PROYECTO DE

SEGURIDAD
INFORMATICA

1
 MODULO DE SEGURIDAD
INFORMATICA PARA LA
INDUSTRIA ARGENTINA

Mayo 2017

Marcos A. Passarello.

2
 Temario

• Capítulo 1

• Lección 1 Introducción
• Lección 2 Política de la Seguridad de la Información
• Lección 3 Revisión de la Política de la Seguridad de la
Información
• Lección 4 Organización de la Seguridad
• Lección 5 Acuerdos de confidencialidad

• Capítulo 2

• Lección 6 Inventario de activos

• Lección 7 Clasificación de la Información
• Lección 8 Propiedad de los activos

• Capítulo 3

• Lección 9 Roles y responsabilidades

• Lección 10 Términos y condiciones de empleo
• Lección 11 Concientización, educación y entrenamiento en
seguridad de la información
• Lección 12 Proceso disciplinario
• Lección 13 Retorno de activos

3
• Capítulo 4

• Lección 14 Protección física y ambiental

• Lección 15 Perímetro de seguridad física
• Lección 16 Controles de acceso físico
• Lección 17 Aseguramiento de oficinas, recintos e instalaciones
• Lección 18 Protección contra amenazas externas y del ambiente
• Lección 19 Trabajo en áreas protegidas
• Lección 20 Áreas de acceso público, de entrega y de carga
• Lección 21 Ubicación y protección del equipamiento
• Lección 22 Elementos de soporte
• Lección 23 Seguridad del cableado
• Lección 24 Mantenimiento del equipamiento
• Lección 25 Seguridad del equipamiento fuera del ámbito de la
organización

• Capítulo 5

• Lección 26 Seguimiento y revisión de los servicios de las

terceras partes
• Lección 27 Gestión de la capacidad
• Lección 28 Controles contra código malicioso
• Lección 29 Controles contra código móvil
• Lección 30 Resguardo de la información
• Lección 31 Seguridad de los servicios de red
• Lección 32 Gestión de medios removibles

4
• Lección 33 Comercio electrónico
• Lección 34 Registro de auditoría

• Capítulo 6

• Lección 35 Uso de contraseñas

• Lección 36 Equipamiento de usuario que se deja desatendido
• Lección 37 Política de pantalla y escritorio limpio
• Lección 38 Procedimientos seguros de inicio de sesión (log-
on)
• Lección 39 Expiración de la sesión
• Lección 40 Aislamiento de sistemas sensibles
• Lección 41 Computación y comunicaciones móviles
• Lección 42 Teletrabajo

• Capítulo 7

• Lección 43 Reporte de los eventos de la seguridad de la

información
• Lección 44 Gestión de los incidentes y mejoras de la seguridad
de la información
• Lección 45 Recolección de la evidencia

5
• Capítulo 8

• Lección 46 Continuidad del negocio y evaluación de los

riesgos
• Lección 47 Elaboración e implementación de planes de
continuidad que incluyan la seguridad de la información
• Lección 48 Marco para la planificación de la continuidad del
negocio
• Lección 49 Pruebas, mantenimiento y reevaluación de los
planes de continuidad del negocio

• Capítulo 9

• Lección 50 Identificación de la legislación aplicable

• Lección 51 Derechos de propiedad intelectual (DPI)
• Lección 52 Protección de los datos y privacidad de la
información personal
• Lección 53 Cumplimiento con las políticas y normas de
seguridad, y el cumplimiento técnico

6
Capítulo 1

Lección 1

¿Qué es la seguridad de la información?

La información es un recurso que, como otros importantes activos comerciales,

tiene valor para una organización y por consiguiente debe ser debidamente
protegida. Ésta es especialmente importante en el ambiente de negocios cuya
interconexión va creciendo día a día. Como resultado de este incremento de la
interconectividad, la información ahora está expuesta a un número creciente y una
variedad de amenazas y vulnerabilidades.

La información puede existir en muchas formas. Puede estar impresa o escrita en

papel, almacenada electrónicamente, transmitida por correo postal o utilizando
medios electrónicos, presentada en películas o transmitida verbalmente en una
conversación. Cualquiera sea la forma que adquiera la información, o los medios
por los cuales se distribuye o almacena, siempre debe estar protegida en forma
adecuada.

La seguridad de la información es la protección de la información de una amplia

variedad de amenazas, con el objeto de asegurar la continuidad del negocio,
minimizar los riesgos y maximizar el retorno de la inversión y las oportunidades de
negocio.

La seguridad de la información se logra implementando un conjunto adecuado de

controles, que incluye políticas, procesos, procedimientos, estructuras
organizacionales y funciones del software y del hardware. Estos controles se
deben establecer, implementar, supervisar, revisar y mejorar, cuando sea
necesario, para garantizar que se alcancen los objetivos específicos de seguridad
y los objetivos de negocio de la organización. Esto debe realizarse en conjunto
con los otros procesos de la gestión del negocio.

7
Lección 2

Política de la Seguridad de la Información

Se recomienda que el documento de la política de seguridad de la información

establezca el compromiso gerencial de la alta dirección y fije el enfoque de la
organización a la gestión de la seguridad de la información. Se recomienda que el
documento de la política contenga declaraciones relativas a:

a) Una definición de seguridad de la información, sus objetivos y alcance

generales y la importancia de la seguridad como un mecanismo que permita
compartir la información (ver introducción).

b) Una declaración del propósito de los responsables del nivel gerencial, de la

alta dirección, en apoyo de las metas y principios de la seguridad de la información
alineada con las estrategias y objetivos del negocio.

c) Un marco para establecer los objetivos de control y los controles asociados,

incluyendo la estructura de evaluación y gestión de riesgos.

d) Una breve explicación de las políticas, principios, normas y requerimientos

a cumplir en materia de seguridad, que son especialmente importantes para la
organización, incluyendo:

1) cumplimiento de requerimientos legales, regulatorios y

contractuales.

2) los requerimientos de educación, capacitación y concienciación

respecto de la seguridad.

3) gestión de la continuidad del negocio.

4) consecuencias de las violaciones de la política de seguridad de la

información.

e) Una definición de las responsabilidades generales y específicas en materia

de gestión de la seguridad de la información, incluyendo la comunicación de los
incidentes relativos a esta.

f) Referencias a documentos que puedan respaldar la política, por ejemplo:

normas y procedimientos de seguridad más detallados para sistemas de

8
información específicos o reglas de seguridad que se recomienda que los usuarios
cumplan.

Lección 3

Revisión de la Política de la Seguridad de la Información

Se recomienda que las revisiones gerenciales incluyan información acerca de:

a) Retroalimentación de las partes interesadas.

b) Resultados de revisiones independientes.
c) Estado de acciones correctivas y preventivas.
d) Cumplimiento con la política de seguridad de la información y el desempeño
del proceso.
e) Cambios que pueden afectar el enfoque de la organización hacia la gestión de
la seguridad de la información, incluyendo cambios en el entorno
organizacional, gestión del negocio, disponibilidad de los recursos, condiciones
contractuales, reglamentarias, y legales, o la infraestructura tecnológica.
f) Tendencias relacionadas con amenazas y vulnerabilidades.
g) Incidentes informados sobre la seguridad de la información.

9
Lección 4

Organización de la Seguridad

Se recomienda que:

a) Asegure que los objetivos de seguridad de la información están identificados,

que los requerimientos de la organización y que están integrados en los
procesos correspondientes.
b) Formule, revise, y apruebe la política de seguridad de la información.
c) Revise la efectividad de la implementación de la política de seguridad de la
información.
d) Provea una clara dirección y un soporte gerencial visible a las iniciativas de
seguridad.
e) Provea los recursos necesarios para la seguridad de la información.
f) Apruebe la asignación de roles específicos y responsabilidades para la
seguridad de la información en toda la organización.
g) Inicie planes y programas para mantener la concientización sobre la seguridad
de la información.

10
Lección 5

Acuerdos de confidencialidad

Se recomienda que los acuerdos de confidencialidad abarquen los requerimientos

de protección de la información confidencial usando términos legales aplicables.
Para identificar los requerimientos para los acuerdos de confidencialidad o de no
divulgación, se recomienda que se consideren los siguientes elementos:

a) Una definición de la información a ser protegida (por ejemplo: información

confidencial).
b) Duración esperada de un acuerdo, incluyendo casos donde la
confidencialidad podría mantenerse indefinidamente.
c) Acciones requeridas cuando un acuerdo finaliza.
d) Responsabilidades y acciones de las partes firmantes para evitar la
divulgación no autorizada de la información.
e) Propiedad de la información, secretos comerciales y propiedad intelectual, y
su relación con la protección de la información confidencial.
f) El uso permitido de información confidencial, y los derechos de las partes
firmantes para usar la información.
g) El derecho para auditar y supervisar actividades que involucren información
confidencial.

11
Capítulo 2

Lección 6

Inventario de activos

Existen muchos tipos de activos, que incluyen:

a) Información: bases de datos y archivos de datos, contratos y acuerdos,

documentación de sistemas, información de estudios, manuales de usuario,
material de entrenamiento, procedimientos operacionales o de soporte,
planes para la continuidad del negocio, disposiciones relativas a sistemas de
emergencia para la reposición de información perdida ,pistas de auditorías, e
información archivada.
b) Activos de software: software de aplicaciones, software de sistemas,
herramientas de desarrollo, y utilitarios.
c) Activos físicos: equipamiento de computación, equipamiento de
comunicaciones, medios removibles y otros equipamientos.
d) Servicios: servicios de cómputo y de comunicaciones, servicios generales,
por ejemplo: calefacción, iluminación, energía, y aire acondicionado.
e) Personas, y sus calificaciones, habilidades y experiencia.
f) Activos intangibles, tales como la reputación y la imagen de la organización.

Los inventarios de activos ayudan a asegurar que se lleva a cabo una

efectiva protección de los activos, y puede también ser requerido para otros
propósitos de negocio, tales como de salud y seguridad, de aseguramiento o
financiación (gestión de activos). El proceso de armado de un inventario de
activos es un importante prerrequisito de una gestión de riesgos.

12
Lección 7
Clasificación de la Información
Se recomienda que se establezcan consideraciones sobre el número de categorías
de clasificación y sobre los beneficios que se obtendrán de su uso. Esquemas
demasiado complejos pueden volverse engorrosos, imprácticos o económicamente
no viables. Es conveniente que se tenga cuidado al interpretar los rótulos de
clasificación de los documentos de otras organizaciones, las cuales pueden tener
definiciones diferentes para rótulos iguales o similares.

El nivel de protección puede determinarse analizando la confidencialidad, integridad

y disponibilidad y cualquier otro requerimiento para la información considerada.

Con frecuencia la información deja de ser sensible o crítica después de un cierto

período de tiempo, por ejemplo cuando la información se hace pública. Se
recomienda que éstos aspectos se consideren, ya que la sobreclasificación puede
conducir a la implementación de controles innecesarios que resultan en un gasto
adicional.

Cuando se asignan niveles de clasificación, el tratamiento de documentos con

similares requisitos de seguridad en forma conjunta, facilita la tarea de
clasificación.

En general, la clasificación dada a la información es una forma rápida de determinar

el modo en que tiene que ser manejada y protegida.

13
Lección 8
Propiedad de los activos

Se recomienda que el propietario de un activo se haga responsable de:

a) Asegurar que la información y los activos asociados con las instalaciones de

procesamiento de la información estén apropiadamente clasificados.
b) Definir y revisar periódicamente las restricciones y clasificaciones de acceso
teniendo en cuenta las políticas de control de acceso aplicables.

La propiedad podrían asignarse a:

a) Un proceso de negocios.
b) Un conjunto definido de actividades.
c) Una aplicación.

14
Lección 9

Roles y Responsabilidades

Es conveniente que los roles y responsabilidades de seguridad incluyan

requerimientos para:

a) implementar y actuar en concordancia con las políticas de seguridad de la

información de la organización.
b) La protección de activos contra accesos no autorizados, divulgación,
modificación, destrucción o interferencia.
c) la ejecución de actividades o procesos de seguridad particulares.
d) asegurar que se haga responsables a los individuos por sus acciones.
e) Reportar eventos de seguridad o eventos potenciales u otros riesgos de
seguridad de la organización.

Se recomienda que se definan y comuniquen claramente los roles y

responsabilidades de seguridad a los candidatos para el puesto de trabajo durante
el proceso de preselección.

15
Lección 10

Términos y condiciones de empleo

Se recomienda que los términos y condiciones de empleo reflejen la política de

seguridad de la información de la organización además de clarificar y definir:

a) Que todos los empleados, contratistas y usuarios de terceras partes a

quienes se les ha dado acceso a la información sensible firmen un acuerdo
de confidencialidad o de no divulgación antes de tener acceso a las
instalaciones de procesamiento de la información.
b) Las responsabilidades y derechos legales de empleados, contratistas, y
cualquier otro usuario, por ejemplo: leyes con respecto al copyright o la
legislación de protección de los datos.
c) Las responsabilidades de la clasificación de la información y para la gestión
de los activos de la organización asociados con sistemas de información y
con servicios manejados por el empleado, contratista o usuario de tercera
parte.
d) Las responsabilidades del empleado, contratista, o usuarios de tercera parte
para el manejo de la información recibida de otras compañías o de terceras
partes.
e) Las responsabilidades de la organización para el manejo de información
personal, incluida la información del personal creada como resultado, o en el
curso de la vinculación con la organización.
f) Las responsabilidades que se extienden fuera de las instalaciones de la
organización y más allá de los horarios normales de trabajo, por ejemplo: en
caso de trabajo en el hogar.

16
Lección 11
Concientización, educación y entrenamiento en seguridad de la
información
Se recomienda que el entrenamiento de conocimientos se inicie con un proceso
formal de inducción diseñado para introducir las políticas y expectativas de la
seguridad de la organización antes de que se otorgue el acceso a la información o
a los servicios.

Se recomienda que el entrenamiento continuo incluya los requerimientos de

seguridad, las responsabilidades legales y controles del negocio, así como
también entrenamiento en el correcto uso de las instalaciones de procesamiento
de la información, por ejemplo, el procedimiento de ingreso al sistema (log-on),
uso de paquetes de software e información sobre el proceso disciplinario

Se recomienda que los conocimientos de seguridad, la educación, y las

actividades de entrenamiento sean adecuadas y correspondan al rol de la
persona, responsabilidades y habilidades, y es conveniente que incluya
información sobre amenazas conocidas, a quién contactar para asesoramiento
más extenso sobre seguridad, y los canales adecuados para el reporte de
incidentes de seguridad de la información.

17
Lección 12

Proceso disciplinario
Se recomienda que el proceso disciplinario no se inicie sin la previa verificación de
que ha ocurrido una brecha en la seguridad.

Es conveniente que el proceso disciplinario formal asegure un correcto y justo

tratamiento de los empleados de los que se sospecha que han cometido algún
incidente de seguridad. Se recomienda que el proceso disciplinario formal
garantice una respuesta adecuada, la cual debe tener en consideración factores
como la naturaleza y gravedad del incidente, y su impacto en el negocio, si es la
primera infracción o si es repetitiva, si el infractor ha sido o no ha sido
apropiadamente entrenado, la legislación pertinente, contratos de negocios, y
cualquier otro factor que se requiera. En casos serios de mala conducta, se
recomienda que el proceso permita la remoción urgente de las obligaciones,
derechos de acceso y privilegios, así como la escolta inmediata fuera de las
instalaciones, en caso de ser necesario.

Es conveniente que el proceso disciplinario se utilice como impedimento y para

prevenir que los empleados, contratistas y usuarios de tercera parte violen las
políticas y procedimientos de seguridad de la organización, y cualquier otra brecha
de seguridad.

18
Lección 13

Retorno de activos

Se recomienda que todos los empleados, contratistas y usuarios de terceras

partes devuelvan todos los activos de la organización en su poder tras la
terminación de su empleo, contrato, o acuerdo.

Es necesario que se devuelvan otros activos organizacionales como dispositivos

de computación móviles, tarjetas de crédito, tarjetas de ingreso, software,
manuales e información almacenada en medios electrónicos

En los casos donde un empleado, contratista o usuario de tercera parte compra el

equipamiento de la organización o usa equipamiento propio, se recomienda que
se sigan procedimientos para asegurar que toda la información relevante se
transfiera a la organización y elimine de forma segura de equipamiento

19
Capítulo 4

Lección 14

Protección física y ambiental

Objetivo: Impedir accesos físicos no autorizados, daños e interferencia a las

instalaciones e información de la organización.

Se recomienda que las instalaciones de procesamiento de información crítica o

sensible estén ubicadas en áreas seguras, protegidas por un perímetro de
seguridad definido, con barreras de seguridad y controles de acceso apropiados.
Se recomienda que estén físicamente protegidas de accesos no autorizados,
daños e interferencia.

Es conveniente que la protección provista sea proporcional a los riesgos

identificados.

20
Lección 15

Perímetro de seguridad física

Se recomienda que cuando sea apropiado se consideren e implementen para los
perímetros de seguridad físicos, las directrices siguientes:

a) Que los perímetros de seguridad se encuentren claramente definidos, se

recomienda que el lugar de asentamiento y la fuerza de cada perímetro
dependa de los requerimientos de seguridad de los activos dentro del
perímetro y de los resultados de la evaluación de riesgos.
b) Que el perímetro de un edificio o área que contenga las instalaciones de
procesamiento de información se explore físicamente (por ejemplo: se
recomienda que no existan aberturas en el perímetro o áreas donde pueda
ocurrir fácilmente una irrupción); es conveniente que las paredes externas del
área sean de construcción sólida y se recomienda que todas las puertas
externas estén adecuadamente protegidas con mecanismos de control contra
accesos no autorizados, por ejemplo: barras, alarmas, cerraduras, etc.; se
recomienda que las puertas y ventanas estén trabadas cuando queden sin
atención y es conveniente que se considere una protección externa para las
ventanas, particularmente al nivel del suelo.
c) Que exista un área de recepción atendida por personas u otros medios de
control de acceso físico al área o edificio; es conveniente que el acceso a las
distintas áreas y edificios se encuentre restringido exclusivamente al personal
autorizado.
d) Que se construyan barreras físicas, donde sea necesario, para prevenir el
acceso físico y la contaminación ambiental.
e) Que todas las puertas de incendio en un perímetro de seguridad, tengan
alarma, se sigan, controlen y prueben en conjunto con los muros para
establecer el nivel requerido de resistencia de acuerdo con la región
adecuada, normas nacionales e internacionales; es conveniente que se opere
en concordancia con el código de incendios local de una manera segura.
f) Que se instalen los sistemas de detección de intrusos según normas
nacionales, regionales o internacionales y se prueben regularmente para
cubrir todas las puertas externas y ventanas accesibles; se recomienda que
las áreas desocupadas estén equipadas con alarmas todo el tiempo; se
recomienda que se provea la cobertura para otras áreas, por ejemplo: la sala
de computación o la sala de comunicaciones.

21
g) Que las instalaciones de procesamiento de la información administradas por la
organización se encuentren físicamente separadas de aquellas administradas
por terceras partes.

22
Lección 16

Controles de acceso físico

Se recomienda que se tenga en cuenta las siguientes directrices:

a) Que se registre la fecha y hora de entrada y salida de los visitantes, y se

recomienda que se supervise a todos los visitantes a menos que su acceso
haya sido aprobado previamente; se recomienda que ellos sólo tengan
acceso para propósitos específicos y autorizados, y se recomienda que se
les provea de instrucciones en requerimientos de seguridad del área y en
procedimientos de emergencia.
b) Que se controle y restrinja el acceso a las áreas donde se realice el
procesamiento o almacenamiento de información sensible sólo a personas
autorizadas; controles de autenticación, por ejemplo: se recomienda que se
utilicen tarjetas de control de acceso más un número de identificación
personal (PIN), para autorizar y validar todos los accesos; se recomienda que
se mantenga de forma segura un registro auditado de todos los accesos.
c) Que se le exija a todos los empleados, contratistas y usuarios de terceras
partes y visitas el uso de alguna forma visible de identificación y se
recomienda que se notifique de forma inmediata al personal de seguridad si
encuentran visitas sin escolta o alguien que no utilice una identificación
visible.
d) Que se le otorgue acceso restringido al personal de servicio de soporte de
tercera parte a áreas seguras o instalaciones de procesamiento de
información sensible solamente cuando se requiera; se recomienda que este
acceso se autorice, siga y controle.
e) Que los derechos de acceso para áreas seguras se revise y actualice
regularmente, y revoque cuando sea necesario.

23
Lección 17

Aseguramiento de oficinas, recintos e instalaciones

Se recomienda que se consideren las siguientes directrices para la protección de

oficinas, e instalaciones:

a) Se recomienda que se tomen en cuentas las regulaciones y normas de salud

y seguridad correspondientes.
b) Se recomienda que las instalaciones clave se ubiquen de modo tal de evitar
que las mismas puedan ser accedidas por el público.
c) Donde sea aplicable, se recomienda que los edificios sean discretos y
otorguen la mínima indicación posible de su propósito, sin señales obvias,
tanto fuera como dentro del edificio, identificando la presencia de actividades
de procesamiento de información.
Se recomienda que los directorios y listados internos de teléfonos que identifican la
ubicación de instalaciones de procesamiento de información sensible no sean de
lectura accesible al público.

24
Lección 18

Protección contra amenazas externas y del ambiente

Se recomienda que se considere cualquier amenaza de seguridad que se

presente por los terrenos vecinos, por ejemplo: un incendio en un edificio vecino,
goteo de agua desde el techo o en pisos que se encuentren por debajo del nivel
del suelo o una explosión en la calle.

Para evitar daño de fuego, inundación, terremoto, explosión, movimiento civil, y

otras formas de desastre natural o hecho por el hombre, se recomienda:

a) Que los materiales peligrosos o combustibles se mantengan a una distancia

segura del área segura, y que las provisiones de gran volumen, tales como
artículos de oficina no se almacenen dentro de un área segura.
b) Que el equipamiento para casos de emergencia, y medios de respaldo se
ubique a una distancia segura para evitar daños ante un desastre que afecte
a la ubicación principal.
c) Que se provea y se ubique adecuadamente el apropiado equipamiento para
casos de incendio.

25
Lección 19

Trabajo en áreas protegidas

Se recomienda que se consideren las siguientes directrices:

a) Se recomienda que el personal sólo tenga conocimiento de la existencia de

un área protegida, o de las actividades que se llevan a cabo dentro de la
misma, según el criterio de que exista necesidad que se conozca.
b) Se recomienda que se evite el trabajo no supervisado en áreas protegidas
tanto por razones de seguridad como para evitar la posibilidad de que se
lleven a cabo actividades maliciosas.
c) Se recomienda que las áreas protegidas desocupadas se bloqueen
físicamente e inspeccionen periódicamente.
d) Se recomienda que no se permitan equipos de fotografía, video, audio u otro
tipo de equipamiento de grabación, tales como cámaras en dispositivos
móviles, salvo autorización pertinente.

Los arreglos para el trabajo en áreas seguras incluyen controles para los
empleados, contratistas y usuarios de terceras partes que trabajan en el área
segura, como también actividades de terceras partes que se desarrollen allí.

26
Lección 20

Áreas de acceso público, de entrega y de carga

Se recomienda que se consideren las directrices siguientes:

a) Que el acceso a un área de entrega y carga desde el exterior del edificio,

esté limitado a personal identificado y autorizado.
b) Que el área de entrega y carga se diseñe de manera tal que los suministros
puedan ser descargados sin que el personal que realiza la entrega acceda a
otros sectores del edificio.
c) Que las puertas exteriores de un área de entrega y carga se aseguren
cuando se abren las puertas internas.
d) Que el material entrante se inspeccione para evitar amenazas potenciales
antes de que se traslade desde el área de entrega y carga hasta el lugar de
uso.
e) Que el material entrante se registre en concordancia con los procedimientos
de gestión de los activos antes de entrar al edificio.
f) Que, en la medida en que sea posible, los envíos entrantes y salientes se
encuentren físicamente separados.

27
Lección 21

Ubicación y protección del equipamiento

Se recomienda que se tengan en cuenta las directrices siguientes:

a) Que el equipamiento se ubique de modo de minimizar el acceso innecesario

a las áreas de trabajo.
b) Que las instalaciones de procesamiento de información que manejan datos
sensibles, se ubiquen con un ángulo de visibilidad restringido para reducir el
riesgo de que la información sea vista por personas no autorizadas durante
su uso, así como también que las instalaciones de almacenamiento estén
aseguradas para evitar su acceso no autorizado.
c) Que los ítems que requieran de protección especial estén aislados para
reducir el nivel general de protección requerida.
d) Que se adopten controles para minimizar el riesgo de amenazas físicas
potenciales, por ejemplo: robo, incendio, explosivos, humo, agua (o falta de
suministro), polvo, vibraciones, efectos químicos, interferencia en el
suministro de energía eléctrica, interferencia en las comunicaciones,
radiaciones electromagnéticas y vandalismo.
e) Que se establezcan directrices en cuanto a comer, tomar y fumar en las
proximidades de las instalaciones de procesamiento de información.
f) Que las condiciones ambientales, como la temperatura y la humedad, se
supervisen y controlen para evitar que estas condiciones puedan afectar de
manera adversa la operación de las instalaciones de procesamiento de
información.
g) Que para el equipamiento en ambientes industriales se considere el uso de
métodos especiales de protección, como cubiertas de teclado.
h) Que el equipo que procesa información sensible se proteja para minimizar el
riesgo de fuga de información debido a las emanaciones.

28
29
Lección 22

Elementos de soporte

Se recomienda que todas las utilidades de soporte, tales como electricidad,

provisión de agua, cloacas, calefacción/ventilación y aire acondicionado sean
adecuados para los sistemas para los que están brindando soporte. Se
recomienda que las utilidades de soporte se inspeccionen regularmente y prueben
apropiadamente para asegurar su funcionamiento adecuado y para reducir
cualquier riesgo producto de su malfuncionamiento o falla. Se recomienda que se
provea de un suministro de corriente eléctrica, adecuado que cumpla con las
especificaciones del fabricante del equipamiento.

Se recomienda contar con una unidad de energía ininterrumpida (UPS) para dar
soporte a un apagado ordenado o la ejecución continua del equipamiento que
sustenta las operaciones críticas de la organización. Se recomienda que los
planes de contingencia contemplen las acciones que han de ser tomadas ante una
falla de la UPS. Se recomienda que se considere disponer de un generador de
respaldo en el caso de que se produzca una falla de energía eléctrica prolongada
y el procesamiento de la información deba continuar. Se recomienda que se
mantenga una adecuada provisión de combustible para asegurar que el generador
pueda trabajar por un período prolongado. Se recomienda que la/las UPS y los
generadores se inspeccionen periódicamente para asegurar que tienen la
capacidad requerida y han sido probados de acuerdo con las recomendaciones
del fabricante. Además, se pueden hacer consideraciones para utilizar múltiples
fuentes de energía, o, si el sitio es grande, una subestación separada de energía.

Se recomienda que se ubiquen interruptores de corte de energía de emergencia

cerca de las salidas de emergencia en salas de equipamiento para facilitar el rápido
corte de energía en caso de una emergencia. Se recomienda que se provea de
iluminación de emergencia en caso de una falla de la energía principal.

Se recomienda que el abastecimiento de agua sea estable y adecuado para

abastecer a los equipos de aire acondicionado, los equipos de humidificación y los
sistemas de extinción de fuego (cuando se utilicen). El funcionamiento defectuoso
del sistema de abastecimiento de agua puede dañar el equipamiento o impedir
que la extinción de fuego actúe de manera efectiva. Se recomienda, en caso que
se requiera, que se evalúe e instale un sistema de alarma para detectar
funcionamientos defectuosos en las utilidades de soporte.

30
Se recomienda que los equipos de telecomunicaciones se encuentren conectados
con el proveedor del servicio a través de al menos dos rutas distintas para prevenir
que fallas en una vía de conexión suprima servicios de voz. Se recomienda que
los servicios de voz sean adecuados para cumplir con los requerimientos legales
locales para las comunicaciones de emergencia.

31
Lección 23

Seguridad del cableado

Para la seguridad del cableado se recomienda que se consideren las directrices

siguientes:

a) Que las líneas de energía y telecomunicaciones que se encuentran dentro de

las instalaciones de procesamiento de la información estén instaladas bajo
tierra, donde sea posible, o sujetas a adecuadas alternativas de protección.
b) Que el cableado de red se proteja contra intercepciones no autorizadas o
daños, por ejemplo: utilizando un conducto o evitando rutas que atraviesen
áreas públicas.
c) Que los cables de energía estén separados de los cables de comunicación
para prevenir interferencias.
d) Que se utilicen cables claramente identificables y marcas en los equipos para
minimizar el manejo erróneo, como el armado erróneo de los cables de red.
e) La utilización de una lista documentada de conexiones para reducir la
posibilidad de errores.
f) Considerar para los sistemas sensibles o críticos controles adicionales que
incluyan:
1) Instalación de conductos blindados y recintos o cajas con cerradura en
los puntos terminales y de inspección.
2) Uso de rutas o medios de transmisión alternativos que provean una
seguridad apropiada.
3) Uso de cableado de fibra óptica.
4) Uso de protección electromagnética para proteger el cableado.
5) Realización de barridos técnicos e inspecciones físicas para buscar
dispositivos que hayan sido acoplados a los cables sin autorización.
6) Acceso controlado a los paneles de conexión y a las salas de cableado.

32
Lección 24

Mantenimiento del equipamiento

Se recomienda que para el mantenimiento del equipo se consideren las directrices

siguientes:

a) Que el equipamiento se mantenga de acuerdo con los intervalos y

especificaciones de servicio recomendados por el proveedor.
b) Que sólo el personal de mantenimiento autorizado lleve a cabo reparaciones
y revisiones del equipamiento.
c) Que se lleven registros de todas las fallas sospechadas o reales, y de todo el
mantenimiento preventivo y correctivo.
d) Que se implementen los controles apropiados cuando esté programado el
mantenimiento del equipamiento, teniendo en cuenta si este mantenimiento
es realizado por personal de la empresa o externo a la organización; cuando
sea necesario, se recomienda que se elimine la información sensible del
equipamiento, o se le aclare esto al personal de mantenimiento de forma
suficiente.
e) Que se cumpla con todos los requerimientos impuestos por las políticas de
seguridad.

33
Lección 25

Seguridad del equipamiento fuera del ámbito de la organización

Sin tener en cuenta quien sea el propietario, se recomienda que el uso de

cualquier equipamiento de procesamiento de información fuera del ámbito de la
organización esté autorizado por la gerencia.

Se recomienda que para la protección del equipamiento que se encuentra fuera

del área se considere las directrices siguientes:

a) Que el equipamiento y dispositivos retirados del ámbito de la organización no

permanezcan desatendidos en lugares públicos; se recomienda que las
computadoras personales se transporten como equipaje de mano y de ser
posible enmascaradas, durante los viajes.
b) Que se observen siempre las instrucciones del fabricante para proteger el
equipamiento, por ejemplo: protección a la exposición de campos
electromagnéticos potentes.
c) Que se determinen los controles de trabajo en el hogar por una evaluación
de riesgos y controles adecuadamente aplicados, por ejemplo: gabinetes que
se puedan cerrar con llave, políticas de escritorio limpio, controles de acceso
a computadoras y comunicación segura con la oficina (ver también ISO/IEC
18028 Network Security).
d) Que se establezca una adecuada cobertura de seguro para la protección del
equipamiento fuera de las instalaciones.
Los riesgos de seguridad, por ejemplo: el daño o robo, pueden variar
considerablemente según las ubicaciones y se recomienda que se tengan en
cuenta al determinar los controles más apropiados.

34
35
Capítulo 5

Lección 26
Seguimiento y revisión de los servicios de las terceras partes

Se recomienda que el seguimiento, control y revisión de los servicios de las

terceras partes asegure que se encuentren adheridos a los términos de seguridad
de la información y las condiciones de los acuerdos, y que los incidentes de
seguridad de la información y los problemas se manejen en forma apropiada. Se
recomienda que esto involucre una relación y un proceso de gestión de servicios
entre la organización y la tercera parte para:

a) Seguir y controlar los niveles de desempeño de servicio para verificar la

adhesión a los acuerdos.
b) Revisar los reportes del servicio producido por la tercera parte y concertar las
reuniones regulares de progreso como las requeridas por los acuerdos.
c) Proveer información sobre los incidentes de seguridad de la información y
revisiones de esta información por la tercer parte y la organización, como las
requeridas por el acuerdo y las directrices o procedimientos de apoyo.
d) Revisar los hallazgos de auditoría de la tercera parte y el registro de eventos
de seguridad, problemas operacionales, fallas, hallazgos de defectos y
rupturas relacionadas con el servicio entregado.
e) Resolver y gestionar los problemas identificados.

Se recomienda que la responsabilidad de la gestión de la relación con una tercera

parte se asigne a una persona o equipo de gestión del servicio. Además, se
recomienda que la organización asegure que la tercera parte asigna
responsabilidades para la verificación del cumplimiento y el respeto de los
requerimientos de los acuerdos. Es conveniente que se disponga de las
capacidades y recursos técnicos suficientes para el seguimiento y control de los
requerimientos del acuerdo en particular que se cumplan los requerimientos de
seguridad de la información. Se recomienda que se realicen las acciones
apropiadas cuando se observen deficiencias en el servicio entregado.

Se recomienda que la organización mantenga un control suficiente y la visibilidad

general de todos los aspectos de seguridad para la información sensible o crítica,
o de las instalaciones de procesamiento de información accedidas, procesadas o
gestionadas por una tercera parte. Se recomienda que la organización asegure
que se mantenga la visibilidad de las actividades de seguridad como gestión de
cambios, identificación de vulnerabilidades y reporte/respuesta de incidentes de

36
seguridad de información a través de un proceso de reportes claro y definido, con
formato y estructura.

37
Lección 27
Gestión de la capacidad

Para cada actividad nueva y en curso, se recomienda que se identifiquen los

requerimientos de capacidad. Se recomienda que la afinación y el seguimiento del
sistema se apliquen para asegurar, y, cuando sea necesario, mejorar la
disponibilidad y eficiencia de los sistemas. Se recomienda que se establezcan los
controles de detección para indicar problemas en el tiempo debido. Se recomienda
que las proyecciones de futuros requerimientos de capacidad tengan en cuenta los
nuevos requerimientos del negocio y de los sistemas, y las tendencias corrientes y
proyectadas en las capacidades de procesamiento de información de la
organización.

Se necesitará poner particular atención en cualquier recurso que demande mucho

tiempo adquirir o alto costo, por lo que se recomienda que los administradores
realicen un seguimiento y control de la utilización de los recursos clave del
sistema. Se recomienda que ellos identifiquen tendencias en el uso,
particularmente en relación de la aplicación del negocio o con la gestión de
herramientas de los sistemas de información.

Se recomienda que los gerentes utilicen esta información para identificar y evitar
potenciales cuellos de botella y la dependencia del personal clave que podría
significar una amenaza a la seguridad o para los servicios del sistema, y un plan
de acción apropiados.

38
Lección 28
Controles contra código malicioso

Se recomienda que la protección contra el código malicioso se base en software

para la detección y reparación de código malicioso, consciencia de la seguridad, y
de sistemas de acceso apropiados y controles para la gestión de cambios
apropiados. Se recomienda que se considere la siguiente guía:

a) Establecer una política formal que prohíba el uso de software no autorizado.

b) Establecer una política formal para proteger contra los riesgos asociados
con la obtención de archivos y software, ya sea desde o a través de redes
externas, por cualquier otro medio, indicando qué medidas de protección se
recomienda tomar.

c) Conducir revisiones periódicas del contenido de software y datos de los

sistemas que sustentan procesos críticos de la empresa; se recomienda que se
investigue formalmente la presencia de archivos no aprobados o correcciones no
autorizadas se investigue formalmente.

d) Instalación y actualización periódica de la detección del código malicioso y

el software de reparación para escanear las computadoras y los medios como
control de precaución, o una rutina básica; se recomienda que las verificaciones
sean llevadas a cabo.

39
Lección 29
Controles contra código móvil

Se recomienda que las siguientes acciones se consideren para la protección en

contra de las acciones de la ejecución no autorizada del código móvil se
consideren las acciones siguientes:

a) Ejecución dejando el código móvil en un ambiente lógicamente aislado.

b) Bloqueando cualquier uso de código móvil.

c) Bloqueo de la recepción de código móvil.

d) Activación medidas técnicas como sea disponible en un sistema específico

para asegurar la gestión que del código móvil es gestionado.

e) controlar los recursos disponibles para el acceso del código móvil.

40
Lección 30
Resguardo de la información

Se recomienda que se provean instalaciones de resguardo adecuadas para

asegurar que toda la información y el software esencial pueda ser recuperado
luego de un desastre o una falla del medio.

Se recomienda que se consideren los siguientes puntos de la información de

resguardo:

a) Que se defina el nivel necesario de la información de resguardo.

b) Que se produzcan registros precisos y completos de las copias de resguardo
y procesos de restauración documentados.
c) Que se refleje en los requerimientos de negocio de la organización la
extensión (por ejemplo: resguardo completo o diferencial) y la frecuencia de
los resguardos, los requerimientos de seguridad de la información
involucrados y la criticidad de la información para la continuidad operativa de
la organización.
d) Que las copias de resguardo se almacenen en una ubicación remota, a una
distancia suficiente para escapar de cualquier daño producido por un
desastre en el sitio principal.
e) Que se le otorgue a la información de resguardo un adecuado nivel de
protección física y de ambiente consistente con las normas aplicadas al sitio
principal; se recomienda que los controles aplicados al medio en el sitio
principal se extiendan para cubrir el sitio de resguardo.

41
Lección 31

Seguridad de los servicios de red

Se recomienda que se determine y controle regularmente al proveedor de servicio
de red para gestionar los servicios acordados en un modo seguro, y que se acuerde
el derecho de auditarlo.

Se recomienda que se identifiquen los acuerdos de seguridad necesarios para

servicios particulares, tales como características de seguridad, niveles de servicio y
los requerimientos de gestión. Se recomienda que la organización asegure que los
proveedores de servicios de redes implementan estas medidas.

Los servicios de redes incluyen la provisión de las conexiones, servicios de red

privados, y redes de valor agregado y soluciones de seguridad en redes tales
como “firewalls” y sistemas de detección de intrusos. Estos servicios pueden variar
desde un simple ancho de banda no administrado hasta ofertas complejas de valor
agregado.

42
Lección 32
Gestión de medios removibles
Se recomienda que se consideren las siguientes directrices para la gestión de
medios removibles:

a) Si ya no se requieren, que los contenidos de cualquier medio reusable que

está por ser eliminado de la organización se hagan irrecuperables.
b) Cuando sea necesario y práctico, que se requiera la autorización para la
eliminación de los medios informáticos de la organización y que se lleve un
registro de tales eliminaciones para mantener la trazabilidad para una
auditoría.
c) Que todos los medios se almacenen en un ambiente seguro y protegido, de
acuerdo con las especificaciones de los fabricantes.
d) Que la información almacenada en medios, la cual necesite estar disponible
más tiempo que el de la vida útil del medio (en concordancia con las
especificaciones del fabricante) también se almacenen en otro medio para
evitar la pérdida de la información por el deterioro del medio.

43
 e) Que se considere llevar un registro de los medios removibles para limitar la
oportunidad de pérdida de datos.
f) Que las unidades de medios removibles solo se encuentren activas si existe
una razón para ello.

Lección 33

Comercio electrónico

Se recomienda que las consideraciones de seguridad para el comercio electrónico

incluyan lo siguiente:

a) El nivel de confidencialidad que requiere cada parte de las otras exigiendo su

identificación, por ejemplo, a través de autenticación.
b) Procesos de autorización asociados con quien puede definir los precios,
emisión o firma de los principales documento de comercio electrónico.
c) Asegurar que los socios comerciales están completamente informados de
sus autorizaciones.

44
d) Determinar y cumplir requerimientos de confidencialidad, integridad, prueba
de envío y recepción de documentos importantes y el no-repudio de los
contratos, por ejemplo, asociados con los procesos de licitación y contractos;
e) El nivel de confianza requerido en la integridad de la lista de precios
informada.
f) La confidencialidad de cualquier dato o información sensible.
g) La confidencialidad e integridad de cualquier transacción de orden,
información de pago, detalles de direcciones de envío, y confirmación de
recepciones.
h) El grado de la verificación apropiada de la información de pago provista por
un cliente.
i) Seleccionar la forma más apropiada de liquidación de pagos para detener del
fraude.
j) El nivel de protección requerido para mantener la confidencialidad e
integridad de la información de las ordenes.
k) Evitar la pérdida o duplicación de la información de transacciones.
l) Responsabilidades asociadas con cualquier transacción fraudulenta.
m) Requerimientos de seguros.

45
Lección 34

Registro de auditoría

Se recomienda que las auditorías de las sesiones incluyan, cuando corresponda:

a) Identificación de los usuarios.

b) Fechas, tiempos, y detalles de los eventos principales, por ejemplo, inicio y
cierre de sesión.
c) La identidad de la computadora o la ubicación si es posible.
d) Registros de intentos de acceso al sistema exitoso y rechazado.
e) Registros de intentos de acceso a los datos u otro recurso, exitosos y
rechazados.
f) Cambios en la configuración del sistema.
g) Uso de privilegios.
h) Uso de utilitarios y aplicaciones de sistemas.
i) Archivos accedidos y el tipo de acceso.
j) Direcciones de redes y protocolos.
k) Alarmas ejecutadas por el sistema de control de accesos.
l) Activación y desactivación de los sistemas de protección, tales como
sistemas antivirus y sistemas de detección de intrusos.

46
Capítulo 6

Lección 35

Uso de contraseñas
Se recomienda que se dé aviso a los usuarios para que:

a) Mantengan las contraseñas en forma confidencial.

b) Eviten mantener un registro (por ejemplo papeles, archivos de software o
dispositivos portátiles) de contraseñas, a menos que pueda ser almacenado
de forma segura y que el método de almacenamiento haya sido aprobado.
c) Cambien de contraseñas ante la posibilidad de que un sistema o contraseña
se encuentren comprometidos.
d) Seleccionen contraseñas de calidad con la longitud mínima suficiente y que
sean:
1) fáciles de recordar.

47
 2) no basadas en algo que otra persona pueda adivinar u obtener
fácilmente utilizando información relacionada con la persona, por ejemplo
nombres, números telefónicos y fechas de nacimiento, etc.
3) no vulnerable a ataques de diccionario (por ejemplo, que no consista de
palabras incluidas en los diccionarios).
4) libre de caracteres consecutivos idénticos, en caracteres todos
numéricos o todos alfabéticos.
e) Cambien de contraseñas a intervalos regulares o basadas en el número de
accesos (se recomienda que las contraseñas para cuentas privilegiadas se
cambien con más frecuencia que la contraseñas normales), y evitar el re uso
o el uso cíclico de viejas contraseñas.
f) Cambien las contraseñas temporarias en el primer ingreso al sistema.
g) No incluyan las contraseñas en procesos automáticos de ingreso, por
ejemplo almacenadas en una función macro o funciones principales.
h) No compartan contraseñas de usuario individual, no usen la misma
contraseña para propósitos de la actividad y extra de la actividad

48
Lección 36
Equipamiento de usuario que se deja desatendido

Se recomienda que se haga consciente a todos los usuarios, de los

requerimientos y procedimientos de seguridad para la protección del equipamiento
desatendido, así como también de sus responsabilidades para la implementación
de tales protecciones. Se recomienda que se dé aviso a los usuarios para que:

a) Finalicen las sesiones activas cuando hayan terminado, a menos que se

puedan asegurar con un adecuado mecanismo de cierre, por ejemplo un
protector de pantalla protegido por contraseña.
b) Se realice el cierre de sesión de computadoras centrales, servidores y
computadoras de escritorio cuando la sesión local está finalizada (por
ejemplo no sólo apagar la pantalla o terminal de la computadora).
c) Se aseguren las computadoras de escritorio o terminales del uso no
autorizado mediante una traba que necesite de una clave o un control
equivalente, por ejemplo contraseña de acceso, cuando no estén en uso.

49
Lección 37

Política de pantalla y escritorio limpio

Se recomienda que la política de pantalla y escritorio limpio tenga en cuenta la
información de los requerimientos legales y contractuales y los correspondientes
riesgos y aspectos culturales de la organización. Se recomienda que se consideren
las directrices siguientes:

a) Se recomienda que la información comercial sensible o crítica, por ejemplo,

en papel o en un medio de almacenamiento electrónico, se almacene bajo
llave (idealmente en una caja fuerte o gabinete u otras formas de mobiliarios
seguros) cuando no se utilice, especialmente cuando la oficina está
desocupada.
b) Se recomienda que se cierre la sesión de las computadoras y las terminales o
que se las proteja con un mecanismo de bloqueo de pantalla y teclado
controlados por una contraseña, dispositivo o mecanismo de autenticación de
usuarios similar cuando se deja desatendida y se recomienda que se protejan
por cerraduras, contraseñas u otros controles cuando no estén en uso.
c) Se recomienda que se protejan los puntos de correo entrante y saliente y los
equipos de fax desatendidos.
d) Se recomienda que se prevenga el uso no autorizado de fotocopiadoras y
otras tecnologías de reproducción (por ejemplo escaners, cámaras digitales).
e) Se recomienda que los documentos que contienen información sensible o
clasificada se retiren de las impresoras inmediatamente.

50
Lección 38

Procedimientos seguros de inicio de sesión (log-on)

Se recomienda que el procedimiento para el inicio de sesión en el sistema

operativo se diseñe para minimizar la oportunidad de acceso no autorizado. Se
recomienda que el procedimiento de inicio de sesión muestre el mínimo de
información acerca del sistema, para evitar proveer a un usuario no autorizado de
cualquier asistencia innecesaria. Para contar con un buen procedimiento de
ingreso, se recomienda que:

a) No muestre en pantalla identificadores de sistema o de aplicación hasta que

el proceso de inicio de sesión haya sido exitosamente completado.
b) Muestre una nota general advirtiendo que se recomienda que la
computadora sólo sea accedida por usuarios autorizados.
c) No provea mensajes de ayuda durante el ingreso al sistema que puedan
ayudar a un usuario no autorizado.
d) Valide la información de inicio solamente cuando se haya completado el
ingreso de todos los datos de entrada. Si aparece una condición de error, se
recomienda que el sistema no indique qué parte de los datos de ingreso es
correcta o incorrecta.

51
Lección 39

Expiración de la sesión

Se recomienda que un recurso de expiración limpie la pantalla de sesión y

también, más tarde, cierre tanto las sesiones de aplicaciones como las sesiones
de red después de un período definido de inactividad. Se recomienda que el lapso
antes de la expiración refleje los riesgos de seguridad del área, la clasificación de
la información que se maneja y las aplicaciones que se usan, y los riesgos
relacionados con los usuarios del equipamiento.

Una forma limitada del recurso de expiración puede ser provista por algunos
sistemas, que limpian la pantalla y previenen accesos no autorizados pero no
cierran las sesiones de aplicaciones o las sesiones de red.

52
Lección 40

Aislamiento de sistemas sensibles

Se recomienda que se consideren los siguientes puntos para el aislamiento de los
sistemas sensibles:

a) Que la sensibilidad de un sistema de aplicación esté claramente identificada

y documentada por el propietario de la aplicación).
b) Que, cuando una aplicación sensible ha de ejecutarse en un ambiente
compartido, el propietario de la aplicación sensible identifique y acepte los
sistemas de aplicación con los cuales ésta compartirá recursos, y el riesgo
correspondiente.

53
Lección 41

Computación y comunicaciones móviles

Cuando se utilizan computación e instalaciones de comunicación móviles, por

ejemplo “notebooks”, “palmtops”, “laptops”, tarjetas inteligentes, y teléfonos
móviles, se recomienda que se tenga especial cuidado en garantizar que no se
comprometa la información de la empresa. Se recomienda que la política de
computación móvil tome en cuenta los riesgos que implica trabajar con
equipamientos informáticos móviles en ambientes no protegidos.

Es conveniente que la política de computación móvil incluya los requerimientos

para la protección física, controles de acceso, técnicas criptográficas, copias de
respaldo, y protección de virus. Se recomienda que la política también incluya las
reglas y avisos acerca de conectar los recursos móviles a redes y guías en lugares
públicos.

Se recomienda que se tome recaudos al utilizar dispositivos informáticos móviles en

lugares públicos, salas de reuniones y otras áreas no protegidas fuera de la sede de
la organización. Es conveniente que se establezca protección para evitar el acceso
no autorizado o divulgación de la información almacenada y procesada por éstos
dispositivos, por ejemplo, mediante técnicas criptográficas.

Es conveniente que los usuarios de los recursos de computación móviles en

lugares públicos tengan cuidado para evitar los riesgos de ser espiados por
personas no autorizadas. Se recomienda que se establezcan procedimientos
contra el código malicioso de software y que se los mantenga actualizados.

Se recomienda que se realicen copias de respaldo de la información crítica en

forma periódica. Es conveniente que el equipamiento esté disponible para permitir
la copia de respaldo de la información rápida y fácilmente. Se recomienda que se
dé protección adecuada a éstas copias de seguridad contra, por ejemplo, hurto, o
pérdida de información.

Es conveniente que se brinde protección adecuada para el uso de dispositivos

móviles conectados a redes. Se recomienda que el acceso remoto a la información
de la empresa a través de redes públicas utilizando dispositivos informáticas
móviles, sólo tenga lugar luego de una identificación y autenticación exitosas, y con
los mecanismos adecuados de control de acceso implementados

Es conveniente que los recursos informáticos móviles también se encuentren

físicamente protegidos en contra de hurto, especialmente cuando son dejados, por

54
ejemplo, en automóviles u otras formas de transporte, habitaciones de hoteles,
centros de conferencia, y lugares de reunión. Se recomienda que se establezca un
procedimiento específico que tenga en cuenta los requerimientos legales, de
seguros y otros requerimientos de seguridad de la organización para casos de
hurto o pérdida de los recursos informáticos móviles. Es conveniente que no se
deje desatendido el equipamiento que transporta información importante de la
actividad, sensible y/o crítica y, cuando resulte posible, se recomienda que esté
físicamente resguardado bajo llave, o que se utilicen cerraduras especiales para
asegurar el equipamiento.

Es conveniente que se brinde entrenamiento al personal que utiliza computación

móvil para incrementar su conocimiento de los riesgos adicionales ocasionados
por esta forma de trabajo y de los controles que se recomienda que implementen.

55
Lección 42

Teletrabajo

Se recomienda que el sitio de teletrabajo tenga protección adecuada contra de,

por ejemplo, el hurto del equipamiento e información, la divulgación no autorizada
de la información, el acceso remoto no autorizado a los sistemas internos de la
organización o uso indebido de las prestaciones. Es conveniente que las
actividades de teletrabajo sean autorizadas y controladas por la gerencia, y que la
alta dirección se asegure que se establezcan acuerdos adecuados para esta
forma de trabajo.

Es conveniente que se consideren los temas siguientes:

a) La seguridad física existente en el sitio de teletrabajo, tomando en cuenta la

seguridad física del edificio y del ambiente local.
b) El ambiente de teletrabajo propuesto.
c) Los requerimientos de seguridad de comunicación, tomando en cuenta la
necesidad de acceso remoto a los sistemas internos de la organización, la
sensibilidad de la información a la que se accederá y que pasará a través del
vínculo de comunicación y la sensibilidad del sistema interno.
d) La amenaza de acceso no autorizado a la información o los recursos por
parte de otras personas que utilizan el lugar, por ejemplo, familiares y
amigos.
e) El uso de redes hogareñas y los requerimientos o las restricciones de la
configuración de los servicios de red inalámbricos.
f) Políticas y procedimientos para prevenir disputas concernientes a los
derechos de propiedad intelectual desarrollada en equipamiento privado.
g) El acceso a equipamiento privado (para verificar la seguridad de la máquina
o durante una investigación), lo que puede estar impedido por la legislación.
h) Acuerdos de licencias de software que están establecidas de tal manera que
las organizaciones pueden volverse responsables de las licencias de
software cliente en las estaciones de trabajo que son propiedad privada de
los empleados, contratistas o usuarios de terceras partes.
i) Requerimientos de protección antivirus y de cortafuegos (“firewall”).

56
57
Capítulo 7

Lección 43

Reporte de los eventos de la seguridad de la información

Es conveniente que se establezca un procedimiento de reporte formal de eventos

de seguridad de la información, junto con un procedimiento de respuesta a
incidentes y escalonamiento, especificando la acción a realizar cuando se reciba
un reporte de un evento de seguridad de la información. Se recomienda que se
establezca un punto de contacto para el reporte de eventos de seguridad de la
información. Es conveniente que se asegure que este punto de contacto se
conozca a través de la organización, que se encuentre siempre disponible y que
tenga la capacidad de brindar soluciones adecuadas y a tiempo.

Se recomienda que todos los empleados, contratistas y usuarios de terceras

partes tengan conciencia de su responsabilidad de reportar cualquier evento de
seguridad de la información tan pronto sea posible. Es conveniente que ellos
tengan conciencia del procedimiento para el reporte de los eventos de seguridad
de la información y del punto de contacto. Se recomienda que los procedimientos
de reporte incluyan:

a) Procedimientos de retroalimentación adecuados para garantizar que se

notifique a aquellas personas que reportan eventos de seguridad de la
información de los resultados después de que el tema haya sido atendido y
cerrado.
b) Formularios de reporte de eventos de seguridad de la información para dar
soporte a la acción reportada, y para ayudar a la persona que reporta, a
recordar todas las acciones necesarias en caso de un evento de la seguridad
de la información.
c) Cuál es el comportamiento correcto en caso de un evento de seguridad de la
información, por ejemplo:
1) tomar nota de todos los detalles importantes (por ejemplo tipo de no
cumplimiento o brecha, mal funcionamiento ocurrente, mensajes en la
pantalla, comportamiento inusual) en forma inmediata.
2) no llevar a cabo ninguna acción en forma propia, sino reportar en forma
inmediata al punto de contacto.

58
 d) Buscar referencias de un proceso formal disciplinario establecido para tratar
con los empleados, contratistas o usuarios de terceras partes que cometan
violaciones de seguridad.

En ambientes de alto riesgo, se proveerá una alarma de coacción por la cual una
persona bajo coacción pueda indicar tales problemas. Se recomienda que los
procedimientos para responder a las alarmas de coacción reflejen las situaciones
de alto riesgo que las alarmas están indicando.

59
Lección 44

Gestión de los incidentes y mejoras de la seguridad de la

información

a) Se recomienda que se establezcan los procedimientos para manejar los

diferentes tipos de incidentes de seguridad de la información, incluyendo:

b) Fallas de los sistemas de información y pérdidas del servicio.

c) código malicioso.

d) Negación de servicio.

e) Errores a causa de datos comerciales incompletos o inexactos.

f) Violaciones de la confidencialidad y de la integridad.

g) Mal uso de los sistemas de información.

h) Además de los planes de contingencia normales se recomienda que los

procedimientos también cubran:

i) Análisis e identificación de la causa del incidente.

j) Contención.

k) Planificación e implementación de la acción correctiva para prevenir la

recurrencia, en caso de ser necesario.

l) Comunicación con las partes afectadas o involucradas con la recuperación

de los incidentes.

m) Reporte, de la acción, a la autoridad apropiada.

n) Se recomienda que se recolecten y aseguren los rastros de auditoría y

evidencias similares, según corresponda, para:

o) Análisis de problemas internos.

o) Uso como prueba forense en relación a la violación potencial de contrato o

requerimiento regulador o en el evento de procedimientos civiles o criminales, por
ejemplo, el mal uso de la computadora o de la legislación de protección de datos.

60
p) Negociación para la compensación de los proveedores de software y
servicios.

q) Se recomienda que se controlen cuidadosa y formalmente las acciones

para la recuperación de las violaciones de seguridad y las fallas al sistema; es
conveniente que los procedimientos garanticen que:

r) Solamente el personal claramente identificado y autorizado tenga permitido

el acceso a los sistemas y a los datos en vivo.

s) Todas las acciones de emergencia llevadas a cabo se documenten en

detalle.

t) Las acciones de emergencia se reporten a la gerencia y se revisen de

forma ordenada.

u) Se confirme la integridad de los sistemas y controles del negocio con el

mínimo retraso.

Es conveniente que los objetivos de la gestión de seguridad de la información se

acuerden con la gerencia, y que se asegure que aquellas personas responsables
por la gestión de incidentes de seguridad de la información comprendan las
prioridades de la organización para el manejo de los incidentes de seguridad de la
información.

61
Lección 45

Recolección de la evidencia

Se recomienda que el peso de la evidencia provista cumpla con los requerimientos

aplicables. Para lograr el peso de la evidencia, se recomienda que la calidad y la
completitud de los controles usados para la correcta y consistente protección de la
evidencia (por ejemplo evidencia de control de procesos) por el período que la
evidencia a ser recuperada se almacenen y procese, se demuestre por un fuerte
rastro de evidencia. En general, tales rastros pueden ser establecidos bajo las
condiciones siguientes:

a) Documentos en papel: el original se guarda en forma segura con un registro de

la persona que encontró el documento, dónde fue encontrado el documento,
cuándo fue encontrado y qué personas presenciaron el descubrimiento; es
conveniente que se asegure mediante una investigación que los originales no
han sido modificados.
b) Información en medios informáticos: se recomienda que las imágenes espejo
o copias (dependiendo de los requerimientos aplicables) de cualquier medio
removible, la información en los discos rígidos o en memoria se guarde para
asegurar su disponibilidad; es conveniente que se mantenga registro de
todas las acciones realizadas durante el proceso de copiado y se testifique el
proceso; se recomienda que se mantengan en forma segura e intacta el
medio original y el registro (si no es posible, al menos una imagen espejo o
una copia).

Se recomienda que los trabajos forenses se realicen sobre copias de la evidencia

material. Es conveniente que se proteja la integridad de toda evidencia material.
Se recomienda que la copia del material de evidencia sea supervisado por
personal confiable y se lleve registro de la información sobre cuándo y dónde fue
ejecutado el proceso de copiado, quien realizó las actividades de copiado y qué
herramientas y programas han sido utilizados.

62
Capítulo 8

Lección 46

Continuidad del negocio y evaluación de los riesgos

Es conveniente que los aspectos de seguridad de la continuidad del negocio estén

basados en la identificación de eventos (o secuencia de eventos) que puedan
causar interrupciones de los procesos comerciales de la organización, por
ejemplo, fallas en el equipamiento, errores humanos, robo, incendio, desastres
naturales y actos de terrorismo. Se recomienda que esto se siga por una
evaluación de los riesgos para determinar la probabilidad y el impacto de tales
interrupciones, en términos de tiempo, escala de daños y período de recuperación.

Es conveniente que la evaluación de los riesgos de la continuidad del negocio se

lleve a cabo con total participación de los propietarios de los recursos y de los
procesos del negocio. Se recomienda que esta evaluación considere todos los
procesos del negocio y no se limite a las instalaciones de procesamiento de la
información, pero incluya los resultados específicos de la seguridad de la
información. Es importante vincular los distintos aspectos de los riesgos en forma
conjunta, para obtener una imagen completa de los requerimientos de la
continuidad de los negocios de la organización. Es conveniente que la evaluación
identifique, cuantifique y otorgue prioridad a los riesgos contra los criterios y
objetivos correspondientes de la organización, incluyendo recursos críticos,
impacto de las interrupciones, tiempos de parada disponible y prioridades de
recuperación.

Dependiendo de los resultados de la evaluación, se recomienda que se desarrolle

una estrategia para la continuidad del negocio para determinar el enfoque global
con el que se abordará la continuidad de los negocios. Una vez que se ha creado
este plan, es conveniente que éste sea aprobado por la gerencia, y se cree y
sustente un plan para implementar esta estrategia.

63
Lección 47

Elaboración e implementación de planes de continuidad que

incluyan la seguridad de la información

Se recomienda que el proceso de planificación de continuidad de los negocios

incluya:

a) Identificación y acuerdo con respecto a todas las responsabilidades y

procedimientos de continuidad de los negocios.
b) Identificación de la pérdida aceptable de información y servicios.
c) Implementación de los procedimientos para permitir la recuperación y
restauración de las operaciones de negocio y disponibilidad de la información
en las escalas de tiempo requeridas; se recomienda que se dedique especial
atención a la evaluación de las dependencias externas e internas de la
actividad y a los contratos vigentes.
d) Procedimientos operacionales para seguir los pasos pendientes para
completar la reconstrucción y la restauración.

64
 e) Documentación de procedimientos y procesos acordados.
f) Apropiada instrucción al grupo de trabajo según los procedimientos y los
procesos acordados, incluyendo la gestión de la crisis.
g) Pruebas y actualizaciones de los planes.

Es conveniente que el proceso de planificación se enfoque en los objetivos de

negocio requeridos, por ejemplo: la restauración de los servicios de comunicación
específicos con los clientes, en un período de tiempo aceptable. Se recomienda
que los servicios y los recursos que facilitan esto se encuentren identificados,
incluyendo el personal, recursos no relacionados con el procesamiento de la
información, así como también los acuerdos de vuelta atrás para las instalaciones
de procesamiento de información. Tales acuerdos de retroceso pueden incluir
acuerdos con terceras partes en la forma de acuerdos recíprocos, o servicios de
suscripción comerciales.

Es conveniente que los planes de continuidad de los negocios atiendan las

vulnerabilidades de la organización y por consiguiente pueden contener información
sensible que necesite ser protegida en forma adecuada. Se recomienda que las
copias de los planes de continuidad de los negocios se almacenen en una ubicación
remota, a suficiente distancia como para escapar de algún daño producido por un
desastre en la sede principal. Es conveniente que la alta dirección asegure que las
copias de los planes de continuidad de los negocios se encuentren actualizadas y
protegidas con el mismo nivel de seguridad que se aplica en el sitio principal. Se
recomienda que todo otro material necesario para ejecutar los planes de
continuidad de los negocios también se almacene en la ubicación remota.

Si se utilizan ubicaciones temporarias alternativas, es conveniente que el nivel de

los controles de seguridad implementado en estas locaciones sea equivalente al
del sitio principal.

65
Lección 48

Marco para la planificación de la continuidad del negocio

Se recomienda que cada plan de continuidad de los negocios describa al enfoque

de la continuidad, por ejemplo: el enfoque para garantizar que la información o los
sistemas de información están disponibles y seguros. Es conveniente también que
cada plan especifique el plan de escalonamiento y las condiciones para su
activación, como también las personas responsables para la ejecución de cada
componente del plan. Cuando se identifican nuevos requerimientos, se
recomienda que cualquier procedimiento de emergencia existente, por ejemplo los
planes de evacuación o los acuerdos de retroceso, se corrijan según corresponda.
Es conveniente que los procedimientos estén incluidos dentro del programa de
gestión de cambios de la organización para garantizar que los temas de
continuidad de los negocios se lleven siempre en forma apropiada.

66
Es conveniente que cada pan tenga un propietario específico. Se recomienda que
los procedimientos de emergencia, los planes de retroceso manual y los planes de
reanudación se encuentren entre las responsabilidades de los propietarios de los
recursos o procesos de negocio pertinentes. Los acuerdos de retroceso para
servicios técnicos alternativos, como instalaciones de comunicaciones o de
procesamiento de la información, normalmente se cuentan entre las
responsabilidades de los proveedores de servicios.

Es conveniente que el marco de planificación de la continuidad de los negocios

alcance los requerimientos de seguridad de la información identificados y tenga en
cuenta lo siguiente:

a) Las condiciones para activar los planes que describen el proceso a seguir
(por ejemplo: cómo evaluar la situación, qué personas estarán involucradas)
antes de ponerlos en marcha.
b) Procedimientos de emergencia que describan las acciones a emprender una
vez ocurrido un incidente que ponga en peligro las operaciones de la
empresa y/o la vida humana.
c) Procedimientos de retroceso que describan las acciones a emprender para el
traslado de actividades esenciales de la empresa o de servicios de apoyo a
ubicaciones transitorias alternativas, y para el restablecimiento de los
procesos de negocio en los plazos requeridos.
d) Procedimientos operacionales temporarios para seguir la finalización de la
reconstrucción y la restauración.
e) Procedimientos de reanudación que describan las acciones a emprender
para restablecer las operaciones normales de la empresa.
f) Un cronograma de mantenimiento que especifique cómo y cuándo será
probado el plan, y el proceso para el mantenimiento de éste.
g) Actividades de educación e instrucción que estén diseñadas para crear el
entendimiento de los procesos de continuidad del negocio y garantizar que
los procesos sigan siendo efectivos.
h) Las responsabilidades de las personas que describen quién es el responsable
de la ejecución de cada componente del plan. Se recomienda que se
mencionen alternativas cuando corresponda.

67
i) Los activos y los recursos críticos que se necesitan para ejecutar los
procedimientos de emergencia, de fallas y de reanudación.

68
Lección 49

Pruebas, mantenimiento y reevaluación de los planes de

continuidad del negocio

Es conveniente que las pruebas de los planes de continuidad del negocio

garanticen que todos los miembros del equipo de recuperación estén conscientes
de los planes y de sus responsabilidades para la continuidad de los negocios y la
seguridad de la información y conozcan sus roles cuando se invoque un plan.

Se recomienda que el cronograma de pruebas para los planes de continuidad del

negocio indiquen cómo y cuándo es conveniente que se pruebe cada elemento del
plan. Se recomienda probar con frecuencia cada uno de los componentes del plan.

Es conveniente que se utilicen diversas técnicas para garantizar que los planes
funcionarán en la vida real. Se recomienda que éstas incluyan:

69
 a) Pruebas de discusión de varios escenarios (discutiendo medidas para la
recuperación del negocio utilizando ejemplos de interrupciones).
b) Simulaciones (especialmente para entrenar al personal en el desempeño de
sus roles de gestión posterior a incidentes o crisis).
c) Pruebas de recuperación técnica (garantizando que los sistemas de
información puedan ser efectivamente restablecidos).
d) Pruebas de recuperación en un sitio alternativo (ejecutando procesos de
negocios en paralelo con operaciones de recuperación fuera del sitio
principal).
e) Pruebas de instalaciones y servicios de proveedores (garantizando que los
productos y servicios provistos externamente cumplan con el compromiso
contraído).
f) Ensayos completos (que prueben que la organización, el personal, el
equipamiento, las instalaciones y los procesos pueden afrontar las
interrupciones).

Estas técnicas pueden ser utilizadas por cualquier organización. Se recomienda

que se apliquen de forma que se correspondan con el plan de recuperación
específico. Es conveniente que se lleve registro de los resultados de las pruebas y
que se lleven a cabo acciones para mejorar los planes, cuando sea necesario.

70
Capítulo 9

Lección 50

Identificación de la legislación aplicable

Se recomienda que todos los requerimientos legales y contractuales pertinentes,

así como el enfoque de la organización para cumplir con estos requerimientos,
estén definidos y documentados y se mantengan actualizados para cada sistema
de información y para la organización.

Es conveniente que los controles específicos y las responsabilidades individuales

para cumplir con estos requerimientos estén definidos y documentados en forma
similar.

Lección 51

Derechos de propiedad intelectual (DPI)

Se recomienda que para proteger cualquier material que pueda considerarse
como propiedad intelectual, se consideren las directrices siguientes:

a) Publicación de una política de cumplimiento del derecho de propiedad

intelectual que defina el uso legal de productos de información y software.

71
b) Compra de software solamente a través de fuentes conocidas y con
reputación, para garantizar que no se viole el derecho de propiedad
intelectual (“copyright”).
c) Mantenimiento de la educación respecto de las políticas para la protección de
los derechos de propiedad intelectual y notificación de la determinación de
tomar acciones disciplinarias contra el personal que incurra en el
incumplimiento de ellas.
d) Mantenimiento de adecuados de registros de activos, e identificación de
todos los activos con requerimientos de protección de los derechos de
propiedad intelectual.
e) Mantenimiento de prueba y evidencia de la propiedad de las licencias, discos
maestros, manuales, etc...
f) Implementación de controles para garantizar que no se exceda el máximo
número de usuarios permitidos.
g) Realización de verificaciones de que se instalen solamente software y
licencias de productos autorizados.
h) Establecimiento de una política para el mantenimiento de las condiciones
apropiadas de la licencia.
i) Establecimiento de una política para la disposición o transferencia de
software a otros.
j) Utilización de herramientas de auditoria apropiadas.
k) Cumplimiento de los términos y condiciones con respecto al software e
información obtenidos de redes públicas.
l) Impedir duplicaciones o conversiones a otro formato o extracción de
grabados comerciales (películas, audio) u otros que no estén permitidos por
derechos de copiado.
m) Impedir la copia total o parcial de libros, artículos, reportes, u otros
documentos, más que los permitidos por los derechos de copiado.

72
Lección 52

Protección de los datos y privacidad de la información personal

Se recomienda que los registros se clasifiquen en diferentes tipos, por ejemplo,

registros contables, registros de base de datos, registros de transacciones,
registros de auditoria y procedimientos operativos, cada uno de ellos detallando
los períodos de retención y el tipo de medios de almacenamiento, por ejemplo:
papel, microfichas, medios magnéticos u ópticos. Se recomienda que cualquier
material de clave criptográfica asociadas con archivos cifrados o firmas digitales
se guarde también para permitir el descifrado de los registros durante el tiempo
que se mantengan los registros.

Se recomienda que se considerar la posibilidad de deterioro de los medios

utilizados para el almacenamiento de los registros. Se recomienda que los
procedimientos de almacenamiento y manipulación se implementen de acuerdo
con las recomendaciones del fabricante. Para el almacenamiento a largo plazo, es
conveniente que se considere el uso de papel y microfichas.

73
Cuando se seleccionen medios de almacenamiento electrónicos, se recomienda
que se incluyan procedimientos para garantizar la capacidad de acceso a los
datos (tanto legibilidad de formato como del medio) durante todo el período de
retención, a fin de salvaguardarlos contra eventuales pérdidas ocasionadas por
futuros cambios tecnológicos.

Se recomienda que se seleccionen los sistemas de almacenamiento de datos de

modo tal que los datos requeridos se recuperen en un marco de tiempo y formato
aceptable, dependiendo de los requerimientos que se deben cumplir.

Es conveniente que el sistema de almacenamiento y manipulación garantice una

clara identificación de los registros y de su período de retención definido por leyes
o normas nacionales o regionales, si es aplicable. Se recomienda que este
sistema permita una adecuada destrucción de los registros una vez transcurrido
dicho período, si ya no resultan necesarios para la organización.

A fin cumplir con estas obligaciones, es conveniente que dentro de la organización

se consideren los pasos siguientes:

a) Que se emitan directrices para la retención, almacenamiento, manipulación y

eliminación de registros e información.
b) Que se prepare un cronograma de retención, identificando los registros, y el
período durante el cual deben ser retenidos.
c) Que se mantenga un inventario de fuentes de información clave.
d) Que se implementen controles adecuados para proteger los registros y la
información contra pérdida, destrucción y falsificación.

74
Lección 53

Cumplimiento con las políticas y normas de seguridad, y el

cumplimiento técnico

Se recomienda que se desarrolle e implemente una política de protección y

privacidad de los datos organizacionales. Es conveniente que esta política se
comunique a todas las personas involucradas en el procesamiento de la
información personal.

El cumplimiento con esta política y con todas las leyes y regulaciones de

protección de los datos correspondientes requieren una estructura y control de
gestión apropiados. Con frecuencia esto se logra con el compromiso de una
persona responsable, tal como un oficial de protección de los datos, quien
proveerá las directrices a los gerentes, usuarios, y proveedores de servicios
acerca de sus responsabilidades individuales y los procedimientos específicos que
se recomienda que se lleven a cabo. Es conveniente que la responsabilidad para
el manejo de la información personal y el aseguramiento de la concientización
sobre los principios de la protección de los datos se manejen en concordancia con
las regulaciones y leyes correspondientes. Se recomienda que se implementen las
medidas técnicas y organizacionales apropiadas para proteger la información
personal.

Varios países han introducido leyes que dan lugar a controles acerca de la
recolección, procesamiento y transmisión de datos personales (generalmente
información de personas vivas quienes pueden ser identificados a través de
dicha información). Dependiendo de las leyes nacionales respectivas, tales
controles pueden imponer obligaciones en aquellas personas que recolectan,
procesan, y diseminan información personal, y pueden restringir la capacidad
de transferir esos datos a otros países.

75
76