SEGURIDAD DE LOS EQUIPOS

Objetivo: evitar pérdida, daño, robo o puesta en peligro de los activos, y la interrupción de las actividades de la organización.

Los equipos deberían estar protegidos contra amenazas físicas y ambientales.

La protección del equipo (incluyendo el utilizado por fuera, y el retiro de la propiedad) es

necesaria para reducir el riesgo de acceso no autorizado a la información y para proteger

contra pérdida o daño. También se debería considerar la ubicación y la eliminación de los

equipos. Es posible que se requieran controles especiales para la protección contra amenazas físicas y para salvaguardar los servicios de soporte tales como energía eléctrica e infraestructura de cableado.

TÉRMINOS Y DEFINICIONES

Para los propósitos de este documento se aplican los siguientes términos y definiciones:

2.1 Activo. Cualquier cosa que tenga valor para la organización.

[NTC 5411-1:2006]

2.2 Control. Medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras de la organización que pueden ser de naturaleza administrativa, técnica, de gestión o legal.

NOTA Control también se usa cono sinónimo de salvaguarda o contra medida.

2.3 Directriz. Descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en las políticas.

[NTC 5411-1:2006]

2.4 Servicios de procesamiento de información. Cualquier servicio, infraestructura o sistema de procesamiento de información o los sitios físicos que los albergan.

2.5 Seguridad de la información. Preservación de la confidencialidad, integridad y

disponibilidad de la información, además, otras propiedades tales como autenticidad,

responsabilidad, no-repudio y confiabilidad pueden estar involucradas.

2.6 Evento de seguridad de la información. Un evento de seguridad de la información es la presencia identificada de un estado del sistema, del servicio o de la red que indica un posible incumplimiento de la política de seguridad de la información, una falla de controles, o una situación previamente desconocida que puede ser pertinente para la seguridad.

[ISO/IEC TR 18044:2000]

2.7 Incidente de seguridad de la información. Un incidente de seguridad de la información está indicado por un solo evento o una serie de eventos inesperados o no deseados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

[ISO/IEC TR 18044:2000]

2.8 Política. Toda intención y directriz expresada formalmente por la Dirección.

2.9 Riesgo. Combinación de la probabilidad de un evento y sus consecuencias.

[ISO/IEC Guía 73:2002]

2.10 Análisis de riesgos. Uso sistemático de la información para identificar las fuentes y

estimar el riesgo. [ISO/IEC Guía 73:2002]

2.11 Evaluación de riesgos. Todo proceso de análisis y valoración del riesgo.

[ISO/IEC Guía 73:2002]

2.12 Valoración del riesgo. Proceso de comparación del riesgo estimado frente a criterios de riesgo establecidos para determinar la importancia del riesgo.

[ISO/IEC Guía 73:2002]

2.13 Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

[ISO/IEC Guía 73:2002]

2.14 Tratamiento del riesgo. Proceso de selección e implantación de medidas a para

modificar el riesgo.

[ISO/IEC Guía 73:2002]

2.15 Tercera parte. Persona u organismo reconocido por ser independiente de las partes

involucradas, con relación al asunto en cuestión.

[ISO/IEC Guía 2:1996]

2.16 Amenaza. Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización.

[NTC 5411-1:2006]

2.17 Vulnerabilidad. Debilidad de un activo o grupo de activos que puede ser aprovechada por una o más amenazas.

[NTC 5411-1:2006]

FACTORES CRÍTICOS PARA EL ÉXITO

La experiencia ha demostrado que los siguientes factores son críticos para la implementación exitosa de la seguridad de la información dentro de la organización:

a) políticas, objetivos y actividades de seguridad de la información que reflejen los

Objetivos del negocio;

b) un enfoque y un marco de trabajo para implementar, mantener, monitorear y mejorar la

Seguridad de la información, que sean consistentes con la cultura de la organización;

c) soporte y compromiso visibles en todos los niveles de la organización;

d) una buena comprensión de los requisitos de la seguridad de la información, la

Evaluación de riesgos y la gestión del riesgo;

e) mercadeo eficaz de la seguridad de la información para todos los directores, empleados y otras partes para lograr la concientización;

f) distribución de guías sobre la política y las normas de seguridad de la información a

Todos los directores, empleados y otras partes;

g) provisión de fondos para actividades de gestión de la seguridad de la información;

h) formación, educación y concientización adecuadas;

i) establecimiento de un proceso eficaz para la gestión de los incidentes de la seguridad

De la información,

j) implementación de un sistema de medición1) que se utilice para evaluar el desempeño

En la gestión de la seguridad de la información y retroalimentar sugerencias para la mejora.

SELECCIÓN DE CONTROLES

Una vez se han identificado los requisitos y los riesgos de seguridad y se han tomado las

Decisiones para el tratamiento de los riesgos, es conveniente seleccionar e implementar los controles para garantizar la reducción de los riesgos hasta un nivel aceptable. Los controles se pueden seleccionar a partir de este documento, de otros grupos de controles o se pueden diseñar controles nuevos para satisfacer necesidades específicas, según sea adecuado. La selección de los controles de seguridad depende de las decisiones de la organización basadas.

en los criterios para la aceptación del riesgo, el tratamiento del riesgo y el enfoque general para la gestión del riesgo aplicado en la organización, y debería estar sujeta a toda la legislación y todos los reglamentos nacionales e internacionales pertinentes.

Algunos de los controles en esta norma se pueden considerar como principios guía para la gestión de la seguridad de la información y aplicables a la mayoría de las organizaciones. Éstos se explican con más detalle bajo el encabezado "Punto de partida para la seguridad de la información".

CLÁUSULAS

Cada cláusula contiene una cantidad de categorías principales de seguridad. Estas once

cláusulas (acompañadas por la cantidad de categorías principales de seguridad incluida en cada numeral) son:

a) política de seguridad (1).

b) Organización de la seguridad de la información (2).

c) Gestión de activos (2).

d) Seguridad de los recursos humanos (3).

e) Seguridad física y del entorno (2).

f) Gestión de operaciones y comunicaciones (10).

g) Control del acceso (7).

h) Adquisición, desarrollo y mantenimiento de sistemas de información (6).

i)Gestión de los incidentes de seguridad de la información (2).

j) Gestión de la continuidad del negocio (1).

k) Cumplimiento (3).

NOTA El orden de las cláusulas no implica su importancia. Dependiendo de las circunstancias, todos las cláusulas podrían ser importantes, por lo tanto cada organización que aplique esta norma debería identificar las cláusulas aplicables, su importancia y su aplicación a procesos individuales del negocio. Igualmente, ninguna de las listas de esta norma está en orden prioritario, a menos que así se indique.

SEGURIDAD FÍSICA Y DEL ENTORNO

Objetivo: evitar el acceso físico no autorizado, el daño o la interferencia a las instalaciones y a la información de la organización.

Los servicios de procesamiento de información sensible o crítica deberían estar ubicados en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada adecuados. Dichas áreas deberían estar protegidas físicamente contra acceso no autorizado, daño e interferencia.

La protección suministrada debería estar acorde con los riesgos identificados.

 

PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MÓVILES

Objetivo: proteger la integridad del software y de la información.

Se requieren precauciones para evitar y detectar la introducción de códigos maliciosos y

códigos móviles no autorizados.

El software y los servicios de procesamiento de información son vulnerables a la introducción de códigos maliciosos tales como virus de computador, gusanos en la red, caballos troyanos y bombas lógicas. Los usuarios deberían ser conscientes de los peligros de los códigos maliciosos. Los directores deberían, cuando sea apropiado, introducir controles para evitar, detectar y retirar los códigos maliciosos y controlar los códigos móviles.

Controles contra códigos maliciosos

Control

Se deberían implementar controles de detección, prevención y recuperación para proteger

contra códigos maliciosos, así como procedimientos apropiados de concientización de los

usuarios.

Guía de implementación

La protección contra códigos maliciosos se debería basar en software de detección y

reparación de códigos maliciosos, conciencia sobre seguridad, acceso apropiado al sistema y controles en la gestión de cambios. Se recomienda considerar las siguientes directrices:

a) establecer una política formal que prohíba el uso de software no autorizado (véase el

numeral 15.1.2);

b) establecer una política formal para la protección contra los riesgos asociados con la

obtención de archivos y software, bien sea desde o a través de redes externas o

cualquier otro medio, indicando las medidas de protección que se deberían tomar;

c) llevar a cabo revisiones regulares del software y del contenido de datos de los sistemas

que dan soporte a los procesos críticos del negocio; se debería investigar formalmente

la presencia de archivos no aprobados o modificaciones no autorizadas;

d) instalación y actualización regular del software de detección y reparación de códigos

maliciosos para explorar los computadores y los medios, como control preventivo o de forma rutinaria; las verificaciones realizadas deberían incluir:

REQUISITOS DEL NEGOCIO PARA EL CONTROL DEL ACCESO

Objetivo: controlar el acceso a la información.

El acceso a la información, a los servicios de procesamiento de información y a los

procesos del negocio se debería controlar con base en los requisitos de seguridad y del

negocio. Las reglas para el control del acceso deberían tener en cuenta las políticas de

distribución y autorización de la información.

Política de control de acceso

Control

Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso.

Guía de implantación

Las reglas y los derechos para el control del acceso para cada usuario o grupo de usuarios se deberían establecer con claridad en una política de control del acceso. Los controles del acceso son tanto lógicos como físicos (véase la sección 9) y se deberían considerar en conjunto. A los usuarios y a los proveedores de servicios se les debería brindar una declaración clara de los requisitos del negocio que deben cumplir los controles del acceso.

TRATAMIENTO DE LOS RIESGOS DE SEGURIDAD

Antes de considerar el tratamiento de un riesgo, la organización debería decidir los criterios para determinar si se pueden aceptar o no los riesgos. Los riesgos se pueden aceptar si, por ejemplo, según la evaluación se considera el riesgo bajo o que el costo del tratamiento no es efectivo en términos financieros para la organización. Tales decisiones se deberían registrar.

Para cada uno de los riesgos identificados después de la evaluación de riesgos es necesario tomar una decisión para su tratamiento. Las opciones posibles para el tratamiento del riesgo incluyen:

a) aplicación de los controles apropiados para reducir los riesgos;

b) aceptación objetiva y con conocimiento de los riesgos, siempre y cuando ellos

Satisfagan la política de la organización y sus criterios para la aceptación del riesgo;

c) evitación de los riesgos al no permitir acciones que pudieran hacer que éstos se

Presentaran;

d) transferencia de riesgos asociados a otras partes, por ejemplo aseguradores o

Proveedores.

Para aquellos riesgos en donde la decisión de tratamiento del riesgo ha sido la aplicación de controles apropiados, dichos controles se deberían seleccionar e implementar de modo que satisfagan los requisitos identificados por la evaluación de riesgos. Los controles deberían garantizar la reducción de los riesgos hasta un nivel aceptable.

QUE ES ISO 27002

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por la International Organización for Standardization y la Comisión. La versión más reciente es la ISO/IEC 27002:2013.

Precedentes y evolución histórica

El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En el año 2000 la International organiza tión for Standardization y la Comisión Electrotécnica Internacional publicaron el estándar ISO/IEC 17799:2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento modificado ISO/IEC 17799:2005.

Con la aprobación de la norma ISO/IEZAC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la Seguridad de la Información, el estándar IGFSO/DIEC 17799:2005 pasó a ser renombrado como ISO/IEC 27002 en el año 2007.

EVALUACIÓN DE LOS RIESGOS DE SEGURIDAD

EVALUACIÓN DE LOS RIESGOS DE SEGURIDAD

Los requisitos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. Los gastos en los controles se deben equilibrar frente a la probabilidad de daño para el negocio que resulta de las fallas en la seguridad.

Los resultados de la evaluación de riesgos ayudarán a guiar y a determinar la acción de gestión adecuada y las prioridades para la gestión de los riesgos de la seguridad de la información, así como para implementar los controles seleccionados para la protección contra estos riesgos.

La evaluación de riesgos se debería repetir periódicamente para tratar cualquier cambio que pueda influir en los resultados de la evaluación de riesgos.

Información adicional sobre la evaluación de los riesgos de seguridad se puede encontrar en el numeral 4.1, "Evaluación de los riesgos de seguridad".