10. GESTIÓN DE COMUNICACIONES Y
OPERACIONES
10.1 PROCEDIMIENTOS
OPERACIONALES Y RESPONSABILIDADES
Objetivo: asegurar la operación correcta y segura de los
servicios de procesamiento de información.
Se deberían establecer todas las responsabilidades y los procedimientos
para la gestión y operación de todos los servicios de procesamiento de información.
Esto incluye el desarrollo de procedimientos operativos apropiados.
Cuando sea conveniente, se debería implementar la separación
de funciones para reducir el riesgo de uso inadecuado deliberado o negligente
del sistema.
10.1.1 Documentación
de los procedimientos de operación
Control
Los procedimientos de operación se deberían documentar, mantener
y estar disponibles para todos los usuarios que los necesiten.
Guía de
implementación
Se deberían elaborar procedimientos documentados para las actividades
del sistema asociadas con los servicios de comunicaciones y de procesamiento de
información, como por ejemplo procedimientos para el encendido y apagado de los
computadores, copias de respaldo, mantenimiento de equipos, manejo de los
medios, cuarto de equipos y gestión del correo, como también de la seguridad.
Los procedimientos de operación deberían especificar las instrucciones
para la ejecución detallada de cada trabajo, incluyendo:
a).procesamiento
y manejo de información;
b). copias de
respaldo (véase el numeral 10.5);
c). requisitos de
programación, incluyendo las interrelaciones con otros sistemas, hora de comienzo
de la tarea inicial y de terminación de la tarea final;
d). instrucciones
para el manejo de errores y otras condiciones excepcionales que se pueden
presentar durante la ejecución del trabajo, incluyendo las restricciones al uso
de las utilidades del sistema (véase el numeral 11.5.4);
e). contactos de
soporte en caso de dificultades técnicas u operativas inesperadas;
f). Instrucciones
de manejo de los medios y los informes especiales, como el uso de papelería
especial o el manejo de los informes confidenciales incluyendo los procedimientos
para la eliminación segura de los informes de tareas fallidas (véanse los numerales
10.7.2 y 10.7.3);
g).
procedimientos para el reinicio y la recuperación del sistema que se han de
usar en caso de falla del sistema;
h) gestión de los
registros de auditoria y de la información de registro del sistema (véase el numeral
10.10).
Los procedimientos operativos, y los procedimientos documentados
para las actividades del sistema, se deberían tratar como documentos formales y
sus cambios deberían ser autorizados por la dirección. Cuando sea técnicamente
viable, se recomienda gestionar los sistemas de información de forma
consistente, utilizando los mismos procedimientos, herramientas y utilidades.
10.1.2 Gestión del
cambio
Control
Se deberían controlar los cambios en los servicios y los
sistemas de procesamiento de información.
Guía de
implementación
Los sistemas operativos y el software de aplicación deberían
estar sujetos a un control estricto de la gestión del cambio.
En particular, se deberían considerar los siguientes
elementos:
a) .identificación
y registro de los cambios significativos;
b) .planificación
y pruebas de los cambios;
c) evaluación
de los impactos potenciales de tales cambios, incluyendo los impactos en la seguridad;
d) procedimiento
de aprobación formal para los cambios propuestos;
e) comunicación
de los detalles del cambio a todas las personas implicadas;
f) procedimientos
de emergencia, incluyendo los procedimientos y las responsabilidades de
cancelar o recuperarse de cambios fallidos y eventos imprevistos.
Se deberían establecer las responsabilidades y los procedimientos
formales de gestión para garantizar el control satisfactorio de todos los
cambios en los equipos, el software o los procedimientos. Cuando se realicen
los cambios, es conveniente conservar un registro de auditoría que contenga
toda la información pertinente.
Información adicional
El control inadecuado de los cambios en los sistemas y los
servicios de procesamiento de información es una causa común de falla del
sistema o de la seguridad. Los cambios en el entorno operativo, especialmente
cuando se transfiere un sistema de la fase de desarrollo a la operativa puede
tener impacto en la confiabilidad de las aplicaciones (véase el numeral
12.5.1).
Los cambios en los sistemas operativos sólo se deberían realizar
cuando existe una razón válida para el negocio, como por ejemplo un aumento en
el riesgo para el sistema. La actualización de los sistemas con las últimas
versiones del sistema operativo o de la aplicación no siempre favorece el interés
del negocio y ello podría introducir más vulnerabilidades e inestabilidad que
la versión vigente. También puede existir la necesidad de formación adicional, costos
de licencias, soporte, costos generales de mantenimiento y administración y
nuevo hardware, especialmente durante la migración.
10.1.3 Distribución
(segregación) de funciones
Control
Las funciones y las áreas de responsabilidad se deberían
distribuir para reducir las oportunidades de modificación no autorizada o no
intencional, o el uso inadecuado de los activos de la organización.
Guía de
implementación
La distribución de funciones es un método para reducir el
riesgo de uso inadecuado deliberado o accidental del sistema. Se debería tener
cuidado de que ninguna persona pueda tener acceso, modificar o utilizar los
activos sin autorización o sin ser detectado. La iniciación de un evento se
debería separar de su autorización. Es conveniente considerar la posibilidad de
complicidad al diseñar los controles.
Las organizaciones pequeñas pueden encontrar difícil de
lograr la distribución de funciones, pero el principio se debería aplicar en la
medida de lo posible y viable. Siempre que haya dificultad para la
distribución, se deberían considerar otros controles como monitoreo de actividades,
registros de auditoría y supervisión por la dirección. Es importante que la
auditoría de seguridad siga siendo independiente.
10.1.4 Separación de
las instalaciones de desarrollo, ensayo y operación
Control
Las instalaciones de desarrollo, ensayo y operación deberían
estar separadas para reducir los riesgos de acceso o cambios no autorizados en
el sistema operativo.
Guía de
implementación
Se debería identificar el grado de separación entre los ambientes
operativo, de prueba y de desarrollo que es necesario para prevenir problemas
operativos e implementar los controles adecuados.
Se deberían tener presentes los siguientes elementos:
a). se recomienda
definir y documentar las reglas para la trasferencia de software del estado de
desarrollo al operativo;
b). el software
de desarrollo y el operativo se deberían ejecutar en diferentes sistemas o procesadores
de computación y en diferentes dominios o directorios;
c). los
compiladores, editores y otras herramientas de desarrollo o utilidades del
sistema no deberían ser accesibles desde los sistemas operativos cuando no se
requiera;
d). el ambiente
del sistema de prueba debería emular al ambiente del sistema operativo lo más
estrechamente posible;
e). los usuarios
deberían emplear perfiles de usuario diferentes para los sistemas operativos y
de prueba y los menús deberían desplegar mensajes de identificación adecuados
para reducir el riesgo de error;
f). los datos
sensibles no se deberían copiar en el entorno del sistema de prueba (véase el numeral
12.4.2).
Información adicional
Las actividades de desarrollo y de prueba pueden causar
problemas graves, como la modificación indeseada de archivos o del entorno del
sistema, o falla del sistema. En este caso, es necesario mantener un entorno
conocido y estable en el cual realizar pruebas significativas y evitar el
acceso inadecuado de los desarrolladores.
Cuando el personal de desarrollo y de pruebas tiene acceso
al sistema operativo y su información, pueden introducir códigos no autorizados
y sin probar o alterar los datos operativos. En algunos sistemas, esta
capacidad podría ser mal utilizada para cometer fraude o introducir códigos sin
probar o maliciosos, lo cual puede crear problemas operativos graves.
Quienes desarrollan y realizan las pruebas imponen una
amenaza a la confidencialidad de la información operativa. Las actividades de
desarrollo y de prueba pueden causar cambios involuntarios en el software o la
información si comparten el mismo entorno de computación.
Por lo tanto, es conveniente separar las instalaciones de
desarrollo, de prueba y operativas para reducir el riesgo de cambio accidental
o acceso no autorizado al software operativo o a los datos del negocio (véase
el numeral 12.4.2 para la protección de los datos de prueba).
10.2 GESTIÓN DE LA
PRESTACIÓN DEL SERVICIO POR TERCERAS PARTES
Objetivo: implementar y mantener un grado adecuado de seguridad
de la información y de la prestación del servicio, de conformidad con los
acuerdos de prestación del servicio por terceros,
La organización debería verificar la implementación de acuerdos,
monitorear el cumplimiento de ellos y gestionar los cambios para asegurar que
los servicios que se prestan cumplen los requisitos acordados con los terceros.
10.2.1 Prestación del
servicio
Control
Se deberían garantizar que los controles de seguridad, las
definiciones del servicio y los niveles de prestación del servicio incluidos en
el acuerdo, sean implementados, mantenidos y operados por el tercero.
Guía de
implementación
La prestación de servicios por terceros debería incluir los acuerdos
sobre disposiciones de seguridad, definiciones del servicio y aspectos de la gestión
del mismo. En el caso de contrataciones externas, la organización debería
planificar las transiciones necesarias (de información, servicios de procesamiento
de información y todo lo demás que se deba transferir) y garantizar que la
seguridad se mantiene durante todo el periodo de transición.
Es recomendable que la organización garantice que el tercero
mantenga una capacidad de servicio suficiente, junto con planes ejecutables
diseñados para garantizar la conservación de los niveles de continuidad del
servicio acordados, después de desastres o fallas significativas en el servicio
(véase el numeral 14.1).
10.2.2 Monitoreo y
revisión de los servicios por terceros
Control
Los servicios, reportes y registros suministrados por
terceras partes se deberían controlar y revisar con regularidad y las
auditorias se deberían llevar a cabo a intervalos regulares.
Guía de
implementación
El monitoreo y la revisión de los servicios por terceros
deberían garantizar el cumplimiento de los términos y condiciones de seguridad
de la información de los acuerdos y que los incidentes y problemas de la
seguridad de la información se manejan adecuadamente. Ello debería implicar una
relación y un proceso de gestión del servicio entre la organización y el
tercero para:
a). monitorear
los niveles de desempeño del servicio para verificar el cumplimiento de los acuerdos;
b). revisar los
reportes del servicio elaborados por el tercero y acordar reuniones periódicas sobre
el progreso, según lo exijan los acuerdos;
c). suministrar
información sobre los incidentes de seguridad de la información, y revisión de
esta información por parte de la organización y el tercero, según lo exijan los
acuerdos, directrices y los procedimientos de soporte;
d). revisión de
los registros y pruebas de auditoría del tercero con respecto a eventos de seguridad,
problemas operativos, fallas, rastreo de fallas e interrupciones relacionadas con
el servicio prestado;
e). resolver y
manejar todos los problemas identificados.
La responsabilidad por la gestión de la relación con el tercero
se le debería asignar a una persona o a un equipo de gestión del servicio.
Además, la organización debería garantizar que el tercero asigna
responsabilidades para la verificación del cumplimiento y la aplicación de los requisitos
de los acuerdos. Se recomienda poner a disposición suficientes habilidades
técnicas y recursos para monitorear el cumplimiento de los requisitos del
acuerdo (véase el numeral 6.2.3), en particular los requisitos de seguridad de
la información. Cuando se observan deficiencias en la prestación del servicio
se deberían tomar las acciones adecuadas.
La organización debería mantener suficiente control global y
no perder de vista todos los aspectos de seguridad para la información sensible
o crítica, o de los servicios de procesamiento de información que haya
procesado, gestionado o tenido acceso el tercero. La organización debería
asegurarse de que conserva visibilidad en las actividades de seguridad como
gestión de cambios, identificación de vulnerabilidades e informe / respuesta de
los incidentes de seguridad de la información a través de un proceso,
estructuras y formatos definidos claramente para la presentación de informes.
Información adicional
En caso de contratación externa, es necesario que la organización
sepa que la máxima responsabilidad por la información procesada por una parte
contratada externamente sigue siendo de la organización.
10.2.3 Gestión de los
cambios en los servicios por terceras partes
Control
Los cambios en la prestación de los servicios, incluyendo
mantenimiento y mejora de las políticas existentes de seguridad de la
información, en los procedimientos y los controles se deberían gestionar
teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados,
así como la reevaluación de los riesgos.
Guía de
implementación
Es necesario que el proceso de gestión de los cambios en el
servicio prestado por el tercero tome en consideración:
a). los cambios
hechos por la organización para implementar:
1). mejoras en
los servicios actuales ofrecidos;
2). desarrollo de
todos los sistemas o aplicaciones nuevas;
3).
modificaciones o actualizaciones de las políticas y procedimientos de la organización;
4). controles
nuevos para resolver los incidentes de seguridad de la información y para
mejorar la seguridad;
b). cambios en
los servicios por el tercero para implementar:
1). cambios y
mejoras en las redes;
2). uso de nuevas
tecnologías;
3). adopción de
productos nuevos o versiones / divulgaciones más recientes;
4). nuevas
herramientas y entornos de desarrollo;
5). cambios en la
ubicación física de las instalaciones de los servicios;
6). cambio de
proveedores.
10.3 PLANIFICACIÓN Y
ACEPTACIÓN DEL SISTEMA
Objetivo: minimizar el riesgo de fallas en los sistemas.
Se requieren planificación y preparación avanzadas para garantizar
la disponibilidad de la capacidad y los recursos adecuados para entregar el
desempeño requerido del sistema.
Es necesario hacer proyecciones de la capacidad futura para
reducir el riesgo de sobrecarga del sistema.
Los requisitos operativos de los sistemas nuevos se deberían
establecer, documentar y probar antes de su aceptación y uso.
10.3.1 Gestión de la
capacidad
Control
Se debería hacer seguimiento y adaptación del uso de los recursos,
así como proyecciones de los requisitos de la capacidad futura para asegurar el
desempeño requerido del sistema.
Guía de
implementación
Para cada actividad nueva y existente es conveniente
identificar los requisitos de la capacidad.
Se recomienda monitorear y adaptar el sistema para garantizar
y, cuando sea necesario, mejorar la capacidad y la eficacia de los sistemas. Se
deberían establecer controles de indagación para indicar los problemas en el
momento oportuno. En las proyecciones de los requisitos de capacidad futura se
deberían considerar los negocios nuevos y los requisitos del sistema, así como
las tendencias actuales y proyectadas en la capacidad de procesamiento de información
de la organización.
Es necesario poner atención a los recursos cuya adquisición
toma mucho tiempo o requiere costos elevados; por lo tanto, los directores
deberían monitorear la utilización de los recursos claves del sistema. También
deberían identificar las tendencias del uso, particularmente en relación con
las aplicaciones del negocio o las herramientas del sistema de información para
la gestión.
Es conveniente que los directores utilicen esta información
para identificar y evitar posibles cuellos de botella así como la dependencia
de personal clave, los cuales pueden presentar una amenaza para los servicios o
la seguridad del sistema, y para planificar la acción adecuada.
10.3.2 Aceptación del
sistema
Control
Se deberían establecer criterios de aceptación para sistemas
de información nuevos, actualizaciones y nuevas versiones y llevar a cabo los
ensayos adecuados del sistema durante el desarrollo y antes de la aceptación.
Guía de
implementación
Los directores deberían garantizar que los requisitos y los
criterios para la aceptación de sistemas nuevos están definidos, acordados,
documentados y probados claramente. Los sistemas de información nuevos, las
actualizaciones y las nuevas versiones únicamente deberían migrar a producción
después de obtener la aceptación formal. Se deberían considerar los siguientes
elementos antes de la aceptación formal:
a). requisitos de
desempeño y capacidad de los computadores;
b).
procedimientos de reinicio y de recuperación por errores, y planes de
contingencia;
c). preparación y
prueba de procedimientos operativos de rutina para las normas definidas;
d).
establecimiento del conjunto de controles de seguridad acordados;
e).
procedimientos manuales eficaces;
f). disposiciones
para la continuidad del negocio (véase el numeral 14.1);
g). evidencia de
que la instalación del sistema nuevo no afectará adversamente a los sistemas
existentes, particularmente en los momentos pico de procesamiento, como al final
de mes;
h). evidencia de
que se ha tenido en cuenta el efecto del sistema nuevo en toda la seguridad de
la organización;
i). formación en
el funcionamiento o utilización de los sistemas nuevos;
j). facilidad de
uso, en la medida en que afecte el desempeño del usuario y evite el error humano.
Para nuevos desarrollos importantes se debería consultar a
los usuarios y a la función de operaciones en todas las fases del proceso de
desarrollo para garantizar la eficiencia operativa del diseño del sistema
propuesto. Es conveniente llevar a cabo pruebas adecuadas para confirmar el
cumplimiento pleno de todos los criterios de aceptación.
Información adicional
La aceptación puede incluir un proceso formal de
certificación y acreditación para verificar que el tratamiento que se ha dado a
los requisitos de seguridad es el adecuado.
10.4 PROTECCIÓN
CONTRA CÓDIGOS MALICIOSOS Y MÓVILES
Objetivo: proteger la integridad del software y de la
información.
Se requieren precauciones para evitar y detectar la introducción
de códigos maliciosos y códigos móviles no autorizados.
El software y los servicios de procesamiento de información
son vulnerables a la introducción de códigos maliciosos tales como virus de
computador, gusanos en la red, caballos troyanos y bombas lógicas. Los usuarios
deberían ser conscientes de los peligros de los códigos maliciosos. Los
directores deberían, cuando sea apropiado, introducir controles para evitar, detectar
y retirar los códigos maliciosos y controlar los códigos móviles.
10.4.1 Controles
contra códigos maliciosos
Control
Se deberían implementar controles de detección, prevención y
recuperación para proteger contra códigos maliciosos, así como procedimientos
apropiados de concientización de los usuarios.
Guía de
implementación
La protección contra códigos maliciosos se debería basar en
software de detección y reparación de códigos maliciosos, conciencia sobre
seguridad, acceso apropiado al sistema y controles en la gestión de cambios. Se
recomienda considerar las siguientes directrices:
a). establecer
una política formal que prohíba el uso de software no autorizado (véase el numeral
15.1.2);
b). establecer
una política formal para la protección contra los riesgos asociados con la obtención
de archivos y software, bien sea desde o a través de redes externas o cualquier
otro medio, indicando las medidas de protección que se deberían tomar;
c). llevar a cabo
revisiones regulares del software y del contenido de datos de los sistemas que
dan soporte a los procesos críticos del negocio; se debería investigar
formalmente la presencia de archivos no aprobados o modificaciones no
autorizadas;
d). instalación y
actualización regular del software de detección y reparación de códigos maliciosos
para explorar los computadores y los medios, como control preventivo o de forma
rutinaria; las verificaciones realizadas deberían incluir:
1). verificación
de la presencia de códigos maliciosos en todos los archivos en medios ópticos o
electrónicos y archivos recibidos en las redes antes de su uso;
2). verificación
de la presencia de códigos maliciosos en los adjuntos y las descargas del
correo electrónico antes del uso; esta verificación se debería efectuar en
diferentes lugares, por ejemplo en los servidores de correo electrónico, los
computadores de escritorio y cuando ingresan a la red de la organización;
3). verificación
de las páginas web para comprobar la presencia de códigos maliciosos;
e). definir
responsabilidades y procedimientos de gestión para tratar la protección contra códigos
maliciosos en los sistemas, la formación sobre su uso, el reporte y la recuperación
debido a ataques de códigos maliciosos (véanse los numerales 13.1 y 13.2);
f). preparación
de planes adecuados para la continuidad del negocio con el fin de recuperarse
de los ataques de códigos maliciosos, incluyendo todos los datos y el soporte
de software necesarios y las disposiciones para la recuperación (véase el numeral
14);
g).
implementación de procedimientos para recolectar información con regularidad,
como la suscripción a sitios web de verificación y / o listados de correo que
suministren información sobre los códigos maliciosos nuevos;
h).
implementación de procedimientos para verificar la información relacionada con
códigos maliciosos y garantizar que los boletines de advertencia sean exactos e
informativos; los directores deberían garantizar que se utilizan fuentes calificadas,
por ejemplo diarios reconocidos, sitios confiables de Internet o proveedores de
software de protección contra códigos maliciosos para diferenciar entre falsas
alarmas y códigos maliciosos reales; todos los usuarios deberían conocer el
problema de los falsas alarmas y qué hacer al recibirlas.
Información adicional
El empleo de dos o más productos de software, de diferentes
proveedores, que protejan contra códigos maliciosos a través de todo el entorno
de procesamiento de información puede mejorar la eficacia de la protección
contra códigos maliciosos.
El software de protección contra códigos maliciosos se puede
instalar para que suministre actualizaciones automáticas de los archivos de
definición y de los motores de exploración para garantizar que la protección
esté al día. Además, este software se puede instalar en cada escritorio para
realizar verificaciones automáticas.
Se debe tener cuidado para la protección contra la introducción
de códigos maliciosos durante los procedimientos de mantenimiento y de
emergencia, ya que se pueden eludir los controles normales de protección contra
códigos maliciosos.
10.4.2 Controles
contra códigos móviles
Control
Cuando se autoriza la utilización de códigos móviles, la configuración
debería asegurar que dichos códigos operan de acuerdo con la política de seguridad
claramente definida, y se debería evitar la ejecución de los códigos móviles no
autorizados.
Guía de
implementación
Se recomienda tener en cuenta las siguientes consideraciones
para la protección contra códigos móviles que ejecutan acciones no autorizadas:
a). ejecución de
los códigos móviles en un entorno con aislamiento lógico;
b). bloqueo de
cualquier uso de códigos móviles;
c). bloqueo de la
recepción de códigos móviles;
d). activación de
medidas técnicas, según estén disponibles, en un sistema específico para garantizar
la gestión del código móvil;
e). control de
recursos disponibles para el acceso a códigos móviles;
f). controles
criptográficos para autenticar de forma única el código móvil.
Información adicional
El código móvil es un código de software que se transfiere
de un computador a otro y luego se ejecuta automáticamente y lleva a cabo una
función específica con poca o ninguna interacción del usuario. El código móvil
se asocia con una variedad de servicios ubicados en la capa intermedia
(middleware).
Además, para garantizar que el código móvil no contiene
código malicioso, el control del código móvil es esencial para evitar el uso no
autorizado o la interrupción del sistema, la red o los recursos de aplicación y
otras brechas de la seguridad de la información.
10.5 RESPALDO
Objetivo: mantener la integridad y disponibilidad de la información
y de los servicios de procesamiento de información.
Se deberían establecer procedimientos de rutina para
implementar la política y la estrategia de respaldo acordada (véase el numeral
14.1) para hacer copias de seguridad de los datos y probar sus tiempos de
restauración.
10.5.1 Respaldo de la
información
Control
Se deberían hacer copias de respaldo de la información y del
software, y se deben poner a prueba con regularidad de acuerdo con la política
de respaldo acordada.
Guía de
implementación
Es conveniente disponer de servicios de respaldo adecuados
para garantizar que la información y el software esenciales se recuperan
después de un desastre o una falla de los medios.
Se recomienda considerar los siguientes elementos para el
respaldo de la información:
a). es
recomendable definir el nivel necesario para la información de respaldo;
b). se deberían
hacer registros exactos y completos de las copias de respaldo y generar procedimientos
documentados de restauración;
c). la extensión
(por ejemplo respaldo completo o diferencial) y la frecuencia de los respaldos
debería reflejar los requisitos del negocio de la organización, los requisitos
de seguridad de la información involucrada y la importancia de la operación
continua de la organización;
d). los respaldos
se deberían almacenar en un sitio lejano, a una distancia suficiente para escapar
a cualquier daño debido a desastres en la sede principal;
e). a la
información de respaldo se le debería dar un grado apropiado de protección
física y ambiental (véase el numeral 9) consistente con las normas aplicadas en
la sede principal; los controles aplicados a los medios en la sede principal se
deberían extender para cubrir el sitio en donde está el respaldo;
f). es
conveniente probar con regularidad los medios de respaldo para garantizar que
sean confiables para uso en emergencias, cuando sea necesario;
g). los
procedimientos de restauración se deberían verificar y probar con regularidad
para garantizar su eficacia y que se pueden completar dentro del tiempo
designado en los procedimientos operativos para la recuperación;
h). en
situaciones en donde es importante la confidencialidad, los respaldos se
deberían proteger por medio de encriptación.
Las disposiciones de respaldo para los sistemas individuales
se deberían someter a prueba con regularidad para garantizar que cumplen los
requisitos de los planes para la continuidad del negocio (véase la sección 14).
Para sistemas críticos, las disposiciones de respaldo deberían comprender toda
la información de los sistemas, las aplicaciones y los datos necesarios para recuperar
todo el sistema en caso de desastre.
Es necesario determinar el periodo de retención de la
información esencial para el negocio, así como cualquier requisito para retener
permanentemente las copias de archivo (véase el numeral 15.1.3).
Información adicional
Las disposiciones de respaldo se pueden automatizar para
facilitar el respaldo y el proceso de restauración. Las soluciones
automatizadas deberían probarse suficientemente antes de la implementación y a
intervalos regulares.
10.6 GESTIÓN DE LA
SEGURIDAD DE LAS REDES
Objetivo: asegurar la protección de la información en las
redes y la protección de la infraestructura de soporte.
La gestión segura de las redes, las cuales pueden sobrepasar
las fronteras de la organización, exige la consideración cuidadosa del flujo de
datos, las implicaciones legales, el monitoreo y la protección.
También pueden ser necesarios los controles adicionales para
proteger la información sensible que pasa por las redes públicas.
10.6.1 Controles de
las redes
Control
Las redes se deberían mantener y controlar adecuadamente para
protegerlas de las amenazas y mantener la seguridad de los sistemas y
aplicaciones que usan la red, incluyendo la información en tránsito.
Guía de
implementación
Los directores de la red deberían implementar controles que
garanticen la seguridad de la información sobre las redes y la protección de
los servicios conectados contra el acceso no autorizado. En particular, es
conveniente tener en cuenta los siguientes elementos:
a). la
responsabilidad operativa por las redes debería estar separada de las
operaciones de Computador, según sea apropiado (véase el numeral 10.1.3);
b). es necesario
establecer las responsabilidades y los procedimientos para la gestión de equipos
remotos, incluyendo los equipos en áreas de usuarios;
c). es
conveniente establecer controles especiales para salvaguardar la
confidencialidad y la integridad de los datos que pasan por redes públicas o
redes inalámbricas y para proteger los sistemas y las aplicaciones conectadas
(véanse los numerales 11.4 y 12.3); también se pueden requerir controles
especiales para mantener la disponibilidad de los servicios de la red y los
computadores conectados;
d). se deberían
aplicar el registro y el monitoreo adecuados para permitir el registro de acciones
de seguridad pertinentes;
e). se recomienda
coordinar estrechamente las actividades de gestión tanto para optimizar el
servicio para la organización como para garantizar que los controles se aplican
consistentemente en toda la infraestructura del procesamiento de información.
Información adicional
Se puede encontrar información adicional sobre seguridad de
la red en la norma ISO/IEC 18028, Tecnología de la información. Técnicas de
seguridad. Seguridad de la red de tecnología de la información.
10.6.2 Seguridad de
los servicios de la red
Control
En cualquier acuerdo sobre los servicios de la red se
deberían identificar e incluir las características de seguridad, los niveles de
servicio y los requisitos de gestión de todos los servicios de la red, sin
importar si los servicios se prestan en la organización o se contratan externamente.
Guía de
implementación
La capacidad del proveedor del servicio de red para
gestionar los servicios acordados de forma segura se debería determinar y
monitorear regularmente, y se debería acordar el derecho a auditoría.
Se deberían identificar las disposiciones de seguridad
necesarias para servicios particulares, tales como las características de
seguridad, los niveles de servicio y los requisitos de gestión.
La organización debería garantizar que los proveedores de
servicios de red implementan estas medidas.
Información adicional
Los servicios de red incluyen la provisión de conexiones,
servicios de red privada y redes con valor agregado, así como soluciones de
seguridad de red administrada, como por ejemplo barreras de fuego (firewalls) y
sistemas de detección de intrusión. Estos servicios pueden ir desde simples
anchos de banda no administrados hasta ofertas complejas de valor agregado.
Las características de los servicios de red podrían ser:
a). tecnología
aplicada para la seguridad de los servicios de red, como la autenticación, la encriptación
y los controles de conexión de red;
b). parámetros
técnicos requeridos para la conexión segura a los servicios de red según las reglas
de seguridad y conexión de red;
c).
procedimientos para la utilización de los servicios de red para restringir el
acceso a los servicios de red o a las aplicaciones, cuando sea necesario.
10.7 MANEJO DE LOS
MEDIOS
Objetivos: evitar la divulgación, modificación, retiro o
destrucción de activos no autorizada, y la interrupción en las actividades del
negocio.
Estos medios se deberían controlar y proteger de forma
física.
Se deberían establecer procedimientos operativos adecuados
para proteger documentos, medios de computador (por ejemplo cintas, discos),
datos de entrada / salida y documentación del sistema contra divulgación,
modificación, remoción y destrucción no autorizadas.
10.7.1 Gestión de los
medios removibles
Control
Se deberían establecer procedimientos para la gestión de los
medios removibles.
Guía de
implementación
Se recomienda tener presentes las siguientes directrices:
a). si ya no son
necesarios, los contenidos de todos los medios reutilizables que se van a retirar
de la organización se deberían hacer irrecuperables;
b). cuando sea
necesario y práctico, se debería exigir autorización para los medios retirados
de la organización y conservar un registro de tales retiros para mantener una prueba
de auditoría;
c). todos los
medios se deberían almacenar en un ambiente seguro y vigilado, según las especificaciones
del fabricante;
d). la
información almacenada en los medios que debe estar disponible por más tiempo
del de la vida del medio (según las especificaciones del fabricante) también se
debería almacenar en otra parte para evitar la pérdida de información debido al
deterioro de dichos medios;
e). se debería
tener en cuenta el registro de los medios removibles para evitar la oportunidad
de que se presente pérdida de datos;
f). las unidades
de medios removibles sólo se deberían habilitar si existen razones del negocio
para hacerlo.
Todos los procedimientos y niveles de autorización deberían
estar documentados con claridad.
Información adicional
Los medios removibles incluyen cintas, discos, memorias de
almacenamiento, unidades de almacenamiento removibles, discos compactos, discos
de video digital (DVD) y medios impresos.
10.7.2 Eliminación de
los medios
Control
Cuando ya no se requieren estos medios, su eliminación se
debería hacer de forma segura y sin riesgo, utilizando los procedimientos
formales.
Guía de
implementación
Los procedimientos formales para la eliminación segura de
los medios deberían minimizar el riesgo de fuga de información sensible a
personas no autorizadas. Los procedimientos para la eliminación segura de los
medios que contienen información sensible deberían estar acordes con la
sensibilidad de dicha información. Se recomienda tener en cuenta los siguientes
elementos.
a). los medios
que contienen información sensible se deberían almacenar y eliminar de forma
segura e inocua, por ejemplo mediante incineración o trituración, o borrar los datos
para evitar el uso por parte de otra aplicación en la organización;
b). se deberían
establecer procedimientos para identificar los elementos que pueden requerir
eliminación segura;
c). puede ser más
fácil disponer de todos los elementos de los medios de almacenamiento que serán
recogidos y liberados de forma segura, que tratar de disponer sólo de los elementos
sensibles;
d). muchas
organizaciones ofrecen servicios de recolección y eliminación de papel, equipos
y medios; se debe tener cuidado en seleccionar un contratista idóneo con
controles y experiencia adecuados;
e). cuando sea
posible, se debería registrar la eliminación de los elementos sensibles con el
objeto de mantener una prueba de auditoría.
Cuando se acumulan medios para su eliminación se debería
considerar el efecto de agregación, el cual puede hacer que una gran cantidad
de información no sensible se vuelva sensible.
Información adicional
Se podría divulgar información sensible debido a la
eliminación descuidada del medio (véase el numeral 9.2.6 para información sobre
la eliminación del equipo).
10.7.3 Procedimientos
para el manejo de la información
Control
Se deberían establecer procedimientos para el manejo y almacenamiento
de la información con el fin de proteger dicha información contra divulgación
no autorizada o uso inadecuado.
Guía de
implementación
Se deberían elaborar procedimientos para manejar, procesar,
almacenar y comunicar la información de acuerdo con su clasificación (véase el
numeral 7.2). Se deberían considerar los siguientes elementos:
a). manejo y
etiquetado de todos los medios hasta su nivel indicado de clasificación;
b). restricciones
de acceso para evitar el acceso de personal no autorizado;
c). mantenimiento
de un registro formal de los receptores autorizados de los datos;
d). garantizar
que los datos de entrada están completos, que el procesamiento se completa adecuadamente
y que se aplica la validación de la salida;
e). protección,
según su nivel de sensibilidad, de los datos de la memoria temporal que esperan
su ejecución;
f).
almacenamiento de los medios según las especificaciones del fabricante;
g). mantenimiento
de la distribución de datos en un mínimo;
g).rotulado claro
de todas las copias de los medios para la autenticación del receptor autorizado;
i). revisión de
las listas de distribución y las listas de receptores autorizados a intervalos regulares.
Información adicional
Estos procedimientos se aplican a la información en documentos,
sistemas de computación, redes, computación móvil, comunicaciones móviles,
correo, correo de voz, comunicaciones de voz en general, multimedia,
prestaciones / servicios postales, uso de máquinas de facsímil y a todos los
elementos sensibles, como cheques en blanco y facturas.
10.7.4 Seguridad de
la documentación del sistema
Control
La documentación del sistema debería estar protegida contra
el acceso no autorizado.
Guía de
implementación
Para asegurar la documentación del sistema, se deberían
tener en cuenta los siguientes elementos:
a). la
documentación del sistema se debería almacenar con seguridad;
b). la lista de
acceso a la documentación del sistema se debería mantener mínima y debería
estar autorizada por el dueño de la aplicación;
c). la
documentación del sistema en la red pública o que se suministra a través de una
red pública, debería tener protección adecuada.
Información adicional
La documentación del sistema puede contener variada
información sensible, como descripciones de procesos de aplicación,
procedimientos, estructuras de datos y procesos de autorización.
10.8 INTERCAMBIO DE
LA INFORMACIÓN
Objetivo: mantener la seguridad de la información y del software
que se intercambian dentro de la organización y con cualquier entidad externa.
Los intercambios de información y de software entre las organizaciones
se deberían basar en una política formal de intercambio, ejecutar según los
acuerdos de intercambio y cumplir la legislación correspondiente (véase la
sección 15).
Se deberían establecer procedimientos y normas para proteger
la información y los medios físicos que contienen información en tránsito.
10.8.1 Políticas y
procedimientos para el intercambio de información
Control
Se deberían establecer políticas, procedimientos y controles
formales de intercambio para proteger la información mediante el uso de todo
tipo de servicios de comunicación.
Guía de implementación
Los procedimientos y controles a seguir cuando se utilizan
servicios de comunicación electrónica para el intercambio de información
deberían considerar los siguientes elementos:
a).
procedimientos diseñados para proteger la información intercambiada contra interceptación,
copiado, modificación, enrutamiento inadecuado y destrucción;
b).
procedimientos para detección y protección contra códigos maliciosos que se
pueden transmitir con el uso de comunicaciones electrónicas (véase el numeral
10.4.1);
c). procedimientos
para proteger la información electrónica sensible comunicada que está en forma
de adjunto;
d). políticas o
directrices que enfaticen el uso aceptable de los servicios de comunicación electrónica
(véase el numeral 7.1.3);
e).
procedimientos para el uso de comunicaciones inalámbricas, pensando en los
riesgos particulares involucrados;
f).
responsabilidades de empleados, contratistas y cualquier otro usuario de no comprometer
a la organización, por ejemplo a través de difamación, acoso, suplantación de
identidad, envío de cartas de cadena, adquisición no autorizada, etc.;
g). uso de
técnicas criptográficas, por ejemplo para proteger la confidencialidad, la integridad
y la autenticidad de la información (véase el numeral 12.3);
h). directrices
de retención y eliminación para toda la correspondencia, incluyendo mensajes,
según la legislación y los reglamentos locales y nacionales correspondientes;
i). no dejar
información sensible o crítica en los dispositivos de impresión como copiadoras,
impresoras y máquinas de facsímil ya que se puede permitir el acceso de personal
no autorizado;
j).controles y
restricciones asociados con el envío de servicios de comunicación, como el envío
automático de correo electrónico a direcciones de correo externas;
k). recordar al
personal que deberían tomar precauciones adecuadas como, por ejemplo, no
revelar información sensible para evitar que, cuando se hace una llamada
telefónica, sea interceptada o escuchada por:
1). personas en
la cercanía inmediata, particularmente cuando se utilizan teléfonos móviles;
2).
intercepciones telefónicas u otras formas de escuchas no autorizadas mediante el
acceso físico al auricular o a la línea telefónica, o usando receptores de exploración;
3). personal al
lado del receptor;
l). no dejar
mensajes que contengan información sensible en el contestador automático ya que
pueden volver a ser escuchados por personas no autorizadas, almacenados en sistemas
comunales o almacenados incorrectamente como resultado de una marcación errónea;
m) .recordar al
personal sobre los problemas de usar máquinas de facsímil a saber:
1). creación de
acceso no autorizado en los almacenes de mensajes para recuperar los mensajes;
2). programación
deliberada o accidental de máquinas para enviar mensajes a números específicos;
3). envío de
documentos y mensajes al número equivocado, bien sea por marcación errónea o
por usar el número almacenado erróneamente;
n). recordar al
personal no registrar datos demográficos, como direcciones de correo electrónico
u otra información personal, en ningún software para evitar su recolección para
uso no autorizado;
o). recordar al
personal que las máquinas modernas de facsímil y las fotocopiadoras tienen páginas
de almacenamiento y caché, en caso de falla en el papel o en la transmisión, que
se pueden imprimir una vez se ha solucionado la falla.
Además, se debería recordar al personal que no debería tener
conversaciones confidenciales en lugares públicos ni oficinas abiertas, como
tampoco en lugares de reunión sin paredes a prueba de sonido:
Los servicios de intercambio de información deberían cumplir
todos los requisitos legales pertinentes (véase el numeral 15).
Información adicional
El intercambio de información se puede producir a través de
la utilización de diferentes tipos de servicios de comunicación, incluyendo
correo electrónico, voz, facsímil y video.
El intercambio de software se puede dar a través de diferentes
medios, incluyendo descargas desde Internet y adquiridas de vendedores de
productos de mostrador.
Se deberían considerar las implicaciones de negocios,
legales y de seguridad asociadas con el intercambio electrónico de datos, el
comercio electrónico y las comunicaciones electrónicas, así como los requisitos
para los controles.
La información podría verse amenazada debido a la falta de
conciencia, de políticas o procedimientos sobre el uso de los servicios de
intercambio de información, por ejemplo por la escucha en un teléfono móvil en
un lugar público, la dirección incorrecta de un mensaje de correo electrónico,
la escucha de los contestadores automáticos, el acceso no autorizado a sistemas
de correo de voz de marcación o el envío accidental de facsímiles al equipo
errado de facsímil.
Las operaciones del negocio podrían ser afectadas y la
información podría ser comprometida si los servicios de comunicación fallan, se
sobrecargan o interrumpen (véase el numeral10.3 y el numeral 14). La
información se vería comprometida por el acceso de usuarios no autorizados (véase
el numeral 11).
10.8.2 Acuerdos para
el intercambio
Control
Se deberían establecer acuerdos para el intercambio de la
información y del software entre la organización y las partes externas.
Guía de
implementación
En los acuerdos de intercambio se deberían tomar en
consideración las siguientes condiciones de seguridad:
a).
responsabilidades de la dirección para controlar y notificar la transmisión, el
despacho y la recepción;
b).
procedimientos para notificar a quien envía la transmisión, el despacho y la
recepción;
c).
procedimientos para garantizar la trazabilidad y el no-repudio;
d). normas
técnicas mínimas para el empaquetado y la transmisión;
e). acuerdos de
fideicomiso;
f). normas para
identificar los servicios de mensajería;
g).
responsabilidades y deberes en caso de incidentes de seguridad de la
información, como la pérdida de datos;
h). uso de
sistemas acordados de etiquetado de la información sensible o crítica, garantizando
que el significado de las etiquetas se entienda inmediatamente y que la información
está protegida adecuadamente;
i). propiedad y
responsabilidades para la protección de datos, derechos de copia, conformidad
de las licencias de software y consideraciones similares (véanse los numerales
15.1.2 y 15.1.4);
j). normas
técnicas para registrar y leer la información y el software;
k). todos los
controles especiales que se puedan requerir para proteger los elementos sensibles
tales como las claves criptográficas (véase el numeral 12.3).
Se deberían establecer y conservar políticas, procedimientos
y normas para proteger la información y los medios físicos en tránsito (véase
el numeral 10.8.3) y ellos se deberían referenciar en dichos acuerdos de
intercambio.
El contenido sobre seguridad de cualquier acuerdo debería
reflejar la sensibilidad de la información del negocio involucrada.
Información adicional
Los acuerdos pueden ser electrónicos o manuales y pueden
tomar la forma de contratos formales o condiciones de empleo. Para la
información sensible, los mecanismos específicos utilizados para el intercambio
de dicha información deberían ser consistentes para todas las organizaciones y
todos los tipos de acuerdos.
10.8.3 Medios físicos
en tránsito
Control
Los medios que contienen información se deberían proteger
contra el acceso no autorizado, el uso inadecuado o la corrupción durante el
transporte más allá de los límites físicos de la organización.
Guía de
implementación
Se recomienda tener en cuenta las siguientes directrices
para la protección de los medios que se transportan entre los lugares:
a). se recomienda
utilizar transporte confiable o servicios de mensajería;
b). se debería
acordar con la dirección una lista de servicios de mensajería;
c). se deberían
desarrollar procedimientos para verificar la identificación de los servicios de
mensajería;
d). el embalaje
debería ser suficiente para proteger el contenido contra cualquier daño físico
potencial que se pueda producir durante el transporte, y estar acorde con las especificaciones
del fabricante (por ejemplo para el software), por ejemplo protección contra
todos los factores ambientales que puedan reducir la eficacia de la
restauración de los medios tal como la exposición al calor, la humedad o los
campos electromagnéticos;
e). Cuando sea
necesario, se deberían adoptar controles para proteger la información sensible
contra divulgación o modificación no autorizada; algunos ejemplos incluyen;
1). uso de
contenedores cerrados con llave;
2). entrega en la
mano;
3). embalajes con
sello de seguridad (que revelan cualquier intento de acceso);
4). en casos
excepcionales, división de la remesa en más de una entrega y despacho por rutas
diferentes.
Información adicional
La información puede ser vulnerable al acceso no autorizado,
al uso inadecuado o a la corrupción durante el transporte físico, es el caso de
los envíos de medios a través de servicios postales o de mensajería.
10.8.4 Mensajería
electrónica
Control
La información contenida en la mensajería electrónica
debería tener la protección adecuada.
Guía de
implementación
Las consideraciones de seguridad para la mensajería electrónica
deberían incluir las siguientes:
a). proteger los
mensajes contra acceso no autorizado, modificación o negación de los servicios;
b). garantizar
que la dirección y el transporte del mensaje son correctos;
c). confiabilidad
general y disponibilidad del servicio;
d).
consideraciones legales como, por ejemplo, los requisitos para las firmas
electrónicas;
e). obtención de
aprobación antes de utilizar servicios públicos externos como la mensajería
instantánea o el compartir archivos;
f). niveles más
sólidos de autenticación que controlen el acceso desde redes accesibles al público.
Información adicional
La mensajería electrónica como, por ejemplo, el correo electrónico,
el intercambio de datos electrónicos (EDI) y la mensajería instantánea tienen
una función cada vez más creciente en las comunicaciones de los negocios. La
mensajería electrónica tiene riesgos diferentes que las comunicaciones en
papel.
10.8.5 Sistemas de
información del negocio
Control
Se deberían establecer, desarrollar e implementar políticas
y procedimientos para proteger la información asociada con la interconexión de
los sistemas de información del negocio.
Guía de
implementación
Las consideraciones de las implicaciones que tiene la
interconexión de tales servicios para la seguridad y para el negocio deberían
incluir:
a).
vulnerabilidades conocidas en los sistemas administrativo y de contaduría en
donde la información es compartida entre diferentes partes de la organización;
b). vulnerabilidades
de la información en los sistemas de comunicación del negocio, por ejemplo la
grabación de llamadas telefónicas o llamadas de conferencias, confidencialidad
de las llamadas, almacenamiento de facsímiles, correo de apertura, distribución
del correo;
c). política y
controles adecuados para gestionar la forma en que se comparte la información;
d). categorías
excluyentes de información sensible para la organización y documentos clasificados,
si los sistemas no brindan un nivel adecuado de protección;
e). restricción
del acceso a la información diaria relacionada con individuos seleccionados, por
ejemplo el personal que trabaja en proyectos sensibles;
f). categorías de
personal, contratistas o socios del negocio a quienes se permite usar el sistema
y los sitios desde los cuales pueden tener acceso;
g). restricción
de los servicios seleccionados para categorías de usuarios específicos;
h).
identificación del estado de los usuarios, por ejemplo empleados de la
organización o contratistas, en los directorios para el beneficio de otros
usuarios;
i). retención y
copias de respaldo de la información contenida en el sistema (véase el numeral
10.5.1);
j). requisitos y
disposiciones para los recursos de emergencia (véase el numeral 14).
Información adicional
Los sistemas de información de las oficinas son
oportunidades para diseminar y compartir más rápido la información del negocio
utilizando una combinación de: documentos, computadores, computación móvil,
comunicaciones móviles, correo, correo de voz, comunicaciones de voz en general,
multimedia, servicios / prestaciones postales y máquinas de facsímil.
10.9 SERVICIOS DE
COMERCIO ELECTRÓNICO
Objetivo: garantizar la seguridad de los servicios de comercio
electrónico y su utilización segura.
Es necesario considerar las implicaciones de seguridad
asociadas al uso de servicios de comercio electrónico, incluyendo las
transacciones en línea y los requisitos para los controles.
También se deberían considerar la integridad y disponibilidad
de la información publicada electrónicamente a través de sistemas disponibles
al público.
10.9.1 Comercio
electrónico
Control
La información involucrada en el comercio electrónico que se
transmite por las redes públicas debería estar protegida contra actividades
fraudulentas, disputas por contratos y divulgación o modificación no
autorizada.
Guía de
implementación
Las consideraciones de seguridad para el comercio
electrónico deberían incluir las siguientes:
a). el nivel de
confianza que exige cada parte en la identidad declarada de las otras partes, por
ejemplo por medio de autenticación;
b). los procesos
de autorización asociados con la persona que puede establecer precios, emitir o
firmar documentos comerciales clave;
c). la garantía
de que los socios comerciales están totalmente informados sobre sus autorizaciones;
d). la
determinación y el cumplimiento de los requisitos de confidencialidad,
integridad, prueba de despacho y recibo de documentos clave, y el no repudio de
contratos, por ejemplo los asociados a los procesos de licitación y contratos;
e). el nivel de
confianza exigido en la integridad de las listas de precios publicadas;
f). la
confidencialidad de datos o información sensible;
g). la
confidencialidad e integridad de las transacciones de orden de compra, información
sobre pagos, detalles de las direcciones de entrega y confirmación de recibo;
h). el grado
adecuado de verificación para comprobar la información sobre pagos suministrada
por un cliente;
i). la selección
del mejor convenio sobre la forma de pago más apropiada para evitar el fraude;
j). el nivel de
protección exigido para mantener la confidencialidad e integridad de la información
de orden de compra;
k). la evitación
de la pérdida o duplicación de la información sobre transacciones;
l). la responsabilidad
asociada con transacciones fraudulentas;
m). los
requisitos de las pólizas de seguros.
Muchas de las consideraciones anteriores se pueden abordar
mediante la aplicación de controles criptográficos (véase el numeral 12.3),
teniendo en cuenta el cumplimiento de los requisitos legales (véase el numeral
15.1, especialmente 15.1.6 para la legislación criptográfica).
Los acuerdos de comercio electrónico entre socios comerciales
deberían estar soportados por un acuerdo documentado que comprometa a ambas partes
con los términos acordados, incluyendo detalles sobre la autorización (véase b)
arriba). Pueden ser necesarios otros acuerdos con los proveedores del servicio
de información y de la red con valor agregado.
Los sistemas de comercio público deberían publicar sus
términos de negocio a los clientes.
También se debería considerar la resistencia al ataque del
servidor central (host) utilizado para el comercio electrónico y las
implicaciones de seguridad de cualquier interconexión de red necesaria para la implementación
de los servicios de comercio electrónico (véase el numeral 11.4.6).
Información adicional
El comercio electrónico es vulnerable a una variedad de
amenazas en la red que pueden ocasionar actividad fraudulenta, disputas por
contratos y divulgación o modificación de información.
El comercio electrónico puede utilizar métodos de
autenticación seguros, por ejemplo el uso de criptografía clave pública y
firmas digitales (véase el numeral 12.3) para reducir el riesgo.
También se pueden utilizar terceras partes confiables,
cuando se necesitan tales servicios.
10.9.2 Transacciones
en línea
Control
La información involucrada en las transacciones en línea
debería estar protegida para evitar transmisión incompleta, enrutamiento
inadecuado, alteración, divulgación, duplicación o repetición no autorizada del
mensaje.
Guía de
implementación
Las consideraciones de seguridad para las transacciones en
línea deberían incluir las siguientes:
a).uso de firmas
electrónicas por cada una de las partes implicadas en la transacción;
b). todos los
aspectos de la transacción, es decir, garantizar que:
1). las
credenciales de usuario de todas las partes son válidas y se han verificado;
2). la
transacción sigue siendo confidencial; y
3). se conserva
la privacidad asociada con todas las partes;
c). encriptación
de la ruta para las comunicaciones entre todas las partes involucradas;
d). seguridad de
los protocolos utilizados para la comunicación entre todas las partes involucradas;
e). garantizar
que el almacenamiento de los detalles de la transacción está fuera de cualquier
entorno de acceso público, por ejemplo en una plataforma de almacenamiento existente
en la Intranet de la organización, y que no se retiene ni expone en un medio de
almacenamiento accesible directamente desde Internet;
f). cuando se
emplea una autoridad confiable (por ejemplo para propósitos de emitir y mantener
firmas digitales y / o certificados digitales) la seguridad se integra e
incorpora a través de todo el proceso completo de gestión del certificado /
firma.
Información adicional
La extensión de los controles adoptados deberá estar acorde con
el nivel de riesgo asociado con cada una de las formas de transacción en línea.
Puede ser necesario que las transacciones cumplan las leyes,
las reglas y los reglamentos en la jurisdicción en la cual se genera la
transacción, se procesa, se termina y/o almacena.
Existen muchas formas de transacciones que se pueden
efectuar en línea, por ejemplo contractuales, financieras, etc.
10.9.3 Información disponible
al público
Control
La integridad de la información que se pone a disposición en
un sistema de acceso público debería estar protegida para evitar la
modificación no autorizada.
Guía de
implementación
El software, los datos y otra información que requiere un
nivel alto de integridad que se pone a disposición en sistemas públicos se
debería proteger con mecanismos apropiados como firmas digitales (véase el
numeral 12.3). Los sistemas de acceso público se deberían probar frente a debilidades
y fallas antes de que la información esté disponible.
Debería existir un proceso formal de aprobación previo a que
la información esté disponible al público. Además, todas las entradas
suministradas desde el exterior del sistema se deberían verificar y aprobar.
Los sistemas electrónicos de editorial, especialmente
aquellos que permiten retroalimentación y entrada directa de información, se
deberían controlar cuidadosamente de modo que:
a). la
información se obtenga de conformidad con toda la legislación sobre protección
de datos (véase el numeral 15.1.4);
b). la entrada de
información hacia y procesada por el sistema editorial se procese completa y
exactamente de forma oportuna;
c). la
información sensible estará protegida durante la recolección, el procesamiento
y el almacenamiento;
d). el acceso al
sistema editorial no permite acceso involuntario a redes a las cuales se conecta
el sistema.
Información adicional
Puede ser necesario que la información en un sistema disponible
al público, por ejemplo la información en un servidor web accesible a través de
Internet, cumpla las leyes, las reglas y los reglamentos en la jurisdicción en
la cual se localiza el sistema, donde tiene lugar el intercambio o donde reside
el dueño. La modificación no autorizada de la información pública puede dañar la
reputación de la organización editorial.
10.10 MONITOREO
Objetivo: detectar actividades de procesamiento de la
información no autorizadas.
Se deberían monitorear los sistemas y registrar los eventos
de seguridad de la información.
Los registros de operador y la actividad de registro de
fallas se deberían utilizar para garantizar la identificación de los problemas
del sistema de información.
La organización debería cumplir todos los requisitos legales
pertinentes que se aplican a sus actividades de monitoreo y registro.
Es recomendable emplear el monitoreo del sistema para
verificar la eficacia de los controles adoptados y revisar el cumplimiento de
un modelo de política de acceso.
Control
Se deberían elaborar y mantener durante un periodo acordado
las grabaciones de los registros para auditoría de las actividades de los
usuarios, las excepciones y los eventos de seguridad de la información con el
fin de facilitar las investigaciones futuras y el monitoreo del control de acceso.
Guía de
implementación
Los registros para auditoría deberían incluir, cuando
corresponda.
a).
identificación (ID) de usuario;
b). fecha, hora y
detalles de los eventos clave, por ejemplo registro de inicio y registro de cierre;
c). identidad o
ubicación de la terminal, si es posible;
d). registros de
los intentos aceptados y rechazados de acceso al sistema;
e). registros de
los intentos aceptados y rechazados de acceso a los datos y otros recursos;
f). cambios en la
configuración del sistema;
g). uso de privilegios;
h). uso de las
utilidades y aplicaciones del sistema;
i). archivos a
los que se ha tenido acceso y tipo de acceso;
j). direcciones y
protocolos de red;
k). alarmas
originadas por el sistema de control del acceso;
l). activación y
desactivación de los sistemas de protección, como los sistemas antivirus y los
sistemas de detección de intrusión.
Información adicional
Los registros para auditoría pueden contener datos
personales confidenciales e indiscretos. Se deberían tomar medidas adecuadas
para la protección de la privacidad (véase el numeral 15.1.4). Cuando sea
posible, los administradores del sistema no deberían tener autorización para
borrar ni desactivar registros de sus propias actividades (véase el numeral
10.1.3).
10.10.2 Monitoreo del
uso del sistema
Control
Se deberían establecer procedimientos para el monitoreo del
uso de los servicios de procesamiento de información, y los resultados de las
actividades de monitoreo se deberían revisar con regularidad.
Guía de
implementación
El nivel de monitoreo necesario para servicios individuales
se debería determinar mediante una evaluación de riesgos. La organización
debería cumplir todos los requisitos legales que se apliquen a sus actividades
de monitoreo. Las áreas que se deberían considerar incluyen:
a). acceso
autorizado, incluyendo detalles como:
1).
identificación de usuario (ID);
2). fecha y hora
de eventos clave;
3). tipo de
eventos;
4). archivos a
los que se ha tenido acceso;
5). programas /
utilidades empleados;
b). todas las
operaciones privilegiadas como:
1). uso de
cuentas privilegiadas, por ejemplo supervisor, raíz, administrador;
2). encendido y
detención del sistema;
3). acople /
desacople del dispositivo de entrada / salida (I/O);
c). intentos de
acceso no autorizado, tales como:
1). acciones de
usuario fallidas o rechazadas;
2). acciones
fallidas o rechazadas que implican datos y otros recursos;
3). violaciones
de la política de acceso y notificaciones para las barreras de fuego (firewalls)
y puertas de enlace (gateways);
4). alertas de
los sistemas de detección de intrusión de propietario;
d). alertas o
fallas del sistema como:
1). alertas o
mensajes de consola;
2). excepciones
de registro del sistema;
3). alarmas de
gestión de red;
4). alarmas
originadas por el sistema de control del acceso; e) cambios o intentos de
cambio en la configuración y los controles de seguridad del sistema.
La frecuencia con la cual se revisan los resultados de las actividades
de monitoreo debería depender de los riesgos involucrados. Los factores de riesgo
que se deberían considerar incluyen: importancia de los procesos de aplicación;
b). valor,
sensibilidad e importancia de la información implicada;
c). experiencia
previa de infiltración o uso inadecuado del sistema, y frecuencia de aprovechamiento
de las vulnerabilidades;
d). extensión de
la interconexión del sistema (particularmente en redes públicas);
e). servicio de
operación de registro que se desactiva.
Información adicional
Es necesario el uso de procedimientos de monitoreo para
garantizar que los usuarios únicamente ejecutan actividades autorizadas
explícitamente.
La revisión del registro implica la comprensión de las
amenazas enfrentadas por el sistema y la forma en que se pueden originar. En el
numeral 13.1.1 se presentan ejemplos de eventos que podrían requerir
investigación adicional en caso de incidentes de seguridad de la información.
10.10.3 Protección de
la información del registro
Control
Los servicios y la información de la actividad de registro
se deberían proteger contra el acceso o la manipulación no autorizados.
Guía de implementación
Los controles deberían tener como objeto la protección contra
cambios no autorizados y problemas operativos con el servicio de registro
incluyendo:
a). alteraciones
en los tipos de mensaje que se registran;
b). archivos de
registro que se editan o eliminan;
c). capacidad de
almacenamiento de los medios de archivo de registro que se exceden, lo que
resulta en la falla para grabar eventos o sobre-escritura de eventos grabados anteriormente.
Puede ser necesario archivar algunos registros para auditoría
como parte de la política de retención de registros o debido a los requisitos
para recolectar y conservar evidencia (véase el numeral 13.2.3).
Información adicional
Los registros del sistema a menudo contienen un gran volumen
de información, mucha de la cual no tiene relación con el monitoreo de
seguridad. Para facilitar la identificación de los eventos significativos para
propósitos del monitoreo de seguridad, se debería considerar el copiado
automático de los tipos apropiados de mensaje en un segundo registro y / o el
uso de utilidades del sistema adecuadas o de herramientas de auditoría para
realizar la interrogación y racionalización del archivo.
Es necesario proteger los registros del sistema porque si sus
datos se pueden modificar o eliminar, su existencia puede crear un sentido
falso de seguridad.
10.10.4 Registros del
administrador y del operador
Control
Se deberían registrar las actividades tanto del operador
como del administrador del sistema.
Guía de
implementación
Los registros deberían incluir:
a). la hora en
que ocurrió el evento (exitoso o fallido);
b). información
sobre el evento (por ejemplo archivos manipulados) o la falla (por ejemplo errores
que se presentaron y acciones correctivas que se tomaron);
c). cuál cuenta y
cuál administrador u operador estuvo involucrado;
d). cuáles
procesos estuvieron implicados.
Los registros del operador y del administrador del sistema
se deberían revisar con regularidad.
Información adicional
Se puede emplear un sistema de detección de intrusos que
esté fuera del control del sistema y de los administradores de red para
monitorear el cumplimiento de las actividades del sistema y de la
administración de la red.
10.10.5 Registro de
fallas
Control
Las fallas se deberían registrar y analizar, y se deberían
tomar las acciones adecuadas.
Guía de
implementación
Se deberían registrar las fallas reportadas por los usuarios
o por los programas del sistema relacionadas con problemas de procesamiento de
la información o con los sistemas de comunicación. Deberían existir reglas
claras para el manejo de las fallas reportadas, incluyendo:
a). revisión de
los registros de fallas para garantizar que las éstas se han resuelto satisfactoriamente;
b). revisión de
las medidas correctivas para garantizar que no se han puesto en peligro los controles
y que la acción tomada está totalmente autorizada.
Se debería asegurar que el registro de errores está
habilitado, si esta función del sistema está disponible.
Información adicional
El registro de errores y de fallas puede tener impacto en el
desempeño del sistema. Dicho registro debería ser habilitado por personal
competente y el nivel necesario de registro para sistemas individuales se
debería determinar mediante una evaluación de riesgos, teniendo en cuenta el
deterioro del desempeño.
10.10.6
Sincronización de relojes
Control
Los relojes de todos los sistemas de procesamiento de información
pertinentes dentro de la organización o del dominio de seguridad deberían estar
sincronizados con una fuente de tiempo exacta y acordada.
Guía de implementación
Cuando un computador o un dispositivo de comunicaciones tiene
la capacidad para operar un reloj en tiempo real, dicho reloj se debería
establecer como el estándar acordado, por ejemplo el tiempo coordinado
universal (UTC) o el tiempo estándar local. Debido a que se sabe que algunos
relojes varían con el paso del tiempo, debería existir un procedimiento que
verifique y corrija cualquier variación significativa.
La interpretación correcta del formato fecha / hora es
importante para garantizar que la marca de tiempo refleja la fecha/hora real.
Es conveniente tener en cuenta las especificaciones locales (por ejemplo el
horario de verano).
Información adicional
La configuración correcta de los relojes del computador es
importante para garantizar la exactitud de los registros para auditoría, lo
cual puede ser necesario para las investigaciones o como evidencia en casos
disciplinarios o legales. Los registros inexactos de auditoría pueden dificultar
dichas investigaciones y deteriorar la credibilidad de la evidencia. Se puede
utilizar un reloj sincronizado a un reloj atómico nacional el cual es tomado
como reloj maestro para los sistemas de acceso. También se puede usar un
protocolo de tiempo de red para mantener todos los servidores en sincronización
con el reloj maestro.
No hay comentarios:
Publicar un comentario