ModeloSeguridad SANSI SGSI

ENTREGABLES 3, 4, 5 y 6: INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACIN SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO
NO EN LNEA
REA DE INVESTIGACIN Y PLANEACIN Repblica de Colombia - Derechos Reservados
Bogot, D.C., Diciembre de 2008
INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACIN SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
FORMATO PRELIMINAR AL DOCUMENTO Ttulo: Fecha elaboracin aaaa-mm-dd: Sumario: INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACIN SISTEMA SANSI SGSI -MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA 26 Diciembre 2008 CORRESPONDE A LOS ENTREGABLES 3, 4, 5 y 6: SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - DISEO DEL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA Sistema Administrativo, Modelo de Seguridad, Arquitectura Institucional, Ciclo PHVA, C-SIRT, Gestin de Seguridad Informtica, SGSI, mejores prcticas, ISO, CobIT, madurez Lenguaje: Investigacin y Planeacin Documento para revisin por parte del Supervisor del contrato Castellano
Palabras Claves: Formato: Dependencia:
Cdigo:
Versin:
Estado:
Categora: Autor (es): Revis: Aprob: Informacin Adicional: Ubicacin: Equipo consultora Digiware Juan Carlos Alarcon Ing. Hugo Sin Triana Firmas:
Pgina 2 de 207
CONTROL DE CAMBIOS
VERSIN 0 1 2 3 FECHA 02/12/2008 04/12/2008 17/12/2008 26/12/2008 No. SOLICITUD RESPONSABLE Ing. Jairo Pantoja M. Equipo del proyecto Ing. Jairo Pantoja M. Ing. Fabiola Parra DESCRIPCIN Sistema SANSI para el Modelo de Seguridad de la Informacin Revisin interna conjunta equipo consultora Digiware Actualizacin segn discusiones internas del equipo de trabajo en cuanto a las funciones de los entes participadores del SANSI Modelo SGSI para el Sistema SANSI Controles
Pgina 3 de 207
TABLA DE CONTENIDO
1. 2. 3.
AUDIENCIA ...............................................................................................................................................................10 INTRODUCCIN........................................................................................................................................................11 MARCO DE REFERENCIA -SISTEMA DE GESTIN EN SEGURIDAD DE LA INFORMACIN -SGSI ...............................12
3.1. SEGURIDAD DE LA INFORMACIN .................................................................................................................................12 3.2. ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION).........................................................................................12 3.3. ESTNDAR ................................................................................................................................................................13 3.4. ICONTEC...................................................................................................................................................................13 3.5. NORMA ISO27001 ...................................................................................................................................................14 3.5.1. SERIE ISO27000 ...................................................................................................................................................14 3.5.2. RELACIN DE LA NORMA ISO27001 CON OTROS ESTNDARES DE SEGURIDAD DE LA INFORMACIN ....................................15 3.6. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN -SGSI..................................................................................15 3.6.1. BENEFICIOS DE LA IMPLANTACIN DE UN SGSI ............................................................................................................16 3.6.2. JUSTIFICACIN DE LA IMPLEMENTACIN DE UN SGSI....................................................................................................16 4. 5. COMPONENTES PRINCIPALES DE UN SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN SGSI .......18 ESTRUCTURA INSTITUCIONAL..................................................................................................................................21
5.1. INTRODUCCIN .........................................................................................................................................................21 5.2. SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIN -SANSI.............................................................22 5.3. COMISIN NACIONAL DE SEGURIDAD DE LA INFORMACIN ..............................................................................................24 5.4. GRUPO TCNICO DE APOYO ........................................................................................................................................30 5.4.1. DIRECCIN NACIONAL DE SEGURIDAD DE LA INFORMACIN ..........................................................................................31 5.5. RELACIONES DE DESARROLLO EMPRESARIAL CON ENTIDADES PBLICAS Y PRIVADAS .............................................................35 5.6. FUNCIONES DE LOS ACTORES DEL SANSI -ENFOQUE BASADO EN EL PROCESO PHVA.............................................................35 5.6.2. MEJORA DEL SGSI..................................................................................................................................................49 5.7. SEGURIDAD APLICADA A LA COMUNIDAD HIGIENE EN SEGURIDAD ...................................................................................49 6. 6.1. 6.2. 6.3. MODELO DE GESTIN DE SEGURIDAD DE LA INFORMACIN SGSI .........................................................................51 ALCANCE Y LMITES DEL SISTEMA..................................................................................................................................51 OBJETIVOS DEL SISTEMA .............................................................................................................................................53 POLTICA DEL SISTEMA DE GESTIN. .............................................................................................................................53
Pgina 4 de 207
6.4. POLTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIN ............................................................................................54 6.4.1. PS1 POLTICA DE CONTROL DE ACCESO ...................................................................................................................54 6.4.2. PS2 - POLTICA DE NO REPUDIACIN.........................................................................................................................56 6.4.3. PS3 - POLTICA DE SERVICIOS CONFIABLES ..................................................................................................................56 6.4.4. PS4 POLTICA DE PRIVACIDAD Y CONFIDENCIALIDAD .................................................................................................57 6.4.5. PS5 - POLTICA DE INTEGRIDAD ................................................................................................................................57 6.4.6. PS6 POLTICA DE DISPONIBILIDAD DEL SERVICIO .......................................................................................................58 6.4.7. PS7 POLTICA DE DISPONIBILIDAD DE LA INFORMACIN .............................................................................................58 6.4.8. PS8 POLTICA DE PROTECCIN DEL SERVICIO............................................................................................................59 6.4.9. PS9 - POLTICA DE REGISTRO Y AUDITORIA .................................................................................................................59 6.4.10. ALINEAMIENTO DE LAS POLTICAS DE SEGURIDAD CON NORMAS Y MEJORES PRCTICAS DE LA INDUSTRIA .............................60 6.5. CLASIFICACIONES DE SEGURIDAD DEL MODELO SGSI .......................................................................................................67 6.5.1. CLASIFICACIN DE ENTIDADES POR GRUPO O NATURALEZA DEL SERVICIO..........................................................................67 6.5.2. NIVELES DE MADUREZ DE LOS CONTROLES DE SEGURIDAD RECOMENDADOS .....................................................................69 6.5.3. REGISTRO DE SEGURIDAD DE LA INFORMACIN RSI - GRADUACIN ................................................................................70 6.5.4. CONTROLES DE DE SEGURIDAD DE LA INFORMACIN RECOMENDADOS POR GRUPO ...........................................................74 6.6. METODOLOGA DE CLASIFICACIN Y CONTROL DE ACTIVOS. ...........................................................................................198 6.7. ENFOQUE PARA LA GESTIN DEL RIESGO. ....................................................................................................................198 6.8. RECOMENDACIONES GENERALES PARA LA GESTIN DE CONTINUIDAD DEL NEGOCIO...........................................................198 6.9. DEFINICIN DEL SISTEMA DE GESTIN DOCUMENTAL ....................................................................................................198 6.10. RECOMENDACIONES PARA LA IMPLEMENTACIN DEL MODELO DE SEGURIDAD DE LA INFORMACIN .....................................201 6.10.1. APOYO POR PARTE DE LA ALTA DIRECCIN .............................................................................................................201 6.10.2. COMPROMISO DE LA ALTA DIRECCIN ...................................................................................................................201 6.10.3. FORMACIN Y SENSIBILIZACIN ............................................................................................................................202 6.10.4. REVISIN (AUDITORIAS) DEL SGSI ........................................................................................................................203
Pgina 5 de 207
LISTA DE FIGURAS
ILUSTRACIN 1: RELACIN ENTRE AMENAZAS ACTIVOS RIESGOS CONTROLES .......................................................................................... 17 ILUSTRACIN 2: PUNTOS IMPORTANTES PARA LA DECLARACIN DE APLICABILIDAD -SOA. TOMADO DE ESTRATEGIAS CLAVE PARA LA IMPLANTACIN DE ISO 27001, POR KK MOOKHEY Y KHUSHBU JITHRA. ........................................................................................................................... 19 ILUSTRACIN 3: PRINCIPALES COMPONENTES DE UN SGSI. DERECHOS RESERVADOS ANDRS VELSQUEZ. AVELAZQUEZ@DODOMEX.COM ............................................................................................................................................... 20 ILUSTRACIN 4: SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIN -SANSI....................................................... 23 ILUSTRACIN 5: COMISIN NACIONAL DE SEGURIDAD DE LA INFORMACIN ............................................................................................. 24 ILUSTRACIN 6: ESTRUCTURA GRUPO TCNICO DE APOYO............................................................................................................................. 31 ILUSTRACIN 7: CICLO DE VIDA PHVA PARA EL SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIN Y SUS ACTORES ................................................................................................................................................................................................. 36 ILUSTRACIN 8: CICLO P-H-V-A. IMPLANTACIN Y GESTIN DE UN SISTEMA SGSI. COPYRIGHT 2007 ISECT LTD. WWW.ISO27001SECURITY.COM . 37 ILUSTRACIN 9: GESTIN DE RIESGOS........................................................................................................................................................ 42 ILUSTRACIN 10: ESTRUCTURA DEL MODELO DE SEGURIDAD ......................................................................................................................... 44 ILUSTRACIN 11: CMM NIVELES DE MADUREZ. COBIT 4.0. IT GOVERNANCE INSTITUTE................................................................................. 70
Pgina 6 de 207
LISTA DE TABLAS
TABLA 1: RELACIN DE LAS POLTICAS Y OBJETIVOS DE CONTROL DEL MODELO DE SEGURIDAD SGSI PARA LA ESTRATEGIA DE GOBIERNO EN LNEA CON LAS NORMAS Y MEJORES PRCTICAS DE LA INDUSTRIA. ............................................................................................................................... 67 TABLA 2: CLASIFICACIN DE GRUPOS SEGN LA NATURALEZA DE LA ENTIDAD..................................................................................................... 68 TABLA 3: CLASIFICACIN DE CONTROLES SEGN EL GRUPO AL QUE PERTENEZCA LA ENTIDAD................................................................................. 68 TABLA 4: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO 1.................................................................................. 76 TABLA 5: CONTROLES DE SEGURIDAD RECOMENDADOS PARA EL GRUPO 2. ..................................................................................................... 129 TABLA 6: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO 3................................................................................ 197
Pgina 7 de 207
DERECHOS DE AUTOR
Este documento pertenece a la Estrategia de Gobierno en Lnea del Ministerio de Comunicaciones de Colombia, esta prohibida la reproduccin total o parcial del contenido de este documento sin la autorizacin expresa de la Estrategia de Gobierno en Lnea.
Todas las referencias con derechos reservados.
Pgina 8 de 207
CRDITOS
Este documento fue generado a partir de los resultados de la consultora llevada a cabo para el diseo del modelo de seguridad de la informacin para la Estrategia de Gobierno en Lnea. El desarrollo del proyecto estuvo a cargo del grupo de consultores contratados por Gobierno en Lnea y el aporte de los responsables de la supervisin del contrato y dems grupos asesores de la Estrategia de Gobierno en Lnea.
Pgina 9 de 207
1. AUDIENCIA
La Direccin del Proyecto, entidades pblicas de orden nacional y territorial y entidades privadas, proveedores de servicios de Gobierno en Lnea y la comunidad acadmica en general, que contribuirn con sus comentarios, observaciones y retro-alimentacin a este documento cuyo propsito es plantear las mejores prcticas y recomendaciones para la creacin del Modelo de Seguridad de la Informacin acorde con los objetivos y lineamientos de la Estrategia de Gobierno en Lnea.
Pgina 10 de 207
2. INTRODUCCIN
En esta versin final del documento, se plantea la estructura institucional recomendada que deber tener el modelo de seguridad de la informacin para la estrategia de Gobierno en Lnea respaldado por los instrumentos normativos que le permitan tener vida y ser aplicado por las diferentes entidades pblicas y privadas, incluyendo los proveedores que pertenezcan a la cadena de prestacin de servicios de Gobierno en Lnea (ver documento Instrumentos normativos proyectados). Como se ver en el captulo 5, el modelo de seguridad se apoyar en un Sistema Administrativo Nacional de Seguridad de la Informacin SANSI, para que sus diferentes componentes, realicen tareas y actividades relacionadas con el ciclo de vida propuesto para el modelo, incentiven su implementacin y mejora continua cuando sea adoptado por las entidades destinatarias. Parte fundamental de la arquitectura institucional planteada, es la creacin de un CSIRT Colombiano, para el cual, en este proyecto, se tienen propuestos tres diferentes modelos segn la naturaleza del CSIRT a implementar: a) pblico -dependiendo del Ministerio de Comunicaciones, b) como Asociacin sin nimo de lucro del sector pblico y c) como Asociacin sin nimo de lucro con participacin Mixta (ver documento Diseo de un CSIRT Colombiano). Finalmente, este documento detalla el Modelo de gestin de seguridad de la informacin SGSI propiamente dicho, que ser parte de la estructura planteada y que se integrar al ciclo de vida PHVA para que, adems de ser un mecanismo de cumplimiento del modelo, le permita a las diferentes entidades destinatarias ceirse a sus polticas, objetivos de control y controles planteados, y de esta forma, mejorar su nivel de seguridad de la informacin, para que sean competitivas y al mismo tiempo, provean mayor confianza a los ciudadanos que hagan uso de sus productos y servicios.
Pgina 11 de 207
3. Marco de Referencia -Sistema de Gestin en Seguridad de la Informacin -SGSI
3.1. Seguridad de la Informacin

La seguridad de la informacin es la preservacin de los principios bsicos de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento. Estos tres pilares se definen1 como: Confidencialidad: Acceso a la informacin por parte nicamente de quienes estn autorizados. Integridad: Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Disponibilidad: Acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran.
En la seguridad de la informacin, no solo intervienen los aspectos tecnolgicos, sino tambin los procesos, los ambientes (centro de cmputo, ubicacin de oficinas) y principalmente las personas.
3.2. ISO (International Organization for Standardization)

La ISO es una federacin internacional con sede en Ginebra (Suiza) de los institutos de normalizacin de 157 pases (uno por cada pas). Es una organizacin no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalizacin nacionales es diferente en cada pas (entidad pblica, privada).
1 Tomado de
Preguntas ms Frecuentes, doc_faq_all.pdf pg. 9, www.iso27000.es.
Pgina 12 de 207
La ISO desarrolla estndares requeridos por el mercado que representan un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores) acerca de productos, tecnologas, sistemas y mtodos de gestin, entre otros. Estos estndares, por naturaleza, son de aplicacin voluntaria, ya que el carcter no gubernamental de ISO no le da autoridad legal para forzar su implantacin. Slo en aquellos casos en los que un pas ha decidido adoptar un determinado estndar como parte de su legislacin, puede convertirse en obligatorio. La ISO garantiza un marco de amplia aceptacin mundial a travs de sus 3.000 grupos tcnicos y ms de 50.000 expertos que colaboran en el desarrollo de estndares.
3.3. Estndar
Publicacin que recoge el trabajo en comn de los comits de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores, que contiene las especificaciones tcnicas y mejores prcticas en la experiencia profesional con el objeto de ser utilizada como regulacin, gua o definicin para las necesidades demandadas por la sociedad y tecnologa.
3.4. Icontec2
El Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC), es un organismo de carcter privado, sin nimo de lucro, que trabaja para fomentar la normalizacin, la certificacin, la metrologa y la gestin de la calidad en Colombia. Est conformado por la vinculacin voluntaria de representantes del Gobierno Nacional, de los sectores privados de la produccin, distribucin y consumo, el sector tecnolgico en sus diferentes ramas y por todas aquellas personas jurdicas y naturales que tengan inters en pertenecer a l. En el campo de la normalizacin, la misin del Instituto es promover, desarrollar y guiar la aplicacin de Normas Tcnicas Colombianas (NTC) y otros documentos normativos, con el fin de alcanzar una economa ptima de conjunto, el mejoramiento de la calidad y tambin facilitar las relaciones cliente-proveedor, en el mbito empresarial nacional o internacional. ICONTEC, como Organismo Nacional de Normalizacin (ONN) representa a Colombia ante organismos de normalizacin internacionales y regionales como la Organizacin Internacional de Normalizacin (ISO), la
2 Tomado de www.icontec.org Quienes Somos.
Pgina 13 de 207
Comisin Electrotcnica Internacional (IEC), y la Comisin Panamericana de Normas de la Cuenca del Pacfico (COPANT).
3.5. Norma ISO27001

Es un estndar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Se basa en el ciclo de vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestin (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). Este estndar es certificable, es decir, cualquier organizacin que tenga implantado un SGSI segn este modelo, puede solicitar una auditoria externa por parte de una entidad acreditada y, tras superar con xito la misma, recibir la certificacin en ISO 27001. El origen de la Norma ISO27001 est en el estndar britnico BSI (British Standards Institution) BS7799Parte 2, estndar que fue publicado en 1998 y era certificable desde entonces. Tras la adaptacin pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005. Puede consultar la historia de ISO27001 en el siguiente link: http://www.iso27000.es/download/HistoriaISO27001.pps
3.5.1. Serie ISO27000

ISO ha reservado la serie de numeracin 27000 para las normas relacionadas con sistemas de gestin de seguridad de la informacin. En el 2005 incluy en ella la primera de la serie (ISO 27001), las dems son: ISO27000 (trminos y definiciones), ISO27002 (objetivos de control y controles), ISO27003 (gua de implantacin de un SGSI), ISO27004 (mtricas y tcnicas de medida de la efectividad de un SGSI), ISO27005 (gua para la gestin del riesgo de seguridad de la informacin) y ISO27006 (proceso de acreditacin de entidades de certificacin y el registro de SGSI).
Pgina 14 de 207
3.5.2. Relacin de la Norma ISO27001 con otros estndares de seguridad de la Informacin

Existen otros estndares internacionalmente aceptados relacionados con seguridad de la informacin (COBIT3, NIST4, AS/NZ43605, entre otros), que la enfocan desde diferentes puntos de vista como controles de seguridad, buen gobierno, gestin de riesgo etc. Para este particular, se ha realizado un informe de interrelacin de estndares de seguridad recomendados y se incluye un mapa que detalla estas relaciones tomando como pivote la mencionada norma ISO27001. Ver Anexo 1 -Mapa de Interrelacin de Estndares de Seguridad de la Informacin.
3.6. Sistema de Gestin de la Seguridad de la Informacin -SGSI

Un SGSI es un Sistema de Gestin de la Seguridad de la Informacin o ISMS por sus siglas en ingls (Information Security Management System). Este sistema consiste de una serie de actividades de gestin que deben realizarse mediante procesos sistemticos, documentados y conocidos por una organizacin o entidad.
3 COBIT: Los Objetivos de Control para la Informacin y la Tecnologa relacionada (COBIT) brindan buenas prcticas a travs de un marco de trabajo de
dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Las buenas prcticas de COBIT representan el consenso de los expertos. Estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones facilitadas por la TI, asegurarn la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien. El Instituto ITGI Governance Institute (www.itgi.org) dise y cre esta publicacin titulada COBIT como un recurso educacional para los directores ejecutivos de informacin, para la direccin general, y para los profesionales de administracin y control de TI. Ms informacin en la pgina www.itgi.org
4 NIST: National Institute of Standards and Technology, Elabora y promueve patrones de medicin, estndares y tecnologa con el fin de realzar la
productividad, facilitar el comercio y mejorar la calidad de vida. Destinados principalmente para el Gobierno de EE.UU. las fuerzas militares y el sector comercial, pero pueden ser adaptados a cualquier contexto. Las publicaciones del NIST, son estndares concisos y claros, disponibles de forma gratuita. NIST tiene una divisin especial destinada para publicaciones relacionadas en seguridad de la informacin: Computer Security Division Resource Center http://csrc.nist.gov/
5 AS/NZ4360: Norma Australiana Neocelandesa que suministra orientaciones genricas para la gestin de riesgos. Puede aplicarse a una gran variedad de
actividades, decisiones u operaciones de cualquier entidad pblica, privada o comunitaria, grupos o individuos. Se trata de una instruccin amplia pero que permite la definicin de objetivos especficos de acuerdo con las necesidades de cada implementacin. La aplicacin de la norma AS/NZS 4360, le garantiza a la organizacin una base slida para la aplicacin de cualquier otra norma o metodologa de gestin de riesgos especfica para un determinado segmento. Ver ms informacin en: http://www.riskmanagement.com.au/
Pgina 15 de 207
El propsito6 de un sistema de gestin de la seguridad de la informacin no es garantizar la seguridad que nunca podr ser absoluta- sino garantizar que los riesgos de la seguridad de la informacin son conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organizacin, los riesgos, el entorno y las tecnologas. El SGSI protege los activos de informacin de una organizacin, independientemente del medio en que se encuentren; p. ej., correos electrnicos, informes, escritos relevantes, pginas web, imgenes, documentos, hojas de clculo, faxes, presentaciones, contratos, registros de clientes, informacin confidencial de trabajadores y colaboradores, entre otros.
3.6.1. Beneficios de la implantacin de un SGSI

Aplica una arquitectura de gestin de la seguridad que identifica y evala los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control, tratamiento y mejora continua. Ayuda a las empresas a gestionar de una forma eficaz la seguridad de la informacin, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluacin previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un costo ms elevado del necesario, por el retraso en las medidas de seguridad en relacin a la dinmica de cambio interno de la propia organizacin y del entorno, por la falta de claridad en la asignacin de funciones y responsabilidades sobre los activos de informacin, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc.
3.6.2. Justificacin de la implementacin de un SGSI

La informacin, junto a los procesos, personas y sistemas que hacen uso de ella, son activos muy importantes dentro de una organizacin. La confidencialidad, integridad y disponibilidad de informacin sensitiva son elementos esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organizacin y asegurar beneficios econmicos. Las organizaciones y sus sistemas de informacin estn expuestos a un nmero cada vez ms elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes inherentes a los activos, pueden someter a los mismos a diversas formas de fraude, espionaje, sabotaje o vandalismo, entre otros. Los virus informticos, el hacking o los ataques de negacin de servicio son algunos ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organizacin o aquellos provocados accidentalmente por catstrofes naturales y fallas tcnicos.
6 Tomado de
Preguntas ms Frecuentes, doc_faq_all pg. 8, www.iso27000.es
Pgina 16 de 207
El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las condiciones variables del entorno, la proteccin adecuada de los objetivos de negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que el SGSI es una herramienta de gran utilidad y de importante ayuda para la gestin de las organizaciones. El nivel de seguridad alcanzado por medios y controles tcnicos es limitado e insuficiente. En la gestin efectiva de la seguridad, debe tomar parte activa toda la organizacin apoyada por la Alta Direccin, tomando en consideracin tambin a clientes y proveedores de bienes y servicios. El modelo de gestin de la seguridad debe contemplar polticas y procedimientos adecuados y la planificacin e implantacin de controles de seguridad basados en una evaluacin de riesgos y en una medicin de la eficacia de los mismos.
Ilustracin 1: Relacin entre amenazas activos riesgos controles El Modelo de gestin de seguridad de la informacin (SGSI) ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir. Con un sistema SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y activos y los asume, minimiza, transfiere o controla mediante una metodologa definida, documentada y conocida por todos, que se revisa y mejora constantemente.
Pgina 17 de 207
4. Componentes Principales de un Sistema de Gestin de la Seguridad de la Informacin SGSI

De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el mbito de influencia del SGSI considere un subconjunto de la organizacin como delegaciones, divisiones, reas, procesos, sistemas o tareas concretas). Poltica y objetivos de seguridad: documento de contenido genrico que establece el compromiso de la Alta Direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Estndares, Procedimientos, y Guas que soportan el SGSI: aquellos documentos y mecanismos que regulan el propio funcionamiento del SGSI. Documentacin necesaria para asegurar la planificacin, operacin y control de los procesos de seguridad de la informacin, as como para la medida de la eficacia de los controles implantados -Mtricas. Metodologa de Evaluacin de riesgos: descripcin de la metodologa a emplear (cmo se realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de informacin contenidos dentro del alcance seleccionado), tratamiento y desarrollo de criterios de aceptacin de riesgo y fijacin de niveles de riesgo aceptables. Informe de evaluacin de riesgos Risk Assessment: estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a los activos de informacin de la organizacin. Plan de tratamiento de riesgos: documento que identifica las acciones de la Alta Direccin, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la informacin, en funcin de las conclusiones obtenidas de la evaluacin de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.
Pgina 18 de 207
Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas en ingls); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones.
Ilustracin 2: Puntos importantes para la Declaracin de Aplicabilidad -SOA. Tomado de Estrategias clave para la implantacin de ISO 27001, por Kk Mookhey y Khushbu Jithra. Control de la documentacin: Para los documentos generados y que hacen parte del sistema SGSI se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestin necesarias para: La Alta Direccin debe aprobar documentos antes de su publicacin. Revisar y actualizar documentos cuando sea necesario y renovar su validez. Garantizar que los cambios y el estado actual de revisin de los documentos estn identificados. Garantizar que las versiones relevantes de documentos vigentes estn disponibles en los lugares de empleo. Garantizar que los documentos se mantienen legibles y fcilmente identificables.
Pgina 19 de 207
Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables segn su clasificacin. Garantizar que los documentos procedentes del exterior estn identificados. Garantizar que la distribucin de documentos est controlada. Prevenir la utilizacin de documentos obsoletos. Aplicar la identificacin apropiada a documentos que son retenidos con algn propsito.
Ilustracin 3: Principales componentes de un SGSI. Derechos reservados Andrs Velsquez. avelazquez@dodomex.com
Pgina 20 de 207
5. ESTRUCTURA INSTITUCIONAL
5.1. Introduccin
Gobierno en Lnea es una estrategia del Ministerio de Comunicaciones de Colombia7 establecido como una poltica de estado, dirigida a contribuir con un sector productivo ms competitivo, un estado moderno y una comunidad con mayores oportunidades para el desarrollo, al aprovechar las ventajas que las nuevas tecnologas ofrecen. La estrategia de Gobierno en Lnea contribuye mediante el aprovechamiento de las Tecnologas de la Informacin y las Comunicaciones -TIC, a la construccin de un Estado ms eficiente, ms transparente, ms participativo y en el que se presten mejores servicios a los ciudadanos y a las empresas. En este sentido, la Estrategia Gobierno en Lnea persigue tres objetivos estratgicos: Mejorar la provisin de servicios a los ciudadanos y a las empresas Fortalecer la transparencia del Estado y la participacin ciudadana Mejorar la eficiencia del Estado
Para dar cumplimiento a sus objetivos estratgicos, la Estrategia de Gobierno en Lnea est organizado por los procesos necesarios para promover en la administracin pblica el aprovechamiento de las TIC, a fin de desarrollar conjuntamente con las instituciones, y de manera gradual, servicios electrnicos dirigidos a la ciudadana, las empresas y el Estado.
Tomado de: http://www.gobiernoenlinea.gov.co/home_principal.aspx. Fecha de acceso: 2008/10/10. Publicado por el Ministerio de
Comunicaciones. Autor: No determinado.
Pgina 21 de 207
Estos tres ltimos aspectos se definen de la siguiente manera8; Comunidad: Fomentar el uso de las Tecnologas de la Informacin para mejorar la calidad de vida de la comunidad, ofreciendo un acceso equitativo a las oportunidades de educacin, trabajo, justicia, cultura, recreacin, entre otros. Sector Productivo: Fomentar el uso de las tecnologas de la informacin y las comunicaciones como soporte al crecimiento y aumento de la competitividad, el acceso a mercados para el sector productivo, y como refuerzo a la poltica de generacin de empleo. Estado: Proveer al Estado la conectividad que facilite la gestin de los organismos gubernamentales y apoye la funcin de servicio al ciudadano.
A travs de este programa, el Gobierno Nacional brindar en primera instancia, la informacin necesaria para difundir el conocimiento e incentivar la apropiacin de las tecnologas de la informacin hacia las comunidades, de tal forma que estas, al ser quienes mejor conocen sus necesidades, intereses y perspectivas, participen activamente en el proceso mediante la formulacin de requerimientos puntuales aplicables para su propio progreso.
5.2. Sistema Administrativo Nacional de Seguridad de la Informacin -SANSI

El Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea, se apoya en la creacin del Sistema Administrativo Nacional de Seguridad de la Informacin SANSI, institucin que le da la facultad al Presidente de la Repblica de conformar la Comisin Nacional de Seguridad de la Informacin para tomar acciones estratgicas y definir los lineamientos que permitan la implementacin, seguimiento y mantenimiento de las polticas y controles del Modelo de Seguridad9 en cada una de las entidades pblicas de orden nacional y territorial y en las entidades privadas que pertenezcan a la cadena de prestacin de
8Tomado
de: Agenda de Conectividad, CONPES 3072.
9 Modelo de Seguridad: Cabe aclarar que existen dos connotaciones para el trmino dentro de este documento. En los captulos 1, 2 y 3, se hace
referencia al modelo en cuanto a que el objetivo de la consultora es definir un modelo de seguridad como un todo para la estrategia de gobierno en lnea. A partir del numeral 3.2; se hace referencia al modelo de seguridad como un producto del sistema SANSI, entendiendo el modelo en su definicin tcnica como el conjunto de polticas estratgicas que soportan los objetivos de Gobierno en Lnea; estas polticas a su vez, son soportadas por controles. Este conjunto de polticas y controles que conforman el modelo de seguridad, deber ser implementado por cada una de las entidades objetivo, convirtiendo a este modelo en un sistema de gestin SGSI. Para mayor informacin del modelo de seguridad tcnico, remitirse al captulo nmero 6. Modelo SGSI.
Pgina 22 de 207
servicios de Gobierno en Lnea y en las entidades privadas que provean acceso a Internet a los ciudadanos que ingresen a los servicios de Gobierno en Lnea. Gracias a mecanismos normativos que se estn planteando en el marco de esta consultora, se podrn sentar las herramientas para la creacin del Sistema Administrativo Nacional de Seguridad de la Informacin, lo cual constituye un paso muy importante para el cumplimiento de los principios definidos en la Estrategia de Gobierno en Lnea que corresponden a la "Proteccin de la informacin del individuo" y la "Credibilidad y confianza en el Gobierno en Lnea". En particular, para lograr el cumplimiento de estos principios, se requiere que tanto los Servicios de Gobierno en Lnea como la Intranet Gubernamental y las entidades que participen en la cadena de prestacin de los servicios de Gobierno en Lnea cumplan con los tres elementos fundamentales de la Seguridad de la Informacin a saber: disponibilidad de la informacin y los servicios; integridad de la informacin y los datos; y, confidencialidad de la informacin. Para la correcta administracin de la Seguridad de la Informacin, se deben establecer y mantener programas y mecanismos que busquen cumplir con los tres requerimientos mencionados. Es as, como producto de esta consultora, se propone la creacin del Sistema Administrativo Nacional de Seguridad de la Informacin (SANSI), cuyo eje central es la Comisin Nacional de seguridad de la Informacin (CNSI) (ver Ilustracin 4). El SANSI surge, entonces, como un sistema institucional que rene a todos los actores pblicos, privados, la academia y la sociedad civil involucrados en la seguridad nacional de la informacin. As mismo, incorpora el conjunto de reglas y normas que rigen las interacciones entre estos actores. En este sentido, el SANSI coordinar las actividades relacionadas con la formulacin, ejecucin, seguimiento y mantenimiento de las polticas y lineamientos necesarios para fortalecer la adecuada gestin de la seguridad de la informacin nacional:
Ilustracin 4: Sistema Administrativo Nacional de Seguridad de la Informacin -SANSI
Pgina 23 de 207
Finalmente, el Sistema Administrativo Nacional de Seguridad de la Informacin -SANSI, es el conjunto sistematizado de Lineamientos, Polticas, Normas, Procesos e Instituciones que proveen y promueven la puesta en marcha, supervisin y control del modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea. A continuacin, se detallan cada una de las caractersticas de cada uno de los actores que componen el sistema SANSI:
5.3. Comisin Nacional de Seguridad de la Informacin

La Comisin Nacional de Seguridad de la Informacin (CNSI) es el rgano asesor del Gobierno Nacional y de concertacin entre ste, las entidades destinatarias y la sociedad civil en temas relacionados con la seguridad de la informacin del pas y de sus territorios, con el fin de generar credibilidad y confianza en Gobierno en Lnea protegiendo la informacin de las entidades y de los ciudadanos. La Comisin apoyar al Presidente de la Repblica en la direccin del SANSI. Como se puede observar en la ilustracin 5, el componente principal del sistema SANSI es la Comisin Nacional de Seguridad de la Informacin, la cual, provee un espacio de encuentro de todos los actores involucrados en temas de Seguridad Nacional para aprobar las polticas en materia de seguridad de informacin nacional, definir el curso de acciones a seguir y hacer seguimiento para asegurar su cumplimiento y su mantenimiento:
Ilustracin 5: Comisin Nacional de Seguridad de la Informacin
Pgina 24 de 207
El modelo de seguridad de la informacin planteado obedece las directrices establecidas por la Comisin Nacional de Seguridad de la Informacin, compuesta por representantes de los diferentes sectores responsables e interesados en la seguridad nacional y cuya funcin es asesorar al Presidente de la Repblica y al Gobierno Nacional en la formulacin y adopcin de los lineamientos del Modelo de Seguridad de la Informacin, en concordancia con los planes y programas de la Estrategia de Gobierno en Lnea. La Comisin Nacional de Seguridad de la Informacin, est compuesta por los siguientes miembros que tendrn voz y voto10: o El Presidente de la Repblica, quien la presidir. Justificacin: Es el jefe de Estado, jefe del gobierno y suprema autoridad administrativa, tiene las competencias para tomar decisiones estratgicas relacionadas con la seguridad de la informacin nacional. Aprueba leyes, decretos y actos jurdicos para dar soporte y cumplimiento al sistema SANSI. o El Ministro de Comunicaciones, quien ejercer la coordinacin general. Justificacin: Dado que el sistema SANSI y sus diferentes componentes son adscritos al Ministerio de Comunicaciones, este ltimo coordinar las actividades al interior de la Comisin. Junto con el Director Nacional de Seguridad de la Informacin, presentar los informes, las polticas, los controles y resultados del modelo de seguridad, y sus ajustes propuestos, para que sean estudiados y sometidos a aprobacin por parte de la Comisin. Los ajustes del modelo de seguridad aprobados por la Comisin, sern incluidos en la nueva versin del modelo a ser implementado en el siguiente ciclo de vida del sistema SANSI. o El Ministro del Interior y de Justicia, como representante del gobierno. Justificacin: Jefe superior de las entidades del gobierno y legales adscritas al ministerio. Acta en representacin del Presidente de la Repblica en las funciones que el le delegue o la ley le confiera. Participa en la orientacin, coordinacin y control de las entidades adscritas y vinculadas pertenecientes al Sector Administrativo del Interior y de Justicia. Formula las polticas sectoriales, planes generales, programas y proyectos del Sector Administrativo del Interior y de Justicia, bajo la direccin del Presidente de la Repblica. Representa, en los asuntos de su competencia, al Gobierno Nacional en la ejecucin de tratados y convenios
10 Para la justificacin de cada miembro de la Comisin, se tomaron algunas funciones que aparecen publicadas en las pginas Internet oficiales de cada
entidad.
Pgina 25 de 207
internacionales, de acuerdo con las normas legales sobre la materia. Coordina la actividad del Ministerio, en lo relacionado con su misin y objetivos, con las Entidades Pblicas del orden nacional y descentralizado territorialmente y por servicios, el Congreso de la Repblica, la Rama Judicial, la Registradura Nacional del Estado Civil y los organismos de control. Imparte instrucciones a la Polica Nacional para la conservacin y el restablecimiento del orden pblico interno en aquellos asuntos cuya direccin no corresponda al Ministro de Defensa Nacional. Planea, coordina, formula polticas y traza directrices que orienten los rumbos del sistema jurdico del pas y del sistema de justicia. Prepara e impulsa proyectos de ley y actos legislativos ante el Congreso de la Repblica. Promueve dentro de las instancias respectivas y con la colaboracin de las entidades estatales competentes, la cooperacin internacional en los asuntos de su competencia. o El Ministro de Defensa Nacional, como responsable de la Seguridad Nacional. Justificacin: Participa en la definicin, desarrollo y ejecucin de las polticas de defensa y seguridad nacionales, para garantizar la soberana nacional, la independencia, la integridad territorial y el orden constitucional, el mantenimiento de las condiciones necesarias para el ejercicio y el derecho de libertades pblicas, y para asegurar que los habitantes de Colombia convivan en paz. Contribuye con los dems organismos del Estado para alcanzar las condiciones necesarias para el ejercicio de los derechos, obligaciones y libertades pblicas. Coadyuva al mantenimiento de la paz y la tranquilidad de los colombianos en procura de la seguridad que facilite el desarrollo econmico, la proteccin y conservacin de los recursos naturales y la promocin y proteccin de los Derechos Humanos. Orienta, coordina y controla, en la forma contemplada por las respectivas leyes y estructuras orgnicas, las superintendencias, las entidades descentralizadas y las sociedades de economa mixta que a cada uno de ellos estn adscritas o vinculadas. o El Ministro de Comercio, Industria y Turismo, rector del desarrollo empresarial y normalizacin del pas, adems lidera el tema de competitividad. Justificacin: Participa en la formulacin de la poltica, los planes y programas de desarrollo econmico y social. Formula la poltica en materia de desarrollo econmico y social del pas relacionada con la competitividad, integracin y desarrollo de los sectores productivos de bienes y servicios de tecnologa para la micro, pequea y mediana empresa, el comercio interno y el comercio exterior. Formula las polticas para la regulacin del mercado, la normalizacin, evaluacin de la conformidad, calidad, promocin de la competencia, proteccin del consumidor y propiedad industrial. Desarrolla la estrategia de desarrollo empresarial, de productividad y competitividad, de Mipymes y regulacin, de conformidad con los lineamientos sealados por los Consejos Superiores de Micro y de Pequea y Mediana Empresa y el Ministro. Establece mecanismos permanentes y eficaces que garanticen la coordinacin y la mayor participacin del sector privado. Formula y adopta la poltica, los planes, programas y reglamentos de normalizacin. Ejerce la coordinacin necesaria para mejorar el clima para la inversin tanto nacional como extranjera en el pas y para incrementar la competitividad de los bienes y servicios colombianos. Formula dentro del marco de su competencia las polticas relacionadas
Pgina 26 de 207
con los instrumentos que promuevan la productividad, la competitividad y el comercio exterior. o El Ministro de Relaciones Exteriores, para garantizar el cumplimiento de acuerdos internacionales. Justificacin: Dirige y coordina la estrategia de comunicacin que promueva la generacin de una cultura corporativa en pro del desarrollo de la misin institucional y que brinde apoyo y asistencia tcnica en materia de comunicaciones a todas las dependencias del Ministerio que lo requieran. o El Departamento Nacional de Planeacin, encargado de la implantacin de las polticas, ente rector de la planeacin del pas. Justificacin: Coordina a todas las entidades y organismos pblicos para garantizar el debido cumplimiento y ejecucin de las polticas, los programas y los proyectos contenidos en el Plan Nacional de Desarrollo. Promueve, elabora y coordina estudios e investigaciones atinentes a la modernizacin y tecnificacin de la macro-estructura del Estado. Participa en el diseo de la poltica para la prestacin de servicios pblicos domiciliarios, a travs de las Comisiones de Regulacin, y promueve su adopcin por parte de las empresas de servicios pblicos. Traza las polticas generales y desarrolla la planeacin de las estrategias de control y vigilancia, para la adecuada y eficiente prestacin de los servicios pblicos domiciliarios. Participa en el diseo, seguimiento y evaluacin de la poltica para el desarrollo de la ciencia, la tecnologa y la innovacin. o El Departamento Administrativo de Seguridad DAS, Seguridad Nacional. Justificacin: Produce la inteligencia de Estado que requiere el Gobierno Nacional y formula polticas del sector administrativo en materia de inteligencia para garantizar la seguridad nacional interna y externa del Estado colombiano. Participa en el desarrollo de las polticas diseadas por el Gobierno Nacional en materia de seguridad. Obtiene y procesa informacin en los mbitos nacional e internacional, sobre asuntos relacionados con la seguridad nacional, con el fin de producir inteligencia de Estado, para apoyar al Presidente de la Repblica en la formulacin de polticas y la toma de decisiones. Coordina el intercambio de informacin y cooperacin con otros organismos nacionales e internacionales que cumplan funciones afines. o La Superintendencia Financiera, por la Ley de Habeas Data y la inspeccin y control del sector financiero. Justificacin: Propone las polticas y mecanismos que propendan por el desarrollo y el fortalecimiento del mercado de activos financieros y la proteccin al consumidor financiero. Instruye a las instituciones vigiladas y controladas sobre la manera como deben cumplirse las disposiciones que regulan su actividad, fija los criterios tcnicos
Pgina 27 de 207
y jurdicos que faciliten el cumplimiento de tales normas y seala los procedimientos para su cabal aplicacin, as como instruye a las instituciones vigiladas sobre la manera como deben administrar los riesgos implcitos en sus actividades. o La Superintendencia de Industria y Comercio, Salvaguarda la Ley de Habeas Data. Justificacin: Vela por la observancia de las disposiciones sobre proteccin al consumidor. Impone, previas explicaciones, de acuerdo con el procedimiento aplicable, las sanciones que sean pertinentes por violacin de las normas sobre proteccin al consumidor, as como por la inobservancia de las instrucciones impartidas por la Superintendencia. Fija el trmino de la garanta mnima presunta para bienes o servicios. Fija requisitos mnimos de calidad e idoneidad para determinados bienes y servicios. Asesora al Gobierno Nacional y participa en la formulacin de las polticas en todas aquellas materias que tengan que ver con la proteccin al consumidor, la promocin de la competencia y la propiedad industrial y en las dems reas propias de sus funciones. Realiza las actividades de verificacin de cumplimiento de las normas tcnicas obligatorias o reglamentos tcnicos sometidos a su control. Salvaguarda la ley de Habeas Data: Ley 1266 del 31 de diciembre de 2008. o Comisin de Regulacin de las Telecomunicaciones CRT, como ente regulador del sector. Justificacin: Promueve la competencia en el sector de las telecomunicaciones. Define los criterios de eficiencia y desarrolla los indicadores y modelos para evaluar la gestin financiera, tcnica y administrativa de las empresas de telecomunicaciones. Prepara proyectos de ley para presentar ante el Congreso Nacional relacionados con la prestacin del servicio de telecomunicaciones. Fija las normas de calidad que deben cumplir las empresas que prestan el servicio. Adicionalmente, la Comisin Nacional de Seguridad de la Informacin podr convocar a los siguientes organismos para participar en las sesiones de la Comisin, cuando su presencia sea requerida en funcin de los temas a tratar, los cuales tendrn voz pero no voto: o Fiscala General de la Nacin, como representante de la Rama Judicial y unidad especializada en delitos de telecomunicaciones y la administracin pblica. Posee la Direccin Nacional del Cuerpo Tcnico de Investigacin CTI. Justificacin: Investiga los delitos, califica los procesos y acusa ante los jueces y tribunales competentes, a los presuntos infractores de la ley penal, ya sea de oficio o por denuncia. Posee la Direccin Nacional del Cuerpo Tcnico de Investigacin CTI, que asesora al Fiscal General en la definicin de polticas y estrategias asociadas con las funciones de Polica Judicial, en los temas de investigacin criminal, servicios forenses, de gentica y en la administracin de la informacin tcnica y judicial que sea til para la investigacin penal. Adems, planea, organiza, dirige, controla y ejecuta las funciones de Polica Judicial de la Fiscala, organiza y controla el cumplimiento de las polticas y estrategias de investigacin, servicios
Pgina 28 de 207
forenses, de gentica y de administracin de la informacin til para la investigacin penal en el CTI. Asesora al Fiscal General en el diseo y planeacin de estrategias y procedimientos en materia de seguridad y de comunicaciones requeridos en los distintos niveles territoriales de la Entidad, as como tambin promover el intercambio de informacin entre los distintos organismos de seguridad del Estado, para la programacin y el desarrollo de operaciones contra la delincuencia. o Procuradura General de la Nacin, como entidad de vigilancia, control y proteccin de los derechos de los ciudadanos. Justificacin: La funcin preventiva, empeada en prevenir antes que sancionar, vigila el actuar de los servidores pblicos y advierte cualquier hecho que pueda ser violatorio de las normas vigentes, sin que ello implique coadministracin o intromisin en la gestin de las entidades estatales. La funcin de intervencin, en la que interviene ante las jurisdicciones Contencioso Administrativa, Constitucional y ante las diferentes instancias de las jurisdicciones penal, penal militar, civil, ambiental y agraria, de familia, laboral, ante el Consejo Superior de la Judicatura y las autoridades administrativas y de polica. La intervencin es imperativa y se desarrolla de forma selectiva cuando el Procurador General de la Nacin lo considere necesario y cobra trascendencia siempre que se desarrolle en defensa de los derechos y las garantas fundamentales de los ciudadanos. La funcin disciplinaria, inicia, adelanta y falla las investigaciones que por faltas disciplinarias se adelanten contra los servidores pblicos y contra los particulares que ejercen funciones pblicas o manejan dineros del estado. o Superintendencia de Servicios Pblicos Domiciliarios, que vela por la adecuada prestacin de los servicios a los ciudadanos. Justificacin: Vigila y controla el cumplimiento de las leyes y actos administrativos a los que estn sujetos quienes presten servicios pblicos, en cuanto el cumplimiento afecte en forma directa e inmediata a usuarios determinados y sancionar sus violaciones. Adelanta las investigaciones cuando las Comisiones de Regulacin se lo soliciten. Seala, de conformidad con la Constitucin y la ley, los requisitos y condiciones para que los usuarios puedan solicitar y obtener informacin completa, precisa y oportuna, sobre todas las actividades y operaciones directas o indirectas que se realicen para la prestacin de los servicios pblicos. Da concepto a las Comisiones de Regulacin y a los Ministerios sobre las medidas que se estudien en relacin con los servicios pblicos. Efecta recomendaciones a las Comisiones de Regulacin en cuanto a la regulacin y promocin del balance de los mecanismos de control y en cuanto a las bases para efectuar la evaluacin de la gestin y resultados de las personas prestadoras de los servicios pblicos sujetos a su control, inspeccin y vigilancia. Proporciona a las autoridades territoriales el apoyo tcnico necesario, la tecnologa, la capacitacin, la orientacin y los elementos de difusin necesarios para la promocin de la participacin de la comunidad en las tareas de vigilancia.
Pgina 29 de 207
Registradura Nacional del Estado Civil, Entidad encargada de la identificacin de las personas. Justificacin: Atiende el manejo, clasificacin, archivo y recuperacin de la informacin relacionada con el registro civil. Responde a las solicitudes de personas naturales o jurdicas y organismos de seguridad del Estado o de la rama judicial en cuanto a identificacin, identificacin de necrodactilias y dems requerimientos. Atiende todo lo relativo al manejo de la informacin, las bases de datos, el Archivo Nacional de Identificacin y los documentos necesarios par el proceso tcnico de la identificacin de los ciudadanos. Adopta las polticas y procedimientos para el manejo del Registro del Estado Civil en Colombia, asegurando la inscripcin confiable y efectiva de los hechos, actos y providencias sujetos a registro.
Las funciones de la Comisin Nacional de Seguridad de la informacin estn orientadas hacia una metodologa basada en el proceso Planear Hacer Verificar Actuar de un sistema de gestin. Para ver la informacin sobre las funciones de esta Comisin, remitirse al numeral 5.6.1.1.1.
5.4. Grupo Tcnico de Apoyo

La Comisin Nacional de Seguridad de la informacin, es asesorada por el Grupo Tcnico de Apoyo, (ilustracin 8), cuya funcin principal es definir y mantener el Modelo de Seguridad de la informacin a nivel tctico y tcnico especificando las polticas, objetivos de control y controles propuestos para que sean implementados por cada una de las entidades destinatarias. El Grupo Tcnico de Apoyo, somete a consideracin de la Comisin, la aprobacin del Modelo de Seguridad de la Informacin y sus ajustes posteriores. De esta forma, el Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea, servir a las entidades que no han implementado an un Sistema de Gestin en Seguridad de la informacin SGSI basado en las mejores prcticas y estndares internacionales; y como referente para aquellas entidades que ya cuentan con un SGSI implementado y que necesitar ser ajustado para apoyar los servicios de la Estrategia de Gobierno en Lnea. Es el Grupo encargado de la preparacin de los documentos, polticas, lineamientos y controles recomendados que son avalados por la Comisin. Asesora a las Entidades en su implementacin y proporciona apoyo tcnico y jurdico para la operatividad del modelo. Adems, coordina las actividades del portafolio de servicios en seguridad de la informacin (soporte especializado, capacitacin, concienciacin) realizadas por el grupo CSIRT (ver documento Diseo de un CSIRT Colombiano).
Pgina 30 de 207
Ilustracin 6: Estructura Grupo Tcnico de Apoyo Las funciones del Grupo Tcnico de Apoyo estn orientadas hacia una metodologa basada en el proceso Planear Hacer Verificar Actuar de un sistema de gestin. Para ver la informacin sobre las funciones de este Grupo, remitirse a los numerales 5.6.1.1.2 (Funciones Planear) y 5.6.1.4. (Funciones Actuar) del presente documento.
5.4.1. Direccin Nacional de Seguridad de la Informacin

Encabeza el Grupo Tcnico de Apoyo y depende del Ministerio de Comunicaciones. Articula la Comisin Nacional de Seguridad de la Informacin con el Grupo Tcnico de Apoyo. Coordina las acciones tanto a nivel tcnico como jurdico, los entes policivos y lo concerniente al grupo CSIRT (ver documento Diseo de un CSIRT Colombiano). 5.4.1.1. Funciones de la Direccin Nacional de Seguridad de la Informacin
Aprobar y publicar el reporte anual de seguridad de la informacin en Colombia (estadsticas, mtricas, indicadores, etc.).
Pgina 31 de 207
Convocar expertos tcnicos en seguridad de la informacin pertenecientes a la academia y al sector privado, con el objeto de plantear mejoras para el modelo de seguridad de la informacin (MSI). Coordinar acuerdos de cooperacin con los entes policivos competentes para la provisin de servicios de asistencia ante incidentes de Seguridad de la Informacin en las entidades. Las siguientes son las entidades policivas contempladas: La Polica Nacional, como parte integrante de las autoridades de la Repblica. Recomienda las polticas del estado en materia de seguridad de la comunidad, estableciendo planes y responsabilidades entre las diferentes entidades comprometidas. DAS (ver numeral 5.3. de este documento). La Fiscala General de la Nacin CTI (ver numeral 5.3. de este documento). DIJIN -Direccin de Investigacin Criminal, contribuye a la seguridad y convivencia ciudadana, mediante el desarrollo efectivo de la investigacin criminal judicial, criminalstica, criminolgica y el manejo de la informacin delincuencial orientada a brindar el apoyo oportuno a la administracin de justicia. DIPOL Direccin de Inteligencia Policial, unidad especializada que tiene la misin de recolectar informacin y producir inteligencia en relacin con los actores y factores de perturbacin del orden pblico, la defensa y la seguridad nacional.
Proponer ante la Comisin, los cambios y mejoras al modelo de seguridad de la informacin. Realizar la presentacin ejecutiva anual ante la Comisin Nacional de Seguridad, con los resultados y la evolucin del modelo de seguridad en las Entidades. Coordinar esfuerzos y acuerdos de cooperacin con otros grupos CSIRT tanto pblicos como privados. Coordinar esfuerzos y acuerdos de cooperacin con las entidades de Vigilancia y Control para realizacin de verificaciones y auditorias en las entidades que deban cumplir con el Modelo de Seguridad de la Informacin. Coordinar esfuerzos y acuerdos de cooperacin con entes de certificacin que verifiquen el cumplimiento adecuado del Modelo de Seguridad de la Informacin en las entidades. 5.4.1.2. Grupo de Estudios Tcnicos
Define los lineamientos y la poltica de seguridad, prepara estudios tcnicos, realiza presentaciones ejecutivas ante la Comisin, prepara el documento del Modelo de Seguridad, recibe informacin a nivel de seguridad proveniente del Grupo CSIRT entre otras funciones se encuentran:
Pgina 32 de 207
Definir lineamientos, polticas y controles que forman parte del modelo de seguridad de la informacin, los cuales debern ser cumplidos por las Entidades (Nivel Estratgico). Elaborar y publicar estudios e informes propios en materia de seguridad de la Informacin en Colombia (principales amenazas, probabilidades e impactos), basados en estadsticas, mtricas, indicadores, provistos por el Grupo CSIRT y otras fuentes. Analizar los reportes estregados por el Grupo CSIRT, para determinar nuevas acciones a proponer a la Comisin Nacional de Seguridad. 5.4.1.3. Grupo Tcnico - Jurdico
Define los lineamientos normativos requeridos para la gestin de la poltica de seguridad de la informacin. Apoyo experto en respuesta a incidentes, delito informtico y ciencias forenses. Otras Funciones: Asesorar a la Direccin Nacional de Seguridad de la Informacin, en temas legales y tcnico jurdicos relacionados con seguridad de la informacin. Gestionar y aplicar el conocimiento legal en materia de Seguridad de la Informacin, derecho informtico, Habeas Data y ciencias forenses. Proveer soporte tcnico - jurdico en temas relacionados con la recopilacin de pruebas forenses, primer respondiente, capacitacin y entrenamiento. Disear el catlogo de trminos de seguridad de la informacin, guas legales y modelos contractuales en materia de derecho informtico. 5.4.1.4. CSIRT
El grupo CSIRT es un pilar decisivo dentro del Sistema Administrativo de Seguridad de la Informacin SANSI, ya que es el ente que permite dar operatividad al Modelo de Seguridad, proporcionando un completo portafolio de servicios especializados en seguridad de la informacin centrado en el soporte y la asistencia a las entidades tanto pblicas como privadas, as como tambin, recopilando estadsticas, indicadores y mtricas en seguridad de la informacin para su posterior anlisis y toma de decisiones por parte de la Direccin Nacional de Seguridad de la Informacin. Para mayor informacin concerniente al CSIRT, ver documento Diseo de un CSIRT Colombiano. 5.4.1.5. Relacin con otros rganos Tcnicos 5.4.1.5.1. Autoridades de Vigilancia y Control Tanto para el sector pblico como para el sector privado, la Contralora, las Superintendencias, la Fiscala, la Procuradura y los entes policivos, ejercern
Pgina 33 de 207
las labores de vigilancia (auditoria) y validacin de la implantacin de las disposiciones, lineamientos, polticas y controles relacionados con seguridad de la informacin plasmada en el Modelo. Estas autoridades forman parte de la fase VERIFICAR del ciclo PHVA del Sistema. Ms informacin en el numeral 5.3. de este documento. 5.4.1.5.2. Organismos de Certificacin Los organismos de certificacin, son personas jurdicas (o morales) que tienen por objeto realizar tareas de certificacin: evaluar que un producto, proceso, sistema, servicio, establecimiento o persona se ajusta a las normas, lineamientos o reconocimientos de organismos dedicados a la normalizacin nacionales o internacionales. En este caso, los organizamos verificarn que las entidades cumplan con el Modelo de seguridad de la Informacin. Estos organismos, formarn parte de la fase VERIFICAR del ciclo PHVA del Sistema. Ms informacin en el numeral 5.3. de este documento. Estas Autoridades, adicionalmente, tendrn las siguientes funciones: o Establecer acuerdos de cooperacin con el SANSI a travs del Grupo Tcnico de Apoyo. Realizar auditorias de cumplimiento del Modelo de Seguridad en las entidades que lo soliciten. Informar a la Direccin Nacional de Seguridad de la Informacin sobre las no conformidades y observaciones relacionadas con el cumplimiento del Modelo de Seguridad de la Informacin en las entidades auditadas.
5.4.1.5.3. Proveedores de Servicios Relacionados con la Seguridad de la Informacin El CSIRT como rgano coordinador de los procesos de incidentes relacionados con la seguridad de la informacin, demanda la permanente relacin con los proveedores tanto nacionales como internacionales de los servicios relacionados con la seguridad de la informacin, manteniendo una base de datos actualizada y un estrecho relacionamiento para garantizar la oportuna actuacin y prevencin en incidentes relacionados con la seguridad de la informacin en las entidades. 5.4.1.5.4. La Academia Definitivamente la academia deber estar incluida no solo en los procesos de diseo e implementacin del CSIRT, sino que debe ser tenida en cuenta para asesorar al Grupo Tcnico de Apoyo y en general al Sistema SANSI ya que son entes que poseen un amplio conocimiento y disponibilidad de
Pgina 34 de 207
informacin, lo cual puede permitir tener oportunidades de mejora del sistema, sus polticas, lineamientos y controles.
5.5. Relaciones de Desarrollo Empresarial con Entidades Pblicas y Privadas

Las relaciones con la industria debern partir de una sola filosofa, promover su desarrollo, dando visibilidad a la industria de seguridad de la informacin mediante un espacio (medios tcnicos y humanos altamente especializados) en el que puedan ponerse en contacto la oferta y la demanda y en el que se colabora a impulsar la innovacin del sector privado en seguridad de la informacin. Se da visibilidad tanto nacional como internacional a la industria de seguridad de la informacin en Colombia, se analiza la demanda y la oferta de productos/servicios de seguridad disponibles y se sensibiliza por ejemplo a la PYME en el uso de esos servicios y productos, dinamizando de este modo la demanda.
5.6. Funciones de los actores del SANSI -Enfoque basado en el proceso PHVA
El Sistema Administrativo Nacional de Seguridad de la Informacin -SANSI, adopta un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea, pero esta vez no orientado hacia una organizacin en particular sino a todos los actores y entidades involucradas:
Pgina 35 de 207
Ilustracin 7: Ciclo de Vida PHVA para el Sistema Administrativo Nacional de Seguridad de la Informacin y sus Actores Como se puede observar en la ilustracin 7, se propone enfocar el Sistema Administrativo Nacional de Seguridad de la Informacin SANSI hacia un sistema de Gestin auto-sostenible, que funcione eficazmente y que tome como entradas al sistema: Los instrumentos normativos para apoyar la implementacin del Modelo de Seguridad, Los lineamientos, requerimientos y la poltica del modelo de seguridad de la informacin para la estrategia de Gobierno en Lnea que plasmen las expectativas de seguridad de la informacin.
Como todo Sistema de Gestin, se recomienda que el SGSI a ser diseado e implementado por cada una de las entidades participantes en la cadena de prestacin de servicios de Gobierno en Lnea se fundamente con base en la ISO 27001, por medio del uso del ciclo continuo PHVA (Planear Hacer Verificar Actuar):
Pgina 36 de 207
Ilustracin 8: Ciclo P-H-V-A. Implantacin y Gestin de un sistema SGSI. Copyright 2007 IsecT Ltd. www.ISO27001security.com Planear: establecer el SGSI. Hacer: implementar y utilizar el SGSI. Verificar: monitorear y revisar el SGSI. Actuar: mantener y mejorar el SGSI.
A continuacin, se detallan las funciones a realizar para cada uno de los actores del sistema SANSI, tanto a alto nivel (Comisin y Grupo Tcnico de Apoyo), como para las entidades destinatarias al implementar el modelo SGSI:
Pgina 37 de 207
5.6.1.1.
FASE PLANEAR CICLO PHVA - COMISIN NACIONAL DE SEGURIDAD DE LA INFORMACIN Y GRUPO TCNICO DE APOYO
A ALTO NIVEL SANSI: 5.6.1.1.1. Funciones de la Comisin Nacional de Seguridad de la Informacin: La Comisin es la mxima autoridad Nacional de Seguridad de la Informacin y se convierte en el escenario ideal para que los responsables por la Seguridad Nacional discutan y articulen los planes y estrategias de accin para garantizar adecuadamente la seguridad de la informacin nacional a travs del Modelo de Seguridad para la Estrategia de Gobierno en Lnea. As mismo, permitir la aprobacin de polticas, acciones y controles a ser implementados por las entidades destinatarias para fortalecer su postura en seguridad de la informacin, permitiendo de esta forma, generar confianza y proteger adecuadamente la informacin de los ciudadanos. Reuniones: Por convocatoria del Ministro de Comunicaciones que actuar como Coordinador General, la Comisin, sesionar de manera ordinaria una (1) vez al ao, y de manera extraordinaria con la frecuencia necesaria para el cabal cumplimiento de su agenda de trabajo. Funciones Fase Planear Ciclo PHVA: Apoyar y divulgar a alto nivel la seguridad de la informacin nacional, el modelo de seguridad, sus polticas y controles Aprobar y generar los instrumentos normativos pertinentes para viabilizar la implementacin del modelo de seguridad en las entidades destinatarias Tomar decisiones estratgicas para el SANSI y el modelo de seguridad Impulsar, mantener y mejorar el SANSI y el modelo de seguridad Estudiar los cambios y ajustes propuestos para el modelo de seguridad Presentar propuestas al Gobierno Nacional para la adopcin de medidas relacionadas con el mejoramiento de la seguridad de la informacin Asesorarse de grupos tcnicos de apoyo para tener una adecuada coherencia a nivel tcnico de los temas de seguridad de la informacin y en consecuencia, mejorar el desempeo de sus responsabilidades.
La Comisin Nacional de Seguridad de la Informacin ejercer adicionalmente las siguientes funciones:
Pgina 38 de 207
Establecer los lineamientos del Sistema Administrativo Nacional de Seguridad de la Informacin y aprobar el Modelo de Seguridad de la Informacin en concordancia con los planes y programas de desarrollo tecnolgico del pas y de la Estrategia de Gobierno en Lnea. Apoyar la articulacin de las iniciativas y acciones que se adelanten en las diferentes entidades pblicas y privadas relacionadas con Seguridad de la Informacin. Aprobar el Modelo de Seguridad de la Informacin (MSI) que incluya las polticas, objetivos y controles; la metodologa de medicin y seguimiento de Indicadores de seguridad; la revisin peridica del estado de cumplimiento del Modelo. Aprobar los mecanismos normativos recomendados por el Grupo Tcnico de Apoyo a travs del Grupo Tcnico - Jurdico, los cuales permitan el cumplimiento e implementacin del modelo por parte de la Entidades. Aprobar las nuevas versiones del modelo de seguridad de la informacin (MSI) para la Estrategia de Gobierno en Lnea, a ser cumplido por parte de las Entidades destinatarias. Presentar propuestas al Gobierno Nacional para la adopcin de medidas tendientes a lograr el mejoramiento de la seguridad de la informacin a nivel nacional en el sector pblico y privado. Estudiar los temas que propongan sus miembros en relacin con los objetivos de la Comisin. Crear los comits tcnicos de apoyo que considere necesarios para el mejor desempeo de sus responsabilidades. Disponer la formacin de comits consultivos o tcnicos, integrados por el nmero de miembros que determine, para que asesoren tcnicamente a la Comisin Nacional de Seguridad de la Informacin en determinados asuntos. Presentar propuestas al Gobierno Nacional para la adopcin de medidas tendientes a lograr el mejoramiento de la seguridad de la informacin del pas, de las entidades y de los ciudadanos. Proponer acciones para la modernizacin de las entidades destinatarias y generar normas que mejoren el estado actual de la seguridad de la informacin. Propender por el desarrollo de una cultura e higiene de seguridad de la informacin como factor determinante para mejorar el estado actual de la seguridad de la informacin de las entidades y de los ciudadanos. Las dems inherentes al cumplimiento de los objetivos del Sistema Administrativo Nacional de Seguridad de la Informacin.
Pgina 39 de 207
5.6.1.1.2.
Funciones del Grupo Tcnico de Apoyo
Fase Planear Ciclo PHVA: Plantear las polticas y controles que componen el Modelo de Seguridad de la informacin Coordinar tareas al interior del grupo relacionadas con acuerdos de cooperacin con diferentes entidades. Proveer el soporte tcnico para asesorar adecuadamente a la Comisin.
A NIVEL DE LAS ENTIDADES DESTINATARIAS SGSI (ver ilustracin 8): Funciones Fase Planear Ciclo PHVA: 1. Obtener Soporte de la Alta Direccin: El apoyo de la Alta Direccin Gerencia de la entidad es vital para el xito de la implementacin del sistema SGSI. 2. Establecimiento del SGSI: La alta direccin debe definir el alcance y lmites del SGSI en trminos de la estrategia de Gobierno en Lnea: procesos de negocio, reas, servicios. No es necesario que el SGSI abarque toda la organizacin, puede empezar por un proceso o rea y avanzar paulatinamente cubriendo mas procesos o reas. 3. Realizar un inventario de activos: La organizacin debe realizar un levantamiento de informacin orientado a los activos que soportan los procesos de negocio que componen el alcance del SGSI, es decir, que activos soportan los sistemas de informacin y aplicaciones, que a su vez, soportan los procesos de negocio de la entidad. La herramienta de Autoevaluacin11, presenta un formulario de ingreso de informacin para que el responsable por parte de la entidad, identifique los activos que estn dentro del alcance del SGSI y a sus responsables directos, denominados propietarios. Adicionalmente, calificar el grado de criticidad o importancia de cada activo en relacin con el apoyo al modelo de seguridad de la informacin para la Estrategia de Gobierno en Lnea. Esta calificacin la
11 Ver mayor informacin de la herramienta de auto-evaluacin en el documento: Entregable 7 Sistema Autoevaluacin.
Pgina 40 de 207
realizar la entidad en la herramienta seleccionando en un rango de 1 a 5 donde 1 es una criticidad muy baja, 2 criticidad baja, 3 criticidad media, 4 criticidad alta y 5 criticidad muy alta. 4. Realizar la evaluacin del riesgo en seguridad: Una vez el levantamiento de informacin de los activos parte del alcance del SGSI est realizado, se debe hacer la evaluacin del riesgo asociado a dichos activos, especificando las reas de preocupacin, amenazas, vulnerabilidades, escenarios de riesgo, probabilidad de ocurrencia de la amenaza e impacto si llega a materializarse la amenaza a los activos que soportan los sistemas de informacin, aplicaciones y en consecuencia, los procesos de negocio o reas parte del alcance. La entidad puede hacer uso de cualquier metodologa de gestin, evaluacin y anlisis del riesgo que considere conveniente, no hay necesidad de usar una especfica, lo importante es que tenga los elementos recomendados en la norma ISO27001. Como parte de la presente consultora, se entrega un documento con la metodologa de evaluacin del riesgo propuesta. Ver documento Entregable 4 - Anexo 2: Metodologa de gestin del riesgo. De igual forma, existen metodologas de gestin del riesgo recomendadas como la AS/NZ4360, la ISO27005:2008 y la SP800-30 (del instituto NIST http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf). 5.a. Preparar y elaborar la Declaracin de Aplicabilidad (o en sus trminos en ingls: Statement of Agreement SOA): Cada entidad, segn su naturaleza, y objetivos de negocio, seleccionar cuales de los dominios y objetivos de control de las normas ISO27001/27002 aplican y no aplican para su entidad. Para los seleccionados como No Aplica, la entidad deber justificar detalladamente la exclusin; adems, deber tener en cuenta: Los objetivos de control y controles seleccionados y los motivos para su eleccin; Los objetivos de control y controles que actualmente ya estn implantados; La exclusin de cualquier objetivo de control y controles debern estar justificados apropiadamente.
El modelo de Seguridad para la Estrategia de Gobierno en Lnea, propone un listado de polticas, objetivos de control y controles, producto de un anlisis detallado de las normas internacionales recomendadas como la (ISO27001/27002, CobIT, NIST, AS/NZ4360)12 y que en un mayor grado, apoyan los objetivos de la Estrategia de Gobierno en Lnea. Ver numeral 6.5. de este documento para mayor informacin. Por medio de la Herramienta de Auto-evaluacin, el usuario designado por cada entidad revisar los dominios y objetivos de control propuestos en la interfaz de la herramienta para que luego de un anlisis interno con la Alta Direccin de su Entidad, seleccione cuales aplica y cules no. Para los que excluya, deber digitar y adjuntar (la herramienta podr permitir ingresar anexos) toda la
12 Para mayor informacin ver numeral 3.5.2. de este documento.
Pgina 41 de 207
informacin relevante y detallada justificando el por qu de esta decisin. Al finalizar, deber aceptar que la aplicacin enve el informe de Declaracin de Aplicabilidad a Gobierno en Lnea. Con esta informacin, Gobierno en Lnea o quin esta delegue, analizar la informacin, verificar si las justificaciones cumplen y para cualquier inquietud, se comunicar con el encargado de cada entidad para obtener aclaraciones con respecto a la Declaracin de Aplicabilidad de la entidad. Una vez este proceso se haya cumplido, Gobierno en Lnea activar la aplicacin para que el encargado diligencie la informacin relacionada con los controles. El proceso de validacin del SOA por parte de Gobierno en Lnea es un mecanismo que permitir detectar posibles omisiones involuntarias/no justificadas con suficiencia. Ver mayor informacin de la herramienta de auto-evaluacin en el documento: Entregable 7 Sistema Autoevaluacin. 5.b. Preparar y realizar el Plan de Tratamiento del Riesgo: Una vez la entidad ha definido el alcance del SGSI, y la Declaracin de Aplicabilidad (SOA); a travs de la herramienta de autoevaluacin, deber revisar los controles propuestos y responder si los tiene implementados y en que grado de madurez. Si no los tiene implementados, a travs de la herramienta, la entidad especificar las acciones, prioridades, recursos, responsables y fecha de compromiso para la implementacin de los controles, lo que consistir en el Plan de Tratamiento del Riesgo, ya que la entidad se compromete a mitigar los riesgos en seguridad de la informacin implementando dichos controles recomendados. La entidad tambin podr elegir si trasfiere el riesgo a terceros (p. ej., compaas aseguradoras o proveedores de outsourcing) o lo asume, en cuyo caso, deber dejar constancia de la alta direccin justificando esta decisin, lo cual deber tambin estar detallado en la herramienta para que Gobierno en Lnea sea notificado de esta decisin.
Ilustracin 9: Gestin de Riesgos
Pgina 42 de 207
5.6.1.2.
FASE HACER CICLO PHVA ENTIDADES DESTINATARIAS
Las Entidades pblicas y privadas, y las Organizaciones que hagan parte de la cadena de prestacin de servicios en Lnea, debern implementar y operar (fase HACER del ciclo PHVA) la poltica, las recomendaciones y los controles definidos en el modelo para dar cumplimiento a la normatividad, a los requerimientos y expectativas definidos, elementos que a su vez, les permitirn ser ms competitivos y ofrecer mejores y ms seguros servicios para proveer mayor confianza a los ciudadanos que hagan uso de sus servicios y productos. Debern tener las siguientes funciones: Tomar el Modelo de Seguridad de la Informacin como Referente. Establecer comunicacin con el CSIRT y los entes policivos para efectos de obtener soporte en el manejo de incidentes de seguridad de la informacin. Acorde con la naturaleza de los servicios provistos por la entidad, clasificarse en uno de los grupos de entidades destinatarias en los que se divide el Modelo SGSI para la estrategia de Gobierno en Lnea. Ver numeral 6.5. de este documento para mayor informacin. Implementar y operar la poltica, los objetivos de control y los controles recomendados de acuerdo con grupo en el que se encuentre la entidad para dar cumplimiento al Modelo SGSI, ver mayor informacin en el numeral 6.5 del presente documento. Alimentar, actualizar y usar las recomendaciones e indicadores generados por la herramienta de auto-evaluacin13 para mejorar su nivel de cumplimiento con el Modelo y por ende, su postura en seguridad de la informacin.
Funciones Fase HACER Entidades destinatarias Modelo SGSI (ver ilustracin 8): Con relacin a las actividades puntuales de implementacin del Modelo SGSI, las entidades destinatarias debern:
13 La herramienta de auto-evaluacin, se provee como un sub-producto de la presente consultora. El objetivo de esta herramienta, es ayudar a las entidades a
implementar el Modelo de Seguridad, presentndoles, segn el grupo en el que la entidad de clasifique, las polticas y controles recomendados para que sean implementados en caso que no existan. Al final, la herramienta realizar clculos de indicadores de seguridad basndose en los controles alimentados por la entidad, permitindole a esta ltima, conocer el estado actual de cumplimiento del modelo y comparar su estado con el de otras entidades del mismo grupo. Para mayor informacin sobre la herramienta de auto-evaluacin, favor remitirse a documento Entregable 7 Sistema de Auto-evaluacin.
Pgina 43 de 207
6 y 7. Implementar el Modelo SGSI: Las entidades debern implementar las polticas, objetivos de control y controles relacionados en el Plan de Tratamiento del riesgo aprobado por parte de la alta direccin de cada entidad segn las fechas estipuladas en el plan. Cualquier cambio o modificacin al plan, deber ser notificado a Gobierno en Lnea a travs de la herramienta de autoevaluacin. 8 y 9. Definir una poltica de seguridad que apoye los objetivos estratgicos de Gobierno en Lnea, ver numeral 6.3. Poltica del Sistema de Gestin. A su vez, esta poltica deber ser apoyada por: Polticas y Objetivos de Seguridad de la Informacin, ver numeral 6.4. de este documento. Est aprobada por la alta direccin. La poltica de seguridad tendr la siguiente estructura bsica:
Polticas
Objetivos de Control
Controles
Justificacin
Ilustracin 10: Estructura del Modelo de Seguridad Es decir, la poltica de seguridad que apoya la Estrategia de Gobierno en Lnea, es respaldada por objetivos de control, que son las reas de cumplimiento a las que las entidades destinatarias deben ceirse. Para materializar este cumplimiento al interior de cada entidad, se han definido una serie de controles asociados a cada objetivo de control para que las entidades los verifiquen e implementen si no lo han hecho. En caso que la entidad decida no implementarlo (por que no es su naturaleza, por presupuesto, etc.), deber justificar detalladamente la excepcin. Ver mayor informacin en el numeral 6.4. de este documento. La Estrategia de Gobierno en Lnea apoyar simultneamente a las entidades en cuanto a: Implementar programas de formacin y sensibilizacin en relacin a la seguridad de la informacin para las entidades destinatarias y para la comunidad en general. A travs del Grupo Tcnico de Apoyo, Gobierno en Lnea gestionar las operaciones del Modelo de Seguridad SGSI a travs de la interfaz de la herramienta de auto evaluacin (en modo de administracin). Este administrador, apoyar a las entidades y aclarar sus dudas con respecto al modelo y su implementacin, entre otras funciones. Gobierno en Lnea implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad en las entidades a travs del portafolio de servicios del CSIRT y su modelo de negocios (ver documento Diseo de un CSIRT Colombiano).
Pgina 44 de 207
5.6.1.3.
FASE VERIFICAR Entidades destinatarias, Organismos de certificacin y autoridades de vigilancia y control
En la fase VERIFICAR del ciclo PHVA, en el que se realizar la revisin y seguimiento de la implementacin y cumplimiento del Modelo de Seguridad tomarn parte: A ALTO NIVEL SANSI: Los Organismos de certificacin que promovern el cumplimiento del modelo de seguridad otorgando certificaciones para incentivar a las entidades que evidencien una gestin efectiva del mismo, realizando los correctivos y mejoras propuestos por el sistema y la revisin del mismo. Estos Organismos, podrn ser llamados por las entidades para que realicen dichas auditorias. Los organismos de certificacin tendrn que ser proveedores autorizados por el SANSI para prestar servicios de auditoria y certificacin del modelo de seguridad. Las autoridades de vigilancia y control como la Contralora, as como tambin las Superintendencias y comisiones auditarn y revisarn el cumplimiento del modelo de seguridad SGSI por parte de las entidades. Estas autoridades: o Determinarn si las acciones realizadas para resolver las brechas de seguridad de la informacin encintradas fueron efectivas. Revisar regularmente la efectividad del Modelo SGSI, atendiendo al cumplimiento de la poltica, objetivos y revisin de los controles de seguridad, los resultados de auditorias de seguridad herramientas de vulnerabilidad automatizadas, incidentes, resultados de los indicadores, sugerencias y observaciones de todas las partes implicadas. Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad, para esto se tendr una visin orientada a niveles de madurez. Revisar regularmente en intervalos/periodos planificados, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en las entidades, la tecnologa, los objetivos y procesos misionales, las amenazas identificadas, la efectividad de los controles implementados y el ambiente -requerimientos legales y obligaciones contractuales, entre otros. Realizar peridicamente auditorias del Modelo SGSI en intervalos planificados.
Las siguientes son entidades con competencias para realizar las revisiones: Contralora General de la Repblica, mximo rgano de control fiscal del Estado. Como tal, tiene la misin de procurar el buen uso de los recursos y bienes pblicos y contribuir a la
Pgina 45 de 207
modernizacin del Estado, mediante acciones de mejoramiento continuo en las distintas entidades pblicas. Superintendencia financiera (ver numeral 5.3. de este documento). Superintendencia de industria y comercio (ver numeral 5.3. de este documento). Superintendencia de servicios pblicos domiciliarios (ver numeral 5.3. de este documento). Comisin de Regulacin de Telecomunicaciones (ver numeral 5.3. de este documento).
A NIVEL DE LAS ENTIDADES DESTINATARIAS Modelo SGSI (ver ilustracin 8): 10. Las entidades Pblicas y Privadas realizarn su auto-evaluacin del nivel de cumplimiento del modelo a travs de la herramienta de Autoevaluacin: Realizar peridicamente auditorias y verificaciones internas de cumplimiento del Modelo de Seguridad. Apoyarse en organismos de certificacin que acrediten el cumplimiento del Modelo de Seguridad (opcional). Someterse a la auditoria a realizar por parte de las autoridades de vigilancia y control. Cada entidad deber revisar peridicamente el Modelo SGSI implementado para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. Cada entidad deber actualizar sus planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de seguimiento y revisin. Con relacin a la herramienta de autoevaluacin: La herramienta de autoevaluacin, mostrar el porcentaje de cumplimiento a partir de los controles implementados, los porcentajes de riesgo a partir de los controles no implementados, el porcentaje de aceptacin del riesgo a partir de los controles no tratados, fecha de implementacin periodo y responsable de implementacin. Cada control podr ser calificado de la siguiente forma: o Existe -> Nivel de madurez del control (calificacin 1-5)
Pgina 46 de 207
No existe -> Fecha de implementacin y responsable (calificacin = 0)
Los porcentajes sern calculados usando mtodos cuantitativos para generar el nivel de cumplimiento o % riesgo de la Entidad a partir de los controles implementados y no implementados de la siguiente forma: o Porcentaje de cumplimiento = [(Sumatoria niveles de madurez de los Controles implementados) / (sumatoria total de Controles aplicables en nivel 5 de madurez)] x 100% Porcentaje de riesgo = [(# Controles no implementados) / (# Total Controles aplicables)] x 100%
La herramienta puede de igual forma, mostrar el nivel de cumplimiento y el nivel de riesgo de forma cualitativa por medio de una tabla de equivalencia que clasificar a la entidad en los siguientes niveles: o o o Porcentaje alto de cumplimiento -> nivel bajo de riesgo Porcentaje medio de cumplimiento -> nivel medio de riesgo Porcentaje bajo de cumplimiento -> nivel alto de riesgo
La herramienta utilizar colores para una fcil identificacin y comparacin de entidades dependiendo de la calificacin a nivel cualitativo con respecto al cumplimiento del modelo y con respecto a las dems entidades. Adicionalmente, la herramienta proporcionar grficos generados de forma automtica que medirn la evolucin o involucin del modelo de seguridad de una entidad de acuerdo con las calificaciones del periodo inmediatamente anterior, las entidades podrn ver estas grficas, compararse con el modelo y compararse entre ellas mismas. 5.6.1.4. FUNCIONES FASE ACTUAR CICLO PHVA - GRUPO TCNICO DE APOYO ENTIDADES DESTINATARIAS
Finalmente, en la fase ACTUAR del ciclo PHVA, en el que se realizarn mejoras al modelo, tomarn parte no solo las entidades destinatarias que debern ejecutar acciones de mejora ante la autoevaluacin realizada y/o las auditorias externas e internas para implementar controles de seguridad que permitan mejorar su nivel de cumplimiento del modelo de seguridad y por ende, su postura en seguridad de la informacin, sino tambin, tomar parte el Grupo Tcnico de Apoyo para evidenciar ajustes, nuevos controles, procesos, lineamientos y polticas que sern puestos a consideracin y aprobacin por parte de la Comisin Nacional de Seguridad de la Informacin para que sean parte de la nueva versin del Modelo a ser implementado en el siguiente ciclo de vida del sistema: A ALTO NIVEL SANSI:
Pgina 47 de 207
Analizar, consolidar y publicar los indicadores, mtricas y estadsticas del Sistema y del Modelo de Seguridad implementado en las entidades. Proponer ante la Comisin los ajustes al Modelo de Seguridad acorde con su evolucin e implementacin en las entidades destinatarias. Coordinar las actividades del portafolio de servicios en seguridad de la informacin (soporte especializado, capacitacin, sensibilizacin) realizadas por el grupo CSIRT (ver documento Diseo de un CSIRT Colombiano).
A NIVEL DE LAS ENTIDADES DESTINATARIAS Modelo SGSI (ver Ilustracin 8): 11. Acciones Correctivas: Mantener y mejorar el SGSI: Las entidades destinatarias debern regularmente: Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de seguimiento y revisin. Verificar que el modelo SGSI se implanta con las mejoras identificadas. Emprender acciones preventivas y correctivas adecuadas segn los resultados de las auditorias, los resultados de la revisin por la direccin y de las lecciones aprendidas de experiencias propias y de otras entidades para lograr la mejora contina del SGSI. Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. Comunicar las acciones y mejoras a las partes interesadas Resolver los hallazgos encontrados tanto en las auditorias internas como en las externas. Mejorar los indicadores y mtricas del Modelo de Seguridad de la Informacin, apoyndose en la herramienta de auto-evaluacin (ver documento Entregable 7 Sistema Autoevaluacin, aumentando la madurez de los controles recomendadas por el Modelo de seguridad, que son mostrados por la herramienta de auto-evaluacin (ver numeral 6.5. de este documento). Lo anterior, permitir que las entidades evolucionen y maduren el Modelo de Seguridad de la informacin, mejorando su nivel de seguridad de la informacin permitindoles tener ventajas competitivas, entre otros beneficios.
El ciclo PHVA es un ciclo de vida continuo, lo cual quiere decir que la fase de Actuar lleva de nuevo a la fase de Planear para iniciar un nuevo ciclo de cuatro fases. Tngase en cuenta que no es necesario llevar una secuencia estricta de las fases, sino que, pueden haber actividades de implantacin que ya se lleven a cabo cuando otras de planificacin an no han finalizado; o que se monitoreen controles que an no estn implantados en su totalidad.
Pgina 48 de 207
5.6.2. Mejora del SGSI:

El sistema SANSI y sus diferentes actores, deben mejorar continuamente la eficacia del modelo SGSI mediante el uso de una poltica de seguridad de la informacin estratgica y orientada a los servicios de Gobierno en Lnea, los objetivos, los resultados de los anlisis y resultados obtenidos por medio de la herramienta de auto valoracin, el anlisis de los eventos e incidentes a los que les ha hecho seguimiento, las acciones correctivas y preventivas y las revisiones por la Alta Direccin. Ejecutar acciones correctivas para eliminar la causa de las no conformidades asociadas con los requisitos del modelo SGSI en las entidades, con el fin de prevenir que ocurran nuevamente. Ejecutar acciones preventivas para eliminar la causa de no conformidades potenciales con los requisitos del modelo SGSI y evitar que ocurran. Las acciones preventivas tomadas deben estar acorde con el impacto de los problemas potenciales.
5.7. Seguridad aplicada a la Comunidad Higiene en Seguridad

El Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea apoyado a alto nivel por el Sistema Nacional de Seguridad SANSI, servir como referente a las entidades destinatarias (tanto pblicas como privadas) para mejorar la seguridad de sus servicios y en consecuencia, lograr que el ciudadano y la comunidad tengan mayor confianza al momento de realizar trmites y usar los servicios y sistemas de las entidades del Estado y de Gobierno en Lnea. El Modelo de Seguridad contribuir asimismo a mejorar la cultura en seguridad de la informacin de los ciudadanos impulsando por medio de campaas y planes de capacitacin y sensibilizacin, el uso correcto de herramientas como Internet, los dispositivos y medios de almacenamiento, los computadores, entre otros, y formulando recomendaciones, precauciones y buenos hbitos (higiene) que deben tener al hacer uso de los mismos, dependiendo del entorno en el que se encuentren: hogar, oficina, cafs Internet, etc. El plan de capacitacin y sensibilizacin realizado como parte de esta consultora (ver documento Capacitacin y sensibilizacin Modelo de Seguridad), refuerza los conceptos importantes a tener en cuenta en una adecuada higiene en seguridad de la informacin centrndose en la comunidad y los ciudadanos: Sensibilizar sobre los peligros y riesgos al hacer uso de Internet Instalar software de fuentes no confiables que introduzcan vulnerabilidades a los computadores y a los sistemas de informacin Peligros ocasionados con el uso de sistemas operativos, navegadores de Internet y aplicaciones de oficina desactualizados
Pgina 49 de 207
Carencia de controles de seguridad en los computadores que expongan al usuario a contenido inapropiado como pornografa, racismo, etc. Uso del computador de la casa para realizar asuntos laborales, lo que expone la informacin de las organizaciones a nuevos riesgos Exposicin a robo de informacin personal o de trabajo a travs de virus, spyware, spam, phising y otros ataques.
Pgina 50 de 207
6. MODELO DE GESTIN DE SEGURIDAD DE LA INFORMACIN SGSI

6.1. Alcance y lmites del Sistema.
El Modelo de gestin de seguridad de la informacin para la estrategia de Gobierno en Lnea se aplica a los siguientes servicios y productos: Servicios de Gobierno en Lnea o Informacin y servicios o Portales de acceso o Trmites en lnea o Sistemas sectoriales o Compras pblicas o Sistemas transversales Intranet Gubernamental o Plataforma de inter-operabilidad (estndares y polticas, ncleo transaccional) o Infraestructura tecnolgica de comunicaciones (RAVEC) o Infraestructura tecnolgica de computacin (Centro de Datos) o Infraestructura tecnolgica de contacto(Centro Interaccin Multimedia) Los participantes en la cadena de prestacin de servicios de Gobierno en Lnea los conforman: o o o o o o o o o Comit Nacional de Seguridad de la Informacin Equipo Tcnico de Apoyo CSIRT Proveedores de servicios de Gobierno en Lnea(entidades pblicas del orden nacional y territorial) Proveedores de servicios de Internet (ISP) Proveedores de servicios de acceso a Internet (Caf internet, telecentros) Proveedores de Servicios de la intranet gubernamental Proveedores de servicios de seguridad Clientes: Ciudadanos, funcionarios pblicos, empresas
Pgina 51 de 207
El Modelo de gestin de seguridad de la informacin propuesto es lo suficientemente estratgico para contemplar las diferentes fases de implementacin de la Estrategia de Gobierno en Lnea14: o Fase de Informacin en lnea: Proveer informacin en lnea con esquemas de bsqueda bsica (Entidades del orden nacional, EON: junio 2008, Entidades del orden territorial, EOT: noviembre 2008). Fase de Interaccin en lnea: Habilitar comunicacin entre ciudadanos, empresas y servidores pblicos (EON: diciembre 2008, EOT: diciembre 2009). Fase de transaccin en lnea: Proveer transacciones electrnicas para la obtencin de productos y servicios (EON: diciembre 2009, EOT: diciembre 2010). Fase de transformacin en lnea: Organizar servicios alrededor de necesidades de ciudadanos y empresas a travs de ventanillas nicas virtuales utilizando la intranet gubernamental (EON: junio 2010, EOT: diciembre 2011) Fase de democracia en lnea: Incentivar a la ciudadana a participar de manera activa en la toma de decisiones del Estado y la construccin de polticas pblicas aprovechando las TICs (EON: diciembre 2010, EOT: diciembre 2012).
o o o
14 Tomado de artculos 5 y 8 del decreto 1151 de 2008.
Pgina 52 de 207
6.2. Objetivos del Sistema

El objetivo principal del Modelo de gestin de seguridad de la informacin es mantener un ambiente razonablemente seguro que permita proteger los activos de informacin que componen la estrategia de Gobierno en Lnea para asegurar credibilidad y confianza en los ciudadanos, en los funcionarios pblicos, terceras partes y en general, todos los que participan en la cadena de prestacin de servicios de Gobierno en Lnea. Como objetivos estratgicos del Modelo SGSI se plantean los siguientes: Establecer una gua para manejar todos los aspectos de seguridad que afecten la estrategia de Gobierno en Lnea, su estructura de operacin y gestin y todos los servicios que se derivan de la estrategia. Definir guas y lineamientos para asegurar que toda la informacin sensitiva que se pueda manejar como parte de los servicios de Gobierno en Lnea est protegida contra el riesgo de divulgacin accidental o intencional, fraude, modificacin, apropiacin indebida, uso indebido, sabotaje o espionaje. Proteger al personal de exposiciones innecesarias en relacin con el uso indebido de los recursos de Gobierno en Lnea durante el desempeo de sus funciones. Proteger las operaciones de procesamiento de informacin de incidentes de hardware, software o fallas de red como resultado de errores humanos por descuido o uso indebido accidental por falta de entrenamiento y capacitacin o uso indebido intencional de los sistemas y aspectos tecnolgicos que componen la infraestructura de servicios de Gobierno en Lnea. Asegurar la continuidad de los servicios de Gobierno en Lnea mediante el establecimiento de buenas prcticas de continuidad de negocio (ver documento Entregable 4 - Anexo 3: Recomendaciones generales de continuidad negocio). Proteger a las entidades del Estado que ofrecen sus servicios de Gobierno en Lnea de posibles demandas o sanciones ante un evento que comprometa la seguridad de los activos de informacin o ante un desastre.
6.3. Poltica del Sistema de Gestin.

La Estrategia de Gobierno en Lnea requiere que la informacin que se gestiona a travs de los servicios y trmites disponibles para los ciudadanos, funcionarios pblicos y entidades pblicas y privadas est adecuadamente asegurada con el fin de proteger los intereses pblicos y nacionales, y preservar la
Pgina 53 de 207
privacidad personal (Ley 1266 de 2008 -Habeas data). Esta poltica, se enfoca a la proteccin de la confidencialidad, integridad, disponibilidad y no repudiacin de la informacin y servicios electrnicos que ofrecen las entidades pblicas del orden nacional y territorial en cumplimiento del decreto 1151 de 2008. El representante legal de las entidades pblicas y privadas que participan en la cadena de prestacin de servicios para la Estrategia de Gobierno en Lnea, es responsable por implementar los requerimientos de seguridad que se plantean en la poltica con el fin proteger la informacin y los activos que la procesan. El nivel de seguridad que cada entidad debe implementar para proteger la informacin y los servicios de la Estrategia de Gobierno en Lnea, debe corresponder a un proceso de anlisis y evaluacin de riesgos. La gestin del riesgo es un requerimiento del Modelo SGSI. Este proceso se ha fortalecido en las entidades pblicas como resultado de la implantacin del sistema integrado de gestin y control MECI y del sistema de gestin de la calidad NTC GP 1000:2004 para las entidades pblicas. El Modelo de gestin de seguridad de la informacin para la estrategia de Gobierno en Lnea es complementario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para una entidad, adaptar su(s) sistema(s) de gestin y control existente(s) para que cumplan con los requisitos de este modelo. En la implementacin del modelo de seguridad, se debe tener especial cuidado en la identificacin de los elementos comunes, para evitar que se dupliquen esfuerzos.
6.4. Polticas y Objetivos de Seguridad de la Informacin

Las polticas de seguridad que se plantean en este documento, se basan en un anlisis estratgico acorde con cada una de las fases de la Estrategia de Gobierno en Lnea. Estas polticas representan directrices generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestacin de servicios durante las fases de la evolucin de la Estrategia de Gobierno en Lnea. Para asegurar el cumplimiento de las polticas de seguridad para Gobierno en Lnea, se establecieron objetivos de control asociados a cada poltica:
6.4.1. PS1 Poltica de Control de Acceso

Las entidades que provean servicios de Gobierno en Lnea que requieran mayor nivel de seguridad como resultado de un anlisis y evaluacin del riesgo, deben implementar mecanismos y controles que aseguren un efectivo registro, identificacin y autenticacin de los clientes y usuarios de dichos servicios. As mismo, deben implementar mecanismos y controles que aseguren el acceso bajo el principio del menor privilegio, necesario para realizar nicamente las labores que a cada cliente o usuario de dichos servicios corresponden. Igualmente, se deben implementar controles para realizar una efectiva administracin de usuarios y derechos de acceso. Objetivos de Control:
Pgina 54 de 207
PS1.1 Otorgar acceso a servicios que requieren mayor nivel de seguridad o que involucran medios de pago slo para usuarios autorizados. Se requiere limitar el acceso solo para usuarios identificados y autenticados apropiadamente. PS1.2 Otorgar los mnimos privilegios de acceso a servicios que requieren mayor nivel de seguridad. Se requiere minimizar el dao potencial causado por usuarios autorizados lo cual implica establecer segregacin de funciones para separar usuarios de los servicios y usuarios con roles administrativos. PS1.3 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentacin de un token de acceso15 expedido por un tercero en representacin de la entidad de gobierno proveedora del servicio. Se debe fortalecer el control de acceso para las transacciones que requieran mayor nivel de seguridad. PS1.4 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentacin de informacin que soporte la identidad del individuo que requiere el acceso y sus credenciales de autenticacin. Se debe implementar la autenticacin personal ms all de la posesin del token. PS1.5 Otorgar privilegios de acceso a servicios de Gobierno en Lnea slo cuando se satisfaga la verdadera identidad del usuario, es decir que el usuario sea quien realmente dice que es y no est registrado bajo otra identidad con un acceso legtimo. Se debe prevenir la creacin de mltiples identidades. Un usuario puede tener mltiples roles con respecto a los servicios de Gobierno en Lnea pero solo puede poseer una nica identidad. PS1.6 Otorgar acceso a los usuarios sobre los servicios y o activos necesarios para soportar el servicio especfico requerido. Se deben fortalecer los controles de acceso a nivel de objeto o aplicacin, de manera que un usuario legtimo, una vez otorgado el acceso, no pueda alterar datos no requeridos por el servicio solicitado. PS1.7 Implementar una administracin efectiva de los derechos de acceso de usuarios y asignar dicha responsabilidad al personal apropiado (administradores de accesos). PS1.8 Implementar la vigencia de los derechos de acceso y su revocacin, una vez finalice el perodo asignado, o haya prdida de las credenciales, o se detecte uso indebido de los recursos por parte de los usuarios. Las credenciales de acceso y los tokens deben quedar invlidos ante eventos de revocacin.
15 Token de acceso: es un medio fsico que un usuario posee y/o controla y lo utiliza para autenticar su identidad.
Pgina 55 de 207
6.4.2. PS2 - Poltica de no repudiacin

Las entidades que provean servicios de transacciones electrnicas, que requieran mayor nivel de seguridad, deben garantizar la no repudiacin de las transacciones implementando mecanismos de seguridad que permitan crear un ambiente de confianza entre los clientes (ciudadanos, funcionarios pblicos, empresas), los proveedores de servicios, los organismos de certificacin y la entidad estatal, con relacin a la autenticidad, trazabilidad y no repudiacin de las transacciones electrnicas. Objetivos de Control: PS2.1 Proveer evidencia del origen y la integridad del mensaje, es decir, se deben implementar mecanismos en el servicio para crear una prueba de origen de manera que se pueda evitar que una de las partes (usuario o servicio de gobierno electrnico) niegue su responsabilidad en el envo del mensaje. As mismo, se deben implementar mecanismos para probar si el mensaje ha sido alterado. PS2.2 Proveer evidencia del acuse del mensaje, es decir, se deben implementar mecanismos en el servicio para crear una prueba de recibo y almacenarla para su recuperacin posterior en caso de una disputa entre las partes (usuario y servicio de gobierno electrnico). PS2.3 Proveer evidencia que el servicio es proporcionado realmente por una entidad pblica. Se deben implementar credenciales del servicio y ser presentadas al cliente para la autenticacin del sistema de acceso al cliente. PS2.4 Proveer evidencia de la fecha y hora de la transaccin electrnica efectuada a travs del servicio.
6.4.3. PS3 - Poltica de servicios confiables

Las entidades que provean servicios de transacciones electrnicas que requieran mayor nivel de seguridad, deben implementar mecanismos que aseguren a sus clientes que los compromisos realizados no son vulnerables a robo o fraude. Adems, se deben establecer acuerdos con los clientes para que manejen con seguridad las credenciales 16y otra informacin personal relevante para el servicio.
16 Credencial: conjunto de informacin utilizada por un usuario para establecer una identidad electrnica como parte del proceso de autenticacin.
Pgina 56 de 207
Objetivos de Control: PS3.1 Asegurar que las tarjetas dbito, crdito u otros instrumentos de compromiso de los clientes sern protegidos por el servicio contra robo o fraude. Se deben implementar las tecnologas de seguridad ms apropiadas en el servicio segn el nivel de seguridad requerido para conducir transacciones electrnicas seguras. PS3.2 Proveer evidencia de los compromisos ejecutados a travs del servicio, de manera que en el evento de una disputa, sea posible demostrar la historia de las transacciones a un auditor externo.
6.4.4. PS4 Poltica de Privacidad y Confidencialidad

Los datos personales de los clientes, ciudadanos y dems informacin enviada a travs de los servicios de Gobierno en Lnea, deben ser protegidos y manejados de manera responsable y segura. Objetivos de Control: PS4.1 Proveer proteccin adecuada de la informacin personal y privada contra divulgacin no autorizada cuando se transmite a travs de redes vulnerables.
PS4.2 Proteger la informacin personal y privada de uso indebido y divulgacin no autorizada cuando se procesa y almacena dentro del dominio de implementacin de los servicios de Gobierno en Lnea.
6.4.5. PS5 - Poltica de Integridad

La informacin que se recibe o se enva a travs de los servicios de Gobierno en Lnea, debe conservar los atributos de correcta y completa durante la transmisin, el procesamiento y el almacenamiento. Se debe garantizar la integridad de la informacin. Objetivos de Control: PS5.1 Proteger la informacin que se transmite a travs de redes pblicas contra modificacin, borrado o repeticin accidental o intencional. Se debe asegurar la fuerte integridad de las comunicaciones para prevenir contra manipulacin de datos en transito o contra prdida y corrupcin causada por fallas de equipos y comunicaciones. PS5.2 Proteger la informacin que se almacena en el dominio del cliente contra modificacin accidental o intencional. Se deben implementar mecanismos para prevenir que usuarios y atacantes manipulen
Pgina 57 de 207
la informacin del servicio almacenada en su estacin de trabajo con el fin de obtener algn beneficio. PS5.3 Proteger la informacin almacenada dentro de los servicios de Gobierno en Lnea contra modificacin o destruccin intencional por parte de atacantes externos. Se deben implementar fuertes medidas para frustrar la alteracin mal intencionada de los datos de usuarios o de informacin de dominio pblico que puedan disminuir la confianza de los servicios. Los proveedores de servicios tienen la obligacin del debido cuidado (due care) para asegurar que la informacin proporcionada a los clientes sea veraz. PS5.4 Proteger la informacin trasmitida o almacenada dentro del servicio de Gobierno en Lnea contra prdida o corrupcin accidental. Se deben implementar procedimientos probados de respaldo y recuperacin de datos y asegurar que se mantienen las listas de usuarios y clientes autorizados.
6.4.6. PS6 Poltica de Disponibilidad del Servicio

Las entidades que provean servicios de Gobierno en Lnea deben asegurar la disponibilidad continua de los servicios bajo su control. Objetivos de Control: PS6.1 Proteger los servicios de Gobierno en Lnea contra daos o negacin del servicio (DoS Denial of service) por parte de atacantes externos. PS6.2 Proteger los servicios de Gobierno en Lnea contra daos o provisin intermitente del servicio por fallas internas de los equipos y/o redes. Se deben implementar mecanismos de redundancia y alta disponibilidad acordes con la criticidad de la provisin continua del servicio y la capacidad para realizar reparaciones rpidas. PS6.3 Proteger los servicios de Gobierno en Lnea contra prdida de datos, prdida de equipos y otros eventos adversos. Se debe implementar un plan de continuidad del negocio (BCP Business Continuity Plan), para asegurar que se toman las medidas necesarias y evitar en lo posible, la prdida de informacin por ocurrencia de incidentes.
6.4.7. PS7 Poltica de Disponibilidad de la Informacin

Las entidades que provean servicios de Gobierno en Lnea, deben asegurar que los datos de los usuarios y clientes se mantienen protegidos contra prdida, alteracin o divulgacin por actos accidentales o malintencionados, o por fallas de los equipos y/o redes.
Pgina 58 de 207
Objetivos de Control: PS7.1 Recuperar los datos personales o crticos que han sido daados, destruidos, alterados o modificados por acciones malintencionadas o accidentales. Se deben implementar procedimientos de copias de respaldo y recuperacin, para asegurar que exista recuperacin de los datos sensitivos y que puedan ser restaurados en el evento de una falla. Tambin se deben implementar mecanismos para que los datos personales no sean divulgados sin autorizacin expresa del dueo de la informacin. PS7.2 Recuperar la informacin protegida en el evento que un cliente u otro usuario no puedan suministrar las credenciales de acceso necesarias. Se deben implementar procedimientos para recuperar datos de usuario en el evento que un token de acceso o la contrasea se pierdan. Esto permite soportar investigaciones de posible uso indebido del sistema.
6.4.8. PS8 Poltica de Proteccin del Servicio

Las entidades que provean servicios de Gobierno en Lnea, deben asegurar que los servicios y sus activos de informacin relacionados, estn adecuadamente protegidos contra ataques externos o internos. Objetivo de Control: PS8.1 Proteger los sistemas de informacin, equipos y redes que soportan los servicios de Gobierno en Lnea contra ataques a la provisin continua y segura del servicio. Se deben asegurar los equipos y las redes implementando medidas tales como aseguramiento de servidores, implementacin de topologas seguras de red y escaneo de vulnerabilidades. Los sistemas de informacin y las aplicaciones, deben ser diseados e implementados de manera que se minimicen las vulnerabilidades y los ataques externos e internos se reduzcan a un nivel aceptable.
6.4.9. PS9 - Poltica de Registro y Auditoria

Las entidades que provean servicios de Gobierno en Lnea, deben mantener y proteger los registros de las transacciones electrnicas como evidencia para los requerimientos de las auditorias (internas o externas) y como mecanismo para establecer responsabilidades de los clientes y usuarios. Objetivo de Control: PS9.1 Mantener un registro de transacciones que pueda ser requerido despus del anlisis de eventos y/o incidentes. Se deben mantener registros y pistas de auditoria con el fin de establecer responsabilidad por las transacciones, reconstruir transacciones fallidas y suministrar registros
Pgina 59 de 207
apropiados en caso de conflictos o disputas por el servicio. Debe existir trazabilidad de los registros de transacciones segn sea apropiado.
6.4.10.
Alineamiento de las polticas de seguridad con normas y mejores prcticas de la industria
Considerando que las entidades del estado como parte del proceso de modernizacin de la gestin pblica se encuentran implementado el sistema de gestin integrado de control interno MECI y el sistema de gestin de calidad NTC GP 1000:2004, se hace necesario identificar donde sea aplicable, elementos de dichos sistemas de gestin, que permitan o faciliten la implementacin de los requerimientos de seguridad de la informacin del Modelo de Seguridad SGSI propuesto por esta consultora con el fin de evitar duplicacin de esfuerzos. Igualmente, es necesario tener presente las iniciativas de las entidades pblicas y privadas encaminadas a implementar estndares y mejores prcticas tales como: Sistema de Gestin de Seguridad de la Informacin SGSI (ISO27001), Gobierno de tecnologa de la informacin (COBIT), Prestacin de Servicios de TI (ITIL) entre otros. En ese sentido, a continuacin se identifica la alineacin y armonizacin de los requerimientos de seguridad del presente Modelo SANSI-SGSI con dichas mejores prcticas:
Poltica SANSI-SGSI
MECI
NTC GP 1000
ISO27001
COBIT
ITIL
PS1 - Poltica de Control de Acceso
1.1 Ambiente de control 1.3 Administracin del riesgo 2.1 Actividades de Control 2.2.3 sistemas de Informacin 5 Roles y responsabilidades
4.1 g) Identificar y disear puntos de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad
4.2.1 Establecimiento del SGSI literales c) al h) A11.1 Requisito del negocio para el control de acceso A.11.2 Gestin del acceso de usuarios A.11.3 Responsabilidades de los usuarios A.11.4 Control de
AI1.2 Reporte de anlisis de riesgos DS5.2 Plan de seguridad de TI DS5.3 Administracin de identidad DS5.4 Administracin de cuentas del usuario DS5.7 Proteccin de la tecnologa
SO 4.5 Administracin del acceso SO 5.3 Administracin de mainframe SO 5.4 Administracin y soporte de servidores SO 5.5 Administracin de la red SO 5.7 Administracin de
Pgina 60 de 207
acceso a las redes A.11.5 Control de acceso al sistema operativo A.11.6 Control de acceso a las aplicaciones y a la informacin. A.11.7 Computacin mvil y trabajo remoto A.12.1 Requisitos de seguridad de los sistemas de informacin A.12.3 Controles criptogrficos
de seguridad DS5.8 Administracin de llaves criptogrficas DS5.10 Seguridad de la red DS5.11 Intercambio de datos sensitivos
bases de datos SO 5.8 Administracin de servicios de directorio SO 5.10 Administracin del middleware SO 5.11 Administracin de Internet y servicios web
PS2 - Poltica de no repudiacin
1.3 Administracin del riesgo 2.2.3 sistemas de Informacin
4.1 g) Identificar y disear puntos de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad
4.2.1 Establecimiento del SGSI, literales c)al h) A 10.9 Servicios de comercio electrnico A12.1 Requisitos de seguridad de los sistemas de informacin A.12.3 Controles criptogrficos
AC6 Autenticidad e integridad de las transacciones AI2.4 Seguridad y disponibilidad de las aplicaciones. DS5.7 Proteccin de tecnologas de seguridad DS5.8 Administracin de llaves criptogrficas DS5.11 Intercambio de datos sensitivos DS11.6 Requerimientos de seguridad para administracin de datos
SO 5.10 Administracin del middleware SD 3.6.1 Diseo de las soluciones del servicio SD 5.2 Administracin de informacin y datos
Pgina 61 de 207
PS3 - Poltica de servicios confiables
4.1 literal g) Identificar y disear puntos de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad
AC6 Autenticidad e integridad de las transacciones AI2.4 Seguridad y disponibilidad de las aplicaciones. DS5.7 Proteccin de tecnologas de seguridad DS5.8 Administracin de llaves criptogrficas DS5.11 Intercambio de datos sensitivos DS11.6 Requerimientos de seguridad para administracin de datos
SO 5.10 Administracin del middleware SD 3.6.1 Diseo de las soluciones del servicio SD 5.2 Administracin de informacin y datos
PS4 - Poltica de privacidad y confidencialidad
1.1 Ambiente de control 1.3 Administracin del riesgo 2.1 Actividades de Control 2.2.3 sistemas de Informacin 5 Roles y responsabilidades
4.1 subnumeral g) Identificar y disear puntos de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad
A.10.2 Gestin de la prestacin del servicio por terceras partes A.10.6 Gestin de la seguridad de las redes A.10.8 Intercambio de la informacin A10.9 Servicios de Comercio Electrnico A.11.1 Requisito del negocio para el control de acceso A.11.2 Gestin del
AC6 Autenticidad e integridad de las transacciones PO2.3 Esquema de clasificacin de datos PO3.4 Estndares tecnolgicos PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI AI1.2 Reporte de anlisis de riesgos
SO 4.5 Administracin del acceso SO 5.3 Administracin de mainframe SO 5.4 Administracin y soporte de servidores SO 5.5 Administracin de la red SO 5.6 Almacenamiento y archivo
Pgina 62 de 207
acceso de usuarios A.11.3 Responsabilidades de los usuarios A.11.4 Control de acceso a las redes A.11.5 Control de acceso al sistema operativo A.11.6 Control de acceso a las aplicaciones y a la informacin. A.11.7 Computacin mvil y trabajo remoto A.12.1 Requisitos de seguridad de los sistemas de informacin A.12.3 Controles criptogrficos
AI2.3 Control y auditabilidad de las aplicaciones AI2.4 Seguridad y disponibilidad de las aplicaciones. DS11.1 Requerimientos del negocio para administracin de datos DS5.2 Plan de seguridad de TI DS5.3 Administracin de identidad DS5.4 Administracin de cuentas del usuario DS5.7 Proteccin de la tecnologa de seguridad DS5.8 Administracin de llaves criptogrficas DS5.10 Seguridad de la red DS5.11 Intercambio de datos sensitivos DS11.1 Requerimientos del negocio para administracin de datos DS11.2 Acuerdos de almacenamiento y conservacin DS11.3 Sistema
SO 5.7 Administracin de bases de datos SO 5.8 Administracin de servicios de directorio SO 5.10 Administracin del middleware SO 5.11 Administracin de Internet y servicios web SD 3.6.1 Diseo de las soluciones del servicio SD 5.2 Administracin de informacin y datos
Pgina 63 de 207
de administracin de libreras de medios DS11.4 Eliminacin DS11.5 Backup y restauracin DS11.6 Requerimientos de seguridad para administracin de datos
PS5 - Poltica de integridad
AC4 Integridad y validez del procesamiento de datos AC6 Autenticidad e integridad de las transacciones PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI AI1.2 Reporte de anlisis de riesgos AI2.3 Control y auditabilidad de las aplicaciones AI2.4 Seguridad y disponibilidad de las aplicaciones. DS11.1 Requerimientos del negocio para administracin de datos DS5.2 Plan de seguridad de TI
SD 3.6.1 Diseo de las soluciones del servicio SD 5.2 Administracin de informacin y datos
Pgina 64 de 207
DS5.8 Administracin de llaves criptogrficas DS11.1 Requerimientos del negocio para administracin de datos DS11.6 Requerimientos de seguridad para administracin de datos
PS6 - Poltica de disponibilidad del servicio
4.2.1 Establecimiento del SGSI, literales c)al h)
DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio
SO 4.1 Administracin de eventos SD 4.3 Administracin de la capacidad SD 4.4 Administracin de la disponibilidad SD 4.4.5.2 Actividades de administracin de la disponibilidad SD 4.5 Administracin de la continuidad del servicio SO 5.2.3 Copia de respaldo y restauracin SD Apndice K Contenido de un plan de recuperacin de desastres
A.10.3 Planificacin y aceptacin del sistema

A12.1 Requisitos de seguridad de los sistemas de informacin
A.14.1 Aspectos de seguridad de la informacin, de la gestin de la continuidad del negocio.
PS7 - Poltica de disponibilidad
1.3 Administracin
4.1 literal g) Identificar y disear puntos
4.2.1 Establecimiento del SGSI, literales c)al
DS4.9 Almacenamiento de respaldos fuera
SO 5.2.3 Copia de respaldo y
Pgina 65 de 207
de la informacin
del riesgo 2.2.3 sistemas de Informacin
de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad
h)
de las instalaciones DS11.2 Acuerdos de almacenamiento y conservacin DS11.5 Respaldo y restauracin DS11.6 Requerimientos de seguridad para la administracin de datos
restauracin SD 5.2 Administracin de informacin y datos
A.10.5 Respaldo
PS8 - Poltica de proteccin del servicio
4.1 literal g) Identificar y disear puntos de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad 7.1 Planificacin de la realizacin del producto o prestacin del servicio 7.2 Procesos relacionados con el cliente 7.3 Diseo y desarrollo 7.5 Produccin y prestacin del servicio 7.5.1 literal g) Los riesgos de mayor probabilidad
A.10.6 Gestin de la seguridad de las redes A.10.10 Monitoreo A.12.1 Requisitos de seguridad de los sistemas de informacin A.12.5 Seguridad en los procesos de desarrollo y soporte A.12.6 Gestin de la vulnerabilidad tcnica A.13.2 Gestin de los incidentes y las mejoras en la seguridad de la informacin
PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO8.3 Estndares de desarrollo y de adquisicin AI1.2 Reporte de anlisis de riesgos AI2 Adquirir y mantener software aplicativo AI6 Administrar cambios DS2 Administrar los servicios de terceros DS 5 Garantizar la seguridad de los sistemas DS8 Administrar la mesa de servicio y los incidentes
SD 3.6.1 Diseando soluciones y servicios SO 4.1 Administracin de eventos SO 4.2 Administracin de incidentes SO 4.5 Administracin del acceso SD 4.6 Administracin de la seguridad de la informacin SO5.13 Administracin de la seguridad de la informacin y de la operacin de los servicios SO 5.5 Administracin de la red
Pgina 66 de 207
PS8 - Poltica de registro y auditoria
3.1 Autoevaluacin 3.2 Evaluacin independiente 3.3 Planes de mejoramiento
7.5.2 Validacin de los procesos de produccin y de la prestacin del servicio 8 Medicin, anlisis y mejora
A.10.10.1 Registro de auditorias A.10.10.4 Registros del administrador y del operador A.10.10.5 Registro de fallas A.10.10.6 Sincronizacin de relojes
AI2.3 Control y auditabilidad de las aplicaciones DS5.5 Pruebas, vigilancia y monitoreo de la seguridad ME1.2 Definicin y recoleccin de datos de monitoreo ME2.2 Revisiones de Auditoria ME2.5 Aseguramiento del control interno ME4.7 Aseguramiento independiente.
SO 5.1 Monitoreo y control CSI 4.1 Los siete pasos del proceso de mejoramiento del servicio CSI 8 Implementar mejoramiento continuo del servicio
Tabla 11: Relacin de las polticas y objetivos de control del Modelo de seguridad SGSI para la Estrategia de Gobierno en Lnea con las normas y mejores prcticas de la industria.
6.5. Clasificaciones de seguridad del Modelo SGSI

6.5.1. Clasificacin de entidades por grupo o naturaleza del servicio
El Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea, realmente consiste en tres versiones del mismo, ya que las entidades no son similares en sus recursos, criticidad de su informacin y los procesos de negocio, por lo que deben clasificarse en uno de los siguientes grupos que estn categorizados por la naturaleza del servicio que prestan. El Modelo de Seguridad, aplicar una versin distinta en cuanto a los controles recomendados dependiendo del grupo al que pertenezca la entidad. Los siguientes son los grupos en los que se dividen las entidades destinatarias segn su naturaleza del servicio:
Pgina 67 de 207
GRUPO 1
Cafs Internet, Telecentros y Compartel
GRUPO 2
Entidades pblicas de orden nacional y territorial
GRUPO 3
Entidades privadas que pertenezcan a la cadena de prestacin de servicios de Gobierno en Lnea (como los ISP).
Tabla 12: Clasificacin de grupos segn la naturaleza de la entidad. El Modelo de seguridad SGSI propuesto para la Estrategia de Gobierno en Lnea, se presenta a las entidades destinatarias en forma de polticas, objetivos de control y controles recomendados para su implementacin y mejoramiento. Las Polticas y objetivos de control, dado que son estratgicos y de alto nivel, sern los mismos para todo el universo de entidades independiente del grupo al que pertenezcan; los controles recomendados, si dependern de la clasificacin del grupo, es decir, las entidades del grupo 1 tendrn que cumplir ciertos controles bsicos, las del grupo 2 controles bsicos mas controles adicionales, y las del grupo 3, controles avanzados, asi:
GRUPO 1 Cafs Internet, Telecentros y Compartel
Controles bsicos
GRUPO 2 Entidades pblicas de orden nacional y territorial Controles medios
GRUPO 3 Entidades privadas que pertenezcan a la cadena de prestacin de servicios de Gobierno en Lnea (como los ISP). Controles avanzados
Tabla 13: Clasificacin de controles segn el grupo al que pertenezca la entidad.

Pgina 68 de 207
6.5.2. Niveles de madurez de los controles de seguridad recomendados

Independiente del grupo y de los controles que las entidades deban aplicar, cada control tiene un nivel de madurez en seguridad de la informacin categorizado de 0 a 5, que la entidad deber implementar para evidenciar la mejora contnua del Modelo de seguridad SGSI para la Estrategia de Gobierno en Lnea. El Modelo fija niveles mnimos y ptimos de madurez para obtener los registros de seguridad de la informacin RSI que sern otorgados a las entidades que cumplan con estos niveles requeridos. Ver mayor informacin relacionada con los registros RSI en el numeral 6.5.3. del presente documento. Los niveles de madurez de la seguridad de la informacin de los controles recomendados por el Modelo SGSI, son adaptados del Modelo CMM de CobIT versin 4.017, que los clasifican en los siguientes niveles: Nivel 0 No Existente: No hay polticas, procesos, procedimientos, o controles en seguridad de la informacin. La entidad no reconoce los riesgos en seguridad de la informacin y por ende la necesidad de su tratamiento. Nivel 1 Inicial: La entidad reconoce que los riesgos en seguridad de la informacin deben ser tratados/mitigados. No existen polticas ni procesos estandarizados sino procedimientos o controles particulares aplicados a casos individuales. Nivel 2 Repetible: Se desarrollan procesos y procedimientos en seguridad de la informacin de forma intuitiva. No hay una comunicacin ni entrenamiento formal y la responsabilidad de la seguridad de la informacin recae en el sentido comn de los empleados. Hay una excesiva confianza en el conocimiento de los empleados, por tanto, los errores en seguridad de la informacin son comunes. Nivel 3 Definido: Los procesos y las polticas se definen, documentan y se comunican a travs de un entrenamiento formal. Es obligatorio el cumplimiento de los procesos y las polticas y por tanto, la posibilidad de detectar desviaciones es alta. Los procedimientos por si mismos no son sofisticados pero se formalizan las prcticas existentes. Nivel 4 Administrado: Existen mediciones y monitoreo sobre el cumplimiento de los procedimientos en seguridad de la informacin. Los procedimientos estn bajo constante
17 Ver mayor informacin en www.isaca.org
http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/COBIT_Mapping_Mapping_SEIs_CMM_for_Software_With_COBIT_4_0.htm
Pgina 69 de 207
mejoramiento y proveen buenas automatizadas para la medicin.
practicas.
Normalmente
requiere
de
herramientas
Nivel 5 Optimizado: Los procesos, polticas y controles en seguridad de la informacin se refinan a nivel de buenas prcticas con base en los resultados del mejoramiento continuo y los modelos de madurez de otras empresas. Normalmente se cuenta con herramientas automatizadas que apoyan a la gestin de la seguridad de la informacin. La siguiente ilustracin, muestra la representacin grfica de los modelos de madurez planteados para el Modelo de Seguridad:
Ilustracin 14: CMM Niveles de madurez. CobIT 4.0. IT Governance Institute.
6.5.3. Registro de Seguridad de la Informacin RSI - Graduacin

El Modelo de Seguridad SGSI determina, de igual forma, la graduacin de las entidades destinatarias segn el cumplimiento de los controles recomendados en los niveles de madurez requeridos, es decir, independiente del grupo al que pertenezcan las entidades, podrn ser graduadas18 con registros de
18 Esta graduacin la otorga el CSIRT como una de sus funciones. Para mayor informacin, ver el documento Diseo de un CSIRT Colombiano, numeral 4.3.
Graduacin.
Pgina 70 de 207
seguridad de la informacin RSI en grados 1, 2 o 3, dependiendo de la madurez en la que se encuentren implementados sus controles, as:
Entidades con controles en niveles de madurez 0 y 1: Registro RSI Grado 1, Entidades con controles en niveles de madurez 2 y 3: Registro RSI Grado 2, Entidades con controles en niveles de madurez 4 y 5: Registro RSI Grado 3.
La clasificacin anterior se denomina Graduacin en el Sistema. De tal forma, que si una entidad en RSI 1 madura sus controles a nivel 3, podr ser promocionada a RSI grado 2. As mismo, el sistema contempla la promocin de entidades de RSI 2 a RSI 3 si la madurez de los controles pasa a nivel 4 o superior. Tambin se puede dar el caso que una entidad descuide los controles, por tanto, baje la madurez, y en consecuencia, el sistema lo degrade a un grado RSI inferior o no genere el registro correspondiente. En cuanto a la seguridad de la informacin, se puede hacer un diagnstico de la situacin actual segn el grado RSI de la entidad:
ESTADO DE LA SEGURIDAD DE LA INFORMACIN EN UNA ENTIDAD EN RSI GRADO 1: Se identifican en forma general los activos de la organizacin. Se observan eventos que atentan contra la seguridad de la informacin, los activos y la continuidad del negocio, pero no se le da la debida importancia. Los empleados no tienen conciencia de la seguridad de la informacin (prestan sus claves, dejan sus equipos sin cerrar sesin, etc.). Se responde reactivamente a las amenazas de intrusin, virus, robo de equipos y de informacin.
ESTADO DE LA SEGURIDAD DE LA INFORMACIN EN UNA ENTIDAD EN RSI GRADO 2: Se genera un inventario del hardware y software que hay en la organizacin a partir de la identificacin de los activos.
Pgina 71 de 207
Se identifican riesgos asociados con la informacin, los equipos de cmputo y las aplicaciones, as mismo, se identifican vulnerabilidades por medio de trabajos no peridicos en seguridad informtica (pruebas de vulnerabilidad). Se empiezan a elaborar informes de los incidentes de seguridad ocurridos. Se tienen en cuenta algunos procedimientos de seguridad de la informacin (por ej. creacin de contraseas seguras, administracin segura de usuarios, clasificacin de la informacin, desarrollo seguro de software, etc.) pero an no se han formalizado en los sistemas de gestin documental o de calidad de la organizacin. Se empieza a observar en los empleados una conciencia de la seguridad de la informacin, pero an no demuestran un compromiso con ella. Se disea e implementa el sistema de gestin de seguridad de la informacin SGSI. Se definen las Polticas de Seguridad de la Informacin de la organizacin basadas en la Norma ISO27001 debido a que se incrementa el inters por buscar las causas que originaron la ocurrencia de los eventos que atentaron contra la informacin, los activos y la continuidad del negocio. Se divulgan las Polticas de Seguridad de la Informacin en toda la organizacin. Se crean indicadores y mtricas de seguridad para medir la evolucin y mejora del sistema SGSI. Se realiza la clasificacin de los activos y de la informacin de la entidad los equipos aplicaciones, para as poder dar proteccin adecuada a cada uno de ellos. y
Se cuentan con Planes de continuidad del negocio enfocados nicamente a la infraestructura tecnolgica (DRP Planes de recuperacin ante desastres), no obstante, se dejan de lado los procesos crticos de la organizacin. Se crean planes de accin y de tratamiento del riesgo con responsables y fechas de cumplimiento. Se incluyen dentro de los procesos de negocio de la organizacin, las normas de seguridad de la informacin (por ej. mejores prcticas en centros de cmputo). Se empieza a observar un compromiso de los empleados con la seguridad de la informacin. Se establecen controles y medidas bsicas para disminuir los incidentes y prevenir su ocurrencia en el futuro.
Pgina 72 de 207
Se cuenta con procedimientos que ensean a los empleados informacin y los equipos de cmputo en forma segura. Se monitorea la red de la organizacin, intrusiones, o infecciones de virus. como una
a manejar
la
medida preventiva contra
ESTADO DE LA SEGURIDAD DE LA INFORMACIN EN UNA ENTIDAD EN RSI GRADO 3: Se realizan peridicamente auditorias internas al sistema SGSI. Se crea el comit de seguridad interdisciplinario con el cul se busca tratar temas Seguridad de la Informacin que sean de inters para la organizacin. de
Se analizan los indicadores y mtricas para medir el cumplimiento del sistema SGSI con relacin a las normas internacionales en seguridad de la informacin para establecer si las Polticas de Seguridad de la organizacin (incluyendo los contratos con empleados y terceros), estn siendo acatadas correctamente. Los roles del rea de Seguridad de la informacin estn bien definidos y se lleva un registro de las actividades que realiza cada rol. Se cuenta con Planes de continuidad del negocio (BCP) que contemplan solo los procesos crticos del negocio (los que garantizan la continuidad del mismo), no obstante se dejan otros procesos de la organizacin por fuera. Se implementan los controles de seguridad tcnicos y no tcnicos recomendados en los planes de accin. Se monitorean peridicamente los activos de la organizacin. Se realizan de manera sistemtica pruebas a los controles, para determinar si estn funcionando correctamente. Se hacen simulacros de incidentes de seguridad, para probar la efectividad de los planes BCP DRP y de respuesta a incidentes. Se realizan pruebas a las aplicaciones, para verificar el cumplimiento de los requisitos de seguridad definidos en las polticas y controles de seguridad de la organizacin.
Pgina 73 de 207
Se hacen pruebas de intrusin peridicas a los equipos crticos de la organizacin, para detectar, claves dbiles o fciles de adivinar, y accesos a ciertos sistemas por usuarios no autorizados. El sistema SGSI evoluciona sus indicadores y mtricas de seguridad, evidencia la implementacin de planes de mitigacin del riesgo con la puesta en produccin de controles recomendados y realiza auditorias peridicas de cumplimiento. Los empleados apoyan y informacin en la organizacin. contribuyen al mejoramiento de la seguridad de la
La organizacin aprende continuamente sobre los incidentes de seguridad presentados. Se analizan las recomendaciones arrojadas por las auditorias y consultoras de seguridad de la informacin para que se puedan definir acciones preventivas ms efectivas. Se incluyen todas las reas y procesos de la organizacin crticos), en los planes de continuidad y de respuesta a incidentes. (crticos y no
En el documento Diseo de un CSIRT Colombiano, numeral 10 Presupuesto preliminar de inversin y funcionamiento, se puede obtener mayor informacin con respecto a las condiciones econmicas planteadas para la graduacin de las entidades en el Modelo SGSI segn su grado RSI.
6.5.4. Controles de de Seguridad de la informacin recomendados por Grupo

Dado que las polticas estratgicas de seguridad planteadas en este documento, necesitan ser aplicadas por las entidades destinatarias segn su agrupacin dentro del Modelo de seguridad, se proponen una serie de controles de seguridad de la informacin clasificados en diferentes niveles segn el grupo al que pertenezca la entidad, para lo cual, se ha establecido la siguiente tabla de controles, que sern verificados por cada una de las entidades a travs de la herramienta de auto-evaluacin:
Pgina 74 de 207
6.5.4.1.
Controles para entidades clasificadas en Grupo 1 (Cafs Internet, Telecentros y Compartel):
# Control
1 2 3 4 5
Control
Planeacin Identificacin de la legislacin aplicable Gestin de riesgos Polticas
Descripcin
Elaborar y documentar los planes para mantener y mejorar el servicio Identificar la reglamentacin existente para el servicio ofrecido Elaborar y mantener actualizado un mapa de riesgos Establecer polticas para el uso adecuado de los recursos, proteccin de derechos de autor y proteccin contra pornografa infantil Elaborar y mantener un inventario actualizado de los activos Entrenar al administrador y al personal de apoyo del centro de servicios (caf Internet, Telecentro) en fundamentos bsicos de seguridad. Preparar y comunicar guas bsicas para clientes sobre Internet seguro y uso aceptable de servicios ofrecidos
Inventario de activos Conciencia en seguridad de informacin
7 8 9 10 11 12 13 14 15 16 17
Servicios de suministro Proteger los equipos contra fallas en el suministro de energa Seguridad del Proteger el cableado de energa y de red contra daos cableado Proteccin contra Suministrar equipo apropiado contra incendios incendios Seguridad de oficinas, Tener presente los reglamentos y normas sobre seguridad recintos e instalaciones y salud (por ejemplo, ergonoma en el sitio de trabajo, limpieza) Mantenimiento de los equipos Proteger contra cdigo malicioso Registro de fallas Sincronizacin de relojes Derechos de propiedad intelectual Uso de firewall Estndar de configuracin Programar mantenimiento preventivo y correctivo de los equipos Instalar software antivirus y mantenerlo actualizado Registrar y analizar las fallas de los equipos Sincronizar los relojes de los equipos con la hora establecida en la pgina de la SIC Usar software protegido con las debidas licencias Instalar un firewall personal en cada estacin de trabajo Definir e implementar un estndar para configurar los equipos del centro de servicios de manera que controle la descarga e instalacin de software y los cambios en la configuracin del sistema
18 19
Respaldo
Mantener copias de respaldo de la configuracin de equipos y de la red local Seguridad de oficinas, Tener presente los reglamentos y normas sobre seguridad recintos e instalaciones y salud (por ejemplo, ergonoma en el sitio de trabajo, limpieza)
Pgina 75 de 207
20 21 22 23 24
Monitoreo y control de recursos Administrar parches Control de acceso Acuerdos de servicio
Controlar uso de los recursos del centro de servicios Implementar procedimiento para instalar parches de los sistema operativos Controlar el ingreso y salida de personal Establecer acuerdos de servicio con proveedores (ISP, proveedores de equipos y software, mantenimiento de equipos, etc.). Programar encuestas entre los usuarios para evaluar el servicio
Evaluacin del servicio
Tabla 15: Controles de seguridad recomendados para las entidades del Grupo 1
6.5.4.2.
Controles para entidades clasificadas en Grupo 2 (Entidades pblicas de orden nacional y territorial):
Poltica
Objetivo de Control
# Control
Nombre del Control
Descripcin
Control de Acceso
PS1 PS1.1-PS1.8 AC-1 Poltica y procedimientos de control de acceso Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica de control de acceso formal y documentada, que incluye el propsito, alcance, roles, responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento. (ii) procedimientos formales, documentados para facilitar la implementacin de la poltica de control de acceso y controles asociados.
Pgina 76 de 207
PS1
PS1.1, PS1.7
AC-2
Administracin de Control: La entidad administra las cuentas de cuentas acceso a los sistemas de informacin y servicios de TI e incluye el establecer, activar, modificar, revisar, desactivar y remover cuentas. La entidad revisa las cuentas de los sistemas de informacin segn una frecuencia definida, por lo menos cada 6 meses. Mejoras en el control: (1) La entidad utiliza mecanismos automatizados para apoyar la administracin de cuentas del sistema de informacin y servicios de TI. (2) Se desactivan automticamente las cuentas temporales y de emergencia despus de un periodo de tiempo definido para cada tipo de cuenta. (3) Se desactivan automticamente las cuentas inactivas despus de un perodo de tiempo establecido. (4) La entidad utiliza mecanismos automatizados para auditar las acciones de creacin, modificacin, desactivacin y terminacin de cuentas y notifica a los usuarios en la medida en que se requiera.
PS1
PS1.2
AC-3
Forzar el acceso
Control: Se establecen las autorizaciones asignadas para controlar el acceso al sistema segn la poltica aplicable. Mejoras en el control: (1) Se restringe el acceso a funciones privilegiadas (instaladas en el hardware, software y firmware) y a la informacin de seguridad importante al personal autorizado.
PS1
PS8.1
AC-4
Restringir el flujo de informacin
Control: Se establecen las autorizaciones asignadas para controlar el flujo de informacin dentro del sistema y entre sistemas interconectados de acuerdo con la poltica aplicable.
PS1
PS1.2
AC-5
Segregacin de funciones
Control: Se establece segregacin de funciones a travs de autorizaciones de
Pgina 77 de 207
acceso asignadas.
PS1
PS1.2, PS1.6
AC-6
Principio del mnimo privilegio
Control: Se establece el conjunto de derechos y privilegios ms restrictivo o los accesos mnimos necesarios de los usuarios(o procesos actuando en representacin de los usuarios) para el desempeo de las tareas especficas.
PS1
PS1.8
AC-7
Intentos de login fallidos
Control: Se establece un nmero lmite de intentos de acceso fallidos durante un periodo de tiempo. Automticamente se bloquea la cuenta por sobrepasar el lmite de intentos de acceso fallidos durante un periodo de tiempo definido.
PS1
PS1.8
AC-8
Notificacin de uso del sistema
Control: Se despliega un mensaje de notificacin de uso del sistema antes de autorizar el acceso informando al usuario potencial: (i)que el usuario est accesando un servicio o trmite de Gobierno en Lnea; (ii) el uso del sistema puede ser monitoreado, grabado, y sujeto a auditoria; (iii) que el uso no autorizado del sistema est prohibido y sujeto a accin penal y civil; y (iv) que el uso del sistema indica que hay consenso para monitorear y grabar. El sistema que usa mensajes de notificacin proporciona alertas de privacidad y seguridad apropiadas y permanecen desplegadas en la pantalla hasta que el usuario ingresa al sistema.
PS1
PS1.8
AC-9
Notificacin de logon previos
Control: Se notifica al usuario, la fecha y la hora del ltimo ingreso exitoso, y el nmero de intentos de ingreso fallidos desde el ltimo logon exitoso.
PS1
PS1.8
AC-10
Control de sesiones concurrentes
Control: Se limita el nmero de sesiones concurrentes para cada usuario segn un nmero establecido por la entidad.
Pgina 78 de 207
PS1
PS1.8
AC-11
Bloqueo de la sesin
Control: Despus de un perodo de tiempo de inactividad se bloquea la sesin y se obliga a iniciar una nueva sesin. El bloqueo permanece hasta que el usuario se identifique y autentique nuevamente.
PS1
PS1.8
AC-12
Terminacin de la Control: El sistema de informacin sesin automticamente termina una sesin remota despus de un perodo de tiempo de inactividad establecido por la entidad. Mejoras al control: (1) La terminacin automtica de la sesin aplica para sesiones locales y remotas.
PS1
PS1.1, PS1.2
AC-13
Control: La entidad supervisa y revisa las Supervisin y revisin del actividades de los usuarios con respecto a control de acceso reforzar y usar los controles de acceso del sistema de informacin y servicios de TI. Mejoras al control: (1) Las entidad utiliza mecanismos automatizados para facilitar la revisin de las actividades de los usuarios.
PS1
PS1.1
AC-14
Acciones permitidas sin identificacin o autenticacin
Control: La entidad identifica y documenta las acciones especficas del usuario que pueden ser desarrolladas en el sistema de informacin sin identificacin o autenticacin. Mejoras al control: (1) La entidad permite que se ejecuten algunas acciones sin identificacin o autenticacin slo bajo autorizacin y bajo el principio de necesidad de conocer, es decir, lo mnimo necesario para el cumplimiento de una labor.
PS4
PS4.1, PS4.2
AC-15
Marcacin automatizada
Control: El sistema de informacin marca las salidas de informacin usando convenciones de nombres estndar para identificar instrucciones de divulgacin, manejo o distribucin especial.
Pgina 79 de 207
PS1
PS1.1, PS1.2,PS8.1 AC-17
Acceso remoto
Control: La entidad autoriza, monitorea y controla todos los mtodos de acceso remoto al sistema de informacin. Mejoras al control: (1) La entidad utiliza mecanismos automatizados para facilitar el monitoreo y control de los mtodos de acceso remoto. (2) La entidad utiliza criptografa para proteger la confidencialidad e integridad de las sesiones de acceso remoto. (3) La entidad controla todos los acceso remotos mediante un nmero limitado de puntos de control de acceso administrados. (4) La entidad permite acceso remoto para funciones privilegiadas solo para necesidades operacionales y se documenta y justifica tal acceso en el plan de seguridad del sistema de informacin.
PS1
PS1.1,PS1.2,PS8.1
AC-18
Restricciones de acceso inalmbrico
Control: La entidad: (i) establece restricciones de uso y guas de implementacin para tecnologas inalmbricas y (ii) autoriza, monitorea y controla el acceso inalmbrico al sistema de informacin. Mejoras al control: (1) La entidad utiliza autenticacin y encripcin para proteger el acceso inalmbrico al sistema de informacin. (2) La entidad escanea los puntos de acceso inalmbrico no autorizados con una frecuencia establecida y toma las acciones apropiadas en caso de encontrar tales puntos de acceso.
PS1
PS1.1,PS1.2, PS8.1 AC-19
Control de acceso para dispositivos mviles y porttiles.
Control: La entidad: (i) establece restricciones para el uso y una gua de implementacin para los dispositivos mviles y porttiles; y (ii) autoriza, monitorea y controla el acceso de los dispositivos mviles a los sistemas de informacin.
Pgina 80 de 207
PS1
PS1.1,PS1.2, PS8.1 AC-20
Uso de sistemas de informacin externos
Control: La entidad establece trminos y condiciones para usuarios autorizados al: (i) acceder el sistema de informacin desde un sistema de informacin externo; y (ii) procesar, almacenar y /o transmitir informacin controlada por la organizacin mediante un sistema de informacin externo. Mejoras al control: (1) La entidad prohbe a los usuarios autorizados por el sistema de informacin externo acceder el sistema de informacin interno o procesar, almacenar, o transmitir informacin controlada por la organizacin excepto en situaciones donde la entidad: (i) pueda verificar el empleo de controles de seguridad requeridos en el sistema externo segn lo especificado en la poltica de seguridad de la informacin de la entidad y en el plan de seguridad de sistemas; o (ii) ha aprobado la conexin al sistema de informacin o acuerdos de procesamiento con la entidad que hospeda el sistema de informacin externo.
Identificac in y autenticac in
PS1 PS1.3, PS1.4, PS1.5 IA-1 Poltica y procedimientos de identificacin y autenticacin Control: La entidad desarrolla, divulga y revisa o actualiza peridicamente: (i) una poltica formal, documentada de identificacin y autenticacin que incluye el el propsito, alcance, roles, responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica de identificacin y autenticacin y los controles asociados.
Pgina 81 de 207
PS1
PS1.3, PS1.4,PS1.5 IA-2
Identificacin y autenticacin de usuarios
Control: Se identifican y autentican usuarios nicos (o procesos actuando en nombre de usuarios). Mejoras al control: (1) Se emplea en los sistemas de informacin el factor de autenticacin mltiple nivel 3 o 4 para acceso remoto al sistema, segn la publicacin NIST 800-63. (2) Se emplea en los sistemas de informacin el factor de autenticacin mltiple nivel 3 o 4 para acceso local al sistema, segn la publicacin NIST 800-63. (3) Se emplea en los sistemas de informacin el factor de autenticacin mltiple nivel 4 para acceso remoto al sistema, segn la publicacin NIST 800-63.
PS1
PS1.3, PS1.4,PS1.5 IA-3
Dispositivos de identificacin y autenticacin
Control: Se identifican y autentican los dispositivos especficos antes de establecer una conexin.
PS1
PS1.4,PS1.5,PS1.7
IA-4
Gestin de identificadores
Control: La entidad administra los identificadores de usuario mediante: (i)identificacin nico de usuario; (ii) verificando la identidad de cada usuario; (iii) recibiendo autorizacin para emitir identificador de usuario de un ente oficial aprobado; (iv) entrega del identificador de usuario a la parte interesada; (v) deshabilitar el identificador de usuario despus de un periodo de inactividad y (vi) archivar los identificadores de usuario deshabilitados.
PS1
PS1.4,PS1.5,PS1.7
IA-5
Gestin de autenticadores
Control: La entidad administra los autenticadores de los sistemas de informacin : (i) definiendo un contenido inicial del autenticador; (ii) estableciendo procedimientos administrativos para distribucin del autenticador inicial , en caso de prdida, compromiso o dao del autenticador o para revocar los autenticadores; (iii) cambiar los autenticadores default despus de la instalacin del sistema de informacin ; y (iv)
Pgina 82 de 207
cambiar los autenticadores peridicamente.
PS1
PS1.4,PS1.5
IA-6
Ocultamiento del autenticador
Control: La informacin de autenticacin no es visible durante el proceso de autenticacin para evitar posible acceso no autorizado.
PS1
PS1.4,PS1.5
IA-7
Autenticacin con Control: Se emplean mtodos de mdulo autenticacin que renen los requerimientos criptogrfico de polticas, regulaciones, estndares y guas para autenticar con un mdulo criptogrfico.
Concienci ay entrenami ento

PS4,PS6 PS4.1, AT-1 ,PS7 PS4.2,PS6.1,PS6.2, PS6.3,PS7.1,PS7.2 Poltica y procedimientos en conciencia y entrenamiento en seguridad Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente : (i) una poltica formal y documentada de conciencia y entrenamiento en seguridad de la informacin que incluye el propsito, el alcance, roles, responsabilidades , compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica de conciencia y entrenamiento en seguridad y los controles asociados.
PS4,PS6 PS4.1, AT-2 ,PS7 PS4.2,PS6.1,PS6.2, PS6.3,PS7.1,PS7.2
Conciencia en seguridad
Control: La entidad suministra entrenamiento bsico en conciencia de seguridad a todos los usuarios de los sistemas de informacin (incluyendo administradores y ejecutivos senior) antes de autorizar el acceso al sistema, cuando se requiera por cambios en el sistema o regularmente segn un perodo establecido.
Pgina 83 de 207
PS8
PS8.1
AT-3
Entrenamiento en Control: La entidad identifica al personal que seguridad tiene roles y responsabilidades de seguridad de los sistemas de informacin durante el ciclo de desarrollo del sistema, documenta dichos roles y responsabilidades y suministra apropiado entrenamiento en seguridad de la informacin: (i) antes de autorizar el acceso a los sistemas y antes de ejecutar las funciones asignadas; (ii) cuando se requiera por cambios en el sistema; y (iii) regularmente con una periodicidad establecida.
PS9
PS9.1
AT-4
Registros de entrenamiento en seguridad
Control: La entidad documenta y monitorea las actividades de entrenamiento en seguridad del sistema de informacin incluyendo entrenamiento bsico y especifico.
PS8
PS8.1
AT-5
Contactos con grupos de inters y asociaciones de seguridad
Control: La entidad establece y mantiene contacto con grupos de inters especiales, foros especializados, asociaciones profesionales, grupos de seguridad, profesionales de seguridad y organizaciones similares para mantenerse actualizado con las ltimas prcticas o tcnicas y tecnologas de seguridad y compartir informacin relacionada con seguridad incluyendo amenazas, vulnerabilidades e incidentes.
Auditoria y rendicin de cuentas
Pgina 84 de 207
PS9
PS9.1
AU-1
Poltica y procedimientos de auditoria y rendicin de cuentas
Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de auditoria y rendicin de cuentas que incluye el propsito, alcance, roles y responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica y los controles asociados.
PS9
PS9.1
AU-2
Eventos auditables
Control: Se generan registros de auditoria de los siguientes eventos: Mejoras al control: (1) El sistema de informacin suministra la capacidad de compilar los registros de auditoria a partir de mltiples componentes del sistema en un archivo de auditoria correlacionado con el tiempo. (2) El sistema de informacin provee la capacidad de administrar la seleccin de eventos a ser auditados. (3) La entidad revisa y actualiza peridicamente la lista de eventos auditables de la organizacin.
PS9
PS9.1
AU-3
Contenido de los registros de auditoria
Control: Los registros de auditoria generados por el sistema de informacin contienen la informacin suficiente para establecer qu eventos ocurrieron, las fuentes de los eventos y los consecuencias de los eventos. Mejoras al control: (1) La entidad provee la capacidad de incluir informacin ms detallada en los registros de auditoria para eventos identificados por tipo, ubicacin o sujeto. (2) El sistema de informacin provee la capacidad para administrar centralizadamente el contenido de los registros de auditoria generados por componentes individuales a travs del sistema.
Pgina 85 de 207
PS6,PS9 PS6.2, PS9.1
AU-4
Capacidad de almacenamiento de la auditoria
Control: La entidad asigna suficiente capacidad de almacenamiento para los registros de auditoria y configura la auditoria de manera que se reduzca la probabilidad de que se exceda tal capacidad.
PS9
PS9.1
AU-5
Respuesta a fallas en la auditoria al procesamiento
Control: El sistema de informacin alerta al responsable apropiado en el evento de una falla de procesamiento y ejecuta las posibles acciones siguientes: shutdown, sobre escribe el registro de auditoria ms viejo, para la generacin de los registros de auditoria). Mejoras al control: (1) El sistema de informacin despliega una alerta cuando el volumen de almacenamiento de los registros de auditoria llega a la capacidad mxima definida. (2) El sistema de informacin genera una alerta en tiempo real cuando los eventos de falla de auditoria ocurren.
PS9
PS9.1
AU-6
Monitoreo, anlisis y reporte de auditoria
Control: La entidad revisa y analiza regularmente los registros de auditoria de los sistemas de informacin para obtener indicaciones de actividad no usual o inapropiada, investigar actividad sospechosa o violaciones a la seguridad, reporta hallazgos al personal apropiado y ejecuta las acciones pertinentes. Mejoras al control: (1) La entidad utiliza mecanismos automticos para integrar el monitoreo de auditoria, el anlisis y el reporte en un proceso global para investigacin y respuesta ante actividades sospechosas. (2) La entidad utiliza mecanismos automticos para alertar al personal de seguridad de las actividades inapropiadas o inusuales.
Pgina 86 de 207
PS9
PS9.1
AU-7
Parametrizacin de la auditoria y generacin de reporte
Control: El sistema de informacin permite disminuir los parmetros de auditoria y generar reporte. Mejoras al control: (1) El sistema de informacin provee la capacidad para procesar automticamente los registros de auditoria para eventos de inters basados en criterios seleccionables.
PS9
PS9.1
AU-8
Estampacin electrnica
Control: El sistema de informacin provee estampacin electrnica en la generacin de los registros de auditoria. Mejoras al control: (1) La entidad sincroniza los relojes internos de los sistemas de informacin con una frecuencia establecida.
PS9
PS9.1
AU-9
Proteccin de la informacin de auditoria
Control: Se protege la informacin y las herramientas de auditoria contra acceso no autorizado, modificacin o borrado.
PS9
PS9.1
AU-10
No repudiacin
Control: El sistema de informacin provee la capacidad para determinar si un usuario en particular ejecuta una accin especfica.
PS9
PS9.1
AU-11
Retencin de registros de auditoria
Control: La entidad define un periodo de retencin de los registros de auditoria para proporcionar soporte ante investigaciones de incidentes de seguridad y cumplir con los requerimientos regulatorios de retencin de la informacin organizacional.
Certificaci n, acreditaci n y evaluacio nes de

Pgina 87 de 207
seguridad
PS9
PS9.1
CA-1
Certificacin, acreditacin y seguridad
Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) polticas formales y documentadas de certificacin, acreditacin y evaluacin de seguridad de la informacin que incluye el propsito, alcance, roles y responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de las polticas y sus controles asociados.
PS9
PS9.1
CA-2
Evaluaciones de seguridad
Control: La entidad lleva a cabo evaluacin de los controles de seguridad del sistema de informacin con una frecuencia establecida (por lo menos una vez al ao) para determinar si los controles estn implementados correctamente, son efectivos y producen los resultados deseados con respecto a reunir los requisitos de seguridad para el sistema.
PS9
PS9.1
CA-3
Interfaces del sistema de informacin
Control: La entidad autoriza todas las conexiones del sistema de informacin con otros sistemas externos mediante el uso de acuerdos de conexin a sistemas y monitoreo y control de las conexiones de manera contina.
PS9
PS9.1
CA-4
Certificacin de seguridad
Control: La entidad lleva a cabo una evaluacin de los controles de seguridad en el sistema de informacin para determinar si estn implementados correctamente segn los requisitos de seguridad del sistema. Mejoras al control: (1) La entidad se apoya en una entidad o equipo de certificacin independiente para conducir una evaluacin de los controles de seguridad en el sistema de informacin.
Pgina 88 de 207
PS9
PS9.1
CA-5
Plan de accin y puntos de control
Control: La entidad desarrolla y actualiza un plan de accin y los puntos de control para el sistema de informacin y documenta las acciones de remediacin planeadas, implementadas y evaluadas para corregir las deficiencias encontradas durante la evaluacin de los controles de seguridad y reducir o eliminar las vulnerabilidades conocidas en el sistema.
PS9
PS9.1
CA-6
Acreditacin de seguridad
Control: La entidad acredita al sistema de informacin antes de su entrada en operacin y actualiza la autorizacin en un periodo establecido o cuando surjan cambios significativos. Un oficial senior de la entidad firma y aprueba la acreditacin de seguridad.
PS9
PS9.1
CA-7
Monitoreo continuo
Control: La entidad monitorea los controles de seguridad en el sistema de informacin de manera peridica.
Administr acin de la configura cin

PS8 PS8.1 CM-1 Poltica y procedimientos de administracin de configuracin Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de administracin de la configuracin e incluye el propsito, alcance, roles, responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica y los controles asociados.
Pgina 89 de 207
PS8
PS8.1
CM-2
Configuracin bsica
Control: La entidad desarrolla, documenta y mantiene una configuracin bsica del sistema de informacin. Mejoras al control: (1) La entidad actualiza la configuracin bsica del sistema de informacin con parte integral de la instalacin de los componentes del sistema de informacin. (2) La entidad utiliza mecanismos automticos para mantener actualizada, completa, exacta y disponible la configuracin bsica del sistema de informacin.
PS8
PS8.1
CM-3
Control de cambios a la configuracin
Control: La entidad autoriza, documenta y controla los cambios al sistema de informacin. Mejoras al control: (1) Le entidad utiliza mecanismos automticos para: (i) documentar los cambios propuestos al sistema de informacin; (ii) notificar a la administracin responsable de aprobacin apropiada; (iii) Alertar sobre las aprobaciones que no se han recibido de manera oportuna; (iv) posponer los cambios hasta que se reciban las aprobaciones necesarias; y (v) documentar los cambios al sistema de informacin.
PS8
PS8.1
CM-4
Monitorear los cambios a la configuracin
Control: La entidad monitorea los cambios al sistema de informacin y conduce un anlisis de impacto a la seguridad para determinar los efectos de los cambios.
PS8
PS8.1
CM-5
Restricciones de acceso para cambios
Control: La entidad: (i) aprueba los privilegios de acceso individuales y establece restricciones de acceso lgico y fsico asociados con cambios al sistema de informacin; y (ii) genera, retiene y revisa los registros que reflejan todos los cambios. Mejoras al control: (1) La entidad utiliza mecanismos automticos para forzar restricciones de acceso y soportar la auditoria de las acciones.
Pgina 90 de 207
PS8
PS8.1
CM-6
Estndares de configuracin
Control: La entidad (i) establece estndares de configuracin obligatorios para los productos de TI utilizados en el sistema de informacin; (ii) configura los estndares de seguridad al modo mas restrictivo posible segn los requisitos operacionales; (iii) documenta los estndares de configuracin; y (iv) forza los estndares de configuracin en todos los componentes del sistema de informacin. Mejoras al control: (1) La entidad utiliza mecanismos automticos para administrar centralizadamente, aplicar y verificar los estndares de configuracin.
PS8
PS8.1
CM-7
Mnima funcionalidad
Control: La entidad configura el sistema de informacin para proveer solo las capacidades esenciales y prohbe o restringe el uso de funciones, puertos, protocolos, y o servicios adicionales. Mejoras al control: (1) Le entidad revisa peridicamente el sistema de informacin para identificar y eliminar funciones, puertos, protocolos, y o servicios innecesarios.
PS8
PS8.1
CM-8
Inventario de componentes del sistema de informacin
Control: La entidad desarrolla, documenta y mantiene un inventario actualizado de los componentes del sistema de informacin y la informacin relevante de los dueos. Mejoras al control: (1) La entidad actualiza el inventario de los componentes del sistema de informacin como parte de las instalaciones de los componentes del sistema. (2) La entidad utiliza mecanismos automticos para ayudar a mantener actualizado, completo, exacto y disponible el inventario de componentes del sistema de informacin.
Plan de contingen
Pgina 91 de 207
cias
PS6
PS6.1, PS6.2, PS6.3
CP-1
Poltica y procedimientos del plan de contingencias
Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de planeacin de contingencias que incluye el propsito, alcance, roles, responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica del plan de contingencia y los controles asociados.
PS6
PS6.3
CP-2
Plan de contingencias
Control: La entidad desarrolla e implementa un plan de contingencias para el sistema de informacin que incluye roles y responsabilidades, personal asignado con informacin de contacto y actividades asociadas con la restauracin del sistema despus de una interrupcin o falla. Se nombra a los coordinadores del plan dentro de la entidad encargados de revisar y aprobar el plan y distribuir las copias al personal clave de contingencias. Mejoras al control: (1) La entidad coordina el desarrollo del plan de contingencias con las reas responsables de los planes relacionados. (2) La entidad conduce una planeacin de la capacidad de manera que se asegure la existencia de la capacidad necesaria para el procesamiento de la informacin, las telecomunicaciones y el soporte ambiental durante las situaciones de crisis.
Pgina 92 de 207
PS6
PS6.3
CP-3
Entrenamiento en Control: La entidad entrena al personal en contingencias los roles y responsabilidades de contingencia con relacin al sistema de informacin y provee capacitacin por lo menos anualmente. Mejoras al control: (1) La entidad incorpora eventos simulados en entrenamiento de contingencias para facilitar respuesta efectiva por el personal en situaciones de crisis. (2) La entidad utiliza mecanismos automticos para proveer un ambiente de entrenamiento ms real.
PS6
PS6.3
CP-4
Pruebas y simulacros del plan de contingencias
Control: La entidad: (i) prueba y /o realiza simulacros del plan de contingencias para el sistema de informacin por lo menos anualmente. y (ii) revisa los resultados de las pruebas al plan y las acciones correctivas pertinentes. Mejoras al control: (1) La entidad coordina las pruebas al plan de contingencias con el personal de las reas responsables por los planes relacionados. Ejemplos de planes relacionados son: los planes de continuidad de negocio, plan de recuperacin de desastres, plan de continuidad de las operaciones, plan de recuperacin del negocio, plan de respuesta a incidentes y plan de accin de emergencias. (2) La entidad prueba el plan de contingencias en un sitio de procesamiento alterno para familiarizar al personal de contingencias con las instalaciones y los recursos disponibles y evaluar las capacidades del sitio para soportar las operaciones de contingencia. (3) La entidad emplea mecanismos automticos para realizar pruebas efectivas al plan de contingencias y proveer un cubrimiento ms completo a los ambientes y escenarios de pruebas.
Pgina 93 de 207
PS6
PS6.3
CP-5
Actualizacin del plan de contingencias
Control: La entidad revisa el plan de contingencias para el sistema de informacin por lo menos anualmente para incluir los cambios al sistema o cambios en la organizacin o problemas encontrados durante la implementacin, ejecucin o pruebas al plan.
PS6
PS6.3
CP-6
Sitio de almacenamiento alterno
Control: La entidad identifica un sitio de almacenamiento alterno e inicia los acuerdos necesarios para permitir almacenamiento de los backups del sistema de informacin. Mejoras al control: (1) La entidad identifica un sitio de almacenamiento alterno que est geogrficamente separado del sitio de almacenamiento primario de manera que no est expuesto a las mismas amenazas. (2) La entidad configura el sitio de almacenamiento alterno para facilitar la oportuna y efectiva operacin de recuperacin. (3) La entidad identifica problemas potenciales de acceso al sitio de almacenamiento alterno en el evento de una interrupcin o desastre y define acciones de mitigacin.
Pgina 94 de 207
PS6
PS6.3
CP-7
Sitio de procesamiento alterno
Control: La entidad identifica un sitio de procesamiento alterno e inicia los acuerdos necesarios para permitir la restauracin de las operaciones del sistema de informacin para las funciones de misin crtica dentro de un periodo establecido cuando la capacidad primaria de procesamiento no est disponible. Mejoras al control: (1) La entidad identifica un sitio de procesamiento alterno que est geogrficamente separado del sito de procesamiento primario de manera que no est expuesto a las mismas amenazas. (2) La entidad identifica problemas potenciales de acceso al sitio de procesamiento alterno en el evento de una interrupcin o desastre y establece las acciones de mitigacin. (3) La entidad desarrolla acuerdos para el sitio de procesamiento alterno que contienen prioridad en la provisin del servicio de acuerdo con los requisitos de disponibilidad de la entidad. (4) La entidad realiza una configuracin completa del sitio de procesamiento alterno de manera que est listo para ser usado como el sitio de soporte operacional segn la mnima capacidad operacional requerida.
Pgina 95 de 207
PS6
PS6.1,PS6.2
CP-8
Servicios de telecomunicacion es
Control: La entidad identifica servicios de telecomunicaciones primarias y alternas para soportar el sistema de informacin y los acuerdos necesarios para restaurar las operaciones para las funciones de misin crtica en un periodo definido cuando la capacidad de las telecomunicaciones primarias no est disponible. Mejoras al control: (1) La entidad desarrolla acuerdos de servicios de telecomunicaciones primarios y alternos que priorizan la provisin del servicio de acuerdo con los requisitos de disponibilidad de la entidad. (2) La entidad obtiene servicios de comunicacin alterna que no comparten el mismo punto de falla con los servicios de telecomunicaciones primarias. (3) La entidad acuerda con los proveedores de servicios de telecomunicaciones alterno de manera que estn separados suficientemente de los proveedores de servicio de telecomunicaciones primario de manera que no estn expuestos a las mismas amenazas. (4) La entidad solicita a los proveedores de servicio de telecomunicaciones primaria y alterna que tengan planes de contingencia apropiados.
Pgina 96 de 207
PS6
PS6.3
CP-9
Backup del sistema de informacin
Control: La entidad realiza backup peridicos a nivel del usuario y a nivel del sistema y protege la informacin de backups en el sitio de almacenamiento. Mejoras al control: (1) La entidad prueba peridicamente las copias para verificar la confiabilidad de la media y la integridad de la informacin almacenada. (2) La entidad utiliza selectivamente los backups en la restauracin de las funciones del sistema de informacin como parte de las pruebas al plan de contingencias. (3) La entidad almacena las copias del backup del sistema operacional y otros sistemas de informacin crticos en un ambiente separado o en un contenedor independiente del software operacional. (4) La entidad protege los backups de modificacin no autorizada.
PS6
PS6.3
CP-10
Recuperacin del sistema de informacin
Control: La entidad utiliza mecanismos con procedimientos de soporte que permitan recuperar el sistema de informacin y sea restablecido a un estado conocido seguro despus de la interrupcin o falla. Mejoras al control: (1) La entidad incluye una restauracin completa y restablecimiento del sistema de informacin como parte de las pruebas al plan de contingencias.
Respuesta a incidentes
Pgina 97 de 207
PS8
PS8.1
IR-1
Poltica y procedimientos de respuesta a incidentes
Control: La entidad, desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de respuesta a incidentes que incluye el propsito, roles, responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica de respuesta a incidentes y los controles asociados.
PS8
PS8.1
IR-2
Entrenamiento en Control: La entidad entrena al personal en respuesta a los roles y responsabilidades de respuesta a incidentes incidentes con respecto al sistema de informacin y provee re entrenamiento con una periodicidad establecida. Mejoras al control: (1) Las entidad incorpora simulacin de eventos en el entrenamiento de respuesta a incidentes para facilitar una respuesta efectiva del personal en situaciones de crisis. (2) La entidad utiliza mecanismos automatizados para proveer un ambiente de entrenamiento ms ajustado a la realidad.
PS8
PS8.1
IR-3
Pruebas y simulacros de respuesta a incidentes
Control: La entidad prueba peridicamente (por lo menos una vez al ao), la capacidad de respuesta a incidentes del sistema de informacin para determinar la efectividad de la respuesta al incidente y documenta los resultados. Mejoras al control: (1) La entidad utiliza mecanismos automticos para probar la capacidad de respuesta a los incidentes.
Pgina 98 de 207
PS8
PS8.1
IR-4
Manejo de incidentes
Control: La entidad implementa una capacidad de manejo de incidentes para incidentes de seguridad de manera que incluya: preparacin, deteccin, anlisis, contencin, erradicacin y recuperacin. Mejoras al control: (1) La entidad emplea mecanismos automticos para apoyar el proceso de manejo de incidentes.
PS8
PS8.1
IR-5
Monitoreo de incidentes
Control: La entidad registra y documenta los incidentes de seguridad de la informacin de manera continua. Mejoras al control: (1) La entidad utiliza mecanismos automticos para apoyar en el registro de los incidentes de seguridad y en la coleccin y anlisis de la informacin del incidente.
PS8
PS8.1
IR-6
Reporte de incidentes
Control: La entidad dispone de un funcin de soporte de respuesta a incidentes que presta soporte y asistencia a los usuarios del sistema de informacin para el reporte y manejo de los incidentes de seguridad. Mejoras al control: (1) La entidad emplea mecanismos automticos para incrementar la disponibilidad de la informacin de respuesta a incidentes relacionados y el soporte.
PS8
PS8.1
IR-7
Asistencia en respuesta a incidentes
Control: La entidad reporta oportunamente la informacin del incidente a los niveles apropiados. Mejoras al control: (1) La entidad utiliza mecanismos automticos para incrementar la disponibilidad de la informacin de respuesta a incidentes relacionados y el soporte.
Mantenimi
Pgina 99 de 207
ento
PS6,PS8 PS6.2,PS8.1 MA-1 Control: La entidad desarrolla, divulga, revisa Poltica y procedimientos y actualiza peridicamente: (i) una poltica de mantenimiento formal y documentada de mantenimiento del sistema de informacin que incluye el propsito, alcance, roles, responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica de mantenimiento del sistema de informacin y los controles relacionados.
PS6,PS8 PS6.2,PS8.1
MA-2
Mantenimiento controlado
Control: La entidad programa, desarrolla, documenta, y revisa los registros de las rutinas de mantenimiento preventivo y correctivo de los componentes del sistema de informacin segn las especificaciones del fabricante o vendedor y los requisitos de la entidad. Mejoras al control: (1) La entidad mantiene registros de mantenimiento para el sistema de informacin que incluyen: (i) fecha y hora del mantenimiento; (ii) nombre de quien realiza el mantenimiento; (iii) nombre de quien lo escolta, si aplica; (iv) una descripcin del mantenimiento realizado; y (v) una lista de equipos retirados o reemplazados (incluyendo nmero de identificacin si aplica). (2) La entidad utiliza mecanismos automticos para programar y conducir el mantenimiento requerido y mantener actualizados, exactos, completos y disponibles los registros de todas las acciones de mantenimiento realizadas.
Pgina 100 de 207
PS6,PS8 PS6.2,PS8.1
MA-3
Herramientas de mantenimiento
Control: La entidad aprueba, controla y monitorea el uso de las herramientas de mantenimiento del sistema de informacin de manera continua. Mejoras al control: (1) La entidad inspecciona todas las herramientas de mantenimiento que estn bajo custodia del personal de mantenimiento para identificar modificacin inapropiada. (2) La entidad chequea contra cdigo malicioso todos los programas de prueba y diagnstico antes de ser utilizados para el mantenimiento del sistema. (3) La entidad chequea todo el equipo en mantenimiento y su capacidad de retencin de informacin de manera que la informacin de la empresa sea saneada; si el equipo no puede ser saneado, ste permanece en las instalaciones o es destruido a menos que haya una autorizacin expresa de no hacerlo. (4) La entidad emplea mecanismos automticos para restringir el uso de herramientas de mantenimiento slo al personal autorizado.
Pgina 101 de 207
PS6,PS8 PS6.2,PS8.1
MA-4
Mantenimiento remoto
Control: La entidad autoriza, monitorea y controla las actividades de mantenimiento y diagnstico remotas. Mejoras al control: (1) La entidad audita todas las sesiones de mantenimiento y diagnstico remoto y el personal apropiado de la entidad revisa los registros de mantenimiento de las sesiones remotas. (2) La entidad incluye la instalacin y uso de mantenimiento remoto y links de diagnstico en el plan de seguridad para el sistema de informacin. (3) La entidad no permite servicios de mantenimiento o diagnostico remoto de un proveedor de servicios que no implemente en su propio sistema de informacin un nivel de seguridad igual o superior al implementado en el sistema de informacin sujeto a mantenimiento, a menos que los componentes del sistema de informacin que contengan informacin organizacional sean removidos o saneados(eliminar informacin organizacional y cheque de software malicioso) antes de la ejecucin del servicio y sean saneados antes de ser reconectados al sistema de informacin.
PS6
PS6.2,PS8.1
MA-5
Personal de mantenimiento
Control: La entidad solo permite que el personal autorizado realice el mantenimiento al sistema de informacin.
PS6
PS6.2
MA-6
Mantenimiento oportuno
Control: La entidad establece acuerdos con el proveedor para el mantenimiento y reemplazo de las componentes del sistema en un perodo de tiempo establecido.
Protecci n de los medios
Pgina 102 de 207
PS4
PS4.2
MP-1
Poltica y procedimientos de proteccin de los medios
Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada que incluya el propsito, alcance, roles, responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica de proteccin de los medios y los controles relacionados.
PS4
PS4.2
MP-2
Acceso a los medios
Control: La entidad restringe el acceso a los medios del sistema de informacin a personal autorizado. Mejoras al control: (1) La entidad utiliza mecanismos automticos para restringir el acceso a las reas de almacenamiento de los medios y audita los intentos de acceso y los accesos otorgados.
PS4
PS4.2
MP-3
Etiquetado de los medios
Control: La entidad : (i) coloca etiquetas externas para los medios removibles del sistema de informacin y la informacin de salida indicando limitaciones en la distribucin, en el manejo de advertencias y marcas de seguridad si aplica; y (ii)una lista de tipos de medios o hardware exento de etiquetas mientras permanecen en un ambiente protegido.
PS4
PS4.2
MP-4
Almacenamiento de los medios
Control: La entidad controla fsicamente y almacena seguramente los medios del sistema de informacin dentro de reas controladas.
Pgina 103 de 207
PS4
PS4.1,PS4.2
MP-5
Transporte de los medios
Control: La entidad protege y controla los medios del sistema de informacin durante el transporte fuera de las reas controladas y restringe las actividades relacionadas con el transporte de los medios slo al personal autorizado. Mejoras al control: (1) La entidad protege los medios durante el transporte fueras de las reas controladas utilizando mecanismos tales como: contenedores asegurados, o mecanismos de criptografa. (2) La entidad documenta las actividades asociadas con el transporte de los medios del sistema de informacin. (3) La entidad utiliza un custodio identificado para las actividades de transporte de los medios del sistema de informacin.
PS4
PS4.2
MP-6
Control: La entidad sanea los medios del Saneamiento y eliminacin de los sistema de informacin antes de su medios eliminacin o reutilizacin. Mejoras al control: (1) La entidad registra, documenta y verifica las acciones de saneamiento y eliminacin de los medios. (2) La entidad prueba peridicamente el saneamiento de los equipos y los procedimientos para verificar su correcto desempeo.
Protecci n fsica y ambiental
Pgina 104 de 207
PS6
PS6.3
PE-1
Poltica y procedimientos de proteccin fsica y ambiental
Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de proteccin fsica y ambiental que incluye el propsito, alcance, roles, responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica de proteccin fsica y ambiental y los controles relacionados.
PS4,PS8 PS4.2,PS8.1
PE-2
Autorizacin de acceso fsico
Control: La entidad desarrolla y mantiene una lista actualizada del personal con autorizacin de acceso a las instalaciones donde reside el sistema de informacin y de las credenciales de autorizacin. Los oficiales de seguridad autorizados revisan y aprueban las listas de acceso y las credenciales de autorizacin.
PS4,PS5 PS4.2,PS5.2,PS8.1 ,PS8
PE-3
Control de acceso Control: La entidad controla todos los puntos fsico de acceso fsico a las instalaciones donde reside el sistema de informacin y verifica las autorizaciones individuales antes de otorgar el acceso a las instalaciones. Mejoras al control: (1) La entidad controla el acceso fsico al sistema de informacin independiente de los controles de acceso fsico a las instalaciones.
PS4,PS5 PS4.1,PS5.1, PS8.1 PE-4 ,PS8
Control de acceso Control: La entidad controla el acceso fsico al medio de a las lneas de transmisin y distribucin de transmisin datos del sistema de informacin dentro de las instalaciones de la entidad.
PE-5
Control de acceso Control: La entidad controla el acceso fsico al medio de a los dispositivos que despliegan informacin despliegue. del Sistema para prevenir que personas no autorizadas observen el despliegue de las salidas.
Pgina 105 de 207
PS4,PS5 PS4.2,PS5.3
PE-6
Monitoreo de acceso fsico
Control: La entidad monitorea el acceso fsico al sistema de informacin para detectar y responder a incidentes de seguridad fsica. Mejoras al control: (1) La entidad monitorea alarmas de intrusin fsica en tiempo real y equipos de vigilancia. (2) La entidad emplea mecanismos automticos para reconocer intrusiones potenciales e iniciar acciones de respuesta apropiadas.
PS4,PS5 PS4.2,PS5.3
PE-7
Control de visitantes
Control: La entidad controla el acceso fsico al sistema de informacin autenticando a los visitantes antes de autorizar el acceso a las instalaciones controladas donde reside el sistema de informacin. Mejoras al control: (1) La entidad escolta a los visitantes y monitorea las actividades de estos cuando se requiera.
PS4,PS5 PS4.2,PS5.3
PE-8
Registros de acceso
Control: La entidad mantiene registros de acceso de visitantes a las instalaciones controladas donde reside el sistema de informacin que incluyen: (i) nombre y empresa del visitante; (ii) firma del visitante; (iii) forma de identificacin; (iv) fecha de acceso; (v) hora de entrada y salida; (vi) propsito de la visita; y (vii) nombre y empresa de la persona visitada. Las personas designadas revisan peridicamente los registros de acceso de los visitantes. Mejoras al control: (1) La entidad emplea mecanismos automticos para facilitar el mantenimiento y revisin de los registros de acceso. (2) La entidad mantiene un registro del acceso fsico de visitantes y personal autorizado.
PS6
PS6.3
PE-9
Equipo de suministro de energa y cableado de energa.
Control: La entidad protege el equipo de suministro de energa y el cableado de energa para el sistema de informacin contra dao y destruccin.
Pgina 106 de 207
PS6
PS6.2
PE-10
Apagado de emergencia
Control: La entidad provee capacidad de apagado remoto de cualquier componente del sistema de informacin que pueda estar funcionando incorrectamente o est amenazado. Mejoras al control: (1) La entidad protege la capacidad de apagado de emergencia de activacin accidental o no autorizada.
PS6
PS6.2
PE-11
Suministro alterno Control: La entidad dispone de una UPS para de energa facilitar el apagado ordenado del sistema de informacin en el evento de una prdida de la fuente primaria de energa. Mejoras al control: (1) La entidad dispone de una fuente alterna de energa de larga duracin para el sistema de informacin que permita una capacidad mnima operacional requerida en el evento de una prdida prolongada de la fuente primaria de energa.
PS6
PS6.2
PE-12
Luces de emergencia
Control: La entidad utiliza y mantiene un sistema automtico de luces de emergencia que se activan en el evento de una interrupcin de energa y cubre salidas de emergencia y rutas de evacuacin.
Pgina 107 de 207
PS6
PE6.3
PE-13
Proteccin contra incendios
Control: La entidad utiliza y mantiene sistemas de deteccin y extincin de incendios que pueden ser activados en caso de incendio. Mejoras al control: (1) La entidad utiliza sistemas de deteccin de fuego que se activan automticamente y notifican a la entidad y al equipo de respuesta a emergencias. (2) La entidad utiliza sistemas de extincin de incendios que suministran notificacin automtica de cualquier activacin a la entidad y al equipo de respuesta a emergencias. (3) La entidad dispone de capacidad automtica de extincin de incendios en las instalaciones donde no hay frecuente disponibilidad de personal.
PS6
PE6.3
PE-14
Controles de humedad y temperatura
Control: La entidad monitorea y mantiene dentro de niveles aceptables la temperatura y humedad dentro de las instalaciones donde reside el sistema de informacin.
PS6
PE6.3
PE-15
Proteccin contra fugas de agua
Control: La entidad protege el sistema de informacin contra daos ocasionados por el agua resultante de tuberas rotas u otras fuentes de escape de agua manteniendo vlvulas maestras que son accesibles, trabajan adecuadamente y son conocidas por el personal clave. Mejoras al control: (1) La entidad utiliza mecanismos automticos que protegen el sistema de informacin de daos ocasionados por fugas de agua significativas.
PS4
PS4.2
PE-16
Ingreso y retiro
Control: La entidad autoriza y controla el ingreso y salida de los tems relacionados con el sistema de informacin dentro de las instalaciones y mantiene registros apropiados de dichos eventos.
Pgina 108 de 207
PS6
PS6.3
PE-17
Sitio de trabajo alterno
Control: La entidad mantiene controles administrativos, operacionales y tcnicos del sistema de informacin en el sitio alterno.
PS6
PS6.3
PE-18
Ubicacin de los componentes del sistema de informacin
Control: La entidad ubica de manera segura los componentes del sistema de informacin para minimizar el dao potencial de amenazas fsicas y ambientales y acceso no autorizado. Mejoras al control: (1) La entidad planea las condiciones de seguridad del sitio de ubicacin del sistema de informacin considerando las amenazas fsicas y ambientales y actualiza su estrategia de mitigacin del riesgo.
Planeaci n
PS1-PS9 PS1.1 - PS9.1 PL-1 Poltica y procedimientos de planeacin de la seguridad Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de planeacin de la seguridad que incluye el propsito, alcance, roles , responsabilidades, compromiso de la administracin, coordinacin entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica y los controles relacionados.
PS1-PS9 PS1.1 - PS9.1
PL-2
Plan de seguridad Control: La entidad desarrolla e implementa del sistema un plan de seguridad para el sistema de informacin que incluye una revisin de los requisitos de seguridad para el sistema y una descripcin de los controles de seguridad implementados o planeados para reunir los requerimientos. Nombra al personal encargado de revisar y aprobar el plan.
Pgina 109 de 207
PS1-PS9 PS1.1 - PS9.1
PL-3
Actualizacin del Control: La entidad revisa por lo menos plan de seguridad anualmente, el plan de seguridad del sistema de informacin para identificar necesidades de cambio organizacional o del sistema durante la implementacin del plan o en las evaluaciones de seguridad.
PS1
PS1.1
PL-4
Reglas de comportamiento
Control: La entidad establece y divulga un conjunto de reglas que describen las responsabilidades y comportamiento esperado con relacin a la informacin y al uso del sistema de informacin. Los usuarios firman un documento de compromiso que indica que han ledo, que entienden y que estn de acuerdo con las reglas de comportamiento antes de autorizar el acceso al sistema de informacin.
PS4
PS4.1,PS4.2
PL-5
Evaluacin del impacto a la privacidad
Control: La entidad lleva a cabo una evaluacin del impacto a la privacidad en el sistema de informacin segn la ley de habeas data (Ley 1266 31 diciembre de 2008)
PS8
PS8.1
PL-6
Planeacin de las actividades relacionadas con la seguridad
Control: La entidad planea y coordina las actividades relacionadas con la seguridad que afectan el sistema de informacin antes de ejecutar dichas actividades con el fin de reducir el impacto en las operaciones, en los activos de informacin y en las personas.
Seguridad del personal
Pgina 110 de 207
PS1-PS9 PS1.1 - PS9.1
PS-1
Poltica y procedimientos para seguridad del personal
Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de seguridad del personal que incluye: propsito, alcance, roles, responsabilidades, compromiso de la administracin, coordinacin entre reas organizacionales, y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica de seguridad del personal y los controles relacionados.
PS1-PS9 PS1.1 - PS9.1
PS-2
Categorizacin del cargo
Control: La entidad define riesgos de los cargos y establece criterios para la seleccin y contratacin del personal para dichos cargos. La entidad revisa dichos cargos con una frecuencia establecida.
PS1-PS9 PS1.1 - PS9.1
PS-3
Verificacin del personal
Control: La entidad realiza revisiones de verificacin del personal que requiere acceso a la informacin empresarial y a los sistemas de informacin antes de autorizar el acceso.
PS1-PS9 PS1.1 - PS9.1
PS-4
Terminacin del contrato laboral
Control: La entidad retira el acceso a los sistemas de informacin antes de la terminacin del contrato laboral, realiza entrevistas de retiro, gestiona la devolucin de activos y autoriza al personal apropiado para revisar los registros creados en el sistema de informacin por parte del personal que se retira.
PS1-PS9 PS1.1 - PS9.1
PS-5
Transferencia del personal
Control: La entidad revisa las autorizaciones de acceso al sistema de informacin cada vez que se presenta una reasignacin o transferencia del personal a otro cargo.
PS1-PS9 PS1.1 - PS9.1
PS-6
Acuerdos de confidencialidad
Control: La entidad establece acuerdos de confidencialidad firmados por los usuarios que requieren acceder la informacin organizacional y los sistemas de informacin antes de autorizar su acceso y efecta revisiones peridicas a dichos acuerdos.
Pgina 111 de 207
PS1-PS9 PS1.1 - PS9.1
PS-7
Seguridad del personal de terceras partes
Control: La entidad establece requerimientos de seguridad del personal incluyendo roles y responsabilidades para contratistas y proveedores y monitorea su cumplimiento.
PS1-PS9 PS1.1 - PS9.1
PS-8
Sanciones al personal
Control: La entidad adopta un proceso disciplinario formal para el personal que viole el cumplimiento de las polticas y procedimientos de seguridad de la informacin.
Evaluaci n del riesgo

PS1-PS9 PS1.1 - PS9.1 RA-1 Poltica y procedimientos de evaluacin del riesgo Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de evaluacin del riesgo que incluya el propsito, alcance, roles, responsabilidades, compromiso de la gerencia, coordinacin entre reas organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica de evaluacin del riesgo y los controles relacionados.
PS1-PS9 PS1.1 - PS9.1
RA-2
Categoras de seguridad
Control: La entidad categoriza el sistema de informacin y la informacin procesada, almacenada o transmitida por el sistema de acuerdo con la reglamentacin, polticas, estndares y guas aplicables y documenta los resultados en el plan de seguridad del sistema. Designa a personal apropiado para revisar las categoras de seguridad.
PS1-PS9 PS1.1 - PS9.1
RA-3
Evaluacin del riesgo
Control: La entidad realiza evaluaciones del riesgo y anlisis de impacto del dao resultante de acceso, uso, revelacin, interrupcin, modificacin, destruccin no autorizada de la informacin y de los sistemas de informacin que soportan los servicios de
Pgina 112 de 207
gobierno en lnea.
PS1-PS9 PS1.1 - PS9.1
RA-4
Actualizacin de la evaluacin del riesgo
Control: La entidad revisa peridicamente la evaluacin de riesgos o siempre que se efecten cambios significativos en los sistemas de informacin, las instalaciones donde reside el sistema o que existan otras condiciones que pueden impactar la seguridad o el estado de acreditacin del sistema.
PS8
PS8.1
RA-5
Escaneo de vulnerabilidades
Control: La entidad escanea peridicamente las vulnerabilidades del sistema de informacin o siempre que se identifiquen y reporten nuevas amenazas que puedan impactar el sistema. Mejoras al control: (1) La entidad utiliza herramientas de escaneo de vulnerabilidades que incluyen capacidad para actualizar la lista de vulnerabilidades escaneadas. (2) La entidad actualiza peridicamente la lista de vulnerabilidades escaneadas o cuando nuevas vulnerabilidades son identificadas y reportadas. (3) La entidad implementa procedimientos de escaneo de vulnerabilidades que pueden demostrar la cobertura y profundidad del escaneo incluyendo el checkeo de vulnerabilidades a los componentes de sistema de informacin.
Adquisici n de sistemas y servicios
Pgina 113 de 207
PS1-PS9 PS1.1 - PS9.1
SA-1
Poltica y procedimientos de adquisicin de sistemas y servicios
Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de adquisicin de sistemas y servicios que contempla consideraciones de seguridad de la informacin y que incluye el propsito, alcance, roles, responsabilidades, compromiso de la gerencia, coordinacin entre reas de la entidad y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica de adquisicin de sistemas y servicios y los controles relacionados.
PS1-PS9 PS1.1 - PS9.1
SA-2
Distribucin de recursos
Control: La entidad determina, documenta y distribuye como parte de la planeacin y control de inversiones los recursos requeridos para proteger adecuadamente el sistema de informacin.
PS8
PS8.1
SA-3
Ciclo de vida del soporte
Control: La entidad administra el sistema de informacin adoptando una metodologa para el ciclo de desarrollo de los sistemas de informacin que incluye consideraciones de seguridad de la informacin.
PS1-PS9 PS1.1 - PS9.1
SA-4
Adquisiciones
Control: La entidad incluye las especificaciones de seguridad en los contratos de adquisicin de los sistemas de informacin basados en un proceso de evaluacin del riesgo y conforme a las regulaciones, polticas y estndares aplicables. Mejoras al control: (1) La entidad solicita la documentacin que describa en detalle la funcionalidad de los controles de seguridad del sistema de informacin para permitir analizar y probar dichos controles. (2) La entidad solicita la documentacin detallada del diseo y detalles de implementacin de los controles de seguridad del sistema para permitir analizar y probar dichos controles (incluyendo interfaces entre componentes).
Pgina 114 de 207
PS8
PS8.1
SA-5
Documentacin de los sistemas de informacin
Control: La entidad obtiene, protege y mantiene disponible al personal autorizado la documentacin del sistema de informacin. Mejoras al control: (1) La entidad obtiene adems de las guas del usuario y del administrador, la documentacin detallada de la funcionalidad de los controles de seguridad del sistema de informacin para permitir anlisis y prueba de los controles. (2) La entidad obtiene adems de las guas de usuario y del administrador, la documentacin detallada del diseo de los controles de seguridad del sistema de informacin para permitir anlisis y prueba de los controles.
PS8
PS8.1
SA-6
Restricciones de uso del software
Control: La entidad cumple con las restricciones de uso del software.
PS8
PS8.1
SA-7
Software instalado por los usuarios
Control: La entidad forza al cumplimiento de reglas explicitas que gobiernan la instalacin de software por parte de los usuarios.
PS8
PS8.1
SA-8
Principios de ingeniera de seguridad
Control: La entidad designa e implementa el sistema de informacin utilizando principios de ingeniera de seguridad.
PS8
PS8.1
SA-9
Servicios de desarrollo, mantenimiento y soporte externo del sistema de informacin
Control: La entidad: (i) requiere que los proveedores de servicio adopten controles de seguridad de conformidad con la reglamentacin, polticas y estndares aplicables y segn los ANS establecidos; y (ii) monitoree el cumplimiento de los controles de seguridad.
PS8
PS8.1
SA-10
Administracin de Control: La entidad exige a los la configuracin desarrolladores del sistema de informacin del desarrollador crear e implementar un plan de configuracin que controle los cambios al sistema durante el desarrollo, rastree las fallas de seguridad y documente el plan y su implementacin.
Pgina 115 de 207
PS8
PS8.1
SA-11
Pruebas de seguridad del desarrollador
Control: La entidad exige al desarrollador del sistema crear un plan de evaluacin y pruebas de seguridad, implementar el plan, y documentar los resultados.
Protecci n del sistema y las comunica ciones

PS8 PS8.1 SC-1 Poltica y procedimientos de proteccin del sistema y las comunicaciones Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de proteccin del sistema y las comunicaciones que incluye: el propsito, alcance, roles, responsabilidades, compromiso de la gerencia, coordinacin entre reas de la entidad y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementacin de la poltica de proteccin del sistema y las comunicaciones y los controles relacionados.
PS1,PS8 PS1.2,PS8.1
SC-2
Particionar la aplicacin
Control: Las funciones del usuario y las funciones administrativas del sistema se encuentran separadas en el sistema de informacin.
Pgina 116 de 207
PS1,PS8 PS1.2,PS8.1
SC-3
Aislamiento de la funcin de seguridad
Control: Se aslan en el sistema de informacin las funciones de seguridad de las otras funciones. Mejoras al control: (1) En el sistema de informacin se utilizan mecanismos de separacin del hardware para facilitar el aislamiento de la funcin de seguridad. (2) En el sistema de informacin se aslan las funciones de seguridad crticas (por ejemplo: control de acceso y control del flujo de informacin) de las funciones de seguridad y dems funciones. (3) En el sistema de informacin es mnimo el nmero de funciones que no son de seguridad incluidas en la frontera de aislamiento que contiene las funciones de seguridad. (4) En el sistema de informacin las funciones de seguridad se implementan como mdulos independientes grandes de manera que eviten interacciones innecesarias entre mdulos. (5) En el sistema de informacin se implementan las funciones de seguridad con una estructura de capas de manera que minimice las interacciones entre capas del diseo evitando dependencia funcional de capas ms bajas o correcciones en las capas ms altas.
PS4
PS4.1,PS4.2
SC-4
Revelacin de informacin
Control: el sistema de informacin previene de transferencia no autorizada de informacin a travs de recursos del sistema compartidos.
Pgina 117 de 207
PS6,PS8 PS6.1,PS8.1
SC-5
Proteccin contra denegacin del servicio
Control: El sistema de informacin protege o limita los efectos de los ataques de denegacin. Mejora al control: (1) Se restringe en el sistema de informacin la capacidad de los usuarios para generar ataques de denegacin del servicio contra otros sistemas de informacin o redes. (2) Se gestiona en el sistema el exceso de capacidad, ancho de banda u otra redundancia para limitar los efectos de ataques de denegacin del servicio.
PS8
PS8.1
SC-7
Proteccin de fronteras
Control: En el sistema de informacin se monitorean y controlan las comunicaciones entre las fronteras externas del sistema y las fronteras internas. Mejoras al control: (1) La entidad fsicamente distribuye los componentes del sistema accesibles para separar las subredes de las interfaces de red fsicas. (2) La entidad previene de acceso pblico en las redes internas de la entidad con excepciones plenamente justificadas. (3) La entidad limita el nmero de puntos de acceso al sistema de informacin para permitir un mejor monitoreo del trfico entrante y saliente de la red. (4) La entidad implementa una interfase administrada a travs de un servicio de telecomunicaciones externas, implementando controles apropiados para proteger la integridad y la confidencialidad de la informacin a ser transmitida. (5) El sistema de informacin restringe el trfico de red por default y permite el trfico de red por excepcin. (6) La entidad previene de la salida no autorizada de informacin fuera de las fronteras del sistema de informacin cuando existe una falla de los mecanismos de proteccin de fronteras.
Pgina 118 de 207
PS5
PS5.1
SC-8
Integridad de la transmisin
Control: El sistema de informacin protege la integridad de la informacin transmitida. Mejoras al control: (1) La entidad emplea mecanismos criptogrficos para reconocer cambios a la informacin durante la transmisin a menos que existan otros mecanismos fsicos alternos de proteccin.
PS4
PS4.1
SC-9
Confidencialidad de la transmisin
Control: El sistema de informacin protege la confidencialidad de la informacin transmitida. Mejoras al control: (1) La entidad utiliza mecanismos criptogrficos para prevenir de revelacin no autorizada de informacin durante la transmisin a menos que existan mecanismos fsicos alternos de proteccin.
PS8
PS8.1
SC-10
Desconexin de la red
Control: El sistema de informacin finaliza una conexin de red al final de la sesin o despus de un periodo de tiempo de inactividad.
SC-12
Gestin de llaves criptogrficas
Control: La entidad establece y gestiona las llaves criptogrficas mediante mecanismos automticos y la implementacin de procedimientos.
PS4
PS4.2
SC-13
Uso de criptografa
Control: El sistema de informacin implementa mecanismos criptogrficos que cumplen con la reglamentacin, polticas, estndares y guas aplicables.
PS4,PS5 PS4.2,PS5.3, PS8.1 SC-14 ,PS8
Proteccin del acceso pblico
Control: El sistema de informacin protege la integridad y disponibilidad de la informacin y aplicaciones pblicamente disponibles.
Pgina 119 de 207
PS8
PS8.1
SC-15
Computacin colaborativa
Control: el sistema de informacin prohbe la activacin remota de mecanismos de computacin colaborativa y provee una indicacin clara de uso solo para usuarios locales. Mejoras al control: (1) El sistema de informacin suministra desconexin fsica de cmaras y micrfonos de manera que soporte facilidad de uso.
PS2
PS2.1 - PS2.4
SC-17
Certificados de infraestructura de clave pblica
Control: La entidad emite certificados de clave pblica mediante una poltica de certificados apropiada u obtiene certificados de clave pblica a travs de un proveedor de servicios aprobado.
PS8
PS8.1
SC-18
Cdigo Mvil
Control: La entidad : (i) establece restricciones de uso y gua de implementacin para las tecnologas de cdigo mvil basadas en el potencial para causar dao al sistema de informacin si se usa inadecuadamente; y (ii) autoriza, monitorea y controla el uso de cdigo mvil dentro del sistema de informacin.
PS8
PS8.1
SC-19
Protocolos de voz Control: La entidad (i) establece restricciones sobre Internet de uso y gua de implementacin para tecnologas de protocolos de voz sobre Internet (VoIP) basadas en el potencial para causar dao al sistema de informacin si se usan indebidamente y (ii) autoriza, monitorea y controla el uso VoIP dentro del sistema de informacin.
PS8
PS8.1
SC-20
Servicios de resolucin de nombres y direcciones (fuente autorizada)
Control: El sistema de informacin proporciona servicios de resolucin de nombres adems del dato de origen y el artefacto de integridad junto con el dato de respuesta a la resolucin de los queries (ver ms detalle en SP 800-81).
Pgina 120 de 207
PS8
PS8.1
SC-21
Servicios de resolucin de nombres y direcciones(Resol ucin recursiva o de Cach)
Control: El sistema de informacin provee servicios de resolucin de nombres y direcciones para clientes locales y desarrolla autenticacin del origen de datos y verificacin de la integridad de los datos en las respuestas de resolucin que recibe de fuentes autorizadas cuando son requeridas por los clientes del sistema. Mejoras al control: (1) El sistema de informacin desarrolla autenticacin del origen del dato y verificacin de la integridad de la informacin en todas las respuestas de resolucin ya sean o no clientes locales que requieren explcitamente el servicio.
PS8
PS8.1
SC-22
Arquitectura y prestacin de los servicios de resolucin de nombres y direcciones
Control: El sistema de informacin que provee servicios de resolucin de nombres y direcciones son tolerantes a fallas e implementan separacin de roles.
PS2
PS2.1 - PS2.4
SC-23
Autenticidad de las sesiones
Control: El sistema de informacin provee mecanismos para proteger la autenticidad de las sesiones.
Integridad del sistema y de la informaci n
Pgina 121 de 207
PS5
PS5.1 - PS5.4
SI-1
Poltica y procedimientos de integridad del sistema y de la informacin
Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de integridad del sistema y de la informacin que incluya el propsito, alcance, roles, responsabilidades, compromiso de la gerencia, coordinacin entre reas de la entidad y cumplimiento; y (ii) procedimientos formales y documentados que faciliten la implementacin de la poltica y los controles relacionados.
PS8
PS8.1
SI-2
Correccin de errores
Control: La entidad identifica, reporta y corrige los errores en el sistema de informacin. Mejoras al control: (1) La entidad administra centralizadamente el proceso de correccin de errores e instala automticamente las versiones de actualizacin. (2) La entidad utiliza mecanismos automticos para determinar peridicamente o por demanda, el estado de los componentes del sistema de informacin con relacin a la correccin de los errores.
PS8
PS8.1
SI-3
Proteccin contra cdigo malicioso
Control: El sistema de informacin tiene implementado proteccin contra cdigo malicioso. Mejoras al control: (1) La entidad administra centralizadamente los mecanismos de proteccin contra cdigo malicioso. (2) el sistema de informacin actualiza automticamente los mecanismos de proteccin contra cdigo malicioso.
Pgina 122 de 207
SI-4
Herramientas y tcnicas de monitoreo del sistema de informacin
Control: La entidad utiliza herramientas y tcnicas para monitorear los eventos en el sistema de informacin, detectar ataques, y proveer identificacin de uso no autorizado del sistema.Mejoras al control:(1)La entidad interconecta y configura las herramientas de deteccin de intrusin individual con el sistema de deteccin e intrusin general de la entidad utilizando protocolos comunes.(2)La entidad utiliza herramientas automticas para soportar anlisis de eventos en tiempo real. (3)La entidad utiliza herramientas automticas para integrar las herramientas de deteccin de intrusin con los mecanismos de control de acceso y control de flujo de informacin para una rpida respuesta ante ataques permitiendo la reconfiguracin de estos mecanismos para aislar y eliminar los ataques.(4)El sistema de informacin monitorea las comunicaciones entrantes y salientes para detectar actividades o condiciones inusuales o no autorizadas.(5)El sistema de informacin suministra alertas en tiempo real cuando ocurre un compromiso de la seguridad.
PS8
PS8.1
SI-5
Control: la entidad recibe continuamente Alertas de seguridad y reportes de alertas y recomendaciones de recomendaciones seguridad y los enva al personal apropiado para que se tomen las acciones pertinentes. Mejoras al control: (1) La entidad utiliza mecanismos automticos para hacer que las alertas y recomendaciones de seguridad estn disponibles para toda la entidad en la medida en que se requieran.
Pgina 123 de 207
PS8
PS8.1
SI-6
Verificacin de la funcionalidad de la seguridad
El sistema de informacin verifica peridicamente la operacin correcta de las funciones de seguridad (Ej.: start y restart y comandos de usuarios con privilegio apropiado) y ejecuta una lista de acciones posibles tales como: notificar al administrador del sistema, apagar el sistema o reiniciar el sistema cuando se detectan anomalas. Mejoras al control: (1) La entidad utiliza mecanismos automticos que notifican las fallas en las pruebas de seguridad. (2) La entidad utiliza mecanismos automticos para soportar la administracin de las pruebas de seguridad distribuidas.
SI-7
Integridad del software y de la informacin
Control: El sistema de informacin detecta y protege contra cambios no autorizados al software y a la informacin. Mejoras al control: (1) La entidad evala peridicamente la integridad del software y de la informacin mediante escanos de integridad del sistema. (2) La entidad utiliza herramientas automatizadas para notificar al personal apropiado sobre las discrepancias identificadas durante la verificacin de la integridad. (3) La entidad utiliza administracin centralizada de las herramientas de verificacin de integridad.
PS8
PS8.1
SI-8
Proteccin contra spam
Control: El sistema de informacin tiene implementado proteccin contra spam. Mejoras al control: (1) La entidad administra centralizadamente los mecanismos de proteccin contra spam. (2) El sistema de informacin actualiza automticamente los mecanismos de proteccin contra spam.
Pgina 124 de 207
PS8
PS8.1
SI-9
Restricciones en el ingreso de datos
Control: La entidad limita la capacidad de entrada de datos al sistema de informacin slo al personal autorizado.
PS8
PS8.1
SI-10
Chequeo de Control: El sistema de informacin chequea informacin exacta, completa, que la informacin sea exacta, completa vlida y autntica valida y autntica.
PS8
PS8.1
SI-11
Manejo de errores
Control: El sistema de informacin identifica y maneja las condiciones de error de manera sencilla sin suministrar informacin adicional que pueda ser aprovechada por atacantes.
PS4,PS5 PS4.2,PS5.4
SI-12
Manejo y retencin de las salidas de informacin
Control: La entidad maneja y retiene las salidas del sistema de acuerdo con la reglamentacin, polticas, estndares, guas aplicables y los requerimientos operacionales.
PS8
Proteger las comunica ciones electrnic as

PS8.1 CE-1 Poltica y procedimientos de uso aceptable de las comunicaciones electrnicas Control: La entidad desarrolla, divulga, revisa y actualiza peridicamente: (i) una poltica formal y documentada de uso aceptable y proteccin de las comunicaciones electrnicas que incluya el propsito, alcance, roles, responsabilidades, compromiso de la gerencia, coordinacin entre reas de la entidad y cumplimiento; y (ii) procedimientos formales y documentados que faciliten la implementacin de la poltica y los controles relacionados.
PS8
Pgina 125 de 207
PS8
PS8.1
CE-2
Aprobacin de uso
Control: Exigir aprobacin del uso de las comunicaciones electrnicas (correo electrnico, la mensajera instantnea, el acceso a Internet, red de VoIP, acceso inalmbrico) por el nivel de autoridad apropiado
PS8
PS8.1
CE-3
Guas de uso de correo
Control: Incluir en el procedimiento o gua para el uso del correo electrnico lo siguiente: a) el uso de correo para el desempeo de las funciones asignadas y prohibir el uso para fines personales b) identificar los tipos de correo permitidos (por ejemplo, servicios corporativos tales como Lotus Notes o Microsoft Exchange) c) guas de uso aceptable del correo (por ejemplo, prohibir el uso de declaraciones ofensivas, ) d) incluir en las guas una lista de prohibiciones (por ejemplo, prohibir el uso del Web mail, propaganda no autorizada, abril archivos adjuntos de fuentes desconocidas, encripcin privada de correos o archivos adjuntos, reenvi automtico de correos internos a direcciones de correo externas) d)dar detalles de las actividades de monitoreo que se realizan e) el correo personal debe estar etiquetado como "personal" y debe estar sujeto a los acuerdos de uso establecidos f) dar pautas sobre cmo proteger la confidencialidad e integridad de los mensajes(por ejemplo, mediante el uso de encriptacin, certificados digitales y firmas digitales).
Pgina 126 de 207
PS8
PS8.1
CE-4
Guas de uso de mensajera instantnea
Control: Incluir en el procedimiento o gua para el uso de la mensajera instantnea lo siguiente: a) el uso de mensajera para el desempeo de las funciones asignadas y prohibir el uso para fines personales b) identificar los tipos de mensajera permitidos (por ejemplo, servicios pblicos tales como AOL, Google Talk, Windows Messenger y !Yahoo o servicios internos tales como Lotus Sametime, Windows Meeting Space, WebEx y Jabber) c) usar guas de uso aceptable (por ejemplo, prohibir el uso de declaraciones ofensivas ) d) dar detalles de las actividades de monitoreo que se realizan e) el uso personal de la mensajera debe estar etiquetado como "personal" y debe estar sujeto a los acuerdos de uso establecidos f) dar pautas sobre cmo proteger la confidencialidad e integridad de los mensajes(por ejemplo, mediante el uso de encriptacin, certificados digitales y firmas digitales).
Pgina 127 de 207
PS8
PS8.1
CE-5
Guas de uso seguro de Internet
Control: Definir estndares para el acceso a Internet (por ejemplo, web browser de Mozilla, Firefox, Microsoft Internet Explorer, Opera or Apple Safari) y generar guas que incluyan lo siguiente: a) proteccin de estaciones de trabajo con acceso a Internet (por ejemplo, control de acceso, proteccin de malware, firewall personal y copias de respaldo) b) identificar los tipos de servicios de Internet permitidos c) usar guas de uso aceptable (por ejemplo, prohibir el uso de declaraciones ofensivas y prohibir para uso personal) d) dar detalles de las actividades de monitoreo que se realizan e) aplicar actualizaciones del software rpida y eficientemente f) restringir la descarga de cdigo mvil (por ejemplo, excluir las categoras de software ejecutable usando un firewall personal o equivalente) g) usar firewall personal h) instalar software de deteccin e intrusin de host (HIDS) i) Advertir a los usuarios sobre las siguientes amenazas: - peligros de descargar cdigo mvil (por ejemplo, Java applets, MS ActiveX, JavaScripts, VBScript) - implicaciones de aceptar o rechazar cookies - abrir archivos descargados de Internet
Pgina 128 de 207
PS8
PS8.1
CE-6
Guas de uso de redes de voz sobre IP
Control: Definir estndares para los servicios VoIP(por ejemplo, la aplicacin e infraestructura de soporte) y generar guas que incluyan lo siguiente: a) guas para el uso del negocio y uso personal (por ejemplo, usarlo para uso personal fuera del horario laboral) b) identificar los tipos de servicios de VoIP permitidos (por ejemplo servicios tales como Skype y Google Talk o servicios internos de proveedores tales como Avaya, Cisco y 3Com) c) usar guas de uso aceptable (por ejemplo, voice-mail, servicios de conferencias y mensajera unificada) d) dar detalles de las actividades de monitoreo que se realizan e) Advertir a los usuarios sobre los riesgos especficos del software de VoIP
PS8
PS8.1
CE-7
Guas de acceso inalmbrico
Control: Definir estndares para el acceso inalmbrico (por ejemplo, el software y la infraestructura de soporte) y generar guas que incluyan lo siguiente: a) guas para el uso slo en el desempeo de las funciones y prohibirlo para uso personal b) identificar los tipos de servicios de acceso permitidos (por ejemplo, permitir conexin a puntos de acceso inalmbrico corporativo o conectarse a la red corporativa usando VPN cuando se trabaje en sitios remotos) c) usar guas de uso aceptable (por ejemplo, prohibir conectarse desde equipos personales o no autorizados) d) dar detalles de las actividades de monitoreo que se realizan e) advertir a los usuarios sobre: - las amenazas asociadas con el acceso inalmbrico (por ejemplo, monitoreo de trfico de red, romper claves de encripcin inalmbricas, interceptacin e interferencia) - los pasos para minimizar los riesgos asociados con el acceso inalmbrico (por ejemplo, activar la tarjeta de interfase de red inalmbrica cuando se requiera, usar encripcin tal como WPA o WPA2 y proteger los detalles de autenticacin tales como la encripcin de claves, contraseas y tokens)
Tabla 16: Controles de seguridad recomendados para el Grupo 2.

Pgina 129 de 207
6.5.4.3.
Controles para entidades clasificadas en Grupo 3 (Entidades privadas que pertenezcan a la cadena de prestacin de servicios de Gobierno en Lnea):
# Nombre del Control Control GESTIN DE SEGURIDAD DE LA INFORMACIN

SM1
Descripcin
Direccionamiento estratgico
Compromiso de la direccin Control: La direccin debe tener un alto nivel de compromiso para: a) Alcanzar altos estndares de gobierno corporativo b) enfocar la seguridad de la informacin como un asunto de la empresa c) crear un entorno positivo de seguridad d) demostrar a terceros que la empresa se ocupa de la seguridad de la informacin de manera profesional. Control: La direccin debe tener un alto nivel de compromiso con la aplicacin de los principios fundamentales, que incluyen: a) asumir la responsabilidad de los controles internos de la organizacin b) garantizar que los controles sobre la informacin y los sistemas son proporcionales al riesgo c) asignar la responsabilidad para identificar, clasificar y salvaguardar la informacin y los sistemas a propietarios individuales d) garantizar el acceso a la informacin y los sistemas de acuerdo con criterios explcitos.
SM1.1 SM1.1.1
SM1.1.2
Pgina 130 de 207
SM1.1.3
Control: La direccin debe demostrar su compromiso con la seguridad de la informacin para: a) asignar la responsabilidad general de la seguridad de la informacin a un rgano de nivel ejecutivo o equivalente (por ejemplo, un Oficial de Seguridad de la Informacin) b) compartir aspectos claves de seguridad de la informacin con grupos de trabajo, comits o su equivalente c) monitorear las condiciones de seguridad de la informacin de la organizacin d) asignar recursos suficientes para la seguridad de la informacin. Control: La direccin debe demostrar su compromiso aprobando la documentacin de alto nivel que incluye: a) la estrategia para la seguridad de la informacin b) la poltica de seguridad de la informacin c) la arquitectura de seguridad para la organizacin Poltica de seguridad de la informacin Control: Se debe documentar y aprobar el documento de la poltica de seguridad de la informacin para ser aplicada en toda la empresa. Se debe asignar la responsabilidad por el mantenimiento de la poltica. Control: La poltica de seguridad de la informacin debe definir las responsabilidades asociadas con la seguridad de la informacin y los principios de seguridad que debe seguir todo el personal. Control: La poltica de seguridad de la informacin debe exigir que: a) se clasifique la informacin de manera que indique la importancia para la organizacin b) se nombre a los dueos de la informacin y sistemas crticos (por lo general son las personas encargadas de los procesos de negocio que dependen de la informacin y los sistemas) c) se realice un anlisis de riesgos sobre la informacin y los sistemas de manera peridica d) el personal adquiera conciencia en seguridad de la informacin e) se cumpla con el licenciamiento de software y con otras disposiciones legales, reglamentarias y contractuales f) se comunican las brechas de seguridad de la informacin y la sospecha de debilidades de seguridad de la informacin g) se protege la informacin en trminos de los requisitos de confidencialidad, integridad y disponibilidad
SM1.1.4
SM1.2 SM1.2.1
SM1.2.2
SM1.2.3
Pgina 131 de 207
SM1.2.4
Control: La poltica de seguridad de la informacin debe: a) estar alineada con otras polticas de alto nivel (por ejemplo, las relativas a los recursos humanos, la salud y la seguridad, las finanzas y la tecnologa de la informacin) b) ser comunicada a todos los funcionarios y personas externas con acceso a la informacin o a los sistemas de la organizacin y revisarse peridicamente segn un proceso de revisin determinado c) ser revisada para que se tenga en cuenta los cambios en el entorno (por ejemplo, nuevas amenazas, vulnerabilidades y riesgos, la reorganizacin de la empresa, los cambios contractuales, legales y los requisitos reglamentarios, o cambios en la infraestructura de TI). Control: La poltica de seguridad de la informacin debera: a) ser apoyada por mtodos para evaluar el cumplimiento b) advertir que se pueden tomar las acciones disciplinarias contra las personas que violen sus disposiciones. Control: La poltica debera instruir a los usuarios para: a) asegurar los medios removibles y la documentacin que contenga informacin privada cuando no est en uso b) salir o bloquear la sesin del sistema cuando se deja la Terminal abandonada Control: La poltica de seguridad debera prohibir: a) el uso no autorizado de la informacin y los sistemas de la empresa b) la utilizacin de la informacin y los sistemas para fines diferentes a los laborales c) la discriminacin sexual, racista u otras declaraciones que sean ofensivas (por ejemplo, al utilizar el correo electrnico, la mensajera instantnea, el Internet o el telfono) hacer obsceno, discriminatorio o de acoso declaraciones, que puede ser ilegal (por ejemplo, al utilizar el correo electrnico, al instante mensajera, Internet o telfono) d) la descarga de material ilegal (por ejemplo, con contenido obsceno o discriminatorio) e) el retiro de informacin o equipos fuera de las instalaciones sin la debida autorizacin f) usar sin autorizacin software, equipos y dispositivos removibles( por ejemplo, software de terceros, USB y otros dispositivos removibles) g) la copia no autorizada de informacin o software h) la revelacin de contraseas i) la utilizacin de informacin de identificacin personal a menos que exista una autorizacin expresa j) comentar sobre la informacin de la empresa en sitios pblicos k) manipular la evidencia en el caso de incidentes de
Pgina 132 de 207
SM1.2.5
SM1.2.6
SM1.2.6
seguridad de la informacin que requieran una investigacin forense. SM1.3 SM1.3.1 Acuerdos con el personal Control: Las responsabilidades de seguridad de la informacin para todo el personal de la empresa debe estar especificado en las descripciones del puesto y en los trminos y condiciones del empleo (por ejemplo, en el contrato de trabajo). Control: Los trminos y condiciones del empleo deberan: a) declarar que las responsabilidades de seguridad de la informacin se extienden fuera de las horas normales de trabajo y continan despus de la terminacin del empleo. b) explicar las responsabilidades legales y derechos del empleado incluyendo la clusula de confidencialidad y no revelacin. Control: Los empleados, contratistas y personal de terceros deberan aceptar y firmar los acuerdos de confidencialidad. Control: Debera establecerse un requisito documentado para revocar inmediatamente los privilegios de acceso cuando un usuario autorizado ya no requiere el acceso a la informacin o a los sistemas como parte de su trabajo, o cuando se retira de la empresa. Control: Se deben verificar los antecedentes de los aspirantes a ser empleados, contratistas o usuarios de terceros antes de la contratacin laboral. Control: Los documentos del personal clave tales como las polticas o las descripciones del puesto, deben ser revisados por un especialista en seguridad de la informacin y aprobados por la direccin y mantenerse actualizados. Control: Al terminar la contratacin laboral, los empleados y el personal de terceros debera documentar la informacin relacionada con los procesos que maneja y que son crticos para la empresa y devolver: a) el equipo que pertenece a la empresa b) la informacin importante ya sea en formato electrnico o en copia dura c) el software d) el hardware de autenticacin (por ejemplo, las smartcards y tokens)
SM1.3.2
SM1.3.3
SM1.3.4
SM1.3.5
SM1.3.6
SM1.3.7
SM2
Organizacin de seguridad
Control de Alto nivel Control: Se debera asignar la responsabilidad general por la seguridad de la informacin a un ejecutivo de alto nivel o su equivalente.
Pgina 133 de 207
SM2.1 SM2.1.1
SM2.1.2
Control: Se debera establecer un grupo de trabajo de alto nivel tcnico o un comit u organismo equivalente para coordinar las actividades de seguridad en toda la organizacin. El grupo debera reunirse de forma peridica (por ejemplo, tres o ms veces al ao) y documentar las acciones acordadas en las reuniones. Control: El grupo coordinador de la seguridad debera estar conformado por: a) un miembro de la direccin b) uno o ms dueos de aplicaciones y procesos c) el jefe de seguridad de la informacin, o su equivalente (por ejemplo, el Oficial Jefe de Seguridad de la Informacin) d) representantes de otras funciones relacionadas con la seguridad (por ejemplo, accesoria legal, riesgo operacional, auditoria interna, seguros, recursos humanos y seguridad fsica) e) el jefe de tecnologa de la informacin (o equivalente). Control: El grupo coordinador de la seguridad debe ser responsable de: a) considerar la seguridad de la informacin en toda la empresa b) asegurar que la seguridad de la informacin se enfoca de manera coherente y consistente c) aprobar las polticas de seguridad de la informacin as como las normas y procedimientos d) monitorear la exposicin de la empresa a amenazas de seguridad de la informacin e) Monitorear el desempeo de la seguridad de la informacin (por ejemplo, analizar el actual estado de seguridad, manejo de incidentes de seguridad de la informacin, y los costos) f) aprobar y dar prioridad a las actividades de mejora de seguridad de la informacin g) garantizar que la seguridad de la informacin se enfoca en los procesos de planeacin de Ti de la empresa h) enfatizar la importancia de la seguridad de la informacin en la organizacin. Funcin de seguridad de la informacin Control: La organizacin debe estar apoyada por una funcin de seguridad de la informacin (o equivalente), que tiene la responsabilidad para la promocin de buenas prcticas en seguridad de la informacin en toda la empresa. El jefe de la funcin de seguridad de la informacin debera tener dedicacin de tiempo completo a la seguridad de la informacin
SM2.1.3
SM2.1.4
SM2.2 SM2.2.1
Pgina 134 de 207
SM2.2.2
SM2.2.3
Control: La funcin de seguridad de la informacin debera: a) desarrollar y mantener una estrategia de seguridad de la informacin b) coordinar la seguridad de la informacin a travs de la organizacin c) definir un conjunto de servicios de seguridad (por ejemplo, servicios de identidad, servicios de autenticacin, cifrado de servicios), que proporcionan una gama coherente de capacidades de seguridad d) desarrollar normas, procedimientos y guas de seguridad de la informacin e) proveer consejo especializado en todos los aspectos de la seguridad de la informacin (por ejemplo, informacin de anlisis de riesgos, la seguridad de la informacin, administracin de incidentes y proteccin contra malware) f) supervisar la gestin de incidentes de seguridad de la informacin g) ejecutar uno o ms programas de sensibilizacin sobre la seguridad de la informacin y desarrollar habilidades en seguridad para todo el personal de la empresa h) evaluar las implicaciones de seguridad de las iniciativas de negocio especializadas (por ejemplo, la subcontratacin, iniciativas de comercio electrnico y de intercambio de informacin) i) supervisar la eficacia de los acuerdos de seguridad de la informacin Control: La funcin de seguridad de la informacin debera proveer soporte para: a) las actividades de anlisis de riesgos de informacin b) importantes proyectos relacionados con la seguridad c) los requisitos de seguridad de los principales proyectos de TI d) auditorias y revisiones de seguridad e) clasificar la informacin y los sistemas de acuerdo con su importancia para la organizacin f) el uso de la criptografa g) la inclusin de los requisitos de seguridad de la informacin en los documentos de acuerdos(por ejemplo, contratos o acuerdos de niveles de servicios) i) el desarrollo de planes de continuidad de negocio
Pgina 135 de 207
SM2.2.4
SM2.2.5
Control: La funcin de seguridad de la informacin debera monitorear: a) las tendencias generales de los negocios (por ejemplo, las perspectivas de crecimiento, la internacionalizacin, el comercio electrnico y la contratacin externa) b) los avances tecnolgicos (por ejemplo, la tecnologa basada en la web, arquitectura orientada a servicios (SOA) y Voz sobre IP) c) las amenazas nuevas y emergentes (por ejemplo, el robo de identidad, ataques de phishing y Bluetooth) d) nuevas vulnerabilidades en los principales sistemas operativos, aplicaciones y otros programas (por ejemplo, utilizando los sitios web de proveedores y listas de correo) e) nuevas soluciones de seguridad de la informacin (por ejemplo, la gestin de derechos digitales y de prevencin de intrusiones) f) los estndares emergentes de la industria relacionadas con la seguridad de la informacin (por ejemplo, las Normas de Buenas Prcticas ISO / IEC 27002 (17799), y COBIT v4.1) g) las nuevas leyes o reglamentacin relacionada con la seguridad de la informacin (por ejemplo, los relacionados con la privacidad de los datos, digital signatures and industry-specific standards such as Basel II 1998 and the Payment Card Industry (PCI) Estndar de seguridad de datos). Control: La funcin de seguridad de la informacin debera: a) contar con recursos suficientes con respecto al nmero de personas, su rango y nivel de habilidades, herramientas o tcnicas (por ejemplo, informacin de metodologas de anlisis de riesgos, software de investigacin forense y una arquitectura de seguridad empresarial) b) tener suficiente impacto en la organizacin y un fuerte apoyo de la direccin, de los gerentes de negocio y gerentes de TI. y los administradores de TI c) mantener el contacto con sus homlogos en el mundo comercial, el gobierno, las entidades de control y los expertos en seguridad informtica / empresas de software y proveedores de servicios d) ser revisado de forma peridica Coordinacin local de seguridad Control: Se debe asignar la responsabilidad por la seguridad de la informacin a cada jefe de unidad de negocio o departamento.
SM2.3 SM2.3.1
Pgina 136 de 207
SM2.3.2
Control: Los coordinadores locales de seguridad de la informacin deben ser designados para coordinar la seguridad de la informacin en la empresa incluyendo las aplicaciones comerciales, de instalaciones de computacin, los ambientes de red, las actividades de desarrollo del sistema y ambientes de usuario final. Control: Los coordinadores locales de seguridad de la informacin deben tener: a) una clara comprensin de sus roles y responsabilidades b) suficientes conocimientos tcnicos, tiempo, herramientas necesarias (por ejemplo, listas de verificacin y especialistas en productos de software) y la autoridad para llevar a cabo sus funciones asignadas c) acceso a expertos internos o externos en seguridad de la informacin d) normas y procedimientos documentados para apoyar el da a da las actividades de seguridad de la informacin e) informacin actualizada sobre tcnicas (por ejemplo, informacin de metodologas de anlisis de riesgos, de investigacin forense, arquitectura de seguridad empresarial) relacionados con la seguridad de la informacin. Control: La informacin acerca de la condicin de seguridad de la informacin debera ser: a) reportada al jefe de la funcin de seguridad de la informacin b) presentada peridicamente de manera consistente Conciencia de seguridad Control: Se deben desarrollar actividades especficas para promover conciencia de seguridad en toda la empresa. Estas actividades deben ser: a) aprobadas por la direccin b) responsabilidad de una persona en particular, de una unidad de la organizacin, de un grupo de trabajo o comit c) apoyado por un conjunto de objetivos documentado d) entregadas como parte de un programa de conciencia en seguridad e) sujetas a disciplinas de gestin de proyectos f) mantenerse actualizadas con las prcticas y requisitos actuales g) basadas en los resultados de un anlisis de riesgos de informacin documentado h) orientadas a reducir la frecuencia y magnitud de los incidentes de seguridad de la informacin i) medibles.
SM2.3.3
SM2.3.4
SM2.4 SM2.4.1
Pgina 137 de 207
SM2.4.2
SM2.4.3
Control: La conciencia de seguridad debe ser promovida: a) por la direccin, los gerentes, el personal de TI y asesores externos b) en conjunto con el entrenamiento en seguridad (por ejemplo, utilizando tcnicas tales como presentaciones y entrenamiento basado en computadores (CBT)) c) mediante el suministro de material de sensibilizacin, tales como folletos, fichas, carteles y documentos electrnicos en la intranet. Control: Se debera entregar al personal guas que le ayuden a comprender: a) el significado de seguridad de la informacin (es decir, la proteccin de la confidencialidad, integridad y disponibilidad de informacin) b) la importancia de cumplir con las polticas de seguridad de la informacin y la aplicacin de las correspondientes normas y procedimientos c) sus responsabilidades personales por la seguridad de la informacin (por ejemplo, la presentacin de reportes sobre incidentes de seguridad de la informacin) Control: Se debe monitorear la efectividad de la conciencia en seguridad: a) midiendo el nivel de conciencia de seguridad del personal b) revisar peridicamente el nivel de conciencia de seguridad de la informacin c) midiendo los beneficios de las actividades de sensibilizacin (por ejemplo, monitorear la frecuencia y magnitud de los incidentes de seguridad de la informacin). Control: El comportamiento positivo en seguridad debera ser promovido por: a) entrenamiento obligatorio en toma de conciencia en seguridad b) divulgacin de los xitos y fallas de seguridad en toda la organizacin c) vincular la seguridad a los objetivos de desempeo y evaluaciones del personal Educacin y entrenamiento en seguridad Control: La educacin y entrenamiento en seguridad debera proporcionar al personal las habilidades que necesitan para: a) evaluar los requisitos de seguridad b) proponer los controles de seguridad de la informacin c) garantizar que los controles de seguridad funcionan de manera eficaz en los ambientes en los que se aplican
SM2.4.4
SM2.4.5
SM2.5 SM2.5.1
Pgina 138 de 207
SM2.5.2
Control: La educacin y el entrenamiento en seguridad debera proporcionar a los usuarios las habilidades necesarias para: a) usar correctamente los sistemas b) aplicar los controles de seguridad de la informacin Control: La educacin y entrenamiento en seguridad debera proporcionar al personal de TI las habilidades que necesitan para: a) disear y desarrollar los controles de seguridad de los sistemas de manera disciplinada b) aplicar controles de seguridad de la informacin c) operar correctamente las instalaciones de TI y aplicar de manera efectiva los controles de seguridad d) operar correctamente las redes y aplicar los controles de seguridad requeridos Control: La educacin y entrenamiento en seguridad debera ser proporcionada para permitir a especialistas de seguridad de la informacin: a) comprender el entorno empresarial b) ejecutar proyectos relacionados con la seguridad c) comunicarse de manera eficaz (por ejemplo, hacer presentaciones, facilitar o influir en la gestin de reuniones) d) realizar actiivdades especiales de seguridad (por ejemplo, anlisis de riesgos de informacin, investigacin forense y planeacin de continuidad del negocio)
SM2.5.3
SM2.5.4
SM3
Requerimientos de seguridad
Clasificacin de informacin Control: Se debera aplicar un sistema de clasificacin de la informacin en toda la empresa que: a) tenga en cuenta el impacto potencial en el negocio ante la prdida de confidencialidad de la informacin b) se utiliza para determinar distintos niveles de confidencialidad de la informacin (por ejemplo, top secret, en confianza y pblica) Control: El sistema de clasificacin de la informacin que se establezca debe clasificar: a) la informacin almacenada en papel (por ejemplo, contratos, planos y documentacin sobre el sistema, celebrada en forma impresa) b) la informacin almacenada en formato electrnico (archivos creados en bases de datos, procesadores de palabra, hojas de clculo, etc.) c) las comunicaciones electrnicas (por ejemplo, los mensajes enviados por e-mail, mensajera instantnea)
SM3.1 SM3.1.1
SM3.1.2
Pgina 139 de 207
SM3.1.3
Control: El esquema de clasificacin de la informacin debera exigir: a) que la informacin est protegida de conformidad con su clasificacin de informacin b) que sea aprobada por el dueo del negocio la clasificacin asignada a la informacin c) que las clasificaciones se revisen y actualicen peridicamente y cuando surjan cambios Control: El esquema de clasificacin de la informacin debera: a) proporcionar orientacin sobre los requisitos de manejo de cada clasificacin (por ejemplo, cuando se copia, almacena y destruye la informacin) b) explicar cmo resolver los conflictos de las clasificaciones Control: El sistema de clasificacin de la informacin debera aplicarse a la informacin asociada con: a)aplicaciones de negocio b) instalaciones informticas c) redes d) sistemas en desarrollo e) entornos de usuario final Control: Se deben aprobar los mtodos de etiquetado de la informacin clasificada para: a) la informacin almacenada en papel (por ejemplo, utilizando sellos de goma de tinta, etiquetas adhesivas, hologramas) b) la informacin almacenada en formato electrnico (por ejemplo, marcas de agua electrnicas, etiquetas de encabezados y pies de pgina, uso de convenciones para nombres de archivo) c) comunicaciones electrnicas (por ejemplo, utilizando la firma digital e identificando claramente la clasificacin en las cabeceras de los mensajes de correo electrnico) Control: Se debera mantener un inventario de los detalles de las clasificaciones de la informacin (por ejemplo, en una base de datos, mediante un software especializado, o en papel) Control: Los detalles de la clasificacin de informacin registrada deben incluir: a) la clasificacin de la informacin b) la identidad del propietario de la informacin c) una breve descripcin de la informacin clasificada. Propiedad Control: Se debe asignar la propiedad de los sistemas y la informacin crtica y documentar las responsabilidades de los propietarios. Se deben comunicar las responsabilidades para proteger la informacin y los sistemas a los propietarios y ser aceptadas por ellos
SM3.1.4
SM3.1.5
SM3.1.6
SM3.1.7
SM3.1.8
SM3.2 SM3.2.1
Pgina 140 de 207
SM3.2.2
Control: Las responsabilidades de los propietarios deberan incluir: a) identificar los requisitos del negocio (incluyendo la seguridad de la informacin) y aprobarlos b) garantizar la proteccin de la informacin y los sistemas de conformidad con la importancia para la organizacin c) la definicin de los acuerdos de intercambio de informacin (o equivalente) d) el desarrollo de acuerdos de nivel de servicio (SLA) e) autorizar nuevos o significativos cambios en los sistemas f) participar en auditorias y revisiones de seguridad Control: Las responsabilidades de los propietarios deberan involucrar: a) determinar cuales usuarios son autorizados para acceder la informacin y los sistemas bajo su control b) aprobar los privilegios de acceso para casa usuario o grupo de usuarios c) asegurar que los usuarios sean concientes de sus responsabilidades con respecto a la seguridad y las asuman Control: Se debera establecer un proceso para: a) proveer a los propietarios de los conocimientos necesarios, las herramientas, el personal y la autoridad para cumplir con sus responsabilidades b) asignar responsabilidades para la proteccin de los sistemas y la informacin cuando el propietario no est disponible c) reasignar la propiedad cuando un propietario cambia o deja sus funciones Administrar el anlisis de riesgos de la informacin Control: Quienes toman las decisiones (incluida la direccin, los jefes de unidades de negocio y departamentos, y los propietarios de las aplicaciones del negocio, de las instalaciones informticas, las redes, los sistemas en desarrollo y los entornos de usuario final) deberan ser conscientes de la necesidad de aplicar el anlisis de riesgos de informacin para entornos crticos dentro de la organizacin.
SM3.2.3
SM3.2.4
SM3.3 SM3.3.1
Pgina 141 de 207
SM3.3.2
Control: Las normas y procedimientos para realizar anlisis de riesgos de informacin debern ser documentados. Se debera exigir que los riesgos sean analizados para: a) la informacin y los sistemas que son importantes para la organizacin b) los sistemas en una fase temprana de su desarrollo c) los sistemas sujetos a importantes cambios, en una fase temprana en el proceso de cambio d) la introduccin de nuevas tecnologas (por ejemplo, redes inalmbricas, la mensajera instantnea y voz sobre IP) e) las solicitudes para permitir el acceso desde sitios externos f) las solicitudes para permitir el acceso a los sistemas y a la informacin para personas externas a la organizacin (por ejemplo, consultores, contratistas, y personal de terceros)
SM3.3.3
Control: Las normas y procedimientos deberan especificar que el anlisis de riesgos: a) se lleve a cabo peridicamente b) involucre a los dueos de los negocios, los especialistas en TI, los principales representantes de los usuarios, los expertos en anlisis de riesgos y los especialistas en seguridad de la informacin Control: Los resultados del anlisis de riesgos deben ser: a) reportados a la direccin b) utilizados para ayudar a determinar programas de trabajo en seguridad de la informacin (por ejemplo, la acciones correctivas y las nuevas iniciativas en materia de seguridad) c) integrados con otras actividades de gestin del riesgo (por ejemplo, la gestin de riesgo operativo) Metodologas de anlisis de riesgos de informacin Control: Los riesgos asociados con la informacin y los sistemas de la organizacin deben ser analizados utilizando metodologas estructuradas de anlisis de riesgos informacin
SM3.3.4
SM3.4 SM3.4.1
Pgina 142 de 207
SM3.4.2
Control: Las metodologa de anlisis de riesgos debera ser: a) documentada b) aprobada por la direccin c) consistente en toda la organizacin d) automatizado (por ejemplo, utilizando herramientas de software especializado) e) revisarse peridicamente para garantizar que cumplen las necesidades del negocio f) aplicable a sistemas de diferentes tamaos y tipos g) comprensible para los representantes de las unidades negocio. Control: La metodologa de anlisis de riesgos de informacin debe exigir que todos los anlisis de riesgo tengan un alcance claramente definido. Control: La metodologa de anlisis de riesgos de informacin debe determinar el riesgo evaluando: a) el impacto potencial para el negocio asociadas con el sistema, la red, o las instalaciones de computacin b) las amenazas intencionales a la confidencialidad, integridad y disponibilidad de la informacin y los sistemas (por ejemplo, llevar a cabo ataques de denegacin de servicio, el malware, la instalacin de software no autorizado, mal uso de los sistemas para cometer un fraude) c) las amenazas accidentales a la confidencialidad, integridad y disponibilidad de la informacin y los sistemas (por ejemplo, la interrupcin del suministro de energa, mal funcionamiento del sistema o del software) d) las vulnerabilidades ocasionadas por deficiencias de control e) las vulnerabilidades debidas a situaciones que aumentan la probabilidad de ocurrencia de un grave incidente de seguridad de la informacin (por ejemplo, el uso de Internet, permitir el acceso a terceros o la ubicacin de un servidor en una zona propensa a terremotos o inundaciones) Control: La metodologa de anlisis de riesgos debera tener en cuenta: a) los requisitos de cumplimiento (por ejemplo, con la legislacin, la reglamentacin, las clusulas contractuales, las normas de la industria y polticas internas) b) los objetivos de la organizacin c) los requisitos de clasificacin de la informacin d) el anlisis de riesgos previo de la aplicacin, la red o la instalacin de computo que se est evaluando e) las caractersticas del ambiente operativo de la aplicacin, la red o la instalacin de computo que se est evaluando
SM3.4.3
SM3.4.4
SM3.4.5
Pgina 143 de 207
SM3.4.6
Control: La metodologa de anlisis de riesgos debe asegurar que los resultados del anlisis de riesgos se documenten e incluyan: a) una clara identificacin de los principales riesgos b) una evaluacin del impacto potencial de cada riesgo para el negocio c) acciones recomendadas para reducir el riesgo a un nivel aceptable Control: La metodologa de anlisis de riesgos debera ser utilizada para ayudar: a) a seleccionar los controles de seguridad que reduzcan la probabilidad de ocurrencia de graves incidentes de seguridad de la informacin b) a seleccionar los controles de seguridad que satisfagan los requisitos de cumplimiento c) a evaluar las fortalezas y debilidades de los controles de seguridad d) a determinar los costos de la aplicacin de controles de seguridad (por ejemplo, los costos relacionados con: diseo, compra, aplicacin y seguimiento de los controles de hardware y software, formacin, gastos generales, tales como instalaciones; y honorarios de consultora) e) a identificar controles de seguridad especializados requeridos por los ambientes (por ejemplo, el cifrado de datos o fuerte autenticacin)
SM3.4.7
SM3.4.8
Control: La metodologa de anlisis de riesgos debera asegurar que los resultados del anlisis sea: a) comunicado a los dueos de los procesos o de la informacin o de los sistemas b) aprobado por los dueos c) comparado con el anlisis de riesgos realizado en otras reas de la organizacin Cumplimiento legal y regulatorio Control: Los requisitos legales y regulatorios que afectan la seguridad de la informacin deben ser reconocidos por: a) la direccin b) los dueos de los negocios c) el jefe de seguridad de la informacin (o equivalente) d) los representantes de otras funciones relacionadas con la seguridad (por ejemplo, accesoria legal, el riesgo operacional, la auditoria interna, seguros, recursos humanos y la seguridad fsica)
SM3.5 SM3.5.1
Pgina 144 de 207
SM3.5.2
Control: Se debe establecer un proceso para asegurar cumplimiento con los requisitos legales y regulatorios que afectan la seguridad de la informacin y debe considerar: a) la legislacin especfica sobre seguridad de la informacin (por ejemplo, la ley de delitos informticos, ley de habeas data, ley de comercio electrnico) b) la legislacin general que tiene implicaciones para la seguridad (por ejemplo, la constitucin nacional, la ley de habeas data, la ley de propiedad intelectual, etc.) c)las regulaciones (por ejemplo, la circular 052 de la Superfinanciera, el lavado de activos, la regulacin ambiental, regulacin de la industria de tarjetas de pago (PCI), etc.). Control: El proceso de cumplimiento debe permitir a quienes toman decisiones: a) descubrir las leyes y reglamentos que afectan la seguridad de la informacin b) interpretar las implicaciones de seguridad de la informacin de estas leyes y reglamentos c) identificar el posible incumplimiento legal y reglamentario d) determinar acciones sobre el posible incumplimiento Control: El proceso de cumplimiento debe ser documentado, aprobado por la direccin, y mantenerse actualizado Control: Una revisin del cumplimiento de los requisitos legales y reglamentarios debe ser: a) realizado peridicamente o cuando nueva legislacin o requisitos reglamentarios entren en vigencia b) llevada a cabo por representantes de las principales reas de la organizacin (por ejemplo, la direccin, los propietarios de los negocios, el departamento legal, la administracin de TI, y la funcin de seguridad de la informacin) Control: Se debe considerar la actualizacin de las normas y procedimientos de seguridad de la informacin como resultado de la revisin del cumplimiento legal y regulatorio
SM3.5.3
SM3.5.4
SM3.5.5
SM3.5.6
SM4 SM4.1 SM4.1.1
Ambiente seguro
Arquitectura de Seguridad Control: Se debe establecer una arquitectura de seguridad integrada con la arquitectura empresarial de la organizacin (o su equivalente)
Pgina 145 de 207
SM4.1.2
Control: El desarrollo de la arquitectura de seguridad debera involucrar: a) una evaluacin de los requisitos de seguridad para el negocio b) el uso de un modelo de arquitectura de seguridad en capas (por ejemplo, las capas conceptual, lgica y fsica) c) la definicin de los principios de la arquitectura de seguridad d) la identificacin de los componentes de seguridad que pueden incluirse en la arquitectura de seguridad (por ejemplo, los controles de seguridad, los servicios de seguridad y tecnologas de seguridad) e) el desarrollo de herramientas y recursos que se utilizarn para ayudar a administrar la arquitectura de seguridad (por ejemplo, repositorios de soluciones, patrones de diseo, ejemplos de cdigo y de interfaces de programacin de aplicaciones (API))
SM4.1.3
Control: El desarrollo de la arquitectura de seguridad debera incluir: a) el aporte de especialistas internos pertinentes (por ejemplo, un arquitecto de seguridad, arquitecto tcnico o especialista en seguridad de la informacin) b) uso de un especialista externo en arquitectura de seguridad c) la capacitacin de las personas que necesitan utilizar la arquitectura de seguridad (por ejemplo, especialistas en seguridad de la informacin, desarrolladores de software e implementadores de TI) d) la introduccin de un mtodo para medir la adopcin de la arquitectura de seguridad en toda la organizacin Control: La arquitectura de seguridad debera ser aplicada para: a) el desarrollo de aplicaciones de negocio (por ejemplo, para ayudar a administrar la complejidad y escala, tomar decisiones efectivas de diseo y mejorar la calidad y la seguridad de las aplicaciones de negocio) b) ayudar a gestionar la infraestructura de TI (por ejemplo, para ayudar en el desarrollo de una infraestructura de TI segura, y ayudar en la revisin y anlisis de la actual infraestructura de TI) c) los principales proyectos de TI (por ejemplo, para ayudar a hacer frente a la complejidad, los nuevos riesgos de informacin y ambientes de gran escala)
SM4.1.4
Pgina 146 de 207
SM4.1.5
Control: La arquitectura de seguridad debera ser : a) documentada (por ejemplo en forma de blueprints, diseos, diagramas, tablas o modelos) b) aprobada por el negocio, por la TI y por los administradores de seguridad de la informacin c) asignada a un propietario (por ejemplo, un arquitecto o un grupo de alto nivel, tales como una Junta de Arquitectura, o equivalente) d) mejorada (por ejemplo, mediante revisiones, manejo de excepciones y administracin de cambios) Control: Debe haber un proceso para implementar de manera coherente y consistente los servicios de seguridad (por ejemplo, servicios de identidad, servicios de autenticacin y servicios de cifrado) y el establecimiento de interfaces de usuario y de programacin de aplicaciones (API). Control: Se deben establecer acuerdos a nivel empresa para: a) minimizar la diversidad de hardware y software utilizado b) proporcionar la funcionalidad de seguridad coherente a travs de las diferentes plataformas de hardware y software c) integrar los controles de seguridad en la aplicacin, en el ambiente del computador y en la red d) aplicar tcnicas criptogrficas consistentes e) implementar convenciones de nomenclatura comn f) segregar los ambientes con diferentes requisitos de seguridad (por ejemplo, mediante la creacin de dominios de seguridad "confiables" y "no confiables") g) controlar el flujo de informacin entre los diferentes ambientes Privacidad de la informacin Control: Se debe establecer un comit directivo que ser responsable por la gestin de privacidad de la informacin y debe designarse a una persona que coordine la actividad de privacidad de la informacin (por ejemplo, un Oficial de Privacidad o un administrador de proteccin de datos) Control: El comit directivo debera ser conciente de: a) la ubicacin (s) de la informacin de identificacin personal de las personas b) cmo y cundo usar la informacin de identificacin personal
SM4.1.6
SM4.1.7
SM4.2 SM4.2.1
SM4.2.2
Pgina 147 de 207
SM4.2.3
Control: Se deben establecer procedimientos para manejar la privacidad de la informacin el cual cubre: a) uso aceptable de la informacin de identificacin personal b) los derechos de las personas sobre los cuales se tiene la informacin de identificacin personal c) la evaluacin de la privacidad, los programas de conciencia y cumplimiento d) los requerimientos legales y regulatorios para la privacidad Control: En caso de que la informacin de identificacin personal se almacene o transforme, deben existir procesos para asegurar que sta es: a) adecuada, pertinente y no excesiva para los fines para los que se recolecta b) exacta (es decir, registrada correctamente y actualizada) c) mantenerse confidencial, procesada legalmente y utilizada slo para los propsitos explcitos y legtimos especificados d) manejada en un formato que permita la identificacin de personas slo por el tiempo necesario e) slo entregada a terceros, siempre que stos puedan demostrar el cumplimiento de requerimientos legales y regulatorios para el manejo de la informacin de identificacin personal f) recuperable en el caso de una solicitud legtima de acceso
SM4.2.4
SM4.2.5
SM4.2.6 SM4.2.7
Control: A las personas dueas de la informacin de identificacin personal se les debera: a) solicitar su probacin antes de que la informacin sea recogida, almacenada, procesada o revelada a terceros b) informar de cmo se utilizar esta informacin, permitir que se compruebe su exactitud y tener sus registros corregidos o eliminados Control: La informacin de identificacin personal debe ser tratada de conformidad con la legislacin vigente Control: Se debe designar a una persona o un grupo para: a) realizar una evaluacin de la privacidad (por ejemplo, para determinar el nivel de cumplimiento con la legislacin pertinente y las polticas internas) b) implementar un programa de cumplimiento de la privacidad c) hacer que el personal y los terceros (por ejemplo, clientes, clientes y proveedores), sean conscientes de la importancia de la privacidad de la informacin Gestin de activos
SM4.3
Pgina 148 de 207
SM4.3.1
Control: Deberan existir procedimientos documentados para la gestin de activos, que incluyan: a) la adquisicin de software y hardware b) el licenciamiento de software c) el registro de activos en un inventario (o equivalente) d) el archivo de la informacin importante Control: Cuando se adquiera hardware y software se debera: a) seleccionar una lista de proveedores aprobados b) considerar los requisitos de seguridad c) debe darse alta prioridad a la confiabilidad d) acordar los trminos contractuales con los proveedores. Control: Se debe reducir el riesgo de debilidades de seguridad del hardware y software mediante: a) la obtencin de las evaluaciones externas por parte de fuentes de confianza b) la identificacin de las deficiencias de seguridad (por ejemplo, inspeccin detallada, la referencia a las fuentes publicadas, o mediante la participacin de los usuarios o grupos de discusin) c) considerar mtodos alternativos para proporcionar el nivel necesario de seguridad Control: La adquisicin de hardware y software debe ser revisado por el personal que tenga las habilidades necesarias para evaluar el proceso y se debe contar con la aprobacin del representante del negocio apropiado. Control: Se deben cumplir con los requisitos de licenciamiento para el uso previsto del software y el suministro de prueba de propiedad del software Control: El Hardware y software (incluyendo aplicaciones de escritorio crticas) se deben registrar en los inventarios que especifican una nica descripcin de hardware / software en uso, junto con su versin y la ubicacin. Control: El inventario de Hardware y software debera ser: a) protegido contra cambios no autorizados b) verificado peridicamente contra los activos fsicos c) mantenido al da d) revisado independientemente. Control: La informacin importante debera ser retenida de conformidad con los requisitos jurdico y reglamentarios Gestin de identidad y de acceso Control: Se deben establecer procesos de gestin de identidad y de acceso en toda la empresa Control: Se deben establecer acuerdos para la gestin de identidad y acceso y ser incorporados en una solucin empresarial y estos acuerdos deben aplicarse para nuevas aplicaciones.
Pgina 149 de 207
SM4.3.2
SM4.3.3
SM4.3.4
SM4.3.5
SM4.3.6
SM4.3.7
SM4.3.8
SM4.4 SM4.4.1 SM4.4.2
SM4.4.3
Control: Los acuerdos de gestin de identidad y acceso deben: a) incluir un mtodo de validacin de las identidades de los usuarios antes de activar las cuentas de usuario b) mantener un nmero mnimo de cuentas de usuario para inicio de sesin Control: Los acuerdos de gestin de identidad y acceso deben proveer un conjunto consistente de mtodos para: a) la identificacin de los usuarios (por ejemplo, utilizando nicas user ID). Autenticacin de usuarios (por ejemplo, utilizando contraseas, fichas o datos biomtricos) el usuario de inicio de sesin en proceso se autoriza a los usuarios privilegios de acceso administrar los privilegios de acceso de usuario. Control: Se deben desarrollar acuerdos de administracin de identidad y de acceso para mejorar la integridad de la informacin del usuario para: a) que la informacin est disponible para que sea validada por lo usuarios b) permitir a los usuarios corregir sus propia informacin c) mantener un nmero limitado de almacenamientos de identidad(es decir, el lugar donde la informacin de autenticacin de usuario se almacena, como una base de datos, X500 / servicio de directorio Lightweight Directory Access Protocol (LDAP), o productos comerciales de gestin de identidad y acceso) d) utilizar un sistema automatizado de dotacin (en virtud del cual se crean cuentas de usuario para todos los sistemas, siguiendo la creacin de una entrada inicial de un usuario en una aplicacin central de gestin de identidad y acceso) e) utilizar un sistema centralizado de gestin del cambio
SM4.4.4
SM4.4.5
SM4.4.6
Control: Los acuerdos de gestin de identidad y acceso deben permitir: a) que los derechos de acceso sean rpida y fcilmente concedidos, modificado o eliminados para un gran nmero de usuarios (por ejemplo, instalando derechos de acceso basado en roles) b) que la gestin de privilegios de acceso de los usuarios sea realizada por los propietarios de los sistema Proteccin Fsica Control: Deben existir normas y procedimientos para la proteccin fsica en las zonas donde se alojan los servicios de TI crticos dentro de la organizacin
SM4.5 SM4.5.1
Pgina 150 de 207
SM4.5.2
Control: Los estndares y procedimientos deben cubrir la proteccin de: a) edificios contra el acceso no autorizado (por ejemplo, mediante el uso de candados, los guardias de seguridad y vigilancia por vdeo) b) documentos importantes y medios de almacenamiento removible (por ejemplo CD, DVD y USB de memoria) contra el robo o copiado c) reas de almacenamiento (por ejemplo, que podran ser utilizados para almacenar los activos de la organizacin, equipo y medios de almacenamiento o documentos importantes en papel) d) personal vulnerables a la intimidacin por parte de terceros malintencionados Control: Se deben proteger los edificios que albergan las instalaciones de TI crticas contra acceso no autorizado mediante: a)suministro de cerraduras, tornillos (o equivalente) en puertas y ventanas vulnerables b) el empleo de guardias de seguridad c) la instalacin de un circuito cerrado de televisin (CCTV), o su equivalente Control: Se deben proteger los documentos importantes y medios de almacenamiento extrables (por ejemplo CD, DVD y USB de memoria) contra robo o copiado mediante: a) almacenamiento de material sensitivo en gabinetes bajo llave (o similar) cuando no estn en uso (por ejemplo, mediante la aplicacin de una poltica de escritorio limpio) b) la restriccin del acceso fsico a importantes puntos post o de fax c) la localizacin de equipos usados para material sensitivo impreso en reas fsicas seguras Control: El personal debe estar protegido contra la intimidacin por parte de terceros malintencionados proporcionando alarmas de coaccin en reas pblicas susceptibles y estableciendo un proceso para responder a situaciones de emergencia. Gestin de incidentes de seguridad de la informacin Control: Se debe establecer capacidad para el gobierno de la gestin de incidentes de seguridad de la informacin que comprometan la confidencialidad, integridad o disponibilidad de la informacin
SM4.5.3
SM4.5.4
SM4.5.5
SM4.6 SM4.6.1
Pgina 151 de 207
SM4.6.2
Control: La gestin de incidentes de seguridad de la informacin debe ser respaldada por normas y procedimientos documentados los cuales deben: a) cubrir la participacin de los interesados pertinentes (por ejemplo, departamento legal, relaciones pblicas, recursos humanos, los organismos de control, los reguladores de la industria) b) detallar los tipos de informacin necesarios para apoyar la gestin de incidentes de seguridad de la informacin (por ejemplo, los registros de eventos de seguridad, los diagramas de configuracin de la red y los detalles de clasificacin de la informacin) c) especificar las herramientas necesarias para apoyar la gestin de incidentes de seguridad de la informacin (por ejemplo, listas de chequeo, formatos y plantillas, los analizadores de logs, software de seguimiento de incidentes y software de anlisis forense) Control: Las normas y procedimientos de gestin de incidentes de seguridad de la informacin deben ser: a) aprobados por la direccin b) revisados peridicamente c) mantenidos al da Control: Debe haber un proceso para la gestin de los incidentes de seguridad de la informacin, que incluya: a) la identificacin de incidentes de seguridad de la informacin (por ejemplo, la recepcin de informes de incidentes de seguridad de la informacin, la evaluacin del impacto sobre el negocio, la categorizacin y clasificacin de los incidentes de seguridad de la informacin, y el registro de la informacin sobre el incidente de seguridad de la informacin) b) la respuesta a los incidentes de seguridad de la informacin (por ejemplo, el escalamiento al equipo de gestin de incidentes de seguridad de la informacin, la investigacin, contencin y erradicacin de la causa del incidente de seguridad de la informacin) c) la recuperacin despus de un incidente de seguridad de la informacin (por ejemplo, la reconstruccin de los sistemas y la restauracin de datos, y el cierre del incidente de seguridad de la informacin) d) el seguimiento de los incidentes de seguridad de la informacin (por ejemplo, las actividades posteriores a los incidentes, tales como el anlisis de causa raz, la investigacin forense y la presentacin de informes al negocio)
SM4.6.3
SM4.6.4
Pgina 152 de 207
SM4.6.5
Control: Debe existir una persona o equipo responsable de la gestin de incidentes de seguridad de la informacin, que tenga: a) sus funciones y responsabilidades definidas b) suficientes competencias y experiencia en la gestin de incidentes de seguridad de la informacin c) autoridad para tomar decisiones crticas para negocio d) mtodos para involucrar a los interesados directos internos y externos (por ejemplo, departamento legal, relaciones pblicas, recursos humanos, los organismos de control y los reguladores de la industria) Control: La informacin pertinente para la gestin de incidentes de seguridad de la informacin (por ejemplo, diagramas de red, los registros de sucesos, los procesos de los negocios y los informes de auditoria de seguridad) debe estar disponible para ayudar al personal a seguir, y tomar decisiones importantes durante el proceso de gestin de incidentes de seguridad de la informacin Control: Las personas responsables de la gestin de incidentes de seguridad de la informacin se deben apoyar en herramientas (por ejemplo, software para la gestin de seguridad de la informacin, el manejo de evidencia, las copias de respaldo y recuperacin, y la investigacin forense) para ayudar a completar cada etapa del proceso de gestin de incidentes de seguridad Continuidad del negocio Control: Deben existir normas y procedimientos para desarrollar planes de continuidad de negocios que especifiquen que los planes son: a) suministrados a todas las partes crticas de la organizacin b) basados en los resultados de un anlisis de riesgos de informacin documentado c) distribuidos a las personas que lo requieran en caso de emergencia d) mantenidos al da y sujetos a prcticas de administracin de cambios e) sujetos a copias de respaldo y las copias almacenadas fuera del sitio
SM4.6.6
SM4.6.7
SM4.7 SM4.7.1
Pgina 153 de 207
SM4.7.2
Control: Los planes de continuidad del negocio deben incluir: a) las guas para garantizar la seguridad de las personas b) una lista de los servicios y la informacin que debe recuperarse, en orden de prioridad c) un programa de tareas y actividades que se llevarn a cabo, la identificacin de responsabilidades para cada tarea d) las guas a seguir en la realizacin de tareas y actividades, incluyendo procedimientos de emergencia, y procedimientos de reanudacin e) suficiente detalle para que puedan ser seguidas por personas que no suelen llevarlos a cabo f) detalle de las tareas que se emprendern despus de la recuperacin y restauracin (por ejemplo, comprobar que los sistemas se restauren al mismo estado que tenan antes de que el plan de continuidad fuera invocado) Control: Se deben documentar las normas y procedimientos para los acuerdos de continuidad del negocio (por ejemplo instalaciones de procesamiento separadas, acuerdos de reciprocidad con otra organizacin o un contrato con un proveedor especialista en acuerdos de continuidad del negocio) Control: Los acuerdos de continuidad del negocio deben cubrir la indisponibilidad prolongada de: a) personas clave (por ejemplo, debido a enfermedad, lesiones, vacaciones o viaje) b) ingreso a las oficinas (por ejemplo, debido a acciones de la polica, el ejrcito o las acciones terroristas, desastres naturales, o retiro de los servicios de transporte) c) los sistemas o software de aplicaciones d) la informacin del negocio (en papel o en formato electrnico) e) el computador, las comunicaciones y los equipos de control ambiental f) los servicios de red (por ejemplo, debido a la prdida de voz, datos u otras comunicaciones g) los servicios esenciales (por ejemplo, electricidad, gas o agua). Control: Los acuerdos de continuidad del negocio deben cubrir: a) aplicaciones del negocio b) las reas del negocio (por ejemplo, centros de control de procesos y centros de llamadas)
SM4.7.3
SM4.7.4
SM4.7.5
Pgina 154 de 207
SM4.7.6
Control: Los acuerdos de continuidad del negocio deben ser probados peridicamente, utilizando simulaciones realistas (que implican tanto a los usuarios como al personal de TI), para demostrar si el personal es capaz de recuperar la informacin crtica y los sistemas dentro de escalas de tiempo crticas. Control: Los acuerdos de continuidad del negocio deben exigir que el personal apropiado est informado sobre las responsabilidades en la continuidad del negocio y est entrenado para asumirlas
SM4.7.7
SM5 SM5.1 SM5.1.1
Ataques maliciosos
Proteccin general contra malware Control: Deben existir normas y procedimientos documentados los cuales: a) proporcionan a los usuarios informacin sobre los programas maliciosos b) adviertan a los usuarios la manera de reducir el riesgo de infeccin de malware Control; Los usuarios deberan ser: a) advertidos sobre la prevalencia de los programas maliciosos y los peligros que plantea b) educados con respecto a la forma en que el malware puede instalarse en las estaciones de trabajo c) informados de los sntomas ms comunes de los programas maliciosos (por ejemplo, pobre rendimiento del sistema, comportamiento inesperado de la aplicacin, terminacin repentina de una aplicacin) d) notificados rpidamente de nuevos e importantes riesgos relacionados con el malware (por ejemplo, por correo electrnico o a travs de una intranet) e) instruidos para reportar programas maliciosos a un nico punto de contacto para soporte (por ejemplo, un servicio de mesa de ayuda ) f) apoyados por especialistas de soporte tcnico las veces que sea necesario (por ejemplo, las 24 horas del da, 365 das al ao)
SM5.1.2
SM5.1.3
Control: El riesgo de infeccin por virus debera reducirse alertando a los usuarios para no: a) instalar el software de fuentes no confiables b) abrir archivos adjuntos no confiables c) hacer clic en enlaces dentro de correos electrnicos o documentos d) intentar resolver manualmente problemas de malware
Pgina 155 de 207
SM5.1.4
Control: La proteccin contra virus debera incluir: a) la aplicacin de procedimientos de emergencia para hacer frente a incidentes relacionados con programas maliciosos b) el monitoreo de fuentes externas para obtener conocimiento sobre nuevas amenazas de malware c) informar a los terceros sobre las normas y procedimientos de proteccin contra malware Software de proteccin contra el malware (por ejemplo: virus, gusanos, caballos troyanos, spyware, adware, cdigo mvil malicioso) Control: Deben existir normas y procedimientos documentados relacionados con la proteccin contra software malicioso que especifiquen: a) los mtodos para instalar y configurar el software de proteccin contra programas maliciosos (por ejemplo, software de proteccin antivirus, software antispyware) b) los mecanismos para la actualizacin de software de proteccin contra programas maliciosos (incluyendo actualizaciones automticas). Control: Se debe instalar el software de proteccin contra el malware en sistemas que son susceptibles a los programas maliciosos como son: a) los servidores (por ejemplo, los servidores de archivos, servidores de impresin, servidores de aplicaciones, servidores web y servidores de bases de datos) b) gateways de mensajera (por ejemplo, los que exploran el trfico de la red y mensajes electrnicos en tiempo real) c) computadores de escritorio (desktop computers) d) computadores porttiles (laptop computers) e) dispositivos de computacin manuales (hand-held) (por ejemplo, telfonos mviles basados en WAP, telfonos inteligentes y asistentes digitales personales (PDA)). Control: El software de proteccin contra el malware debe distribuirse automticamente, y dentro de los plazos definidos con el fin de reducir el riesgo de exposicin al malware ms reciente (incluidos los que estn asociados con ataques del "Da cero" ) Control: El software de proteccin contra el malware debe proteger contra todas las modalidades de programas maliciosos (por ejemplo, virus informticos, gusanos, caballos de troya, spyware, adware y cdigo malicioso mvil)
SM5.2
SM5.2.1
SM5.2.2
SM5.2.3
SM5.2.4
Pgina 156 de 207
SM5.2.5
Control: El software de proteccin contra el malware debe estar configurado para escanear o explorar: a) la memoria del computador b) los archivos ejecutables (incluidos las macros del software de oficina) c) los archivos protegidos (por ejemplo, los archivos comprimidos y los protegidos con contrasea) d) los medios de almacenamiento extrables (por ejemplo CD, DVD y dispositivos de almacenamiento USB) e) el trfico entrante de la red corporativa (incluyendo el correo electrnico y descargas de Internet) f) el trfico saliente de la red corporativa (incluyendo el correo electrnico) Control: El software de proteccin contra el malware debe estar configurado para: a) estar activo en todo momento b) proporcionar una notificacin cuando se identifique malware sospechoso (por ejemplo, producir un log de eventos de entrada y el suministro de alertas) c) dejar en cuarentena los archivos sospechosos de contener malware (por ejemplo, para una investigacin posterior) d) eliminar el malware y los archivos asociados o restablecer la configuracin del sistema e) garantizar que la configuracin no se pueda desactivar o reducir al mnimo la funcionalidad. Control: Se deben efectuar revisiones peridicas de los servidores, computadoras de escritorio, computadoras porttiles y dispositivos de computacin manuales para garantizar que: a) el software de proteccin contra el malware no ha sido desactivado b) la configuracin del software de proteccin contra el malware es correcta c) las actualizaciones se aplican dentro de los plazos definidos d) se han establecido los procedimientos de emergencia para manejar los incidentes relacionados con el malware
SM5.2.6
SM5.2.7
Pgina 157 de 207
SM5.2.8
Control: Se debe reducir el riesgo de descargar malware mediante: a) la restriccin de las fuentes donde se pueda descargar el cdigo mvil (por ejemplo, proporcionando una lista negra de sitios web prohibidos) b) la prevencin de descarga de determinados tipos de cdigo mvil (por ejemplo, los relacionados con vulnerabilidades conocidas tales como controles ActiveX, JavaScript y objetos de ayuda del navegador) c) la configuracin de los navegadores web para que los usuarios se les pregunte si desean instalar el cdigo mvil d) la descarga de cdigo mvil confiable (es decir, firmado con un certificado digital de confianza) e) la ejecucin de cdigo mvil en un entorno protegido (por ejemplo, un rea de cuarentena, tales como Java 'sandbox' o un servidor proxy en una "zona desmilitarizada" (DMZ))
SM5.3 SM5.3.1
Deteccin de intrusos Control: Deben emplearse mecanismos de deteccin de intrusos para redes y sistemas crticos con el fin de identificar previamente los nuevos tipos de ataque. Control: Deben existir normas y procedimientos documentados para deteccin de intrusos que incluyan: a) mtodos de identificacin de la actividad no autorizada b) anlisis de las intrusiones sospechosas c) respuesta apropiada a los distintos tipos de ataque (por ejemplo, mediante un proceso de gestin de incidentes de seguridad de la informacin) Control: Los mtodos de deteccin de intrusos deben identificar: a) el acceso no autorizado a los sistemas y a la informacin b) el comportamiento inesperado del usuario o de la aplicacin c) la terminacin no planeada de los procesos o aplicaciones d) la actividad tpicamente asociada con el malware Control: Se debe contar con software especializado para la deteccin de intrusos tales como host de sistemas de deteccin de intrusiones (HIDS) y sistemas de deteccin de intrusiones de red (NIDS). Este software debe ser evaluado antes de la compra. Control: Se deben proteger los sensores de deteccin de intrusin en la red (es decir, hardware especializado que sirve para identificar la actividad no autorizada en el trfico de la red) contra ataques (por ejemplo, limitando la transmisin de cualquier trfico de red externo, o mediante un dispositivo de red, network tap, para ocultar la presencia del sensor).
SM5.3.2
SM5.3.3
SM5.3.4
SM5.3.5
Pgina 158 de 207
SM5.3.6
Control: El software de deteccin de intrusos debe ser: a) actualizado automticamente y dentro de plazos definidos (por ejemplo, la distribucin de archivos de firmas de ataque para los sensores de deteccin de intrusos a travs de una consola de administracin central) b) configurado para proporcionar alertas cuando se detectan actividades sospechosas (por ejemplo, a travs de una consola de administracin, mensajes de correo electrnico o mensajes de texto SMS para telfonos mviles) Control: Se deben realizar revisiones peridicas para asegurar que: a) la configuracin del software de deteccin de intrusin cumple las normas internas b) el software de deteccin de intrusiones no ha sido desactivado c) las actualizaciones se han aplicado dentro de los plazos definidos Control: Se deben analizar las intrusiones sospechosas y evaluar el impacto potencial para el negocio. El anlisis debe incluir: a) confirmar si un ataque se est produciendo realmente (por ejemplo, mediante la eliminacin de falsos positivos) b) determinar el tipo de ataque (por ejemplo, los gusanos, los ataques por desbordamiento de bfer o de denegacin del servicio) c) identificar el punto de origen de un ataque d) cuantificar el impacto de un posible ataque. Control: Se debe evaluar el estado de un ataque en trminos de: a) el tiempo transcurrido desde el inicio del ataque y desde la deteccin del ataque b) la escala (por ejemplo, sistemas y redes afectadas) Control: Se deben documentar los mtodos para reportar los ataques serios (por ejemplo, para un equipo de respuesta a emergencias) Respuesta a emergencias Control: Debe existir un proceso de respuesta a emergencias para manejar ataques serios Control: El proceso de respuesta a emergencias debe ser apoyado por un equipo de alto nivel que incluya a personas calificadas para responder a los ataques graves y adems a un representante de la direccin
SM5.3.7
SM5.3.8
SM5.3.9
SM5.3.10
SM5.4 SM5.4.1 SM5.4.2
Pgina 159 de 207
SM5.4.3
Control: El proceso de respuesta a los ataques graves debe incluir: a) una definicin de la situacin de emergencia b) la asignacin de funciones y responsabilidades c) la definicin de un mtodo para que se tomen decisiones crtica lo ms rpidamente posible d) la definicin clara de los pasos que deben tomarse en situaciones de emergencia e) la ejecucin de los pasos f) los detalles de contacto de las personas claves (incluso los relacionados con los terceros) g) los mtodos de tratar con terceros Control: El proceso debe incluir mtodos para: a) permitir a los investigadores reaccionar rpidamente en caso de emergencia b) obtener la aprobacin de las medidas recomendadas dentro de un plazo de tiempo crtico Control: El proceso debe asegurar que despus de la ocurrencia de un ataque: a) los computadores afectados por el ataque se les hace una labor de limpieza (por ejemplo, los programas maliciosos y los archivos relacionados son removidos del computador) b) se minimiza la probabilidad de ataques similares c) se revisan los controles de seguridad Investigaciones forenses Control: Se debe establecer un proceso para manejar incidentes de seguridad de la informacin que puedan requerir investigacin forense Control: Deben existir normas y procedimientos documentados para manejar los incidentes de seguridad de la informacin que requieran la investigacin forense, los cuales deben cubrir: a) la proteccin inmediata de las pruebas ante un incidente de seguridad de la informacin b) cumplir con la norma o cdigo de prctica para la recuperacin de la evidencia admisible c) mantener un registro de las pruebas recuperadas y los procesos de investigacin emprendidas d) la necesidad de buscar asesora jurdico sobre la evidencia que se recuper e) las acciones que deben ser objeto de seguimiento durante la investigacin
SM5.4.4
SM5.4.5
SM5.5 SM5.5.1
SM5.5.2
Pgina 160 de 207
SM5.5.3
Control: La evidencia debe ser recolectada: a) con la intencin de posibles acciones legales b) con el respeto por la privacidad de los individuos y los derechos humanos c) a partir de fuentes de TI relevantes para el incidente de seguridad de la informacin (por ejemplo, archivos activos, temporales y borrados, los archivos eliminados, el uso del correo electrnico o uso de Internet, memoria cachs y registros de la red) d) a partir de fuentes diferentes de TI que sean relevantes para el incidente de seguridad de la informacin (por ejemplo, grabaciones de CCTV, los registros de acceso a las instalaciones, las revelaciones de testigos) Control: Durante una investigacin forense se deben seguir pasos para: a) establecer y documentar una secuencia cronolgica de eventos b) registrar las acciones de investigacin c) demostrar que la evidencia apropiada se ha recogido, preservado y que no ha sido modificada d) proteger los equipos informticos contra el acceso no autorizado y la posible manipulacin de las pruebas e) analizar las pruebas en un ambiente controlado (por ejemplo, utilizando una copia o "imagen" de la computadora para evitar la corrupcin del original) f) examinar las pruebas por un experto independiente e imparcial que cumple con los requisitos legales y reglamentarios g) garantizar que los procesos utilizados para crear y preservar las pruebas se puede repetir por una tercera parte independiente h) limitar la informacin sobre una investigacin a unos pocas personas asignadas y garantizar que la informacin se mantiene confidencial
SM5.5.4
SM5.5.5
Control: Los resultados de una investigacin forense se deben comunicar a la gerencia apropiada (por ejemplo, la direccin y los jefes de las unidades de negocio) y a los organismos judiciales y regulatorios apropiados. Gestin de parches Control: Deben existir normas y procedimientos documentados para gestin de parches que indiquen: a) los requisitos para parchar los equipos, las aplicaciones de negocio, los sistemas operativos, el software y los componentes de la red b) el enfoque de la organizacin para la gestin de e parches c) los requisitos de pruebas d) la revisin de los mtodos de distribucin de parches
SM5.6 SM5.6.1
Pgina 161 de 207
SM5.6.2
Control: Las normas y procedimientos para parches deben incluir un mtodo para: a) la definicin de roles y responsabilidades en la gestin de parches b) determinar la importancia de los sistemas (por ejemplo, sobre la base de la informacin que se maneja, los procesos de negocio soportados y los ambientes en los que se utilizan) c) registrar los parches que se han aplicado (por ejemplo, utilizando un inventario de los activos que incluya las versiones de los parches) Control: Se debe establecer un proceso de gestin de parches para regular la aplicacin de parches en el da a da. El proceso debe estar documentado y aprobado por la gerencia correspondiente, y se debe asignar un dueo de este proceso. Control: El proceso de gestin de parches debera: a) determinar los mtodos de obtencin de los parches b) especificar los mtodos de validacin de los parches (por ejemplo, garantizando que el parche es de una fuente autorizada) c) identificar las vulnerabilidades que son aplicables a las aplicaciones y sistemas utilizados por la organizacin d) evaluar el impacto que tiene para la empresa la aplicacin de parches (o la no aplicacin de un parche especfico) e) garantizar que los parches se prueban contra criterios conocidos f) describir los mtodos de instalar los parches (por ejemplo, utilizando las herramientas de distribucin de software) g) informar sobre el estado de instalacin de parches en toda la organizacin h) incluir la aplicacin de mtodos para manejar las fallas en la instalacin de un parche
SM5.6.3
SM5.6.4
SM5.6.5
Control: Se deben establecer mtodos para proteger la informacin y los sistemas si no hay parches disponibles para vulnerabilidades identificadas (por ejemplo, la desactivacin de servicios y agregar controles de acceso adicionales)
SM6 SM6.1
Tpicos especiales
Soluciones criptogrficas
Pgina 162 de 207
SM6.1.1
Control: La criptografa debe ser utilizada en toda la empresa para: a) proteger la confidencialidad de la informacin sensible (por ejemplo, mediante el uso de la codificacin) b) determinar si la informacin crtica se ha modificado (por ejemplo, mediante la realizacin de funciones de hash) c) proporcionar autenticacin fuerte para los usuarios de sistemas y aplicaciones (por ejemplo, utilizando certificados digitales y tarjetas inteligentes) d) permitir la prueba de la identidad del autor de la informacin crtica (por ejemplo, utilizando la firma digital para no-repudio. Control: Se deben establecer y documentar las normas y procedimientos para criptografa que cubran: a) la definicin de las circunstancias en que se debe utilizar la criptografa (por ejemplo, para transacciones de alto valor que involucran organismos externos o para transmitir informacin confidencial a travs de redes abiertas tales como Internet) b) la seleccin de algoritmos criptogrficos aprobados (por ejemplo, Advanced Encryption Standard (AES) para confidencialidad, y SHA-1 o MD5 para la integridad) c) la gestin (incluida la proteccin), de claves criptogrficas d) las restricciones en el uso de soluciones de cifrado e) la idoneidad de las soluciones de cifrado utilizadas (incluidos los algoritmos y longitudes de claves de encriptacin) Control: Se deben definir claramente las responsabilidades para la gestin de claves criptogrficas y la gestin de licencias asociadas con el uso de soluciones criptogrficas internacionales Control: Los directivos apropiados deben tener acceso a: a) consejo de expertos tcnicos y asesora jurdica sobre la utilizacin de la criptografa b) una lista de soluciones criptogrficas c) un inventario actualizado (o equivalente) donde se detallan las soluciones criptogrficas que se aplican en la organizacin Infraestructura de clave pblica
SM6.1.2
SM6.1.3
SM6.1.4
SM6.2
Pgina 163 de 207
SM6.2.1
SM6.2.2
Control: La organizacin que hace uso de una infraestructura de clave pblica (PKI), debe establecer y documentar normas y procedimientos que definan: a) el proceso necesario para la gestin de claves criptogrficas y certificados digitales dentro de la PKI b) los mtodos necesarios para el funcionamiento del PKI c) las medidas que deben adoptarse en caso de un compromiso o una sospecha de compromiso de la PKI Control: Los usuarios de PKI deben ser conscientes del propsito y funcin de la PKI, y su responsabilidad para proteger las claves privadas y para utilizar la firma digital Control: Una Autoridad de Certificacin (CA) est compuesto por las personas, los procesos y las herramientas que son responsables de la creacin, generacin y administracin de los certificados de clave pblica que se utilizan dentro de una PKI. Donde una PKI es soportada por una CA interna la cual debe estar protegida por: a) la restriccin de acceso a personas autorizadas (por ejemplo, utilizando mecanismos de control de acceso y autenticacin fuerte) b) el aseguramiento del sistema operativo que lo soporta (por ejemplo, mediante la eliminacin de todas las vulnerabilidades conocidas) c) el empleo de otros controles generales (por ejemplo, la gestin de cambios) de manera organizada Control: Los planes de contingencia para las aplicaciones que se soportan en PKI deberan incluir los mtodos para la recuperacin de la PKI en el evento de un desastre Correo electrnico Control: Se deben establecer y documentar normas y procedimientos para la provisin y uso del correo electrnico, los cuales deben especificar mtodos para: a) configurar los servidores de correo (por ejemplo, para limitar el tamao de los mensajes o buzones de usuario) b) escanear los mensajes de correo electrnico (por ejemplo, para el malware, cadenas de mensajes o el contenido ofensivo) c) mejorar la seguridad de los mensajes de correo electrnico (por ejemplo, mediante la utilizacin de descargos de responsabilidad, algoritmos de hashing, cifrado o tcnicas de no-repudio) d) hacer que los usuarios sean ms conscientes de las consecuencias de sus acciones al utilizar el correo electrnico
SM6.2.3
SM6.2.4
SM6.3 SM6.3.1
Pgina 164 de 207
SM6.3.2
Control: Los servidores de correo deben estar configurados para prevenir que el sistema de mensajera est sobrecargado estableciendo limites en el tamao de los mensajes o los buzones de usuario, restringiendo el uso de grandes listas de distribucin e identificando y cancelando automticamente los loops del correo electrnico Control: Los sistemas de correo electrnico deben revisarse peridicamente para garantizar que se satisfacen los requisitos de oportunidad y disponibilidad futura Control: Los mensajes de correo electrnico deben escanear: a) los archivos adjuntos que pueden contener cdigo malicioso (por ejemplo, el cdigo malicioso oculto en el auto-extraccin de archivos zip o videoclips MPEG) b) las palabras prohibidas (por ejemplo, palabras que son racistas, ofensivas, difamatorias u obscenas) c) las frases asociadas con el malware (por ejemplo, las de uso comn en los virus hoax o cadenas de mensajes) Control: Los sistemas de correo electrnico deben suministrar proteccin mediante: a) el bloqueo de los mensajes considerados indeseables b) el uso de firmas digitales para determinar si los mensajes de correo electrnico han sido modificados en el trnsito, y la encriptacin de los mensajes de correo sensitivos o confidenciales c) la garanta de no repudio de origen para los mensajes de correo ms importantes (por ejemplo, utilizando la firma digital) d) el suministro de no repudio en el recibo de mensajes importantes Control: Se debe proteger la integridad mediante: a) la insercin de informacin legal y detalles de la direccin de retorno para el correo empresarial b) la advertencia a los usuarios que el contenido de los mensajes de correo electrnico pueden ser contractual y jurdicamente vinculantes y que el uso del correo electrnico puede ser monitoreado Control: La organizacin debe prohibir: a) el uso del correo de los sitios web b) el desvo automtico de correo electrnico a direcciones externas c) la publicidad no autorizada d) la encriptacin privada del correo electrnico o archivos adjuntos e) la apertura de archivos adjuntos de fuentes desconocidas o no confiables
SM6.3.3
SM6.3.4
SM6.3.5
SM6.3.6
SM6.3.7
Pgina 165 de 207
SM6.3.8
Control: El uso personal del correo electrnico de la empresa debe estar claramente etiquetado como personal y sujeto a los trminos de los acuerdos para usuarios de correo Trabajo remoto Control: El trabajo remoto debe estar soportado por normas y procedimientos que cubran: a) los requisitos de seguridad asociados con el trabajo remoto b) los tipos de dispositivo que pueden ser utilizados por el personal que trabaja en lugares remotos (por ejemplo, computadores porttiles, dispositivos manuales como el PDA, los telfonos inteligentes) c) la implementacin y mantenimiento de equipos remotos d) el suministro de software para proteger las estaciones de trabajo (por ejemplo, herramientas de administracin de sistemas, mecanismos de control de acceso, software de proteccin contra el malware y las capacidades de cifrado) e) la configuracin del software f) la proteccin contra cdigo mvil malicioso (por ejemplo, los applets de Java, ActiveX, JavaScript o VBScript que se han escrito deliberadamente para realizar funciones no autorizadas) g) la autorizacin de un representante del nivel apropiado para la persona que requiere trabajar remotamente Control: Al personal que requiere trabajar remotamente se le debe suministrar computadores que sean: a) adquiridos a partir de proveedores aprobados b) soportados por acuerdos de mantenimiento c) protegidos por controles fsicos (por ejemplo, cerraduras, alarmas y marcas indelebles) Control: Los computadores utilizados por el personal que trabaja en lugares remotos se les debe instalar o aplicar: a) configuraciones tcnicas estndar b) un conjunto completo de herramientas de administracin del sistema (por ejemplo, utilidades de mantenimiento y copias de respaldo) c) mecanismos de control de acceso para restringir el acceso al equipo remoto d) el software de proteccin contra malware, para proteger contra virus, gusanos, troyanos, software espa y adware e) el software de encriptacin para proteger la informacin almacenada en el computador (por ejemplo, utilizando cifrado del discos duro) o transmitida por el equipo (por ejemplo, utilizando una red privada virtual (VPN) para conectarse a la red de la organizacin)
SM6.4 SM4.6.1
SM4.6.2
SM4.6.3
Pgina 166 de 207
SM4.6.4
Control: Se debe restringir el acceso a las computadoras utilizadas en lugares remotos mediante la encriptacin de contraseas y la prevencin de acceso lgico a la capacidad de las computadoras personales desatendidas (por ejemplo, mediante el bloqueo de clave o contrasea) Control: El personal que trabaja en ubicaciones remotas, incluidas las zonas pblicas (por ejemplo, hoteles, trenes, aeropuertos y cafs de Internet) o en el hogar, debe estar: a) autorizado para trabajar slo en determinadas localidades b) equipados con las destrezas necesarias para realizar tareas de seguridad necesarias (por ejemplo, restringir el acceso, sacar copias de respaldo y la encriptacin de archivos de claves) c) consciente de los riesgos adicionales relacionados con el trabajo remoto (incluido el aumento de la probabilidad de robo de los equipos o revelacin de informacin confidencial) d) apoyado con soporte tcnico adecuado (por ejemplo, a travs de un servicio de mesa de ayuda) e) en cumplimiento con los requisitos legales y reglamentarios f) respaldado con acuerdos de trabajo alternativos en caso de emergencia
SM4.6.5
SM4.6.6
Control: Los computadores y dispositivos porttiles deben estar protegidos contra robo mediante: a) el suministro a los usuarios con candados fsicos o dispositivos de seguridad equivalente b) etiquetas de identificacin c) el uso de marcas indelebles Control: Se deben implementar controles adicionales que deben aplicarse en las estaciones de trabajo con la capacidad de conectarse a la Internet mediante: a) el uso de navegadores web con una configuracin estndar b) la prevencin de los usuarios con la desactivacin o modificacin de las opciones de seguridad en los navegadores web c) la aplicacin de las actualizaciones del software de navegador web con rapidez y eficacia d) la utilizacin de software tal como un firewall personal y proteccin contra malware e) la advertencia a los usuarios de los peligros de descargar cdigo mvil y las consecuencias de aceptar o rechazar "Cookies" f) la restriccin de descarga de cdigo mvil para bloquear determinados tipos de ejecutables
SM4.6.7
SM6.5
Acceso a terceros
Pgina 167 de 207
SM6.5.1
Control: La prestacin de acceso a terceros debe ser apoyado por las normas y procedimientos documentados que especifican que, antes de la conexin: a) se deben evaluar los riesgos del negocio asociados con el acceso a terceros b) se asigne la responsabilidad para la autorizacin de acceso a terceros al personal apropiado c) se realice la debida diligencia y se implementen los controles de seguridad acordados d) se efecten pruebas e) se formalicen los acuerdos en los contratos Control: Se deben aplicar mtodos para: a) garantizar que los controles de terceros sean proporcionales a los riesgos del negocio b) proteger los intereses de la organizacin en relacin con la propiedad de la informacin y los sistemas c) limitar los pasivos de la organizacin a terceros (por ejemplo, mediante el uso de las condiciones contractuales y advertencias que aparecen en la pantalla) d) cumplir con las obligaciones legales e) hacer responsables a los terceros por sus acciones Control: Cuando se trata de conexiones individuales a terceros, se debe establecer un proceso para: a) lograr la compatibilidad tcnica b) proteger la informacin sensible almacenada en los sistemas o en su trnsito hacia instalaciones de terceros c) mantener registros de actividades (por ejemplo, para ayudar a rastrear las transacciones individuales y hacer cumplir la rendicin de cuentas) d) proporcionar un nico punto de contacto para la atencin de problemas (por ejemplo, un servicio de mesa de ayuda o centro de llamadas) Control: El acceso de terceros a travs de las conexiones debe ser administrado mediante: a) la restriccin de mtodos de conexin (por ejemplo, define los puntos de entrada slo a travs de firewalls) b) la autenticacin de usuarios alineado con la funcin que desempean c) la restriccin de los tipos de acceso permitido (es decir, en trminos de informacin, capacidades de la aplicacin y privilegios de acceso) d) el otorgamiento de acceso a la informacin y los sistemas de la organizacin bajo el principio de "el mnimo acceso" e) la terminacin de conexiones cuando no se necesitan Control: Las conexiones que proporcionan el acceso a terceros se deben identificar individualmente, deben ser aprobadas por el dueo del negocio, deben ser registradas y acordadas por las partes en un contrato documentado
SM6.5.2
SM6.5.3
SM6.5.4
SM6.5.5
Pgina 168 de 207
SM6.5.6
Control: Las personas responsables por la administracin de conexiones a terceros deben tener acceso a: a) la informacin sobre los riesgos asociados con el acceso a terceros b) las normas y procedimientos que ilustran las medidas que se deben adoptar para lograr conexiones seguras c) las herramientas de soporte (por ejemplo, listas de chequeo, muestras de contratos y acuerdos de niveles de servicio) d) las fuentes de conocimiento para obtener consejo y accesoria de especialistas (por ejemplo, la funcin de seguridad de la informacin) Comercio electrnico Control: Se debe responsabilizar a un gerente de alto nivel para todo lo relacionado con las iniciativas de comercio electrnico Control: Se debe establecer un comit directivo o grupo directivo para coordinar las iniciativas de comercio electrnico que incluya representantes de las reas claves de la organizacin que participan en las iniciativas de comercio electrnico (por ejemplo, la alta direccin, los propietarios de negocio, el departamento jurdico, la administracin de TI, y la funcin de seguridad de la informacin) Control: Los riesgos asociados con iniciativas de comercio electrnico deben ser objeto de un anlisis de riesgos de informacin Control: Se deben establecer y documentar normas y procedimientos para administrar las iniciativas de comercio electrnico las cuales requieren que: a) las buenas prcticas de seguridad de la informacin no se sacrifiquen en aras de la velocidad de entrega b) las iniciativas estn impulsadas por los requerimientos del negocio c) se minimice la dependencia de la tecnologa inmadura d) se evalen las implicaciones de seguridad al implementar las soluciones de proveedores Control: Se debe establecer un proceso para asegurar que los tomadores de decisiones: a) comprendan las necesidades de seguridad de los clientes b) sean conscientes de los riesgos asociados con el comercio electrnico y no pasen por alto las principales amenazas tcnicas c) aprueban los riesgos residuales d) identifican las competencias necesarias de seguridad para apoyar las iniciativas de comercio electrnico y emplean al personal suficiente con las habilidades necesarias (por ejemplo, utilizando terceros que sean expertos o capacitando al personal interno)
SM6.6 SM6.6.1
SM6.6.2
SM6.6.3
SM6.6.4
SM6.6.5
Pgina 169 de 207
SM6.6.6
SM6.6.7
Control: Antes de instalarse en produccin, las iniciativas de comercio electrnico deben ser rigurosamente probadas, revisadas por un especialista en seguridad de la informacin y aprobadas por la direccin Control: Debe existir un proceso que garantice que: a) los registros importantes de nombres de dominio son renovados (por ejemplo, cada dos aos) b) los nombres de dominio que pueden ser utilizado para ocultar la organizacin son registrados por la organizacin c) se monitorean los sitios web que pueden haber sido instalados usando los nombres de dominio similares a los utilizados por la organizacin d) los sitios web ilegtimos son cerrados con la mayor rapidez posible e) las relaciones con los proveedores de servicios de Internet estn cubiertos por acuerdos de niveles de servicio (SLA) Outsourcing Control: Se debe establecer un procedimiento documentado para regular la seleccin de proveedores de outsourcing y la transferencia de las actividades hacia ellos Control: Al determinar los requisitos para el outsourcing, la organizacin debera: a) evaluar los riesgos de informacin asociados con los acuerdos de outsourcing y las funciones de la empresa que pueden ser contratadas b) Identificar los ambientes sensitivos o crticos c) evaluar las prcticas y normas de seguridad de la informacin de los posibles proveedores de outsourcing d) considerar las interdependencias entre la funcin a ser contratada y las otras funciones del negocio e) desarrollar estrategias para finalizar las relaciones ante la eventualidad de una terminacin anticipada de los acuerdos Control: Antes de transferir la administracin de un ambiente particular, el dueo del negocio debe aprobar la transferencia y se deben acordar los controles de seguridad de la informacin con el proveedor de outsourcing.
SM6.7 SM6.7.1
SM6.7.2
SM6.7.3
Pgina 170 de 207
SM6.7.4
Control: Se deben establecer y documentar los acuerdos que obligan a los proveedores a : a) cumplir con las buenas prcticas para la seguridad de la informacin b) facilitar informacin sobre incidentes de seguridad de la informacin c) mantener la confidencialidad de la informacin obtenida a travs del contrato de outsourcing d) proteger la integridad de la informacin utilizada en el desempeo de los trabajos e) garantizar la disponibilidad de la informacin y los sistemas Control: Los acuerdos deben exigir que los proveedores: a) limiten el acceso a los activos de la organizacin slo para el personal autorizado b) protejan la informacin de identificacin personal c) proporcionen los acuerdos de continuidad del negocio d) cumplan con los requisitos legales y reglamentarios e) garanticen la calidad y exactitud del trabajo realizado f) devolver o destruir la informacin, el software o equipo en una fecha convenida, o previa solicitud g) definir la forma en que el proveedor se le permite contratar con terceros h) seguir un proceso de gestin del cambio i) proporcionar una eficaz gestin de incidentes de seguridad de la informacin Control: Se debe establecer un proceso para hacer frente a los problemas de seguridad mediante unos puntos de contacto del proveedor de outsourcing Control: Los acuerdos deben especificar: el derecho a auditar las actividades del proveedor, los detalles de los acuerdos de licenciamiento y la propiedad de la informacin y de los derechos de propiedad intelectual Control: Se deben implementar las medidas de contingencia para administrar los ambientes contratados en el evento en que el proveedor no est disponible (por ejemplo, debido a un desastre o conflicto) Mensajera instantnea Control: Se deben establecer y documentar normas y procedimientos para los servicios de mensajera instantnea que incluyan: a) guas para el uso en el trabajo y el uso personal b) los tipos de servicios de mensajera instantnea permitidos (por ejemplo, los servicios pblicos, como AOL, Google Talk, Windows Messenger y Yahoo!, O los servicios internos tales como Lotus Sametime, Windows Meeting Space, Webex y Jabber) c) guas para usuarios sobre el uso aceptable (por ejemplo, la prohibicin de las declaraciones ofensivas) d) detalles de cualquier actividad de seguimiento a realizar
SM6.7.5
SM6.7.6
SM6.7.7
SM6.7.8
SM6.8 SM6.8.1
Pgina 171 de 207
SM6.8.2
Control: Se debe mejorar la seguridad de las aplicaciones de mensajera instantnea mediante: a) la desactivacin de caractersticas no adecuadas (por ejemplo, el uso compartido de archivos, video y audio) b) el uso de la encriptacin para proteger el contenido de los mensajes sensibles c) el chequeo de malware en las estaciones de trabajo d) el registro de eventos claves e) dirigir el trfico de mensajera instantnea a travs de un filtro de contenido Control: Se debe proteger la mensajera instantnea mediante: a) el empleo de un estndar de configuracin del cliente para la aplicacin de mensajera instantnea b) el aseguramiento de los servidores de mensajera instantnea c) la configuracin de firewall para bloquear el trfico no autorizado de mensajes instantneos
SM6.8.3
SM7
Revisin de la Gerencia
Revisin y auditoria de seguridad Control: Se deben realizar peridicamente revisiones y auditorias de seguridad para ambientes crticos de la organizacin, que incluyan: a) aplicaciones de negocio b) instalaciones de computacin y redes c) actividades de desarrollo de sistemas d) actividades de seguridad claves para la empresa (por ejemplo, la gestin de una arquitectura de seguridad, ejecutar programas de sensibilizacin o la supervisin de los acuerdos de seguridad de la informacin) e) entornos de usuario final
SM7.1 SM7.1.1
Pgina 172 de 207
SM7.1.2
Control: Las auditorias y revisiones de seguridad deben ser: a) acordadas con los dueos de los ambientes sujetos a revisin b) realizadas por personas que poseen las habilidades y conocimiento tcnico suficiente en seguridad de la informacin c) llevadas a cabo a profundidad (en trminos de alcance y magnitud) para garantizar que los controles de seguridad funcionan como se espera d) orientadas a comprobar que los controles son lo suficientemente efectivos para reducir el riesgo a un nivel aceptable e) apoyadas por el uso automatizado de herramientas de software f) validados por las personas competentes g) complementada por revisiones realizados por terceros independientes.
SM7.1.3
Control: Las revisiones y auditorias de seguridad deben ser administradas por: para acordar los requisitos especiales o rutinas de procesamiento de las pruebas (por ejemplo, pruebas de penetracin) con los propietarios de la ambientes que se examina restringir el acceso a los sistemas de auditoria y los equipos seguimiento y registro de las actividades de auditoria y los equipos la eliminacin de la copia de informacin empresarial a los efectos de las auditorias y exmenes tan pronto como ya no es requerido proteccin de software de herramientas utilizadas en la realizacin de auditorias y exmenes (por ejemplo, por mantenerlos separados de los instrumentos / los servicios pblicos utilizados en el entorno, y la celebracin en las instalaciones de almacenamiento seguro, como Restringido bibliotecas de software).
SM7.1.4
Control: Las recomendaciones de seguridad que resulten de las revisiones o auditorias deben ser acordadas con los dueos de los ambientes sujetos a revisin y ser reportadas a la direccin Monitoreo de seguridad Control: Se deben establecer acuerdos documentados con la direccin para el monitoreo de la seguridad de la informacin en la organizacin. Los monitoreos deben realizarse peridicamente.
SM7.2 SM7.2.1
Pgina 173 de 207
SM7.2.2
Control: El anlisis desarrollado como parte de los acuerdos de monitoreo de la seguridad debe ser: a) basado en mtricas de seguridad cuantitativas (por ejemplo, el nmero, la frecuencia y el impacto para el negocio de los incidentes de seguridad de la informacin, los hallazgos de la auditoria, las estadsticas de seguridad operacional, los costos asociados con las prdidas financieras, multas, fraude etc.). b) presentados en un formato estndar (por ejemplo, el tablero balanceado de gestin u otra herramienta de gestin) Control: La informacin recopilada como parte de las medidas de vigilancia de seguridad deber incluir detalles sobre todos los aspectos de los riesgos de informacin (por ejemplo, la criticidad de la informacin, las vulnerabilidades identificadas y el nivel de las amenazas, el impacto potencial para el negocio y el estado de los controles de seguridad implementados) Control: Se debe informar sobre la condicin de seguridad de la organizacin a los principales tomadores de decisiones (incluida la la direccin, los miembros del comit directivo de seguridad, y los rganos externos) Control: Los acuerdos de monitoreo de las seguridad deberan proporcionar a los tomadores de decisiones una visin de: a) la eficacia y la eficiencia de los acuerdos de seguridad de la informacin b) las reas donde se requiere mejorar c) la informacin y los sistemas que estn en un nivel inaceptable de riesgo d) el desempeo cuantitativo frente a los objetivos propuestos e) las medidas necesarias para ayudar a minimizar el riesgo Control: Los acuerdos para monitorear la seguridad deben proporcionar a los tomadores de decisiones informacin financiera que incluya: a) el costo de los controles de seguridad b) el impacto financiero de los incidentes de seguridad de la informacin c) el retorno de la inversin en seguridad (ROSI), de los controles implementados (por ejemplo, los beneficios no financieros, los beneficios financieros y los costos)
SM7.2.3
SM7.2.4
SM7.2.5
SM7.2.6
Pgina 174 de 207
SM7.2.7
SM7.2.8
Control: Los acuerdos para monitorear la seguridad deben permitir a los tomadores de decisiones: a) gestionar los riesgos de informacin de manera efectiva b) relacionar los riesgos de informacin con los riesgos operacionales y del negocio c) demostrar el cumplimiento de requisitos legales y reglamentarios, y las normas y procedimientos internos de seguridad de la informacin Control: La informacin generada como resultado del monitoreo de las condiciones de seguridad de la informacin de la organizacin debe ser utilizada para medir la eficacia de la estrategia, de la poltica y de la arquitectura de seguridad de la informacin
NW1
SEGURIDAD DE LA RED Administracin de la Red

Roles y responsabilidades Control: Se debe designar un dueo para gestionar la red. Las responsabilidades por las principales tareas de gestin de red deben ser claramente asignados a una o ms personas capaces, que deben aceptar las responsabilidades (incluidas las los de la seguridad de la informacin) relacionadas con estas funciones. Control: El personal de la red debera ser: a) competente para operar la red en condiciones normales b) capacitado para hacer frente a errores, las condiciones de excepcin y de emergencia c) en nmero suficiente para manejar la carga normal y los picos de trabajo
NW1.1 NW1.1.1
NW1.1.2
Pgina 175 de 207
NW1.1.3
Control: Se debe reducir el riesgo de que el personal interrumpa el funcionamiento de la red, ya sea por error o por mala intencin mediante: a) la separacin de funciones del personal que opera la red de las funciones del personal que disea y desarrolla la red b) garantizar que el personal interno (por ejemplo, los operadores y administradores de la red) y las personas externas (por ejemplo, consultores, contratistas, ingenieros) firmen los acuerdos de confidencialidad y no divulgacin c) minimizar la dependencia de personas clave (por ejemplo, mediante la automatizacin de procesos, garantizar que la documentacin de apoyo est completa y exacta, y las contingencias para cubrir los puestos clave) d) la organizacin de funciones de manera que se reduzca al mnimo el riesgo de robo, fraude, error y cambios no autorizados a la informacin e) la investigacin de antecedentes de los solicitantes para puestos de operacin y administracin de la red
NW1.1.4
Control: Se deben implementar y documentar las normas y procedimientos a ser aplicados en la red, los cuales deben ser: a) consistentes con las polticas de seguridad de la informacin que se aplican en toda la empresa b) comunicados al personal internos y externos que participa en la gestin de la red c) aprobados por un representante del negocio, revisados peridicamente y actualizados a la fecha Control: Las actividades de las personas que operan y administran la red deben ser controladas (por ejemplo, proporcionar supervisin, registrar las actividades y mantener las pistas de auditoria) Diseo de la red Control: El diseo de la red debe estar apoyado en normas y procedimientos que requieren: a) que el diseo tenga en cuenta los requisitos de los usuarios de los servicios (por ejemplo, tal como se definen los acuerdos de niveles del servicio) b) que la red sea compatible con otras redes utilizados por la organizacin c) que la red est configurada para hacer frente a la evolucin previsible del uso de las TI en la organizacin
NW1.1.5
NW1.2 NW1.2.1
Pgina 176 de 207
NW1.2.2
Control: El diseo de la red deberia: a) incorporar un conjunto integrado y coherente de normas tcnicas b) apoyarse en convenciones de nomenclatura coherente (por ejemplo, cuando se asignan las direcciones IP) c) incorporar el uso de dominios de seguridad para separar los sistemas de los requisitos de seguridad d) emplear firewalls de manera que impidan que sean pasados por alto e) minimizar los puntos de falla (por ejemplo, proporcionando balance de carga, duplicar o mantener redundancia en dispositivos crticos de la red f) restringir el nmero de puntos de entrada a la red g) permitir la gestin de red de extremo a extremo desde una ubicacin principal h) permitir que la red se pueda configurar remotamente, y monitoreada automticamente frente a los umbrales predefinidos i) permitir que los informes de gestin de la red y los registros de auditoria se mantengan j) cumplir con la reglamentacin legal y las regulaciones de la industria k) evitar que los dispositivos no autorizados sean conectados a la red (por ejemplo, forzando la autenticacin a nivel de la red) l) incluir el cifrado del acceso administrativo a los dispositivos de red (por ejemplo, firewalls y sensores de deteccin de intrusos) Resiliencia de la red Control: Se deben identificar las instalaciones de la red que son crticas para el funcionamiento de la red Control: Los puntos simples de falla deben ser minimizados mediante: a) re-enrutamiento automtico del trfico de la red cuando los nodos crticos o los enlaces fallan b) la provisin de sitios alternos a partir de los cuales se puede administrar la red c) la instalacin de redundancia en los equipos de comunicaciones crticas tales como: firewall, filtros de trfico de la red, switches principales, y las fuentes de suministro de energa f) crtica a los equipos de comunicaciones g) acuerdos con proveedores de servicios externos para disponer de puntos de conexin y enlaces alternos
NW1.3.1 NW1.3.1 NW1.3.2
Pgina 177 de 207
NW1.3.3
Control: Se deben reducir los riesgos de mal funcionamiento de los equipos de comunicaciones crticas, el software, enlaces y servicios para : a) dar alta prioridad a la fiabilidad, compatibilidad y capacidad en el proceso de adquisicin b) garantizar el cumplimiento de las normas comunes o de la industria c) utilizando equipos, software, enlaces y servicios probados y actualizados d) manteniendo versiones consistentes de equipos y software a travs de la red e) garantizando que los principales componentes de la red puedan ser reemplazados dentro de los plazos crticos Control: Se debe proteger la disponibilidad de los servicios de red externos mediante: a) el suministro de puntos de conexin duplicados o alternos para los transportadores de las comunicaciones externas b) el enrutamiento de enlaces crticos a ms de un centro de intercambio o switcheo externo c) acuerdos para el uso de un carrier de comunicaciones alterno Control: Se debe implementar un proceso para tratar las vulnerabilidades de los firewalls que incluya: a) monitoreo de vulnerabilidades en los firewalls b) la elaboracin de guas para el personal de red sobre las medidas que deben adoptarse en caso de falla de algn firewall c) el re-enrutamiento automtico del trfico de la red a otro firewall alterno d) las pruebas a los parches para los firewalls y su aplicacin en el momento oportuno Documentacin de la red Control: Se deben implementar normas y procedimientos para la red que incluyan la documentacin de: a) la configuracin de la red, incluyendo todos los nodos y conexiones b) los equipo, el software, los enlaces y servicios de comunicaciones c) el cableado de red Control: La documentacin de la red debe incluir: a) los diagramas de configuracin de la red con los nodos y conexiones b) un inventario de equipos de comunicaciones, software y servicios suministrados por terceros c) uno o ms diagramas de cableado de la red
NW1.3.4
NW1.3.5
NW1.4 NW1.4.1
NW1.4.2
Pgina 178 de 207
NW1.4.3
Control: La documentacin de la red debe ser: a) actualizada b) fcilmente accesible a las personas autorizadas c) sujeta a revisiones supervisadas d) generada automticamente, utilizando herramientas de software Control: Se deben colocar etiquetas de identificacin a los equipos y cables de comunicaciones Proveedores de servicios Control: Se deben establecer acuerdos documentados con todos los proveedores de servicios internos y externos Control: Los acuerdos con los proveedores de servicios deben especificar: a) las personas responsables del servicio dentro de las dos partes en el acuerdo b) los requisitos de capacidad, fechas y horarios de los servicios de red que son requeridos y los plazos de tiempo crticos de la red c) las restricciones en los mtodos de conexin y el acceso a determinados servicios Control: Los acuerdos con los proveedores de servicios deben especificar los requisitos para: a) garantizar la continuidad del servicio b) el parcheo de los dispositivos de red c) la proteccin de la informacin confidencial en trnsito d) la separacin de los componentes de la red, tales como lneas dedicadas para el trfico de red sensitivo e) el desempeo de la gestin de cambios y la gestin de incidentes de seguridad de la informacin f) la deteccin de interrupciones de servicio y la recuperacin de los mismos g) las actividades de instalacin y mantenimiento de las actividades relacionadas con la red Control: Las condiciones de los acuerdos con los proveedores de servicios deben ser aplicadas y revisadas peridicamente Control: Se deberan adoptar medidas con el proveedor de servicios (s) para hacer frente a problemas de seguridad de la informacin a travs de un punto de contacto definido y de una persona que sea competente para tratar los problemas de seguridad de manera eficaz Control: Se deben establecer acuerdos para: a) restringir el uso de los servicios aprobados a los proveedores de la red b) obtener una confirmacin independiente de los controles de seguridad aplicados por los proveedores de servicios
NW1.4.4 NW1.5 NW1.5.1
NW1.5.2
NW1.5.3
NW1.5.4
NW1.5.5
NW1.5.6
Pgina 179 de 207
NW2
Administracin del trfico

Configurar dispositivos de red Control: Se deben implementar normas y procedimientos para configurar los dispositivos de red los cuales deben cubrir: a) la gestin de cambios de las tablas de enrutamiento y la configuracin de dispositivos de red b) la restriccin del acceso a los dispositivos de red c) la prevencin de actualizaciones no autorizadas o incorrectas a las tablas de enrutamiento d) la revisin peridica de la configuracin de dispositivos de red Control: Los dispositivos de red deben ser configurados para: a) negar el trfico de red por defecto b) alertar sobre la sobrecarga de la red o las condiciones de excepcin cuando se producen c) registrar los eventos en una forma adecuada para su revisin y grabarlos en sistemas separados d) copiar la informacin de control (por ejemplo, los registros de eventos y tablas) a medios de almacenamiento extrables (por ejemplo, CD o cinta magntica) e) integrar con mecanismos de control de acceso en otros dispositivos (por ejemplo, para proporcionar fuerte autenticacin) f) usar una configuracin segura predefinida antes de su puesta en operacin g) cambiar los parmetros por defecto suministrados por los proveedores h) garantizar que las contraseas no son enviadas en forma de texto claro i) desactivar el enrutamiento de origen (para mantener el control en los dispositivos de envo de paquetes) j) desactivar los servicios que no son necesarios para el funcionamiento normal de la red (por ejemplo, RPC, rlogin, rsh, rexec y NetBIOS) Control: Se debe restringir los dispositivos de red al personal autorizado utilizando los controles de acceso que soportan la contabilidad individual y la proteccin contra acceso no autorizado Control: Se deben configurar los routers para prevenir actualizaciones no autorizadas o incorrectas Control: Se deben revisar peridicamente los dispositivos de red para verificar los parmetros de configuracin (por ejemplo, tablas y parmetros de enrutamiento) y evaluar las actividades realizadas a travs de los dispositivos de red Firewall
NW2.1 NW2.1.1
NW2.1.2
NW2.1.3
NW2.1.4 NW2.1.5
NW2.2
Pgina 180 de 207
NW2.2.1 NW2.2.2
Control: La red debe ser protegida de otras redes o subredes (internas o externas) mediante uno o ms firewalls Control: Se deben establecer normas y procedimientos para administrar firewalls que cubran: a) el filtrado de tipos especficos o fuentes de trfico de la red (por ejemplo, direcciones IP, puertos TCP o informacin sobre el estado de las comunicaciones y los usuarios) b) el bloqueo o la restriccin de determinados tipos u otras fuentes de trfico de la red c) el desarrollo de normas predefinidas (o tablas) para filtrar el trfico de la red d) la proteccin de firewalls contra ataques o fallas e) limitar la revelacin de informacin acerca de la red Control: Los firewalls deben ser utilizados para chequear: a) las direcciones de destino y los puertos b) la informacin sobre el estado de las comunicaciones asociadas c) la informacin sobre el estado de los usuarios d) la validez de un servicio de red Control: Los firewalls deben ser configurados para: a) negar el trfico de red por defecto b) proteger los protocolos de comunicacin que son propensos a los abusos (por ejemplo, DNS, FTP, NNTP, RIP, SMTP, Telnet, UUCP) c) bloquear los paquetes de red usados para la ejecutar ataques de "denegacin del servicio" d) negar el trfico entrante para la direccin fuente que ha sido suplantada e) negar el trfico saliente para la direccin que han sido suplantada Control: Los firewalls debe configurarse para bloquear o restringir las comunicaciones basadas en una fuente o destino especifico (por ejemplo, direcciones IP o puertos tales como: 20 y 21 para FTP, 23 para Telnet) Control: El filtrado del trfico de la red debe basarse en reglas predefinidas que: a) han sido desarrollados por personal de confianza y estn sujetas a revisin b) se basan en el principio del "mnimo acceso" c) se documentan y se mantienen actualizadas d) son tenidas en cuenta en una poltica de seguridad de la informacin, en las normas y procedimientos de la red y en los requisitos de los usuarios Control: Antes que se apliquen nuevas reglas o se cambien otras, se debe verificar si son fuertes y correctas y deben ser aprobadas por el dueo de la red
NW2.2.3
NW2.2.4
NW2.2.5
NW2.2.6
NW2.2.7
Pgina 181 de 207
NW2.2.8
Control: La revelacin de informacin sobre la red se debe limitar: a) a nivel de la red mediante el uso de traslacin de direcciones de red (NAT) b) a nivel de aplicacin mediante el uso de la traslacin de direcciones de puerto (PAT) Acceso externo Control: Se deben documentar normas y procedimientos para controlar el acceso externo a la red, los cuales especifican: a) que se deben identificar las conexiones externas b) que se debe configurar la red para restringir el acceso c) que slo se permiten los tipos de dispositivos de conexin de acceso remoto autorizados d) que se deben documentar los detalles de las conexiones externas e) que se deben remover las conexiones externas cuando no sean necesarias Control: Las conexiones externas se deben identificar individualmente y ser aprobadas por el propietario de la red Control: Se debe mantener un registro de las conexiones externas que incluya: a) detalles de las personas externas autorizadas b) reas de la infraestructura de TI a disposicin de los usuarios externos Control: La red debe ser diseada para: a) ocultar los nombres de red y topologas a partes externas b) restringir el trfico de la red externa a slo determinadas partes de la red c) restringir las conexiones a los puntos de entrada definidos d) verificar el origen de las conexiones externas Control: Se deben identificar las conexiones externas no autorizadas mediante: a) el desarrollo de auditorias de los equipos de la red y la documentacin para identificar discrepancias con los registros de conexiones externas conocidas b) el uso de herramientas de gestin y de diagnstico de la red c) el control de los registros contables de las facturas pagadas a los proveedores de telecomunicaciones y conciliacin con las conexiones conocidas.
NW2.3 NW2.3.1
NW2.3.2
NW2.3.3
NW2.3.4
NW2.3.5
Pgina 182 de 207
NW2.3.6
NW2.3.7
Control: Las conexiones de acceso telefnico deben ser protegidas mediante el uso de seguridad dial-back la cual debe implementarse mediante: a) la configuracin dial-back obligatoria para todas las cuentas autorizadas a conectarse a travs de un punto de acceso b) la desconexin de la lnea en el host, en lugar de la del cliente c) desactivar el reenvo de llamadas para la lnea dialback Control: El acceso externo debe ser suministrado utilizando un servidor de acceso remoto dedicado el cual: a) proporciona autenticacin completa y confiable para las conexiones externas (por ejemplo, utilizando un sistema de autenticacin tal como el Radius o TACACS+) b) proporciona informacin para solucin de problemas c) registra todas las conexiones y sesiones incluyendo detalles de los tiempos de inicio y finalizacin de la llamada, duracin, y seguimiento a usuarios d) ayuda a identificar posibles brechas de seguridad de la informacin Control: Las conexiones externas se deben eliminar cuando ya no se requieran y sus componentes deben desactivarse o eliminarse Acceso inalmbrico Control: El acceso inalmbrico a la red debe estar sujeto a un anlisis de riesgos de informacin y ser aprobado por el dueo de la red antes de su implementacin Control: Se deben establecer y documentar normas y procedimientos para controlar el acceso inalmbrico a la red los cuales incluyen: a) implementar mtodos para limitar el acceso a usuarios autorizados en el proceso de instalacin y configuracin de los puntos de acceso inalmbrico b) usar la encriptacin ( por ejemplo, WEP, WPA, WPA2) para proteger la informacin en trnsito c) la deteccin de puntos de acceso y dispositivos inalmbricos no autorizados Control: Los puntos de acceso inalmbrico deben ser: a) configurados al ms bajo poder para limitar el rango b) instalados en sitios que minimicen el riesgo de interferencia c) configurados y administrados centralizadamente d) asignados a un conjunto de identificadores de servicio nico (unique Service Set Identifier SSID) Control: Se debe proteger la red contra acceso inalmbrico no autorizado usando un dispositivo de filtrado (por ejemplo, un firewall o un edge server)
NW2.3.8
NW2.4 NW2.4.1
NW2.4.2
NW2.4.3
NW2.4.4
Pgina 183 de 207
NW2.4.5
Control: El acceso inalmbrico debe estar protegido mediante el uso de: a) control de acceso a la red (por ejemplo, IEEE 802.1X) b) autenticacin de dispositivo (por ejemplo, EAP-TLS) c) autenticacin de usuario Control: El acceso inalmbrico debe estar protegido por: a) el uso de encriptacin (por ejemplo, WEP, WPA y WPA2) entre dispositivos de computacin puntos de acceso inalmbrico b) el cambio peridico de las claves de encriptacin Control: Las conexiones de acceso inalmbrico crticas deben estar sujetas a controles de seguridad adicionales tales como redes virtuales privadas, VPNs
NW2.4.6
NW2.4.7
NW3 NW3.1 NW3.1.1
Operacin de la red
Monitoreo de la red Control: El desempeo de la red debe ser monitoreado: a) frente a los objetivos acordados b) revisando la utilizacin actual de las facilidades de red en periodos normales y periodos pico o de mayor demanda c) usando software automatizado de monitoreo de red d) revisando peridicamente los registros de actividad de la red e) investigando problemas tales como cuellos de botella o sobrecarga Control: Se deben llevar a cabo actividades de planeacin de la capacidad para permitir capacidad extra de la red antes de que ocurran incidentes como cuellos de botella y sobrecarga Control: Las actividades de monitoreo deben ser peridicas y debe incluir: a) el escaneo de vulnerabilidades para servidores y dispositivos de red usando productos especializados (por ejemplo, Nessus, Pingware o SATAN) b) la verificacin de desactivacin en los dispositivos de red de los comandos y utilitarios innecesarios c) la verificacin de la existencia de redes inalmbricas no autorizadas (por ejemplo, usando productos de terceros tales como Netstumbler, KISMET y Airsnort) d) el descubrimiento de la existencia de sistemas no autorizados Control: Se deben utilizar mecanismos de deteccin e intrusin de manera que cubran: a) la deteccin de caractersticas de ataques conocidas b) un proceso para desarrollar actualizaciones peridicas al software de deteccin de intrusos c) la proteccin de los mecanismos de deteccin de intrusos contra ataques
NW3.1.2
NW3.1.3
NW3.1.4
Pgina 184 de 207
NW3.1.5
Control: El uso de herramientas para anlisis y monitoreo de la red debe estar restringido a personas autorizadas Control: Se deben revisar los reportes enviados por los proveedores de servicios para descubrir uso inusual de la red u otras facilidades de red Control: El dueo de la red debe revisar los resultados de las actividades de monitoreo y comunicarlos a los dueos de las aplicaciones e instalaciones para quienes se prestan los servicios Administracin de cambios Control: Se debe establecer un proceso de gestin de cambios que cubra todos los tipos de cambios en la red (por ejemplo, actualizaciones de equipos de comunicaciones y software, la introduccin de nuevos servicios de los proveedores de servicios y ajustes temporales o de emergencia a la red) Control: El proceso de gestin de cambios debe estar documentado e incluir: a) la aprobacin de los cambios y las pruebas para asegurarse de que no pongan en peligro los controles de seguridad b) la realizacin de cambios y su aprobacin para asegurarse de que se realizan correctamente y de forma segura c) la revisin de los cambios realizados para garantizar que no se aplican cambios no autorizados Control: Antes de que sean aplicados los cambios al ambiente productivo de la red se debe considerar: a) la documentacin de las solicitudes de cambio y la aceptacin por parte de las personas autorizadas b) los cambios deben ser aprobados por el representante del negocio apropiado c) se debe evaluar el impacto potencial para el negocio de los cambios a ser realizados d) los cambios deben ser probados e) los cambios deben ser revisados para garantizar que no comprometan los controles de seguridad f) se debe realizar un copia de respaldo de manera que se pueda restaurar la red despus de cambios fallidos o resultados inesperados Control: Los cambios en la red deben ser: a) realizados por personal capacitado y competente b) supervisados por un especialista de la red c) aprobados por el representante del negocio apropiado
NW3.1.6
NW3.1.7
NW3.2 NW3.2.1
NW3.2.2
NW3.2.3
NW3.2.4
Pgina 185 de 207
NW3.2.5
Control: Se deben establecer acuerdos para garantizar que una vez se apliquen los cambios: a) se mantiene un control de versiones b) se lleva un registro de los cambios que muestra lo que fue cambiado, cundo y por quin c) se comunican los detalles de los cambios a las personas pertinentes d) se realizan verificaciones para confirmar que slo se han hecho cambios autorizados e) se actualiza la documentacin de la red Administracin de incidentes de seguridad de la informacin Control: Se debe establecer y documentar un proceso de gestin de incidentes de seguridad para la red Control: El proceso de gestin de incidentes de seguridad debe incluir a) la identificacin de incidentes de seguridad de la informacin b) la respuesta a los incidentes de seguridad de la informacin c) la recuperacin de los incidentes de seguridad de la informacin d) el seguimiento de los incidentes de seguridad de la informacin. Control: Los incidentes de seguridad de la informacin deberan ser: a) reportados previamente a un contacto (por ejemplo, un servicio de asistencia, lnea telefnica o equipo de especialistas de TI) b) grabados en un registro, o equivalente c) categorizados y clasificados Control: el impacto de los incidentes graves de seguridad relacionados con la red debe ser evaluado por parte de especialistas de la red, de los dueos de la red, de los dueos de las aplicaciones soportadas por la red y por parte de especialistas de seguridad de la informacin Control: La respuesta a incidentes de seguridad de la informacin relacionados con la red debe incluir: a) el anlisis de la informacin disponible b) el manejo seguro de la evidencia necesaria c) la investigacin de las causas del incidente de seguridad de la informacin d) la contencin y erradicacin del incidente de seguridad de la informacin
NW3.3 NW3.3.1 NW3.3.2
NW3.3.3
NW3.3.4
NW3.3.5
Pgina 186 de 207
NW3.3.6
Control: La recuperacin de los incidentes de seguridad relacionados con la red debe involucrar: a) la reconstruccin de las redes a un estado seguro antes conocido (es decir, el mismo estado que se encontraban antes del incidente de seguridad de la informacin) b) la restauracin a partir de la informacin que no ha sido comprometida por el incidente de seguridad de la informacin c) el cierre del incidente de seguridad de la informacin Control: Despus de la recuperacin del incidente de seguridad de la informacin relacionada con la red se debe: a) investigar la causa y el efecto del incidente de seguridad y las correspondientes medidas de recuperacin b) realizar la investigacin forense si es necesario c) revisar los controles de seguridad para determinar si son adecuados d) se deben emprender las acciones correctivas para reducir al mnimo la probabilidad de ocurrencia de incidentes similares e) se deben documentar los detalles de los incidentes de seguridad de la informacin en un informe posterior al incidente Seguridad fisica Control: Se debe restringir el acceso fsico a las reas crticas de la red slo a personas autorizadas. El personal externo (por ejemplo, consultores, contratistas, ingenieros) debe ser supervisado cuando tiene acceso a equipos de comunicaciones Control: Se debe proteger el acceso a las reas crticas de la red de: a) las amenazas naturales (por ejemplo, incendios e inundaciones) b) las fallas de suministro de energa (por ejemplo, mediante el uso de sistemas de alimentacin ininterrumpida (UPS) y bateras) c) los intrusos (por ejemplo, mediante la instalacin de cerraduras en las puertas y persianas en las ventanas). Control: Los cables de red deben ser protegidos mediante: a) su instalacin oculta b) sus conductos blindados c) inspecciones bloqueadas y puntos de terminacin d) el enrutamiento e) evitar las rutas a travs de zonas de acceso pblico
NW3.3.7
NW3.4 NW3.4.1
NW3.4.2
NW3.4.3
Pgina 187 de 207
NW3.4.4
Control: Los puntos de acceso a la red deben ser protegidos mediante: a) la ubicacin en entornos seguros b) la desactivacin en el dispositivo de red hasta que se requiera Copias de respaldo Control: Las copias de respaldo de la informacin y el software importante se deben realizar con la frecuencia necesaria para satisfacer los requerimientos del negocio Control: Las copias de respaldo deben ser: a) realizadas utilizando un software de administracin de copias para reforzar la seguridad de la informacin b) cifradadas para proteger la informacin importante c) grabados en un registro (o equivalente), que incluye detalles acerca de los datos contenidos en la copia de seguridad, la fecha y hora, y el medio utilizado d) verificadas para comprobar su restauracin exitosa Control: Los acuerdos para las copias de seguridad deben permitir que la red sea restaurada dentro de los plazos crticos Control: Las copias de respaldo deben ser protegidas contra prdida, dao y acceso no autorizado mediante: a) su almacenamiento en sitios seguros a prueba de fuego b) la disposicin de copias alternas fuera de las instalaciones c) la restriccin de acceso a personas autorizadas Continuidad del servicio Control: Se debe verificar si la continuidad de los servicios de red se incluye en los planes de contingencia de TI y en los panes de continuidad del negocio relacionados con las actividades apoyadas por los servicios de red Control: Se deben adoptar medidas para asegurar la prestacin continua de los servicios crticos de la red en caso de una prolongada falta de disponibilidad de: a) el centro de operaciones de la red (s) b) los equipos de red crticos c) los enlaces de red en las instalaciones de la empresa d) el software de comunicaciones, los datos de control y la documentacin e) el personal de la red f) los edificios, salas de equipo, energa y otros servicios vitales
NW3.5 NW3.5.1
NW3.5.2
NW3.5.3
NW3.5.4
NW3.6 NW3.6.1
NW3.6.2
Pgina 188 de 207
NW3.6.3
Control: Los acuerdos de continuidad del servicio deben ser: a) documentados b) revisados por los representantes de los usuarios c) aprobados por el propietario de la red d) sujetos a un proceso de gestin del cambio e) probados peridicamente utilizando simulaciones realistas, y con la participacin de personal de la red f) actualizados despus de cambios importantes Control: Los generadores de copias de respaldo deben: a) estar disponibles para manejar una interrupcin prolongada de energa en los equipos de comunicaciones crticas b) ser probados peridicamente Mantenimiento remoto Control: El acceso a la red de personas externas para fines de mantenimiento remoto debe ser administrado de manera que incluya: a) definir y acordar los objetivos y el alcance de trabajo previsto b) autorizar sesiones individuales c) restringir los derechos de acceso al mnimo necesario de acuerdo con los objetivos y el alcance del trabajo planeado d) registrar todas las actividades realizadas e) revocar los derechos de acceso y el cambio de contraseas inmediatamente despus de completar las tareas de mantenimiento f) desarrollar una revisin independiente de las actividades de mantenimiento remoto Control: Se deben proteger los puertos de diagnostico de la red implementando controles de acceso
NW3.6.4
NW3.7 NW3.7.1
NW3.7.2 NW4
Administracin de la seguridad local

Coordinacin Control: El propietario de la red debe tener la responsabilidad general de la seguridad de la informacin en relacin con la red. Se debe nombrar uno ms coordinadores locales de seguridad de la informacin, quienes son responsables de coordinar los acuerdos de seguridad de la informacin para la red y actuar como un nico punto de contacto en asuntos sobre seguridad de la informacin
NW4.1 NW4.1.1
Pgina 189 de 207
NW4.1.2
Control: Los coordinadores locales de seguridad deben tener: a) una buena comprensin de los roles y responsabilidades de la seguridad de la informacin b) suficientes conocimientos tcnicos, el tiempo, las herramientas y la autoridad para llevar a cabo su rol asignado c) acceso a expertos internos o externos en seguridad de la informacin d) procedimientos y normas documentadas para apoyar las actividades diarias de seguridad e) informacin actualizada relacionada con seguridad de la informacin f) un canal de comunicacin con la funcin de seguridad de la informacin Control: El coordinador local de la seguridad de la informacin debe reunirse peridicamente con el propietario de la red para examinar la situacin de seguridad de la informacin y acordar las actividades de seguridad a ser desarrolladas Conciencia de seguridad Control: Se debe establecer una poltica de seguridad de la informacin para la red. El personal de la red debe ser consciente y cumplir con la poltica de seguridad de la informacin. Control: El personal de la red debe: a) participar en un programa de sensibilizacin de seguridad b) estar capacitado y entrenado en seguridad de la informacin c) ser dotado con material de sensibilizacin en seguridad Control: El personal de la red debe ser conciente de: a) el significado de la seguridad de la informacin b) la necesidad de la seguridad de la informacin para proteger la red c) la importancia de cumplir con las polticas de seguridad de la informacin y la aplicacin de las correspondientes normas y procedimientos d) sus responsabilidades con relacin a la seguridad de la informacin
NW4.1.3
NW4.2 NW4.2.1
NW4.2.2
NW4.2.3
Pgina 190 de 207
NW4.2.4
Control: El personal de la red debe ser consciente de que est prohibido: a) el uso no autorizado de cualquier parte de la red b) el uso de la red para fines que no estn relacionados con el trabajo c) hacer declaraciones sexuales, racistas que pueden ser ofensivos (por ejemplo, al utilizar el correo electrnico, mensajera instantnea, la Internet o el telfono) d) hacer declaraciones obscenas, discriminatorias, o de acoso e) la descarga de material ilegal f) la utilizacin no autorizada de los componentes de la red (por ejemplo, utilizando software de terceros no autorizados o mdems) g) la copia no autorizada de informacin o software h) la revelacin de informacin confidencial a personas no autorizadas i) comprometer las contraseas j) utilizar la informacin de identificacin personal a menos que sea explcitamente autorizada k) la manipulacin de evidencia en el caso de incidentes de seguridad de la informacin que puedan requerir la investigacin forense
NW4.2.5
Control: El personal de la red debe estar advertido de los peligros de ser escuchados cuando se discute sobre la informacin del negocio por telfono o en lugares pblicos Clasificacin de informacin Control: La informacin transmitida sobre la red debe ser objeto de un mtodo de clasificacin de la informacin Control: El mtodo de clasificacin de la informacin debe: a) tener en cuenta el impacto potencial para la empresa de la prdida de confidencialidad de la informacin b) ser utilizado para determinar distintos niveles de confidencialidad de la informacin Control: El mtodo de clasificacin de la informacin debe ser usado para clasificar: a) la informacin almacenada en papel (por ejemplo, contratos, planos y documentacin del sistema, celebrada en forma impresa) b) la informacin transmitida a travs de la red (por ejemplo, las transacciones comerciales, financieras, el diseo de productos detalles de clientes y archivos) c) la comunicacin electrnica (por ejemplo, correo electrnico y mensajera instantnea)
NW4.3 NW4.3.1
NW4.3.2
NW4.3.3
Pgina 191 de 207
NW4.3.4
Control: Las clasificaciones de la informacin asociadas con la red deben: a) aprobados por un representante del negocio b) revisadas peridicamente y cuando se realizan cambios a la red Control: Los detalles de clasificacin de la informacin asociadas con la red deben ser registrados en: a) un inventario, o equivalente (por ejemplo, una base de datos, software especializado, o en papel) b) acuerdos con los proveedores de servicios (por ejemplo, acuerdos de nivel de servicio). Control: Los detalles de la clasificacin de informacin deben incluir: a) la clasificacin de la informacin (por ejemplo, altamente secreta, en confianza y pblica) b) la identidad del propietario de la informacin c) una breve descripcin de la informacin clasificada Anlisis de riesgos de informacin Control: La red debe estar sujeta a un anlisis de riesgos de informacin desarrollado segn las normas y procedimientos para anlisis de riesgos de la empresa y utilizando una metodologa de anlisis de riesgos Control: El anlisis de riesgos de informacin debe tomar en consideracin las aplicaciones crticas de negocio soportadas por la red y los acuerdos de nivel de servicio asociados Control: El anlisis de riesgos debe involucrar: a) los propietarios de las aplicaciones crticas de negocio soportadas en la red b) el propietario de la red c) los especialistas de la red d) los principales representantes de los usuarios e) un experto en anlisis de riesgos f) un especialista en seguridad de la informacin Control: El anlisis de riesgos debe determinar los riesgos evaluando: a) el nivel del impacto potencial de las amenazas asociadas con la red b) las amenazas accidentales y deliberadas a la confidencialidad, integridad y disponibilidad de la informacin c) las vulnerabilidades debidas a deficiencias de control d) las vulnerabilidades debidas a las circunstancias que aumentan la probabilidad de ocurrencia de un grave incidente de seguridad de la informacin
NW4.3.5
NW4.3.6
NW4.4 NW4.4.1
NW4.4.2
NW4.4.3
NW4.4.4
Pgina 192 de 207
NW4.4.5
Control: El anlisis de riesgos de seguridad de la informacin debe tener en cuenta: a) el cumplimiento de requisitos b) los objetivos de la organizacin c) los requisitos de clasificacin de la informacin d) el anlisis de riesgos realizado en las instalacin de computacin a ser evaluados e) las caractersticas del entorno operativo de la aplicacin y las instalaciones de computacin y de la red a ser evaluadas Control: Se deben documentar los resultados del anlisis de riesgos de informacin e incluir: a) una clara identificacin de los principales riesgos b) una evaluacin del impacto potencial para la empresa de cada riesgo c) las recomendaciones para las acciones requeridas para reducir los riesgos a un nivel aceptable. Control: El anlisis de riesgos de informacin debe ser utilizado para ayudar: a) a seleccionar los controles de seguridad la informacin que reduzcan la probabilidad de ocurrencia de graves incidentes de seguridad de la informacin b) a seleccionar los controles de seguridad de la informacin que satisfagan los requisitos de cumplimiento c) a determinar los costos de la aplicacin de controles de seguridad d) a evaluar las fortalezas y debilidades de los controles de seguridad e) a identificar los controles de seguridad especializados requeridos por la red Control: Los resultados del anlisis de riesgos de informacin deberan ser: a) comunicados al dueo de la red y a la direccin b) aprobados por un representante del negocio Control: El anlisis de riesgos de Informacin de la red debe realizarse peridicamente y antes de introducir cambios importantes en la red Revisiones de auditoria de seguridad Control: Las auditorias y revisiones de seguridad de la red deben ser independientes y realizarse peridicamente Control: Las auditorias y revisiones de seguridad de la red deben: a) evaluar los riesgos de negocio asociados con la red b) considerar los requisitos de seguridad de la informacin de las aplicaciones de negocios soportados por la red
NW4.4.6
NW4.4.7
NW4.4.8
NW4.4.9
NW4.5 NW4.5.1
NW4.5.2
Pgina 193 de 207
NW4.5.3
Control: Las auditorias y revisiones de seguridad de la red deben evaluar la situacin de los acuerdos de seguridad de la informacin en reas claves (por ejemplo, la gestin de la red, gestin del trfico, operaciones de red y gestin de la seguridad local) Control: Las revisiones y auditorias de seguridad deben ser: a) acordadas con el propietario de la red b) definidas en su alcance y documentadas c) realizadas por personas competentes y con las el suficiente conocimiento y habilidades tcnicas en seguridad de la informacin d) llevadas a cabo con frecuencia y en profundidad (en trminos de alcance y magnitud) para garantizar que los controles de seguridad funcionan segn lo dispuesto e) centradas en garantizar que los controles son lo suficientemente efectivos para reducir los riesgos a niveles aceptables f) complementados por el uso de herramientas automatizadas de software g) validados por las personas competentes h) complementada por revisiones realizados por terceros independientes
NW4.5.4
NW4.5.5
Control: Las auditorias y revisiones de seguridad deben ser administradas para: a)acordar con el dueo de la red los requisitos especiales para las pruebas o rutinas de procesamiento especial b) restringir el acceso a la red para el equipo de auditoria c) hacer seguimiento y registro de las actividades del equipo de auditoria d) la eliminacin de la informacin copiada para propsitos de la auditoria tan pronto como ya no sea necesario e) la proteccin de las herramientas de software utilizadas en la ejecucin de las auditorias f) la proteccin de documentos y archivos del sistema relacionados con la auditoria Control: Las recomendaciones resultantes de las revisiones y auditorias de seguridad de la red deben ser acordadas con el propietario de la red e informadas a la direccin
NW4.5.6
NW5 NW5.1
Redes de voz
Documentacin de las redes de voz
Pgina 194 de 207
NW5.1.1
Control: Se deben establecer normas y procedimientos para las redes de voz que cubran: a) el uso de los telfonos de la empresa b) los movimientos y cambios de los telfonos de los usuarios c) registro y autenticacin de usuarios con acceso al buzn de voz d) manejo de llamadas telefnicas amenazantes y abusivas e) proteccin del sistema de correo de voz contra el acceso no autorizado Control: La configuracin y ajustes para el intercambio de telfonos internos deben ser soportados por documentacin exacta y completa Control: Telfonos de cable e inalmbricos deben estar documentados en un inventario actualizado Resiliencia de las redes de voz Control: El intercambio telefnico debe tener: a) suficiente capacidad para hacer frente a picos de trabajo b) las capacidades de expansin y actualizacin para hacer frente a la demanda proyectada c) las fuentes de alimentacin alternativas, como las bateras para hacer frente a las breves cortes de energa d) un mecanismo de control y de seguimiento capaz de proporcionar informes sobre estadsticas de uso y el trfico Control: El intercambio telefnico debe ser protegido para: a) duplicacin de los procesadores y tarjetas de funcin b) bypass de emergencia, a fin de que puedan regresar a las llamadas directas c) duplicar grupos de intercambio de lneas el acceso a intercambios principales alternos operados por los proveedores de servicios f) una fuente de poder capaz de hacer frente a fallas prolongadas del suministro elctrico Control: Se debe asegurar en los contratos de mantenimiento la reparacin oportuna para los switches telefnicos, consolas de operador y los telfonos de cableado e inalmbricos Control: Los switches crticos y las consolas de operador debe ser alojados en ambientes fsicamente seguros Control: El cableado telefnico e inalmbrico debe ser etiquetado y protegido de dao accidental o interceptacin
NW5.1.2
NW5.1.3 NW5.2 NW5.2.1
NW5.2.2
NW5.2.3
NW5.2.4
NW5.2.5
Pgina 195 de 207
NW5.2.6
Control: Se deben llevar a cabo revisiones para garantizar que la continuidad de las comunicaciones de voz est contempladas en: a) Los planes de contingencia de TI y los acuerdos relacionados con las instalaciones de TI accesibles por la red b) los planes de continuidad del negocio y los acuerdos asociados con las actividades de negocio apoyadas por la red Controles para las redes de voz Control: El acceso a las consolas de operador asociados con los switches debe ser restringido mediante el uso de contraseas las cuales deben ser: a) cambiados en la instalacin, para garantizar que las contraseas por defecto establecidas por el proveedor no pueden ser explotadas por personas no autorizadas b) aplicados a los puertos de acceso utilizado para el diagnstico remoto Control: Los cambios a la configuracin de los switches telefnicos deben ser realizadas por personas autorizadas Control: Los patrones de uso del telfono deben ser monitoreados para determinar lo adecuado de la capacidad de la central telefnica y los requisitos de personal para evitar sobrecargas del operador Control: Las facturas para las redes de voz facturas deben ser inspeccionadas para identificar patrones inusuales de uso lo que puede indicar fraude comportamiento impropio Redes de voz sobre IP Control: Se deben establecer y documentar normas y procedimientos para las redes de VoIP, que: a) cubran los controles generales de la red para VoIP b) Incluyan controles especficos para VoIP (por ejemplo, la separacin de trfico de voz utilizando redes virtuales de rea local (LAN), el aseguramiento de dispositivos de VoIP, tales como telfonos IP, IP PBX y routers, redes de exploracin de vulnerabilidades de VoIP, encriptacin sensibles del trfico de VoIP, VoIP y monitoreo a registros de eventos de VoIP c) prohban el uso no autorizado de la tecnologa VoIP (por ejemplo, las conexiones no autorizadas a los servicios de VoIP externos, tales como Skype, utilizando un software telefnico)
NW5.3 NW5.3.1
NW5.3.2
NW5.3.3
NW5.3.4
NW5.4 NW5.4.1
Pgina 196 de 207
NW5.4.2
Control: Los controles generales para la seguridad de VoIP deben incluir: a) el monitoreo del ancho de banda utilizando herramientas que son capaces de reconocer el trfico de VoIP b) instalar los componentes de la red para proporcionar resistencia y redundancia c) implementar firewalls que pueden filtrar el trfico de VoIP d) restringir el acceso a la red VoIP a dispositivos autorizados Control: Los controles especficos de VoIP deben incluir: a) la separacin de trfico de voz utilizando redes virtuales de rea local (VLAN) b) el aseguramiento de los dispositivos de VoIP (por ejemplo, telfonos IP, IP PBX y routers) c) la exploracin de vulnerabilidades de redes VoIP d) la encriptacin de trfico VoIP sensitivo e) el monitoreo de los registros de eventos de VoIP
NW5.4.3
Tabla 17: Controles de seguridad recomendados para las entidades del Grupo 3.
Pgina 197 de 207
6.6. Metodologa de Clasificacin y Control de Activos.

La consultora elabor el documento Metodologa de Clasificacin de Activos, ver documento Entregable 3 - Anexo 1: Metodologa de Clasificacin de Activos, el cual puede ser adoptado por las entidades proveedoras de servicios para la Estrategia de Gobierno en Lnea.
6.7. Enfoque para la Gestin del Riesgo.

La gestin del riesgo es un proceso fundamental en todo el ciclo de gestin de la seguridad de la informacin. Las entidades del estado, mediante la implantacin del sistema integrado de gestin y control han logrado mejorar el proceso. Por lo tanto, cada entidad puede aplicar la metodologa que tiene establecida. La consultora sin embargo, elabor una Metodologa de Gestin de Riesgos propuesta, ver documento Entregable 4 - Anexo 2: Metodologa de Gestin del riesgo, el cual puede ser utilizado por las entidades que lo requieran.
6.8. Recomendaciones Generales para la Gestin de Continuidad del Negocio.

Asegurar la continuidad de los servicios de Gobierno en Lnea es un requerimiento del presente Modelo de seguridad SGSI, por lo tanto, la consultora elabor una Gua para la Gestin de Continuidad del Negocio, ver documento Entregable 4 - Anexo 3: recomendaciones generales continuidad negocio para las entidades del estado. Adicionalmente, el ICONTEC gener la gua tcnica GTC 176, Sistema de Gestin de Continuidad del Negocio, para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar, un sistema de gestin de la continuidad del negocio (SGCN). Estas guas se constituyen en apoyo y consejo para asegurar la continuidad de los servicios y trmites de Gobierno en Lnea en las entidades pblicas y privadas.
6.9. Definicin del Sistema de Gestin Documental

Para orientar a las entidades en la implementacin de la gestin documental para el Modelo de seguridad de la informacin SGSI, se elabor el siguiente cuadro resumen, basado en los requisitos de documentacin de la Norma Tcnica Colombiana NTC-ISO/IEC 27001 y de la Norma Tcnica de Calidad para la Gestin Pblica NTCGP 1000:2004:
Pgina 198 de 207
CONTENIDO DEL SGSI
La documentacin del Modelo SGSI debe incluir: El alcance del SGSI La declaracin documentada de la poltica y objetivos del SGSI Los procedimientos y controles que apoyan el SGSI La descripcin de la metodologa de evaluacin de riesgos El informe de evaluacin de riesgos resultante de aplicar la metodologa de evaluacin de riesgos a los activos de informacin de los servicios de Gobierno en Lnea El plan de tratamiento de riesgos Los registros del SGSI (tener en cuenta el requisito 4.2.4 de la norma NTCGP 1000:2004) La declaracin de aplicabilidad (SOA) que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones.
CONTROL DE DOCUMENTOS
Se debe establecer un procedimiento que defina las acciones de gestin necesarias para: Aprobar los documentos antes de su publicacin. Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente. Asegurar que se identifican los cambios y el estado de revisin actual de los documentos. Asegurar que las versiones ms recientes de los documentos pertinentes estn disponibles en los puntos de uso.
Pgina 199 de 207
Asegurar que los documentos permanecen legibles y fcilmente identificables. Asegurar que los documentos estn disponibles para quienes los necesiten y que se apliquen los procedimientos pertinentes de acuerdo con su clasificacin, para su transferencia, almacenamiento y disposicin final. Asegurar que los documentos de origen externo estn identificados. Asegurar que la distribucin de documentos est controlada. Prevenir el uso no intencionado de documentos obsoletos y aplicarles una identificacin adecuada en el caso de que se mantengan por cualquier razn. Identificar e implementar las disposiciones legales aplicables sobre el control de documentos (Ley 594 de 2000).
CONTROL DE REGISTROS
Se deben controlar los registros de acuerdo con los siguientes requisitos: Los registros deben establecerse y mantenerse para proporcionar evidencia de la conformidad con los requisitos as como de la operacin eficaz, eficiente y efectiva del SGSI Los registros deben permanecer legibles, fcilmente identificables y recuperables. Se debe establecer un procedimiento documentado para la identificacin, almacenamiento, proteccin, recuperacin, tiempo de retencin y disposicin de los registros acorde con las disposiciones legales vigentes sobre la materia, por ejemplo, la Ley 594 de 2000. Se deben llevar registros del desempeo de los procesos, y de todos los casos de incidentes de seguridad significativos relacionados con el SGSI.
Pgina 200 de 207
6.10. Recomendaciones para la Implementacin del Modelo de Seguridad de la Informacin

Para una efectiva implementacin del modelo de seguridad de la informacin para la Estrategia de Gobierno en Lnea, se recomienda tener en cuenta los siguientes factores crticos de xito que plantea la norma ISO27002, los cuales son aplicables para este contexto y se presentan a continuacin:
6.10.1.
Apoyo por parte de la Alta Direccin
La Alta Direccin de la entidad es quin debe liderar el proceso de implantacin y mejora continua del SGSI en cada entidad. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio, es la Alta Direccin quien debe tomar decisiones sobre estos y su tratamiento o aceptacin. Adems, la implantacin del modelo SGSI implicar cambios de mentalidad, de sensibilizacin, de procedimientos y planes de accin a corto, mediano y largo plazo. La Alta Direccin es la nica responsable de apoyar y facilitar la implementacin, gestin y mejora del Modelo SGSI en la entidad. Sin el apoyo decidido de la Alta Direccin, no es posible la implantacin exitosa del Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea en la entidad.
6.10.2.
Compromiso de la Alta Direccin
La Alta Direccin de cada entidad debe comprometerse con el establecimiento, implementacin, operacin, monitoreo, revisin, mantenimiento y mejora del modelo SGSI propuesto. Para ello, debe tomar las siguientes iniciativas: Establecer y apoyar la poltica de seguridad de la informacin. Asegurarse de que se establecen objetivos y planes del SGSI en su entidad. Establecer roles y responsabilidades de seguridad de la informacin. Comunicar a la organizacin tanto la importancia de lograr los objetivos de seguridad de la informacin y de cumplir con la poltica de seguridad, como sus responsabilidades legales, contractuales y la necesidad de mejora continua. Asignar suficientes recursos al Modelo SGSI en todas sus fases. Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.
Pgina 201 de 207
Asegurar que se realizan auditorias internas (seguimiento) y externas (autoridades de vigilancia y control). Realizar revisiones peridicas al Modelo SGSI. Asignacin de recursos: Para el correcto desarrollo de todas las actividades relacionadas con el Modelo SGSI, es imprescindible la asignacin de recursos. Es responsabilidad de la alta direccin garantizar que se asignan los suficientes para: o o Establecer, implementar, operar, monitorear, revisar, mantener y mejorar el Modelo SGSI. Garantizar que los procedimientos de seguridad de la informacin apoyan los requerimientos de seguridad para la Estrategia de Gobierno en Lnea. Identificar y tratar todos los requerimientos legales y normativos, as como las obligaciones contractuales de seguridad. Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada. Realizar revisiones cuando sea necesario y actuar adecuadamente segn los resultados de las mismas. Mejorar la eficacia del SGSI donde sea necesario.
6.10.3.
Formacin y sensibilizacin
La formacin y la sensibilizacin en seguridad de la informacin son elementos bsicos para el xito del Modelo SGSI para la Estrategia de Gobierno en Lnea. Por ello, la alta direccin de cada entidad deber asegurar que todo el personal de su organizacin, al que se le asignen responsabilidades definidas en el Modelo SGSI, est suficientemente capacitado y culturizado. Se deber: Determinar las competencias necesarias para el personal que realiza tareas en la implementacin del Modelo SGSI. Satisfacer dichas necesidades por medio de formacin o de otras acciones como, p. ej., contratacin de personal ya capacitado. Evaluar la eficacia de las acciones realizadas. Mantener registros de estudios, formacin, habilidades, experiencia y calificacin. Adems, la alta direccin debe asegurar que todo el personal relevante est sensibilizado de la importancia de
Pgina 202 de 207
sus actividades para la seguridad de la informacin y de cmo contribuye a la consecucin de los objetivos del Modelo SGSI y por ende, a los de la organizacin.
6.10.4.
Revisin (Auditorias) del SGSI
A la alta direccin de la organizacin se le asigna tambin la tarea de, al menos una vez al ao, revisar el Modelo SGSI, para asegurar que contine siendo adecuado y eficaz y demuestre evolucin. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar: Resultados de auditorias y revisiones del Modelo SGSI. Observaciones de las partes interesadas. Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar el rendimiento y eficacia del SGSI. Informacin sobre el estado de acciones preventivas y correctivas. Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores. Resultados de las mediciones de eficacia / mtricas de seguridad. Estado de las acciones iniciadas a raz de revisiones anteriores de la alta direccin. Cualquier cambio que pueda afectar al SGSI. Recomendaciones de mejora.
Basndose en toda esta informacin, la alta direccin debe revisar el cumplimiento actual del Modelo SGSI y tomar decisiones y acciones relativas a: Mejora de la eficacia del SGSI mejora de la madurez de los controles. Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos. Modificacin de los procedimientos y controles que afecten a la seguridad de la informacin, en respuesta a cambios internos o externos en los requisitos normativos, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptacin de riesgos.
Pgina 203 de 207
Necesidades de recursos, implementacin de controles recomendados. Apoyar la implementacin del plan de accin. Disponer de polticas, objetivos y actividades de seguridad que reflejen la funcin misional de las entidades. Disponer de un enfoque y un marco de trabajo para implementar, mantener, monitorear y mejorar la seguridad de la informacin, que sean consistentes con la cultura de la organizacin. Apoyarse en el software de auto-evaluacin para identificar aspectos por mejorar. Asegurar soporte y compromiso visibles en toda la organizacin. Asegurar un buen entendimiento de los requisitos de seguridad de la informacin apoyndose en metodologas para gestin de riesgos. Las entidades del estado disponen de la Gua de Administracin de Riesgos del DAFP. Existe la norma tcnica NTC 5244 Gestin del riesgo. Adicionalmente, la presente consultora pone a disposicin el documento: Entregable 4, Anexo 2: Metodologa de gestin del riesgo. En el documento Diagnstico de la Situacin Actual se identifican otros documentos que se relacionan con la gestin de riesgos. Realizar un mercadeo eficaz de la seguridad de la informacin para todos los directores, empleados y otras partes para lograr la sensibilizacin adecuada. Distribuir guas sobre la poltica y las normas de seguridad de la informacin para todos los directores, empleados y otras partes. Obtener provisin de fondos para las actividades de gestin de seguridad de la informacin. Mantener programas continuos y adecuados de formacin, educacin y sensibilizacin. Apoyarse en el material de capacitacin y sensibilizacin entregado por la presente consultora (ver documento Capacitacin y sensibilizacin para el Modelo de Seguridad. Establecer un proceso eficaz para la gestin de incidentes de seguridad de la informacin. Se dispone de la gua tcnica GTC 169 Gestin de Incidentes de Seguridad de la Informacin. As mismo, apoyarse en el CSIRT para una efectiva respuesta a incidentes (ver documento Diseo de un CSIRT Colombiano). Implementar un sistema de medicin para evaluar el desempeo en la gestin de seguridad de la informacin y retroalimentar sugerencias para la mejora. Apoyarse en el software de autoevaluacin, as como en guas internacionales tales como el documento NIST SP 800-55 Performance Measuring Guide For Information Security.
Por otra parte, la implementacin de la seguridad de la informacin en los servicios de Gobierno en Lnea requiere que se contemplen los requisitos de seguridad desde la fase de inicio de la concepcin
Pgina 204 de 207
del servicio. Se recomienda tener en cuenta los siguientes pasos, adoptados del documento eGovernment Strategy Framework Policy and Guidelines19: Desarrollo del concepto del servicio. Se identifican los elementos claves del servicio y cmo se va a prestar el servicio. Se identifican los dominios de seguridad que intervienen en la prestacin del servicio (dominio del cliente, dominio de los servicio de Gobierno en Lnea, dominio del prestador de servicios de Internet, etc.). Se identifican los requisitos de seguridad para el servicio basado en un anlisis y evaluacin de riesgos. Se evala si el concepto de servicio es posible desde la perspectiva de seguridad. Se considera qu tan bien trabajar el servicio con otros servicios de Gobierno en Lnea. Especificacin de los requisitos del servicio y revisin del cumplimiento. La revisin detallada de los requisitos de seguridad se realiza paralelamente con el desarrollo y revisin de las especificaciones del servicio. Esta fase incluye un examen detallado de la informacin y la prestacin de servicios activos, y un anlisis de las amenazas y las vulnerabilidades. Los niveles de riesgo se determinan mediante la evaluacin del impacto de amenazas tales como: la apropiacin indebida de identidad del mundo real20; la apropiacin indebida de identidad electrnica21 o credenciales de acceso; el incumplimiento de los compromisos contrados; la divulgacin de informacin privada; las fallas accidentales del servicio y / o de infraestructura; un ataque electrnico malicioso o involuntario. Se deben incluir requisitos para la retencin y almacenamiento seguro de la informacin y cumplimiento de reglamentacin vigente. Diseo, implementacin y pruebas del servicio. El diseo, la implementacin y prueba de los requisitos de seguridad se realiza paralelamente al diseo, implementacin y prueba del servicio. El diseo de la seguridad debe tener en cuenta la mitigacin de riesgos seleccionando los controles ms apropiados, limitando la arquitectura de manera que cubra slo los servicios requeridos, se evale el riesgo residual y se consideren ms controles hasta que el riesgo residual sea aceptable. La implementacin del servicio incluye: el desarrollo y configuracin de las medidas de seguridad, el establecimiento de los procesos de seguridad para el funcionamiento y la gestin del servicio incluyendo la auditoria y rendicin de cuentas, el desarrollo y aprobacin de la documentacin de seguridad, la elaboracin y aprobacin de las guas para el manejo de la informacin asociada con el servicio especfico, el desarrollo de declaraciones de seguridad y consejo para los clientes del
19 http://www.govtalk.gov.uk/policydocs/policydocs_document.asp?docnum=649 ltimo acceso 08/12/05
20 Identidad del mundo real: conjunto de atributos (nombre, fecha de nacimiento, cedula de ciudadana) que permite identificacin nica entre usuarios.
21 Identidad electrnica: conjunto de atributos (nombre de usuario, identificador de certificado digital) que identifica a un nico usuario en un sistema de
computador.
Pgina 205 de 207
servicio. Las pruebas de seguridad incluyen la comprobacin de que la configuracin del sistema es compatible con la poltica de seguridad. Aceptacin del servicio. Paralelo a la aceptacin del servicio se realiza una acreditacin de seguridad. Prestacin del servicio. Se debe garantizar la fiabilidad y disponibilidad del servicio en el mantenimiento rutinario del software. Se deben realizar auditorias peridicas para evaluar la efectividad de los controles e implementar las mejoras solicitadas. Se debe garantizar que se tenga en cuenta la seguridad en los cambios incrementales en el servicio. Cierre del servicio. Se debe asegurar que los activos de informacin se transfieren a un nuevo servicio o se destruyen o se almacenan de forma segura de conformidad con las polticas especficas del servicio.
Pgina 206 de 207
7. ANEXOS
Pgina 207 de 207

ModeloSeguridad SANSI SGSI

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ModeloSeguridad SANSI SGSI

Uploaded by

Copyright:

Available Formats

ENTREGABLES 3, 4, 5 y 6: INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACIN SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO

Bogot, D.C., Diciembre de 2008

Palabras Claves: Formato: Dependencia:

Todas las referencias con derechos reservados.

3. Marco de Referencia -Sistema de Gestin en Seguridad de la Informacin -SGSI

3.1. Seguridad de la Informacin

3.2. ISO (International Organization for Standardization)

Preguntas ms Frecuentes, doc_faq_all.pdf pg. 9, www.iso27000.es.

2 Tomado de www.icontec.org Quienes Somos.

3.5. Norma ISO27001

3.5.1. Serie ISO27000

3.5.2. Relacin de la Norma ISO27001 con otros estndares de seguridad de la Informacin

3.6. Sistema de Gestin de la Seguridad de la Informacin -SGSI

3.6.1. Beneficios de la implantacin de un SGSI

3.6.2. Justificacin de la implementacin de un SGSI

Preguntas ms Frecuentes, doc_faq_all pg. 8, www.iso27000.es

4. Componentes Principales de un Sistema de Gestin de la Seguridad de la Informacin SGSI

Ilustracin 3: Principales componentes de un SGSI. Derechos reservados Andrs Velsquez. avelazquez@dodomex.com

Tomado de: http://www.gobiernoenlinea.gov.co/home_principal.aspx. Fecha de acceso: 2008/10/10. Publicado por el Ministerio de

Comunicaciones. Autor: No determinado.

5.2. Sistema Administrativo Nacional de Seguridad de la Informacin -SANSI

de: Agenda de Conectividad, CONPES 3072.

Ilustracin 4: Sistema Administrativo Nacional de Seguridad de la Informacin -SANSI

5.3. Comisin Nacional de Seguridad de la Informacin

Ilustracin 5: Comisin Nacional de Seguridad de la Informacin

5.4. Grupo Tcnico de Apoyo

5.4.1. Direccin Nacional de Seguridad de la Informacin

5.5. Relaciones de Desarrollo Empresarial con Entidades Pblicas y Privadas

La Comisin Nacional de Seguridad de la Informacin ejercer adicionalmente las siguientes funciones:

Funciones del Grupo Tcnico de Apoyo

11 Ver mayor informacin de la herramienta de auto-evaluacin en el documento: Entregable 7 Sistema Autoevaluacin.

12 Para mayor informacin ver numeral 3.5.2. de este documento.

Ilustracin 9: Gestin de Riesgos

FASE HACER CICLO PHVA ENTIDADES DESTINATARIAS

FASE VERIFICAR Entidades destinatarias, Organismos de certificacin y autoridades de vigilancia y control

No existe -> Fecha de implementacin y responsable (calificacin = 0)

5.6.2. Mejora del SGSI:

5.7. Seguridad aplicada a la Comunidad Higiene en Seguridad

6. MODELO DE GESTIN DE SEGURIDAD DE LA INFORMACIN SGSI

14 Tomado de artculos 5 y 8 del decreto 1151 de 2008.

6.2. Objetivos del Sistema

6.3. Poltica del Sistema de Gestin.

6.4. Polticas y Objetivos de Seguridad de la Informacin

6.4.1. PS1 Poltica de Control de Acceso

6.4.2. PS2 - Poltica de no repudiacin

6.4.3. PS3 - Poltica de servicios confiables

6.4.4. PS4 Poltica de Privacidad y Confidencialidad

6.4.5. PS5 - Poltica de Integridad

6.4.6. PS6 Poltica de Disponibilidad del Servicio

6.4.7. PS7 Poltica de Disponibilidad de la Informacin

6.4.8. PS8 Poltica de Proteccin del Servicio

6.4.9. PS9 - Poltica de Registro y Auditoria

Alineamiento de las polticas de seguridad con normas y mejores prcticas de la industria

PS1 - Poltica de Control de Acceso

PS2 - Poltica de no repudiacin

1.3 Administracin del riesgo 2.2.3 sistemas de Informacin

PS3 - Poltica de servicios confiables

1.3 Administracin del riesgo 2.2.3 sistemas de Informacin

PS4 - Poltica de privacidad y confidencialidad

PS5 - Poltica de integridad

1.3 Administracin del riesgo 2.2.3 sistemas de Informacin

PS6 - Poltica de disponibilidad del servicio

1.3 Administracin del riesgo 2.2.3 sistemas de Informacin