ISO 27002

REQUISITOS DEL NEGOCIO PARA EL CONTROL DEL ACCESO

REQUISITOS DEL NEGOCIO PARA EL CONTROL DEL ACCESO

Objetivo: controlar el acceso a la información.

El acceso a la información, a los servicios de procesamiento de información y a los

procesos del negocio se debería controlar con base en los requisitos de seguridad y del

negocio. Las reglas para el control del acceso deberían tener en cuenta las políticas de

distribución y autorización de la información.

Política de control de acceso

Control

Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso.

Guía de implantación

Las reglas y los derechos para el control del acceso para cada usuario o grupo de usuarios se deberían establecer con claridad en una política de control del acceso. Los controles del acceso son tanto lógicos como físicos (véase la sección 9) y se deberían considerar en conjunto. A los usuarios y a los proveedores de servicios se les debería brindar una declaración clara de los requisitos del negocio que deben cumplir los controles del acceso.

PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MOVILES

PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MÓVILES

Objetivo: proteger la integridad del software y de la información.

Se requieren precauciones para evitar y detectar la introducción de códigos maliciosos y

códigos móviles no autorizados.

El software y los servicios de procesamiento de información son vulnerables a la introducción de códigos maliciosos tales como virus de computador, gusanos en la red, caballos troyanos y bombas lógicas. Los usuarios deberían ser conscientes de los peligros de los códigos maliciosos. Los directores deberían, cuando sea apropiado, introducir controles para evitar, detectar y retirar los códigos maliciosos y controlar los códigos móviles.

Controles contra códigos maliciosos

Control

Se deberían implementar controles de detección, prevención y recuperación para proteger

contra códigos maliciosos, así como procedimientos apropiados de concientización de los

usuarios.

Guía de implementación

La protección contra códigos maliciosos se debería basar en software de detección y

reparación de códigos maliciosos, conciencia sobre seguridad, acceso apropiado al sistema y controles en la gestión de cambios. Se recomienda considerar las siguientes directrices:

a) establecer una política formal que prohíba el uso de software no autorizado (véase el

numeral 15.1.2);

b) establecer una política formal para la protección contra los riesgos asociados con la

obtención de archivos y software, bien sea desde o a través de redes externas o

cualquier otro medio, indicando las medidas de protección que se deberían tomar;

c) llevar a cabo revisiones regulares del software y del contenido de datos de los sistemas

que dan soporte a los procesos críticos del negocio; se debería investigar formalmente

la presencia de archivos no aprobados o modificaciones no autorizadas;

d) instalación y actualización regular del software de detección y reparación de códigos

maliciosos para explorar los computadores y los medios, como control preventivo o de

forma rutinaria; las verificaciones realizadas deberían incluir:

SEGURIDAD DE LOS EQUIPOS

SEGURIDAD DE LOS EQUIPOS

Objetivo: evitar pérdida, daño, robo o puesta en peligro de los activos, y la interrupción de las actividades de la organización.

Los equipos deberían estar protegidos contra amenazas físicas y ambientales.

La protección del equipo (incluyendo el utilizado por fuera, y el retiro de la propiedad) es

necesaria para reducir el riesgo de acceso no autorizado a la información y para proteger

contra pérdida o daño. También se debería considerar la ubicación y la eliminación de los

equipos. Es posible que se requieran controles especiales para la protección contra amenazas físicas y para salvaguardar los servicios de soporte tales como energía eléctrica e infraestructura de cableado.

SEGURIDAD FÍSICA Y DEL ENTORNO

SEGURIDAD FÍSICA Y DEL ENTORNO

Objetivo: evitar el acceso físico no autorizado, el daño o la interferencia a las instalaciones y a la información de la organización.

Los servicios de procesamiento de información sensible o crítica deberían estar ubicados en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada adecuados. Dichas áreas deberían estar protegidas físicamente contra acceso no autorizado, daño e interferencia.

La protección suministrada debería estar acorde con los riesgos identificados.

DURANTE LA VIGENCIA DEL CONTRATO LABORAL

Objetivo: asegurar que todos los empleados, contratistas y usuarios de terceras partes

estén conscientes de las amenazas y preocupaciones respecto a la seguridad de la

información, sus responsabilidades y sus deberes, y que estén equipados para apoyar la

política de seguridad de la organización en el transcurso de su trabajo normal, al igual

que reducir el riesgo de error humano.

Es conveniente definir las responsabilidades de la dirección para garantizar que se aplica

la seguridad durante todo el contrato laboral de una persona dentro de la organización.

Se debería brindar un nivel adecuado de concientización, educación y formación en los

procedimientos de seguridad y el uso correcto de los servicios de procesamiento de

información a todos los empleados, contratistas y usuarios de terceras partes para

minimizar los posibles riesgos de seguridad. Es conveniente establecer un proceso

disciplinario formal para el manejo de las violaciones de la seguridad.

POLITICAS DE SEGURIDAD DE LA INFORMACION

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Objetivo: brindar apoyo y orientación a la dirección con respecto a la seguridad de la

información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes

pertinentes. Las directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política de seguridad de la información en toda la organización.

CLAUSULAS

CLÁUSULAS

Cada cláusula contiene una cantidad de categorías principales de seguridad. Estas once

cláusulas (acompañadas por la cantidad de categorías principales de seguridad incluida en cada numeral) son:

a) política de seguridad (1).

b) Organización de la seguridad de la información (2).

c) Gestión de activos (2).

d) Seguridad de los recursos humanos (3).

e) Seguridad física y del entorno (2).

f) Gestión de operaciones y comunicaciones (10).

g) Control del acceso (7).

h) Adquisición, desarrollo y mantenimiento de sistemas de información (6).

i)Gestión de los incidentes de seguridad de la información (2).

j) Gestión de la continuidad del negocio (1).

k) Cumplimiento (3).

NOTA El orden de las cláusulas no implica su importancia. Dependiendo de las circunstancias, todos las cláusulas podrían ser importantes, por lo tanto cada organización que aplique esta norma debería identificar las cláusulas aplicables, su importancia y su aplicación a procesos individuales del negocio. Igualmente, ninguna de las listas de esta norma está en orden prioritario, a menos que así se indique.