Si ______ No _____


14. ¿Los recursos que requieren protección se encuentran aislados, para reducir el nivel de riesgo que puedan tener?

Si ______ No _____


15.¿Solo las personas autorizadas realizan el mantenimiento a los equipos?

Si ______ No ______


16. ¿Registran todas las fallas posibles, existentes, y la totalidad de las actividades de mantenimiento preventivo y correctivo realizadas?

Si ______ No ______


Observaciones _________________________________________________________________________



Encuesta para los usuarios de la red educativa:


SENA

SENA: CONOCIMIENTO PARA TODOS LOS COLOMBIANOS”


Encuesta dirigida a los alumnos de la red educativa CESGE.

Encuesta sobre el aseguramiento de la red educativa CESGE con la norma ISO/IEC:


1.¿Utiliza metodos de autenticacion en los equipos?

Si _______ No _______

¿Cuales? _____________________________________________


2. ¿Que tipo de usuario maneja?

Administrador del equipo_____

Usuario invitado _____


3. ¿Recibe la acesoria pertinente para manejar las contraseñas?

Si _____ No _____


4. ¿En su equipo maneja usuarios con privilegios de invitados?

Si _____ No ______


5. ¿Tiene politicas definidas para una longitud segura de contraseñas?

Si _____ No ______


6.¿Cual es la longitud de esta contraseña?

___________________________________________________________


7. ¿cada usuario tiene su cuenta dependiendo del cargo asignado?

Si _____ No ______


8.¿como es el proceso para la asignacion de las contraseñas?

________________________________________________________



9. ¿Cuentan con primeros auxilios?

    Si _____ No _____


10. ¿Se registra el material entrante (equipos, materiales de trabajo)?

Si ______ No _____


11. ¿Usted registra todas las fallas existentes?

Si ______ No ______


Observaciones :___________________________________________________________


Plantillas utilizadas para toma de datos

ENCARGADOS DEL INVENTARIO DE LA RED EDUCATIVA SENA.

Se realizara una lista de los encargados para identificar quienes son los responsables de ciertos recursos de la red del CESGE.

















Plantilla para tomar los datos de los equipos de la red educativa:



martes, 29 de abril de 2008

RESUMEN DE LA NORMA ISO/IEC 17799


POLÍTICA DE SEGURIDAD

Política de seguridad de la información

Objetivo: Proporcionar dirección y soporte a la seguridad de la información.

Esta política debe ser apoyada y aplicada para un bien de la institución.


Dicha política de seguridad debe poseer los siguientes enunciados:

  • Importancia de la información al transmitirla.

  • Fundamentacion de los objetivos de la empresa con respecto a los objetivos comerciales.

  • Establecer los objetivos de control.

  • Importancia de la política de seguridad para la empresa.

  • Establecer responsabilidades para la gestión de la seguridad de la información.

  • Referenciar procedimientos de seguridad que los usuarios debieran observar.

Esta política de seguridad debe ser dada a conocer a todo el personal de manera que la pedan comprender perfectamente.


Revisión de la política de seguridad de la información

Esta política de seguridad debe ser revisada para verificar su viabilidad y si surgen cambios hacerlos dar a conocer al personal.


La revisión de esta política debe tener algunos ítems tales como:

  • Cambio de personal.

  • Estado de acciones preventivas.

  • Mejora de dispositivos.


ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Organización interna

Objetivo: Mantener la seguridad y la disponibilidad de la información.


Compromiso de la gerencia con la seguridad de la información

La gerencia debe apoyar la seguridad de la información.

  • Identificar los objetivos de seguridad.

  • Revisar la política de seguridad periódicamente.

  • Dar facilidades para una mejor seguridad de la información.

La gerencia debe identificar las posibles vulnerabilidades de la información para así evitarlas.


Coordinación de la seguridad de la información

Es necesario repartir las tareas de seguridad de la información con un personal de la empresa que sea responsable.

  • Se debe velar por no violar la política de seguridad de la información.

  • Identificar posibles vulnerabilidades a la seguridad de la información.


Asignación de las responsabilidades de la seguridad de la información

Las personas a la cual se le asigna el cargo de la seguridad de la información debe tener muy claro la responsabilidad que se le esta asignado.


Acuerdos de confidencialidad

La información debe mantenerse bajo confidenciabilidad para la seguridad de la misma.

  • Se debe identificar los casos donde se debe mantener bajo confidenciabilidad la información.

  • Aportar solo la información necesaria a los usuarios externos.

  • Acciones a realizarse en caso de incumplimiento y divulgación de la información.


Contacto con las autoridades

La empresa debe contar con autoridades pertinentes en caso de emergencia, por ejemplo: policía, bomberos, además es posible que sufra ataques desde Internet y para esto debe asignarle este cargo a un tercero como seria un proveedor ISP.


Contacto con grupos de interés especial

La organización debe tener contacto con medios de seguridad.

  • Tiene la posibilidad de mejorar a tiempo la seguridad a las vulnerabilidades

  • Se mantiene actualizado de nuevos productos y demás.


Revisión independiente de la seguridad de la información

La seguridad de la información debe ser revisada con gran cuidado para evitar fallos mas adelante en la misma.

Esta revisión debe ser realizada por un personal experimentado con gran capacidad de identificar y interpretar posibles vulnerabilidades contra la organización, esta revisión debe hacerse de acuerdo con las políticas de seguridad ya establecidas.


Grupos o personas externas

Objetivo: Controlar el acceso de medios externos hacia la manipulación de la información.


Identificación de los riesgos relacionados con los grupos externos

Antes de permitir al acceso a algún externo se deben mirar los riesgos a los cuales esta expuesto la organización al darle acceso, además se debe mirar hacia que necesita acceso estos usuarios externos.

Para delegarle acceso a algún externo se debe tener en cuenta controles de seguridad para que este no nos valla a violar la información (modifique archivos, copie datos archivos importantes, etc.), también es importante tener por escrito y firmados contratos a la violación de este a los datos de la empresa.


Tratamiento de la seguridad en acuerdos con terceros

En los acuerdos con terceros deben quedar muy claros los requisitos y los compromisos a los que se someten ambas partes y se deben tener en cuenta varios aspectos relevantes para la organización.

  • Políticas de seguridad.

  • Controles de aseguramiento a dispositivos activos y información.

  • Responsabilidad de terceros a hacer su desempeño.

  • Políticas de control de acceso.

  • Informes del estado de los dispositivos activos y demás.


GESTIÓN DE ACTIVOS

Responsabilidad por los activos

Objetivo: Mantener en buen estado los activos de la organización.


Inventario de los activos

En una organización es muy importante además de la organización para facilitar su uso mantener un inventario de todos y cada uno de los dispositivos de la organización.

Los inventarios de los activos ayudan a asegurar una protección efectiva de los activos y a una recuperación más efectiva en caso de desastres.


Propiedad de los activos

Todos los activos de la organización deben estar al cargo de alguien con fin de evitar percances.


Uso aceptable de los activos

Se debe implementar reglas adecuadas para el uso de los activos de la organización.

Estas reglas se deben cumplir al pie de la letra para así no tener ningún problema en la utilización de los activos de la organización.


Clasificación de la información

Se encarga de la seguridad de la información ya que esta es de vital importancia para la organización.


Lineamientos de clasificación

La información debiera ser clasificada para indicar la necesidad, prioridades y grado de protección esperada cuando se maneja la información.

Además la información debe ser responsabilidad del propietario del activo y definir la clasificación de un activo, revisarla periódicamente y asegurarse que se mantenga actualizada y en el nivel apropiado.


Etiquetado y manejo de la información

Se debe desarrollar e implementar un conjunto procedimientos para el etiquetado y manejo de la información.

El etiquetado de la información se debe tener como un punto muy valioso al ejecutar el aseguramiento de la organización ya que por medio de esta nos vamos a dar de cuenta el estado de los equipos y su manejo.


SEGURIDAD DE RECURSOS HUMANOS

Antes del empleo

Objetivo: Considerar que la persona que se va a contratar sea una persona responsable y que cumpla con todos los requisitos para poder tomar un cargo en la organización.

Los empleados, contratistas y terceros usuarios de los medios de procesamiento de la Información debieran firmar un acuerdo sobre sus roles y responsabilidades con relación a la Seguridad.


Roles y responsabilidades

Se debe definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros de acuerdo con la política de seguridad de la información de la organización.

Los roles y responsabilidades de la seguridad debieran ser definidos y claramente comunicados a los candidatos para el puesto durante el proceso de PRE-empleo.


Investigación de antecedentes

La persona a emplear debe cumplir con unas características legales en las cuales se deben tener en cuenta lo siguiente:

a) disponibilidad de referencias de carácter satisfactorias; por ejemplo, una comercial y una personal.

b) un chequeo de la hoja de vida del postulante (buscando integridad y exactitud).

c) confirmación de las calificaciones académicas y profesionales mencionadas.

d) chequeo de identidad independiente (pasaporte o documento similar).

e) chequeos más detallados, como chequeos de crédito o chequeos de récords criminales.

La información de todos los candidatos considerados para puestos dentro de la organización debiera ser recolectada y manejada en concordancia con cualquier legislación apropiada existente en la jurisdicción relevante. Dependiendo de la legislación aplicable, los candidatos debieran ser previamente informados sobre las actividades de investigación de antecedentes.


Términos y condiciones del empleo

Las personas a contratar deben aceptar y firmar un contrato con los términos y condiciones de su empleo, el cual debe establecer sus responsabilidades y las de la organización para la seguridad de la información.

Los términos y condiciones de empleo debieran reflejar la política de seguridad de la organización, además de aclarar y establecer:

a) que todos los usuarios empleados, contratistas y terceros que tienen acceso a información sensible debieran firmar un acuerdo de confidencialidad o no divulgación antes de otorgarles acceso a los medios de procesamiento de la información.

b) Definir las responsabilidades y derechos de los empleados, contratistas y cualquier otro usuario.

c) responsabilidades del usuario empleado, contratista o tercera persona con relación al manejo de la información recibida de otras compañías o partes externas.

d) las responsabilidades que se extienden fuera del local de la organización y fuera del horario normal de trabajo; por ejemplo, en el caso del trabajo en casa.

e) las acciones a tomarse si el usuario empleado, contratista o tercera persona no cumple los requerimientos de seguridad de la organización.

La organización debe estar seguro de que el empleado si acepta los términos del contrato y que además si conoce al pie de la letra las cláusulas del contrato.


Durante el empleo

Objetivo: Se debe tener informado al personal sobre las posibles vulnerabilidades de la organización para prevenir percances y así ayudarle al empleado a realizar su trabajo.


Responsabilidades de la gerencia

La gerencia y administrativos de la organización debe asegurarse de que los trabajadores si estén cumpliendo con cada una de las políticas acordadas y que estén bien informados de su papel en la organización.

Una gerencia deficiente puede causar que el personal se sienta subestimado resultando en un impacto de seguridad negativo para la organización ya que este puede llevar a la quiebra a la empresa.


Conocimiento, educación y capacitación en seguridad de la información

Los empleados de la organización deben recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos organizacionales conforme sea relevante para su función laboral.

La capacitación y el conocimiento debieran comenzar con un proceso de inducción formal diseñado para introducir las políticas y expectativas de seguridad de la organización antes de otorgar acceso a la información o servicios.


Proceso disciplinario

Debe existir un proceso disciplinario para los empleados que han cometido un incumplimiento de la seguridad.

Al proceder con el control disciplinario se deben tener en cuenta gravedad del incumplimiento y su impacto en el negocio, para luego continuar con la aplicación disciplinaria.


Terminación o cambio de empleo

Objetivo: Asegurar que la salida de la organización del usuario empleado sea manejada adecuadamente y se complete la devolución de todo el equipo y se eliminen todos los derechos de acceso.


Responsabilidades de terminación

El empleado debe terminar el contrato de forma ordenada, para ello los administrativos de la organización deben tomar cartas en el asunto y asignar un nuevo responsable para el cargo que esta dejando el empleado.


Devolución de los activos

El proceso de terminación debiera ser formalizado para incluir la devolución de todo el software, documentos corporativos y equipo entregado previamente. También se debieran devolver otros activos organizacionales como dispositivos de cómputo móviles, tarjetas de crédito, tarjetas de acceso, software, manuales e información almacenada en medios electrónicos.


Retiro de los derechos de acceso

Los derechos de acceso a los medios de información y demás de todos los empleados deben ser retirados a la terminación de su empleo, contrato o acuerdo, o debieran ser reajustados de acuerdo al cambio.

Si un empleado está dejando la organización y conoce las claves secretas para las cuentas aún activas, estas debieran ser cambiadas a la terminación o cambio del empleo, contrato o acuerdo para evitar posible sabotajes.


SEGURIDAD FISICA Y AMBIENTAL

Áreas seguras

Objetivo: Evitar el acceso físico no autorizado, daño e interferencia con la información y los locales de la organización.

Debieran estar físicamente protegidos del acceso no autorizado, daño e interferencia.


Perímetro de seguridad física

Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información.

La protección física se puede lograr creando una o más barreras físicas alrededor de los locales de la organización y los medios de procesamiento de información. Pueden ser necesarios barreras y perímetros adicionales para controlar el acceso físico.


Controles de ingreso físico

Las áreas seguras debieran protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado.


Ubicación y protección del equipo

Se debiera ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades para acceso no-autorizado.


Servicios públicos de soporte

Se debiera proteger el equipo de fallas de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte.

El mal funcionamiento del sistema de suministro de agua pude dañar los equipos.


Mantenimiento de equipo

Se debiera mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.


Seguridad del equipo fuera del local

Se debiera aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar fuera del local de la organización.

La información puede verse comprometida a través de una eliminación descuidada o el re-uso del equipo.


Retiro de propiedad

El equipo, información o software no debiera retirarse sin autorización previa.



GESTION DE LAS COMUNICACIONES Y OPERACIONES

Procedimientos y responsabilidades operacionales

Objetivo: Asegurar la operación correcta y segura de los medios de procesamiento de la información.

Se debieran preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información; tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo,etc.


Gestión del cambio

Se debieran controlar los cambios en los medios y sistemas de procesamiento de la información.

Los sistemas operacionales y el software de aplicación debieran estar sujetos a un estricto control gerencial del cambio.


Separación de los medios de desarrollo, prueba y operación

Los medios de desarrollo, prueba y operación debieran estar separados para reducir los riesgos de acceso no-autorizado o cambios en el sistema operacional.

Cuando el personal de desarrollo y prueba tiene acceso al sistema operacional y su información, ellos pueden introducir un código no-autorizado o no-probado o alterar la data de operación.


Entrega del servicio

Se debiera asegurar que los controles de seguridad, definiciones del servicio y niveles de entrega incluidos en el acuerdo de entrega del servicio de terceros se implementen, operen y mantengan.

La entrega del servicio por un tercero debiera incluir los acuerdos de seguridad pactados, definiciones del servicio y aspectos de la gestión del servicio.

Manejo de cambios en los servicios de terceros

Se debieran manejar los cambios en la provisión de servicios, incluyendo el mantenimiento y mejoramiento de las políticas, procedimientos y controles de seguridad de la información existentes teniendo en cuenta el grado crítico de los sistemas y procesos del negocio involucrados y la re-evaluación de los riesgos.


Planeación y aceptación del sistema

Objetivo: Minimizar el riesgo de fallas en el sistema.

Ellos debieran identificar las tendencias de uso, particularmente en relación con las aplicaciones comerciales o las herramientas del sistema de información gerencial.


Aceptación del sistema

Se debiera establecer el criterio de aceptación de los sistemas de información nuevos, actualizaciones o versiones nuevas y se debieran realizar pruebas adecuadas del sistema durante el desarrollo y antes de su aceptación.


Controles contra códigos maliciosos

Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debieran implementar procedimientos para el apropiado conocimiento del usuario.

La protección contra códigos maliciosos se debiera basar en la detección de códigos maliciosos y la reparación de software, conciencia de seguridad, y los apropiados controles de acceso al sistema y gestión del cambio.


Controles contra códigos móviles

Donde se autorice el uso del código móvil, la configuración debiera asegurar que el código móvil autorizado opera de acuerdo con una política de seguridad claramente definida.

Además de asegurar que el código móvil no contenga códigos maliciosos, el control de código móvil es esencial para evitar el uso no-autorizado o interrupción de un sistema o recursos de aplicación y otras fallas en la seguridad de la información.


Respaldo o Back-Up

Objetivo: Mantener la integridad y disponibilidad de la información y los medios de procesamiento de información.

Los procedimientos de respaldo para los sistemas individuales debieran ser probados regularmente para asegurar que cumplan con los requerimientos de los planes de continuidad del negocio.

Los procedimientos de respaldo pueden ser automatizados para facilitar el proceso de respaldo y restauración.


Gestión de seguridad de la red

Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.

También se pueden requerir controles adicionales para proteger la información confidencial que pasa a través de redes públicas.


Controles de redes

Las redes debieran ser adecuadamente manejadas y controladas para poder proteger la información en las redes, y mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la información en tránsito.

Los gerentes de la red debieran implementar controles para asegurar la seguridad de la información en las redes, y proteger los servicios conectados de accesos no-autorizados.


Seguridad de los servicios de la red

En todo contrato de redes se debieran identificar e incluir las características de seguridad, niveles de servicio y requerimientos de gestión de todos los servicios de red, ya sea que estos servicios sean provistos interna o externamente.

Se debieran identificar los acuerdos de seguridad necesarios para servicios particulares; como las características de seguridad, niveles de servicio y requerimientos de gestión.

Los servicios de red incluyen la provisión de conexiones, servicios de redes privadas, redes de valor agregado y soluciones de seguridad de red manejadas como firewalls y sistemas de detección de intrusiones. Las características de seguridad de los servicios de red pueden ser:

a) la tecnología aplicada para la seguridad de los servicios de red; como controles de autenticación, codificación y conexión de red.

b) parámetros técnicos requeridos para una conexión segura con los servicios de red en concordancia con las reglas de seguridad y conexión de red.

c) cuando sea necesario, procedimientos para la utilización del servicio de red para restringir el acceso a los servicios de red o aplicaciones.


Procedimientos para el manejo de información

Se debieran establecer los procedimientos para el manejo y almacenaje de información para proteger esta información de una divulgación no-autorizada o mal uso.

Estos procedimientos se aplican a la información en documentos; sistemas de cómputo; redes; computación móvil; comunicaciones móviles; comunicaciones vía correo, correo de voz y voz en general; multimedia; servicios/medios postales, uso de máquinas de fax y cualquier otro ítem confidencial; por ejemplo cheques en blanco, facturas.


Seguridad de la documentación del sistema

Se debiera proteger la documentación del sistema con accesos no-autorizados.

La documentación del sistema puede contener un rango de información confidencial; por ejemplo, una descripción de los procesos de aplicaciones, procedimientos, estructuras de data, procesos de autorización.


Intercambio de información

Objetivo: Mantener la seguridad en el intercambio de información y software dentro de la organización y con cualquier otra entidad externa.


Políticas y procedimientos de intercambio de información

Se debieran establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación.

Los medios de intercambio de información debieran cumplir con cualquier requerimiento legal relevante.

El contenido de seguridad de cualquier acuerdo debiera reflejar la sensibilidad de la información comercial involucrada.

Para la información sensible, los mecanismos específicos utilizados para el intercambio de dicha información debieran ser consistentes para todas las organizaciones y tipos de acuerdos.


Medios físicos en tránsito

Los medios que contienen información debieran ser protegidos contra accesos no-autorizados, mal uso o corrupción durante el transporte más allá de los límites físicos de una organización.

La información puede ser vulnerable al acceso no-autorizado, mal uso o corrupción durante el transporte, por ejemplo cuando se envía medios por el servicio postal o servicio de mensajería.


Mensajes electrónicos

Se debiera proteger adecuadamente la información involucrada en mensajes electrónicos.


Sistemas de información comercial

Se debieran desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información comercial.


Servicios de comercio electrónico

Objetivo: Asegurar la seguridad de los servicios de comercio electrónico y su uso seguro.

Pueden ser necesarios otros acuerdos con los proveedores del servicio de la información y la red de valor agregado.


Información públicamente disponible

Se debiera proteger la integridad de la información puesta a disposición en un sistema públicamente disponible para evitar una modificación no-autorizada.

Se debieran controlar cuidadosamente los sistemas de publicación electrónica, especialmente aquellos que permiten retroalimentación y el ingreso directo de información de manera que:

a) la información se obtenga cumpliendo con la legislación de protección de data.

b) el input de información para, y procesado por, el sistema de publicación será procesado completa y exactamente de una manera oportuna.

c) se protegerá la información confidencial durante la recolección, procesamiento y almacenaje.

d) el acceso al sistema de publicación no permite el acceso involuntario a las redes con las cuales se conecta el sistema.

.

Monitoreo

Objetivo: Detectar las actividades de procesamiento de información no autorizadas.

Se debieran monitorear los sistemas y se debieran reportar los eventos de seguridad de la información.


Registro de auditoria

Se debieran producir y mantener registros de auditoria de las actividades, excepciones y eventos de seguridad de la información durante un período acordado para ayudar en investigaciones futuras y monitorear el control de acceso.

Los registros de auditoria debieran incluir, cuando sea relevante:

a) utilizar IDs.

b) fechas, horas y detalles de eventos claves; por ejemplo, ingreso y salida.

c) identidad o ubicación de la identidad, si es posible.

d) registros de intentos de acceso fallidos y rechazados al sistema.

e) registros de intentos de acceso fallidos y rechazados a la data y otros recursos.

f) cambios en la configuración del sistema.

g) uso de privilegios.

h) uso de las utilidades y aplicaciones del sistema.

i) archivos a los cuales se tuvo acceso y los tipos de acceso.

j) direcciones y protocolos de la red.

k) alarmas activadas por el sistema de control de acceso.

l) activación y desactivación de los sistemas de protección; como sistemas anti-virus y sistemas de detección de intrusiones.


Uso del sistema de monitoreo

Se debieran establecer procedimientos para el monitoreo del uso de los medios de procesamiento de la información y se debieran revisar regularmente los resultados de las actividades de monitoreo.


Protección del registro de información

Se debieran proteger los medios de registro y la información del registro para evitar la alteración y el acceso no autorizado.


Los registros del sistema con frecuencia contienen un gran volumen de información, gran parte del cual no relacionado con el monitoreo de seguridad.


Registros del administrador y operador

Se debieran registrar las actividades del administrador del sistema y el operador del sistema.

Los registros de administrador y operador del sistema debieran ser revisados de manera regular.

Se debieran registrar las fallas reportadas por los usuarios o por los programas del sistema relacionadas con los problemas con el procesamiento de la información o los sistemas de comunicación.

Los registros de errores y fallas pueden tener un impacto en el desempeño del sistema.


CONTROL DEL ACCESO

Requerimiento del negocio para el control del acceso

Objetivo: Controlar el acceso a la información.

Se debiera controlar el acceso a la información, medios de procesamiento de la información y procesos comerciales sobre la base de los requerimientos comerciales y de seguridad.

Las reglas de control del acceso debieran tomar en cuenta las políticas para la divulgación y autorización de la información.


Política de control del acceso

Se debiera establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.

Las reglas de control del acceso y los derechos para cada usuario o grupos de usuarios se debieran establecer claramente en la política de control de acceso.

La política debiera tomar en cuenta lo siguiente:

a) los requerimientos de seguridad de las aplicaciones comerciales individuales.

b) identificación de toda la información relacionada con las aplicaciones comerciales y los riesgos que enfrenta la información.

c) las políticas para la divulgación y autorización de la información; por ejemplo, la necesidad de conocer el principio y los niveles de seguridad, y la clasificación de la información.

d) consistencia entre el control del acceso y las políticas de clasificación de la información de los diferentes sistemas y redes.

e) legislación relevante y cualquier obligación contractual relacionada con la protección del acceso a la data o los servicios.

f) los perfiles de acceso de usuario estándar para puestos de trabajo comunes en la organización.

g) gestión de los derechos de acceso en un ambiente distribuido y en red que reconoce todos los tipos de conexiones disponibles.

h) segregación de roles del control del acceso; por ejemplo, solicitud de acceso, autorización de acceso, administración del acceso.

i) requerimientos para la autorización formal de las solicitudes de acceso;

j) requerimientos para la revisión periódica de los controles de acceso.

k) revocación de los derechos de acceso.

Las reglas de control del acceso debieran ser respaldadas por procedimientos formales y responsabilidades claramente definidas.


Gestión de acceso del usuario

Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de información.

Se debieran establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios de información.

Los procedimientos debieran abarcar todas las etapas en el ciclo de vida del acceso del usuario, desde el registro inicial de usuarios nuevos hasta el des-registro final de los usuarios que ya no requieren acceso a los sistemas y servicios de información.


Registro del usuario

Debiera existir un procedimiento formal para el registro y des-registro del usuario para otorgar y revocar el acceso a todos los sistemas y servicios de información.

Se debiera considerar establecer roles de acceso de usuarios basados en los requerimientos que resuman un número de derechos de acceso en perfiles de acceso de usuario típicos.

Los sistemas multi-usuario que requieren protección contra el acceso no autorizado debieran controlar la asignación de privilegios a través de un proceso de autorización formal.


Gestión de las claves secretas de los usuarios

La asignación de claves secretas se debiera controlar a través de un proceso de gestión formal.

Las claves secretas son un medio común para verificar la identidad del usuario antes de otorgar acceso a un sistema o servicio de información en concordancia con la autorización del usuario.


Revisión de los derechos de acceso del usuario

La gerencia debiera revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un proceso formal.

Es necesario revisar regularmente los derechos de acceso de los usuarios para mantener un control efectivo sobre el acceso a la data y los servicios de información.


Responsabilidades del usuario

Objetivo: Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la información y evitar el robo de información y los medios de procesamiento de la información.


Los usuarios debieran estar al tanto de sus responsabilidades para mantener controles de acceso efectivos, particularmente con relación al uso de claves secretas y la seguridad del equipo del usuario.


Uso de claves secretas

Se debiera requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas.

Se necesita tener especial cuidado con el manejo del sistema de ‘help desk’ para las claves secretas perdidas u olvidadas ya que este también puede ser un medio para atacar al sistema de clave secretas.


Equipo del usuario desatendido

Los usuarios debieran asegurar que el equipo desatendido tenga la protección apropiada.

Todos los usuarios debieran estar al tanto de los requerimientos de seguridad y los procedimientos para proteger el equipo desatendido, así como sus responsabilidades para implementar dicha protección.

Las políticas de escritorio limpio y pantalla limpia debieran tomar en cuenta las clasificaciones de información, requerimientos legales y contractuales, y los correspondientes riesgos y aspectos culturales de la organización.


Control de acceso a la red

Objetivo: Evitar el acceso no autorizado a los servicios de la red.

Se debiera controlar el acceso a los servicios de redes internas y externas.

El acceso del usuario a las redes y servicios de las redes no debieran comprometer la seguridad de los servicios de la red asegurando:

a) que existan las interfases apropiadas entre la red de la organización y las redes de otras organizaciones, y redes públicas;

b) se apliquen los mecanismos de autenticación apropiados para los usuarios y el equipo.

c) el control del acceso del usuario a la información sea obligatorio.


Política sobre el uso de los servicios de la red

Los usuarios sólo debieran tener acceso a los servicios para los cuales hayan sido específicamente autorizados.

Se debiera formular una política relacionada con el uso de las redes y los servicios de la red.

Esta política debiera abarcar:

a) las redes y servicios de la red a las cuales se tiene acceso;

b) los procedimientos de autorización para determinar quién está autorizado a tener acceso a cuáles redes y servicios en red.

c) controles y procedimientos gerenciales para proteger el acceso a las conexiones de la red y los servicios en red

d) los medios utilizados para tener acceso a las redes y los servicios de la red (por ejemplo, las condiciones para permitir acceso vía discado a un proveedor del servicio de Internet o sistema remoto).


Las conexiones no autorizadas e inseguras a los servicios de la red pueden afectar a toda la organización.


Autenticación del usuario para las conexiones externas

Se debieran utilizar métodos de autenticación apropiados para controlar el acceso de usuarios remotos.

Los procedimientos y controles de la llamada de verificación debieran ser comprobados concienzudamente para evitar esta posibilidad.

Se debieran implementar controles de autenticación adicionales para controlar el acceso a las redes inalámbricas.

Las conexiones externas proporcionan un potencial para el acceso no autorizado a la información comercial; por ejemplo, acceso mediante métodos de discado. Puede ser necesario considerar la protección física del equipo para mantener la seguridad del identificador del equipo.

Este control puede complementarse con otras técnicas para autenticar al usuario del equipo


Segregación en redes

Los grupos de servicios de información, usuarios y sistemas de información debieran ser segregados en redes.

Un método para controlar la seguridad de grandes redes es dividirlas en dominios de red lógicos separados; por ejemplo, dominios de red internos y dominios de red externos de una organización; cada uno protegido por un perímetro de seguridad definido.


Control de conexión a la red

Para las redes compartidas, especialmente aquellas que se extienden a través de las fronteras de la organización, se debiera restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales.

Los derechos de acceso a la red de los usuarios se debieran mantener y actualizar conforme lo requiera la política de control de acceso.

La política de control de acceso puede requerir la incorporación de los controles para restringir la capacidad de conexión de los usuarios en las redes compartidas, especialmente aquellas que se extienden a través de los límites o fronteras organizacionales.


Control de routing de la red

Se debieran implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de información no violen la política de control de acceso de las aplicaciones comerciales.

Los requerimientos para el control del routing de la red se debieran basar en la política de control de acceso.


Control del acceso al sistema operativo

Objetivo: Evitar el acceso no autorizado a los sistemas operativos.

Se debieran utilizar medios de seguridad para restringir el acceso a los sistemas operativos a los usuarios autorizados.


Procedimientos para un registro seguro

El acceso a los sistemas operativos debiera ser controlado mediante un procedimiento de registro seguro.

El procedimiento para registrarse en un sistema de operación debiera ser diseñado de manera que minimice la oportunidad de un acceso no autorizado.

Por lo tanto, el procedimiento para registrarse debiera divulgar el mínimo de información acerca del sistema para evitar proporcionar al usuario no-autorizado ninguna ayuda innecesaria.


GESTIÓN DE UN INCIDENTE EN LA SEGURIDAD DE LA INFORMACIÓN

Reporte de los eventos y debilidades de la seguridad de la información

Objetivo: Asegurar que los eventos y debilidades de la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva oportuna.


Reporte De Eventos En La Seguridad De La Información

Todos los usuarios empleados, contratistas y terceros deben estar al tanto de la responsabilidad de reportar cualquier evento en la seguridad de la información lo más rápidamente posible. También deben estar al tanto del procedimiento para reportar eventos en la seguridad de la información y el punto de contacto.

Los procedimientos de reporte deben incluir:

A) procesos de retroalimentación adecuados para asegurar que aquellos que reportan eventos en la seguridad de la información sean notificados de los resultados después de haber tratado y terminado con el problema;

B) formatos de reporte los eventos en la seguridad de la información para respaldar la acción de reporte, y ayudar a la persona que reporta a recordar todas las acciones necesarias en caso de un evento en la seguridad de la información;

C) se debiera tomar la conducta correcta en la seguridad de la información; es decir

1) anotar todos los detalles importantes inmediatamente (por ejemplo, el tipo de no-cumplimiento o violación, mal funcionamiento actual).

2) no llevar a cabo ninguna acción por cuenta propia, sino reportar

Inmediatamente al punto de contacto

D) referencia a un proceso disciplinario formal establecido para tratar con los usuarios, empleados, contratistas o terceros que cometen violaciones de seguridad.

En los ambientes de alto riesgo, se puede proporcionar una alarma de coacción mediante la cual una persona que actúa bajo coacción puede indicar dichos problemas.

Los ejemplos de eventos e incidentes de seguridad de la información incluyen:

A) pérdida del servicio, equipo o medios.

B) mal funcionamiento o sobre-carga del sistema.

C) errores humanos.

D) incumplimientos de las políticas.

E) violaciones de los acuerdos de seguridad física.

F) cambios del sistema no controlados.

G) mal funcionamiento del software o hardware.

H) violaciones de acceso.


Reporte De Las Debilidades En La Seguridad

Se debe requerir que todos los usuarios, empleados, contratistas y terceros de los sistemas y servicios de información tomen nota y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios.


Gestión De Los Incidentes Y Mejoras En La Seguridad De La Información

Se debe establecer las responsabilidades y procesamientos para manejar de manera efectiva los eventos y debilidades en la seguridad de la información una vez que han sido reportados.


Responsabilidades Y Procedimientos

Se deben considerar los siguientes lineamientos para los procedimientos de gestión de incidentes en la seguridad de la información.

A) se debieran establecer procedimientos para manejar los diferentes tipos de incidentes en la seguridad de la información, incluyendo:

1) fallas del sistema de información y pérdida del servicio.

2) código malicioso.

3) negación del servicio.

4) errores resultantes de data comercial incompleta o inexacta.

5) violaciones de la confidencialidad e integridad.

6) mal uso de los sistemas de información.

B) además de los planes de contingencia normales, los procedimientos

También debieran cubrir:

1) análisis e identificación de la causa del incidente.

2) contención.

3) planeación e implementación de la acción correctiva para evitar la recurrencia, si fuese necesario.

4) comunicaciones con aquellos afectados por o involucrados con la recuperación de un incidente.


Aprender de los incidentes en la seguridad de la información

Se debe establecer mecanismos para permitir el aseguramiento de la red y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información.



GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Aspectos de la seguridad de la información de la gestión de la continuidad del Negocio

Objetivo: Prevenir interrupciones a las actividades comerciales y productivas de la organización para evitar la perdidas


Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio

Se debe desarrollar y mantener un proceso gerencial para la continuidad del negocio en toda la organización para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización.


Continuidad del negocio y evaluación del riesgo

Se debe identificar los eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información.


Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información

Se debe desarrollar e implementar planes para mantener restaurar las operaciones y asegurar la disponibilidad de la información en el nivel requerido y en las escalas de tiempo requeridas después de la interrupción, o falla, de los procesos comerciales críticos.


Marco referencial de la planeación de la continuidad del negocio

Se debe mantener un solo marco referencial de los planes de continuidad del negocio para asegurar que todos los planes sean consistentes, tratar consistentemente los requerimientos de seguridad de la información e identificar las prioridades para la prueba y el mantenimiento.


Prueba, mantenimiento y re-evaluación de los planes de continuidad del negocio

Los planes de continuidad del negocio deben ser probados y actualizados regularmente para asegurar que sean actuales y efectivos.



CUMPLIMIENTO

Cumplimiento de los requerimientos legales

Objetivo: Evitar las violaciones a las leyes de la organización y hacer que se cumpla cualquier requerimiento de seguridad.


Identificación de la legislación aplicable

Se debe definir explícitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales relevantes, y el enfoque de la organización para satisfacer esos requerimientos, para cada sistema de información y la organización.


Derechos de propiedad intelectual (IPR)

Se debe implementar procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material.


Protección de registros organizacionales

Se debe proteger los registros importantes de la organización deacuerdo a los requerimientos ya acordados.


Protección de la data y privacidad de la información personal

Se debe asegurar la protección y privacidad de los datos deacuerdo a la legislación, regulaciones y contractuales relevantes.

Se debe desarrollar e implementar una política de protección y privacidad de la data. Esta política debe ser comunicada a todas las personas involucradas en el procesamiento de la información personal.


Prevención del mal uso de los medios de procesamiento de la información

Se debe evitar a los usuarios de utilizar los medios de procesamiento de la información para propósitos no autorizados.

Cualquier uso de estos medios para propósitos no-comerciales sin aprobación de la gerencia, o para cualquier propósito no autorizado, será visto como un uso inapropiado de los medios. Si mediante el monitoreo, o cualquier otro medio, se identifica una actividad no autorizada, esta actividad debiera ser puesta en atención del gerente a cargo para que considere la acción disciplinaria y legal apropiada.


Regulación de controles criptográficos

Los controles criptográficos se debieran utilizar en cumplimiento con todos los acuerdos, leyes y regulaciones relevantes.


Se debe considerar los siguientes ítems para el cumplimiento con los acuerdos, leyes y regulaciones relevantes:

a) las restricciones sobre la importación y exportación de hardware y software de cómputo para realizar funciones criptográficas.

b) las restricciones sobre la importación y exportación de hardware y software de cómputo diseñado para agregarle funciones criptográficas.

c) restricciones sobre la utilización de la codificación.

d) métodos obligatorios o voluntarios.

Antes que la información codificada o los controles criptográficos sean trasladados a otro país, se debiera buscar asesoría legal.


Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico

Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional.

La seguridad de los sistemas de información se debiera revisar regularmente.


Cumplimiento con las políticas y estándares de seguridad

Los administrativos deben asegurar que se lleven a cabo correctamente todos los procedimientos de seguridad dentro de su área de responsabilidad para asegurar el cumplimiento de las políticas y estándares de seguridad.


Chequeo del cumplimiento técnico

Los sistemas de información debieran revisarse regularmente para ver el cumplimiento de los estándares de implementación de la seguridad.

El chequeo del cumplimiento técnico debiera ser realizado manualmente (respaldado por las herramientas de software apropiadas, si fuese necesario) por un ingeniero de sistemas experimentado y con la asistencia de herramientas automatizadas, las cuales generan un reporte técnico para su subsiguiente interpretación por un especialista técnico.


Consideraciones de auditoria de los sistemas de información

Objetivo: Maximizar la efectividad de y minimizar la interferencia desde y hacia el proceso de auditoria del sistema de información.

Durante las auditorias de los sistemas de información se deben tener medios para guardar dicha información.


Controles de auditoría de los sistemas de información

Las actividades y requerimientos de auditoría que involucran revisiones de los sistemas operacionales debieran ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.

Se debieran observar los siguientes lineamientos:

a) se debieran acordar los requerimientos de auditoría con la gerencia apropiada.

b) se debiera acordar y controlar el alcance de los chequeos.

c) los chequeos debieran limitarse a un acceso sólo-de-lectura al software y data.

d) se debieran identificar explícitamente los recursos para realizar las revisiones y debieran estar disponibles.

e) se debieran monitorear y registrar todos los accesos para producir un rastro de referencia.

f) se debieran documentar todos los procedimientos, requerimientos y responsabilidades.

g) la persona que llevan a cabo la auditoría debieran ser independientes a las actividades auditadas.


Protección de las herramientas de auditoría de los sistemas de información

Se debiera proteger el acceso a las herramientas de auditoría de los sistemas de información para evitar cualquier mal uso o fraude posible.

Las herramientas de auditoría de los sistemas de información; por ejemplo, software o archivos de data; debieran estar separadas de los sistemas de desarrollo y operacionales y no se debieran mantener en las bibliotecas de cintas o áreas de usuario, a no ser que se les proporcione un nivel apropiado de protección adicional.