ISO 27002

A5- POLÍTICA DE SEGURIDAD

Proporcionar desde la Dirección orientación y apoyo para la Seguridad de la
Información, de acuerdo con los requisitos de negocio y las regulaciones legales en
vigor

5.1 POLÍTICA DE SEGURIDAD DE INFORMACIÓN

A5.1.1. Documento de Política de Seguridad aprobado y comunicado
A5.1.2. Revisión periódica de la Política de Seguridad o con cambios
significativos

A6- ORGANIZACIÓN DE LA SEGURIDAD

Establecimiento de las responsabilidades necesarias en la organización para la correcta
gestión de la Seguridad de la Información

6.1 ORGANIZACIÓN INTERNA PARA LA SEGURIDAD

6.1.1. Roles y Responsabilidades en Seguridad de la Información, definidas y

asignadas
6.1.2. Segregación de Responsabilidades, para evitar modificaciones no
autorizadas
6.1.3. Contacto con las Autoridades
6.1.4. Contacto con Grupos de Interés, expertos externos y asociaciones
profesionales
6.1.5. Seguridad de la Información en Proyectos, en todo tipo de proyectos

6.2. MOVILIDAD Y TELETRABAJO

6.2.1. Securización de dispositivos móviles, política de uso de dispositivos

móviles
6.2.2. Teletrabajo, ídem para equipos donde se realice

A7- SEGURIDAD DE LOS RECURSOS HUMANOS

Gestión de los riesgos en personas que manejan la información

7.1. SEGURIDAD ANTES Y DURANTE LA INCORPORACIÓN DE PERSONAL

 7.1.1. Investigación de antecedentes, veracidad e idoneidad
7.1.2. Términos y condiciones en el contrato laboral

7.2. SEGURIDAD MIENTRAS SE ES PARTE DE LA ORGANIZACIÓN

7.2.1. Responsabilidades de gestión, la Dirección obligará a empleados y

contratistas
7.2.2. Concienciación y formación en seguridad, empleados y contratistas
7.2.3. Régimen disciplinario, que habrá sido comunicado a empleados

7.3. PROTECCIÓN DE LOS INTERESES DE LA ORGANIZACIÓN AL CONCLUIRLA RELACIÓN

LABORAL CON LA ORGANIZACIÓN
7.3.1. Procedimiento ante cambio de puesto o por finalización del empleo
A8- GESTIÓN DE ACTIVOS
Identificación completa de los activos: De Información (primarios) y de soporte
8.1. RESPONSABILIDADES SOBRE LOS ACTIVOS

8.1.1. Inventariado de activos, nº serie, titular,

8.1.2. Propiedad sobre los activos, quien se responsabiliza del activo
8.1.3. Reglas de uso aceptable de los activos
8.1.4. Devolución de Activos, procedimiento

8.2. CLASIFICACIÓN DE LA INFORMACIÓN

8.2.1. Clasificación de la Información, por criticidad, requisitos legales, valor ..

8.2.2. Etiquetado y manejo de la Información
8.2.3. Manejo de Activos de acuerdo a su clasificación

8.3. MANIPULADO DE SOPORTES CON INFORMACIÓN CLASIFICADA

8.3.1. Gestión de Soportes Removibles, cada vez eliminar uso de USB si no

cifrados
8.3.2. Borrado seguro de medios, después de 7 veces ..
8.3.3. Transporte de Soportes Físicos, fuera de la organización cifrar

A9- CONTROL DE ACCESOS

Asegurar que la información esta accesible solo por quien está autorizado.

9.1. NECESIDADES DEL NEGOCIO EN CONTROL DE ACCESO

9.1.1. Normativas de Control de Acceso, información, BB.DD., locales, ..

9.1.2. Acceso a la Red y a servicios en Red, únicamente a usuarios autorizados
9.2. GESTIÓN DE ACCESOS POR LOS USUARIOS
9.2.1. Provisión de Usuarios
9.2.2. Provisión de permisos para los usuarios
9.2.3. Gestión Corporativa Accesos Privilegiados (root)
9.2.4. Gestión Corporativa Credenciales (contraseñas, etc)
9.2.5. Revisión de Permisos aplicados, por cambio de puesto o por baja
9.2.6 Eliminación / ajuste de Permisos aplicados, ídem

9.3. RESPONSABILIDADES DE LOS USUARIOS

9.3.1. Uso de Credenciales por el usuario

9.4. MEDIDAS DE CONTROL DE ACCESO A SISTEMAS Y APLICACIONES

9.4.1. Control de Acceso a la Información en los SS.II / aplicativos: profiling

9.4.2. Log-on Seguro
9.4.3. Sistema de Gestión de Contraseñas
9.4.4. Securización de Consolas de Administración
9.4.5. Protección del código fuente de aplicaciones

A10- CRIPTOGRAFÍA
Empleo del cifrado para proteger la confidencialidad (e integridad) de la información.

10.1. CONTROLES CRIPTOGRÁFICOS

10.1.1. Normativa de uso de controles criptográficos, que info se cifra y cual no
10.1.2. Gestión de claves: procedimiento + aplicación gestión de claves

A11- SEGURIDAD FÍSICA Y DEL ENTORNO

Prevenir acceso físico no autorizado

11.1. ÁREAS DE SEGURIDAD

11.1.1. Perímetro de Seguridad Físico

11.1.2. Puntos de control de acceso físico, registrar fecha y hora de todos
11.1.3. Securización de oficinas e instalaciones, con cerradura
11.1.4. Protección ante amenazas externas o ambientales: incendios,
huracanes, terremotos, o provocados por el hombre
11.1.5. Trabajo dentro del área segura
11.1.6. Áreas de carga y descarga, aislar ese punto de los de tratamiento de info

11.2. SEGURIDAD DE LOS EQUIPOS

11.2.1. Ubicación física y protección física de estos activos.

11.2.2. Instalaciones de suministro: SAI para servidores al menos, …
 11.2.3. Seguridad del cableado
11.2.4. Mantenimiento de los equipos y equipamientos
11.2.5 Extracción de los equipos de las instalaciones
11.2.6. Seguridad de equipos fuera de las instalaciones
11.2.7. Reutilización o retirada de explotación de equipos.
11.2.8. Equipos de usuario no vigilados: salvapantallas de bloqueo
11.2.9 Política de puesto de trabajo despejado y pantallas limpias

A12- SEGURIDAD DE LAS OPERACIONES

Seguridad en la operación diaria de SS.II.
Tareas de seguridad en el día a día “Departamento de Sistemas”

12.1. PROCEDIMIENTOS Y RESPONSABILIDADES OPERACIONALES.

12.1.1. Documentación de procedimientos operacionales: documentación en

servidores ya que todos los días se hace copia de seguridad del servidor
12.1.2. Gestión de Cambios, problemas con cambios en los Sist Operativos..
12.1.3. Gestión de Capacidad
12.1.4. Segregación de entornos: separar desarrollo, prueba y operación

12.2. PROTECCIÓN CONTRA EL MALWARE

12.2.1 Control ante código malware.

12.3. BACKUP. COPIA DE SEGURIDAD

12.3.1. Backup de la Información. Plan de Copias. Política/objetivos de Copia.

12.4. REGISTROS Y MONITORIZACIÓN

12.4.1. Generación de logs de actividad. Auditarlos.

12.4.2 Protección de los logs.
12.4.3. Logs específicos de actividades de administradores
12.4.4. Sincronización de relojes: para registros en auditorías

12.5. ASEGURIDAD
12.5.1. Instalación de Software en SS.II. en explotación

12.6. GESTIÓN DE LAS VULNERABILIDADES TÉCNICAS

12.6.1. Control de las vulnerabilidades técnicas: actualizaciones de fabricantes

12.6.2. Control del SW instalado: Reglas de instalación de SW por usuarios

12.7. CONSIDERACIONES SOBRE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN

12.7.1. Controles de auditoría de SS.II.: planificar las auditorías para no parar el
servicio o saturar los sistemas
A13- SEGURIDAD EN COMUNICACIONES
Seguridad en el diseño de Redes de Comunicaciones y en su Operación.

13.1. GESTIÓN DE LA SEGURIDAD DE LA RED

13.1.1 Controles de seguridad en red. Segmentación de redes, cortafuegos,

vpns,…
13.1.2. Seguridad de los servicios a través de la red. Inclusión de características
de seguridad en los servicios que se prestan en red.
13.1.3 Segregación de Redes.

13.2. INTERCAMBIO DE INFORMACIÓN

13.2.1. Normativas y Procedimientos de intercambio de información

13.2.2 Acuerdos de intercambio de información.
13.2.3. Mensajería electrónica.
13.2.4. Acuerdos de Confidencialidad/ Non-Disclosure

A14- DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Desarrollo Seguro de Aplicaciones: Normativas, herramientas

14.1. REQUISITOS DE SEGURIDAD DE LOS SS.II.

14.1.1. Análisis y Especificación de Requisitos de Seguridad de los Sistemas de

Información
14.1.2. Seguridad de aplicaciones en redes públicas
14.1.3. Protegerla información usada en transacciones

14.2. DESARROLLO Y SOPORTE DE APLICACIONES SEGURAS

14.2.1. Normativa de Desarrollo Seguro: Principios diseño
14.2.2. Procedimientos de Control de Cambios en los SS.II.
14.2.3. Revisión y Testing de Aplicaciones en Explotación
14.2.4. Restricción en cambios en paquetes SW instalados
14.2.5. Metodología de Desarrollo Seguro: Fases
14.2.6. Ecosistema de Desarrollo Seguro: Herramientas
14.2.7. Externalización del Desarrollo
14.2.8. Testeo de Seguridad durante el desarrollo
14.2.9. Testeos de Seguridad durante la validación

14.3. PROTECCIÓN DE LOS DATOS DE PRUEBA

14.3.1. Protección de los Datos de Prueba

A15- RELACIONES CON PROVEEDORES

El proveedor como punto de entrada a la organización

15.1. SEGURIDAD DE LA INFORMACIÓN EN RELACIÓN CON PROVEEDORES

 15.1.1. Normativa de Seguridad de la Información en relaciones con
proveedores
15.1.2. Inclusión de requisitos de seguridad en acuerdos con terceros
15.1.3 Suministradores de servicios TIC

15.2. MONITORIZACIÓN Y REVISIÓN DE PROVEEDORES DE SERVICIOS

15.2.1. Monitorización/Revisión de Proveedores de Servicios

15.2.2. Gestión de Cambios en el servicio del Proveedor

A16- GESTIÓN DE INCIDENCIAS

Gestión de incidencias. Detección y respuesta a las mismas, acciones correctivas,
aprender de las incidencias.

16.1. REPORTE DE LOS INCIDENTES QUE SE DETECTEN

16.1.1. Responsabilidades y Procedimientos

16.1.2. Reporte de Eventos de Seguridad
16.1.3. Reporte de Debilidades de Seguridad
16.1.4. Evaluación de Incidentes. Toma de Decisiones.
16.1.5. Respuesta a Incidentes
16.1.6. Aprendiendo de incidentes.
16.1.7. Recolección de Evidencias.

A17- CONTINUIDAD DE NEGOCIO

La Seguridad de la Información está integrada en las estrategias globales de
Continuidad de Negocio

17.1. CONTINUIDAD DE NEGOCIO DE LA SEGURIDAD DE LA INFORMACIÓN

17.1.1. Planificación de la Continuidad de la Seguridad de la Información.

17.1.2. Implantar la Continuidad de la Seguridad de la Información
17.1.3. Verificación, revisión y evaluación de la Continuidad

17.2. REDUNDANCIAS/ DUPLICIDADES

17.2.1. Disponibilidad de SS.II. en continuidad.

A18- CUMPLIMIENTO LEGAL Y CONTRACTUAL

Medidas para asegurar el cumplimiento legal, contractual, con estándares, y que dicho
cumplimiento se verifica.

18.1. CUMPLIMIENTO LEGAL Y CONTRACTUAL / COMPLIANCE

18.1.1. Identificación de requisitos legales y contractuales

18.1.2. Protección de la Propiedad Intelectual
18.1.3. Protección de los registros de la organización
 18.1.4. Privacidad. Protección de Datos Personales
18.1.5. Regulación de controles criptográficos. Export

18.2. CONSIDERACIONES SOBRE LAS AUDITORÍAS INTERNAS

Asegurar QUE la seguridad se implemente y se opera tal como la organización ha
establecido.

18.2.1. Revisión de Seguridad Independiente.

18.2.2. Cumplimiento de las políticas y estándares
18.2.3. Verificaciones técnicas de cumplimiento.