El acceso a la información, a los servicios de
procesamiento de información y a los
procesos del negocio se debería controlar con base en los
requisitos de seguridad y del
negocio. Las reglas para el control del acceso deberían
tener en cuenta las políticas de
distribución y autorización de la información.
Política de control de acceso
Control
Se debería establecer, documentar y revisar la política
de control de acceso con base en los requisitos del negocio y de la seguridad
para el acceso.
Guía de implantación
Las reglas y los derechos para el control del acceso para
cada usuario o grupo de usuarios se deberían establecer con claridad en una
política de control del acceso. Los controles del acceso son tanto lógicos como
físicos (véase la sección 9) y se deberían considerar en conjunto. A los
usuarios y a los proveedores de servicios se les debería brindar una
declaración clara de los requisitos del negocio que deben cumplir los controles
del acceso.
Objetivo: proteger la integridad del software y
de la información.
Se requieren precauciones para evitar y detectar la
introducción de códigos maliciosos y
códigos móviles no autorizados.
El software y los servicios de procesamiento de
información son vulnerables a la introducción de códigos maliciosos tales como
virus de computador, gusanos en la red, caballos troyanos y bombas lógicas. Los
usuarios deberían ser conscientes de los peligros de los códigos maliciosos.
Los directores deberían, cuando sea apropiado, introducir controles para
evitar, detectar y retirar los códigos maliciosos y controlar los códigos
móviles.
Controles contra códigos maliciosos
Control
Se deberían implementar controles de detección,
prevención y recuperación para proteger
contra códigos maliciosos, así como procedimientos
apropiados de concientización de los
usuarios.
Guía de implementación
La protección contra códigos maliciosos se debería basar
en software de detección y
reparación de códigos maliciosos, conciencia sobre
seguridad, acceso apropiado al sistema y controles en la gestión de cambios. Se
recomienda considerar las siguientes directrices:
a) establecer una política formal que prohíba el uso de
software no autorizado (véase el
numeral 15.1.2);
b) establecer una política formal para la protección
contra los riesgos asociados con la
obtención de archivos y software, bien sea desde o a
través de redes externas o
cualquier otro medio, indicando las medidas de protección
que se deberían tomar;
c) llevar a cabo revisiones regulares del software y del
contenido de datos de los sistemas
que dan soporte a los procesos críticos del negocio; se
debería investigar formalmente
la presencia de archivos no aprobados o modificaciones no
autorizadas;
d) instalación y actualización regular del software de
detección y reparación de códigos
maliciosos para explorar los computadores y los medios,
como control preventivo o de
forma rutinaria; las verificaciones realizadas deberían
incluir:
Objetivo: evitar pérdida, daño, robo o puesta en
peligro de los activos, y la interrupción de las actividades de la
organización.
Los equipos deberían estar protegidos contra amenazas
físicas y ambientales.
La protección del equipo (incluyendo el utilizado por
fuera, y el retiro de la propiedad) es
necesaria para reducir el riesgo de acceso no autorizado
a la información y para proteger
contra pérdida o daño. También se debería considerar la
ubicación y la eliminación de los
equipos. Es posible que se requieran controles especiales
para la protección contra amenazas físicas y para salvaguardar los servicios de
soporte tales como energía eléctrica e infraestructura de cableado.
Objetivo: evitar el acceso físico no autorizado,
el daño o la interferencia a las instalaciones y a la información de la
organización.
Los servicios de procesamiento de información sensible o
crítica deberían estar ubicados en áreas seguras, protegidas por perímetros de
seguridad definidos, con barreras de seguridad y controles de entrada
adecuados. Dichas áreas deberían estar protegidas físicamente contra acceso no
autorizado, daño e interferencia.
La protección suministrada debería estar acorde con los
riesgos identificados.
DURANTE LA VIGENCIA DEL CONTRATO LABORAL
Objetivo: asegurar que todos los empleados,
contratistas y usuarios de terceras partes
estén conscientes de las amenazas y preocupaciones
respecto a la seguridad de la
información, sus responsabilidades y sus deberes, y que
estén equipados para apoyar la
política de seguridad de la organización en el transcurso
de su trabajo normal, al igual
que reducir el riesgo de error humano.
Es conveniente definir las responsabilidades de la
dirección para garantizar que se aplica
la seguridad durante todo el contrato laboral de una
persona dentro de la organización.
Se debería brindar un nivel adecuado de concientización,
educación y formación en los
procedimientos de seguridad y el uso correcto de los
servicios de procesamiento de
información a todos los empleados, contratistas y
usuarios de terceras partes para
minimizar los posibles riesgos de seguridad. Es
conveniente establecer un proceso
disciplinario formal para el manejo de las violaciones de
la seguridad.
Objetivo: brindar apoyo y orientación a la
dirección con respecto a la seguridad de la
información, de acuerdo con los requisitos del negocio y
los reglamentos y las leyes
pertinentes. Las directivas deberían establecer una
dirección clara de la política según los objetivos del negocio y demostrar
apoyo y compromiso con la seguridad de la información a través de la emisión y
el mantenimiento de la política de seguridad de la información en toda la organización.
Cada cláusula contiene una cantidad de categorías
principales de seguridad. Estas once
cláusulas (acompañadas por la cantidad de categorías
principales de seguridad incluida en cada numeral) son:
a) política de seguridad (1).
b) Organización de la seguridad de la información (2).
c) Gestión de activos (2).
d) Seguridad de los recursos humanos (3).
e) Seguridad física y del entorno (2).
f) Gestión de operaciones y comunicaciones (10).
g) Control del acceso (7).
h) Adquisición, desarrollo y mantenimiento de sistemas de
información (6).
i)Gestión de los incidentes de seguridad de la
información (2).
j) Gestión de la continuidad del negocio (1).
k) Cumplimiento (3).
NOTA El orden de las cláusulas no implica su importancia.
Dependiendo de las circunstancias, todos las cláusulas podrían ser importantes,
por lo tanto cada organización que aplique esta norma debería identificar las
cláusulas aplicables, su importancia y su aplicación a procesos individuales
del negocio. Igualmente, ninguna de las listas de esta norma está en orden
prioritario, a menos que así se indique.
Para los propósitos de este documento se aplican los
siguientes términos y definiciones:
2.1 Activo. Cualquier cosa que tenga valor para la
organización.
[NTC 5411-1:2006]
2.2 Control. Medios para gestionar el riesgo,
incluyendo políticas, procedimientos, directrices, prácticas o estructuras de
la organización que pueden ser de naturaleza administrativa, técnica, de
gestión o legal.
NOTA Control también se usa cono
sinónimo de salvaguarda o contra medida.
2.3 Directriz. Descripción que aclara lo que se
debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en las
políticas.
[NTC 5411-1:2006]
2.4
Servicios de procesamiento de información. Cualquier servicio, infraestructura o sistema de
procesamiento de información o los sitios físicos que los albergan.
2.5 Seguridad de la información. Preservación de la confidencialidad,
integridad y
disponibilidad de la información, además, otras
propiedades tales como autenticidad,
responsabilidad, no-repudio y confiabilidad pueden estar
involucradas.
2.6 Evento de seguridad de la
información. Un
evento de seguridad de la información es la presencia identificada de un estado
del sistema, del servicio o de la red que indica un posible incumplimiento de
la política de seguridad de la información, una falla de controles, o una situación
previamente desconocida que puede ser pertinente para la seguridad.
[ISO/IEC TR 18044:2000]
2.7 Incidente de seguridad de la
información. Un
incidente de seguridad de la información está indicado por un solo evento o una
serie de eventos inesperados o no deseados de seguridad de la información que
tienen una probabilidad significativa de comprometer las operaciones del
negocio y amenazar la seguridad de la información.
[ISO/IEC TR 18044:2000]
2.8 Política. Toda intención y directriz expresada
formalmente por la Dirección.
2.9 Riesgo. Combinación de la probabilidad de un
evento y sus consecuencias.
[ISO/IEC Guía 73:2002]
2.10 Análisis de riesgos. Uso sistemático de la información para
identificar las fuentes y
estimar el riesgo. [ISO/IEC Guía 73:2002]
2.11 Evaluación de riesgos. Todo proceso de análisis y valoración
del riesgo.
[ISO/IEC Guía 73:2002]
2.12 Valoración del riesgo. Proceso de comparación del riesgo
estimado frente a criterios de riesgo establecidos para determinar la
importancia del riesgo.
[ISO/IEC Guía 73:2002]
2.13 Gestión del riesgo. Actividades coordinadas para dirigir y
controlar una organización con respecto al riesgo.
[ISO/IEC Guía 73:2002]
2.14 Tratamiento del riesgo. Proceso de selección e implantación de medidas a para
modificar el riesgo.
[ISO/IEC Guía 73:2002]
2.15 Tercera parte. Persona u organismo reconocido por ser
independiente de las partes
involucradas, con relación al asunto en cuestión.
[ISO/IEC Guía 2:1996]
2.16 Amenaza. Causa potencial de un incidente no
deseado, que puede ocasionar daño a un sistema u organización.
[NTC 5411-1:2006]
2.17 Vulnerabilidad. Debilidad de un activo o grupo de
activos que puede ser aprovechada por una o más amenazas.
Objetivo: gestionar la seguridad de la
información dentro de la organización.
Se debería establecer una estructura de gestión para
iniciar y controlar la implantación
De la seguridad de la información dentro de la
organización.
La dirección debería aprobar la política de seguridad de
la información, asignar las funciones de seguridad, coordinar y revisar la implementan de la seguridad en toda la
Organización.
Si es necesario, se recomienda establecer una fuente de
asesoría especializada sobre
Seguridad de la información y ponerla a disposición en la
organización. Es conveniente
Desarrollar contactos con grupos o especialistas externos
en seguridad, incluyendo las
Autoridades pertinentes, para ir al compás de las
tendencias industriales, monitorear
Normas y métodos de evaluación, así como proveer puntos
adecuados de vínculo cando
Se manejan incidentes de seguridad de la información. Se
debería promover un enfoque
Multidisciplinario
para la seguridad de la información.
Antes de considerar el tratamiento de un riesgo, la
organización debería decidir los criterios para determinar si se pueden aceptar
o no los riesgos. Los riesgos se pueden aceptar si, por ejemplo, según la
evaluación se considera el riesgo bajo o que el costo del tratamiento no es efectivo
en términos financieros para la organización. Tales decisiones se deberían
registrar.
Para cada uno
de los riesgos identificados después de la evaluación de riesgos es necesario tomar
una decisión para su tratamiento. Las opciones posibles para el tratamiento del
riesgo incluyen:
a) aplicación de los controles apropiados para reducir
los riesgos;
b) aceptación objetiva y con conocimiento de los riesgos,
siempre y cuando ellos
Satisfagan la política de la organización y sus criterios
para la aceptación del riesgo;
c) evitación de los riesgos al no permitir acciones que
pudieran hacer que éstos se
Presentaran;
d) transferencia de riesgos asociados a otras partes, por
ejemplo aseguradores o
Proveedores.
Para aquellos riesgos en donde la decisión de tratamiento
del riesgo ha sido la aplicación de controles apropiados, dichos controles se
deberían seleccionar e implementar de modo que satisfagan los requisitos identificados
por la evaluación de riesgos. Los controles deberían garantizar la reducción de
los riesgos hasta un nivel aceptable.
La experiencia ha demostrado que los siguientes factores
son críticos para la implementación exitosa de la seguridad de la información
dentro de la organización:
a) políticas, objetivos y actividades de seguridad de la
información que reflejen los
Objetivos del negocio;
b) un enfoque y un marco de trabajo para implementar,
mantener, monitorear y mejorar la
Seguridad de la información, que sean consistentes con la
cultura de la organización;
c) soporte y compromiso visibles en todos los niveles de
la organización;
d) una buena comprensión de los requisitos de la
seguridad de la información, la
Evaluación de riesgos y la gestión del riesgo;
e) mercadeo eficaz de la seguridad de la información para
todos los directores, empleados y otras partes para lograr la concientización;
f) distribución de guías sobre la política y las normas
de seguridad de la información a
Todos los directores, empleados y otras partes;
g) provisión de fondos para actividades de gestión de la
seguridad de la información;
h) formación, educación y concientización adecuadas;
i) establecimiento de un proceso eficaz para la gestión
de los incidentes de la seguridad
De la información,
j) implementación de un sistema de medición1) que se utilice para evaluar el
desempeño
En la gestión
de la seguridad de la información y retroalimentar sugerencias para la mejora.
Una vez se han identificado los requisitos y los riesgos
de seguridad y se han tomado las
Decisiones para el tratamiento de los riesgos, es
conveniente seleccionar e implementar los controles para garantizar la
reducción de los riesgos hasta un nivel aceptable. Los controles se pueden
seleccionar a partir de este documento, de otros grupos de controles o se
pueden diseñar controles nuevos para satisfacer necesidades específicas, según
sea adecuado. La selección de los controles de seguridad depende de las
decisiones de la organización basadas.
en los criterios para la aceptación del riesgo, el
tratamiento del riesgo y el enfoque general para la gestión del riesgo aplicado
en la organización, y debería estar sujeta a toda la legislación y todos los
reglamentos nacionales e internacionales pertinentes.
Algunos de los controles en esta norma se pueden
considerar como principios guía para la gestión de la seguridad de la
información y aplicables a la mayoría de las organizaciones. Éstos se explican
con más detalle bajo el encabezado "Punto de partida para la seguridad de
la información".
Los requisitos de seguridad se identifican mediante una
evaluación metódica de los riesgos de seguridad. Los gastos en los controles se
deben equilibrar frente a la probabilidad de daño para el negocio que resulta
de las fallas en la seguridad.
Los resultados de la evaluación de riesgos ayudarán a
guiar y a determinar la acción de gestión adecuada y las prioridades para la
gestión de los riesgos de la seguridad de la información, así como para
implementar los controles seleccionados para la protección contra estos
riesgos. La evaluación de riesgos se debería repetir periódicamente para tratar
cualquier cambio que pueda influir en los resultados de la evaluación de
riesgos.
Información
adicional sobre la evaluación de los riesgos de seguridad se puede encontrar en
el numeral 4.1, "Evaluación de los riesgos de seguridad.
La información es un activo que, como otros activos
importantes del negocio, es esencial para las actividades de la organización y,
en consecuencia, necesita una protección adecuada. Esto es especialmente
importante en el entorno de negocios cada vez más interconectado. Como resultado
de esta interconexión creciente, la información se expone a un gran número y variedad
de amenazas y vulnerabilidades (véase también OECD Guía para la seguridad de redes
y sistemas de información).
La información puede existir en diversas formas. Se puede
imprimir o escribir en papel,
almacenar electrónicamente, transmitir por correo o por
medios electrónicos, presentar en
películas, o expresarse en la conversación. Cualquiera
sea su forma o medio por el cual se comparte o almacena, siempre debería tener
protección adecuada.
La seguridad
de la información es la protección de la información contra una gran variedad
de amenazas con el fin de asegurar la continuidad del negocio, minimizar el
riesgo para el negocio y maximizar el retorno de inversiones y oportunidades de
negocio.
La seguridad de la información se logra implementando un
conjunto apropiado de controles, incluyendo políticas, procesos,
procedimientos, estructuras organizacionales y funciones de software y
hardware. Los controles necesitan ser establecidos, implementados,
monitoreados, revisados y mejorados, donde sea necesario, para asegurar que se
cumplen los objetivos específicos de seguridad y del negocio de la
organización. Esto debería hacerse en conjunto con otros procesos de gestión de
negocio.
