9 control de acceso

9.1 Requisitos de la empresa para el control de acceso

Objetivo: limitar el acceso a la información y a las instalaciones de procesamiento de la información.
9.1.1 Política de control de acceso

Control
Una política de control de acceso debería estar establecida, documentada y revisada basada en
requisitos del negocio y de seguridad de la información.

9.1.2 Acceso a redes y servicios de red.

Control
Los usuarios deberían tener acceso solamente a la red y a servicios de red que hayan sido
específicamente autorizados a usar.

9.2. Gestión de acceso de usuario

Objetivo: asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas y
servicios.

9.2.1 Registro y baja de usuarios

Control
Un proceso formal de registro y baja de usuarios debería estar implementado para permitir la asignación
de derechos de acceso.

9.2.2 Aprovisionamiento de acceso a usuario

Control
Un proceso formal de aprovisionamiento de acceso a usuarios debería ser implementado para asignar o
revocar los derechos de acceso para todos los tipos de usuarios a todos los sistemas y servicios.

9.2.3 Gestión de derechos de acceso privilegiados

Control

La asignación y uso de derechos de acceso privilegiado debería estar restringida y controlada.

9.2.4 Gestión de información de autentificación secreta de usuarios

Control

La asignación de información de autentificación secreta debería ser controlada a través de un proceso

de gestión formal.

9.2.5 Revisión de derechos de acceso de usuarios

Control
Los propietarios de los activos deberían revisar los derechos de acceso de usuario a intervalos regulares.

9.2.6 Retiro o ajuste de derechos de acceso

Control

Los derechos de acceso a información e instalaciones de procesamientos de información de todos los

empleados y de los usuarios de partes externas deberían retirarse al término de su empleo, contrato o
acuerdo, o ajustarse según el cambio.

9.3 Responsabilidades de los usuarios

Objetivo: hacer que los usuarios respondan por la salvaguarda de su información de autentificación.

9.3.1 Uso de información de autentificación secreta

Control

Los usuarios deberían ser exigidos a que sigan las prácticas de la organización en el uso de información
de autentificación secreta.

9.4. Control de acceso al sistema y aplicación

Objetivo: prevenir el acceso no autorizado a los sistemas y aplicaciones.

9.4.1 Restricción de acceso a la información

Control

El acceso a la información y a las funciones del sistema de aplicación debería ser restringido en
concordancia con la política de control de acceso.

9.4.2 Procedimientos de ingreso seguro

Control

Donde la política de control de acceso lo requiera, el acceso a los sistemas y a las aplicaciones debería
ser controlado por un procedimiento de ingreso seguro.

9.4.3 Sistema de gestión de contraseñas

Control

Los sistemas de gestión de contraseñas deberían ser interactivos y asegurar que las contraseñas sean de
calidad.

9.4.4 Uso de programas utilitarios privilegiados

Control

El uso de programas utilitarios que podrían ser capaces de pasar por alto los controles del sistema y de
las aplicaciones debería estar restringido y controlarse estrictamente.

9.4.5 Control de acceso al código fuente de los programas

Control

El acceso al código fuente de los programas debería estar restringido.

10 Criptografía

10.1 Controles criptográficos

Objetivo: asegurar el uso apropiado y efectivo de la criptografía para proteger la confidencialidad,

autenticidad y/o integridad de la información.

10.1.1 Política sobre el uso de controles criptográficos

Control

Una política sobre el uso de controles criptográficos para la protección de la información debería ser
desarrollada e implementada.

10.1.2 Gestión de claves

Control

Una política sobre el uso, protección y tiempo de vida de las claves criptográficas debería ser
desarrollada e implementada a través de todo su ciclo de vida.

11 Seguridad física y del entorno

11.1 Áreas seguras

Objetivo: impedir el acceso físico no autorizado, daño e interferencia de la información y a las

instalaciones de procesamiento de la información de la organización.
11.1.1 Perímetro de seguridad física

Control

Los perímetros de seguridad deberían estar definidos y utilizados para proteger áreas que contienen
información sensible o crítica e instalaciones de procesamiento de la información.

11.1.2 Controles de ingreso físico

Control

Las áreas seguras deberían estar protegidas por medio de controles apropiados de ingreso para
asegurar que se le permite el acceso sólo al personal autorizado.

11.1.3 Asegurar oficinas, áreas e instalaciones

Control

La seguridad física para oficinas, áreas e instalaciones debería ser diseñada e implementada.

11.1.4 Protección contra amenazas externas y ambientales

Control

La protección física contra desastres naturales, ataque malicioso o accidentes debería estar diseñada y
aplicada.

11.1.5 Trabajo en áreas seguras

Control

Los procedimientos para el trabajo en áreas seguras deberían estar diseñados y aplicados.

11.1.6 Áreas de despacho y carga

Control

Los puntos de acceso, como las áreas de despacho, carga y otros puntos en donde personas no
autorizadas pueden ingresar al local deberían estar controlados y si fuera posible, aislarlos de las
instalaciones de procesamiento de la información para evitar el acceso no autorizado.

11.2 Equipos

Objetivo: prevenir la pérdida, daño, robo o compromiso de activos e interrupción de las operaciones de
la organización.

11.2.1 Ubicación y protección de los equipos

Control

Los equipos deberían estar ubicados y protegidos para reducir los riesgos de amenazas y peligros
ambientales, así como las oportunidades para el acceso no autorizado.

11.2.2 Servicios de suministro

Control

Los equipos deberían estar protegidos contra fallas de electricidad y otras alteraciones causadas por
fallas en los servicios de suministro.
11.2.3 Seguridad del cableado

Control

El cableado de energía y telecomunicaciones que llevan datos o servicios de información de soporte

debería ser protegido de la interceptación, interferencia o daño.

11.2.4 Mantenimiento de equipos

Control

Los equipos deberían mantenerse de manera correcta para asegurar su continua disponibilidad e
integridad.

11.2.5 Retiro de activos

Control

Los equipos, la información o el software no deberían ser retirados de su lugar sin autorización previa.

11.2.6 Seguridad de equipos y activos fuera de las instalaciones

Control

La seguridad debería ser aplicada a los activos que están fuera de su lugar tomando en cuenta los
distintos riesgos de trabajar fuera de las instalaciones de la organización.

11.2.7 Disposición o reutilización segura de equipos

Control

Todos los elementos del equipo que contengan medios de almacenamiento deberían ser verificados
para asegurar que cualquier dato sensible y software con licencia se haya eliminado o se haya sobre
escrito de manera segura antes de su disposición o reutilización.

11.2.8 Equipos de usuario desatendidos

Control

Los usuarios deberían asegurarse de que el equipo desatendido tenga la protección apropiada.

11.2.9 Política de escritorio limpio y pantalla limpia

Control

Una política de escritorio limpio de papeles y de medios de almacenamiento removibles, así como una
política de pantalla limpia para las instalaciones de procesamientos de la información debería ser
adoptada.
12 Seguridad de las operaciones

12.1 Procedimientos y responsabilidades operativas

Objetivo: asegurar que las operaciones de instalaciones de procesamiento de la información sean

correctas y seguras.

12.1.1 Procedimientos operativos documentados

Control

Los procedimientos operativos deberían estar documentados y puestos a disposición de todos los
usuarios que los necesitan.

12.1.2 Gestión del cambio

Control

Los cambios en la organización, procesos de negocio, instalaciones de procesamiento de la información

y sistemas que afecten la seguridad de la información deberían ser controlados.

12.1.3 Gestión de la capacidad

Control

El uso de recursos debería ser monitoreado, afinado y se debería hacer proyecciones de los futuros
requisitos de capacidad para asegurar el desempeño requerido del sistema.

12.1.4 Separación de los entornos de desarrollo, pruebas y operaciones

Control

Los entornos de desarrollo, pruebas y operaciones deberían estar separados para reducir los riesgos de
acceso no autorizado o cambios al entorno operativo.

12.2 Protección contra software malicioso (malware)

Objetivo: asegurar que la información y las instalaciones de procesamiento de la información estén

protegidas contra el software malicioso (malware).

12.2.1 Controles contra software malicioso (malware)

Control

Controles de detección, prevención y recuperación para proteger contra el software malicioso deberían
estar implementados, en combinación con una concientización apropiada de los usuarios.

12.3 Respaldo
Objetivo: proteger contra la pérdida de datos

12.3.1 Respaldo de la información

Control

Copias de respaldo de la información, del software y de las imágenes del sistema deberían ser realizadas
y verificadas regularmente en concordancia con una política de respaldo acordada.

12.4 Registros y monitoreo

Objetivo: registrar eventos y generar evidencia

12.4.1 Registro de eventos

Control

Registros (logs) de eventos de actividades de usuarios, excepciones, fallas y eventos de seguridad de la

información deberían ser producidos, mantenidos y regularmente revisados.

12.4.2 Protección de información de registros.

Control

Las instalaciones para registros (logs) y la información de los registros (logs) deberían estar protegidas
contra la adulteración y el acceso no autorizado.

12.4.3 Registros del administrador y del operador

Control

Las actividades del administrador del sistema y del operador del sistema deberían ser registradas y los
registros (logs) deberían estar protegidos y revisados regularmente.
12.4.4 Sincronización de reloj

Control

Los relojes de todos los sistemas de procesamiento de la información relevantes dentro de una
organización o dominio de seguridad deberían estar sincronizados a una fuente de tiempo de referencia
única.

12.5 Control del software operacional

Objetivo: asegurar la integridad de los sistemas operacionales

12.5.1 Instalación de software en sistemas operacionales

Control

Se deberían implementar procedimientos para controlar la instalación de software en sistemas

operacionales.

12.6 Gestión de vulnerabilidad técnica

Objetivo: prevenir la explotación de vulnerabilidades técnicas

12.6.1 Gestión de vulnerabilidades técnicas

Control

Información sobre vulnerabilidades técnicas de los sistemas de información utilizados debería ser
obtenida de manera oportuna, la exposición de la organización a dichas vulnerabilidades debería ser
evaluada y las medidas apropiadas deberían ser tomadas para resolver el riesgo asociado.

12.6.2 Restricciones sobre la instalación de software

Control

Reglas que gobiernen la instalación de software por parte de los usuarios deberían ser establecidas e
implementadas.

12.7 Consideraciones para la auditoría de los sistemas de información

Objetivo: minimizar el impacto de las actividades de auditoría en los sistemas operacionales.

12.7.1 Controles de auditoría de sistemas de información

Control

Requisitos de las auditorías y las actividades que involucran la verificación de sistemas operacionales
deberían ser cuidadosamente planificados y acordados para minimizar la interrupción a los procesos del
negocio.

13 Seguridad de las comunicaciones

13.1 Gestión de seguridad de la red

Objetivo: asegurar la protección de la información en las redes y sus instalaciones de procesamiento de

la información de apoyo.

13.1.1 Controles de la red

Control
Las redes deberían ser gestionadas y controladas para proteger la información en los sistemas y las
aplicaciones.
13.1.2 Seguridad de servicios de red

Control

Mecanismos de seguridad, niveles de servicio y requisitos de gestión de todos los servicios de red
deberían ser identificados e incluidos en acuerdos de servicios de red, ya sea que estos servicios se
provean internamente o sean tercerizados.

13.1.3 Segregación en redes

Control

Grupos de servicios de información, usuarios y sistemas de información deberían estar segregados en

redes.

13.2 Transferencia de información

Objetivo: mantener la seguridad de la información transferida dentro de una organización y con

cualquier entidad externa.

13.2.1 políticas y procedimientos de transferencia de la información

Control

Políticas, procedimientos y controles de transferencia formales deberían aplicarse para proteger la

transferencia de información a través del uso de todo tipo de instalaciones de comunicación.

13.2.2 Acuerdo sobre transferencia de información

Control

Los acuerdos deberían dirigir la transferencia segura de información del negocio entre la organización y
partes externas.
13.2.3 Mensajes electrónicos

Control

La información involucrada en mensajería electrónica debería estar protegida apropiadamente.

13.2.4 Acuerdos de confidencialidad o no divulgación

Control

Requisitos para los acuerdos de confidencialidad o no divulgación que reflejan las necesidades de la
organización para la protección de la información deberían estar identificados, revisados regularmente y
documentados.

14 Adquisición, desarrollo y mantenimiento de sistemas

14.1 Requisitos de seguridad de los sistemas de información

Objetivo: garantizar que la seguridad de la información es una parte integral de los sistemas de
información a través del ciclo de vida completo. Esto también incluye los requisitos para sistemas de
información que proporcionen servicios sobre redes públicas.

14.1.1 Análisis y especificación de requisitos de seguridad de la información

Control

Requisitos relacionados a la seguridad de la información deberían ser incluidos dentro de los requisitos
para nuevos sistemas de información o mejoras a los sistemas de información existentes.

14.1.2 Aseguramiento de servicios de aplicaciones sobre redes públicas

Control

La información involucrada en servicios de aplicaciones que pasa sobre redes públicas debería estar
protegida de actividad fraudulenta, disputa de contratos o divulgación no autorizada y modificación.

14.1.3 Protección de transacciones en servicios de aplicación

Control

La información involucrada en las transacciones de servicios de aplicación debería estar protegida para
prevenir transmisión incompleta, ruteo incorrecto, alteración no autorizada de mensajes, divulgación no
autorizada, duplicación o respuesta no autorizada de mensajes.

14.2 Seguridad en los procesos de desarrollo y soporte

Objetivo: garantizar que la seguridad de la información esté diseñada e implementada dentro del ciclo
de vida de desarrollo de los sistemas de información.

14.2.1 Política de desarrollo seguro

Control

Reglas para el desarrollo de software y sistemas deberían estar establecidas y aplicadas a desarrollos
dentro de la organización.

14.2.2 Procedimientos de control de cambio del sistema

Control

Cambios a los sistemas dentro del ciclo de vida del desarrollo deberían estar controlados por medio del
uso de procedimientos formales de control de cambios.
14.2.3 Revisión técnica de aplicaciones después de cambios a la plataforma operativa

Control

Cuando se cambian las plataformas operativas, las aplicaciones críticas para el negocio deberían ser
revisadas y probadas para asegurar que no haya impacto adverso en las operaciones o en la seguridad
de la organización.

14.2.4 Restricciones sobre cambios a los paquetes de software

Control

Modificaciones a los paquetes de software deberían ser disuadidas, limitadas a los cambios necesarios y
todos los cambios deberían ser estrictamente controlados.

14.2.5 Principios de ingeniería de sistemas seguros

Control

Principios para la ingeniería de sistemas seguros deberían ser establecidos, documentados, mantenidos
y aplicados a cualquier esfuerzo de implementación de sistemas de información.

14.2.6 Ambiente de desarrollo seguro

Control

Las organizaciones deberían establecer y proteger apropiadamente los ambientes de desarrollo seguros
para los esfuerzos de desarrollo e integración de sistemas que cubren todo el ciclo de vida del desarrollo
del sistema.

14.2.7 Desarrollo contratado externamente

Control
La organización debería supervisar y monitorear la actividad de desarrollo de sistemas contratado
externamente.

14.2.8 Pruebas de seguridad del sistema

Control

Pruebas de funcionalidad de la seguridad deberían ser llevadas a cabo durante el desarrollo.

14.2.9 Pruebas de aceptación del sistema

Control
Programas de pruebas de aceptación y criterios relacionados deberían ser establecidos para nuevos
sistemas de información, actualizaciones y nuevas versiones.
14.3 Datos de prueba

Objetivo: asegurar la protección de datos utilizados para las pruebas

14.3.1 Protección de datos de prueba

Control
Los datos de prueba deberían ser seleccionados cuidadosamente, protegidos y controlados.

15 Relaciones con los proveedores

15.1 Seguridad de la información en las relaciones con los proveedores

Objetivo: asegurar protección a los activos de la organización que son accesibles por los proveedores

15.1.1 Política de seguridad de la información para las relaciones con los proveedores

Control
Requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso por parte del
proveedor a los activos de la organización deberían ser acordados con el proveedor y documentados.

15.1.2 Abordar la seguridad dentro de los acuerdos con proveedores

Control
Todos los requisitos relevantes de seguridad de la información deberían ser establecidos y acordados
con cada proveedor que pueda acceder, procesar, almacenar, comunicar o proveer componentes de
infraestructura de TI para la información de la organización

15.1.3 Cadena de suministro de tecnología de información y comunicación

Control
Los acuerdos con proveedores deberían incluir requisitos para abordar los riesgos de seguridad de la
información asociados con los servicios de tecnología de la información y comunicaciones y la cadena de
suministro de productos.

15.2 Gestión de entrega de servicios del proveedor

Objetivo: mantener un nivel de seguridad de la información y entrega de servicios acordado en línea

con los acuerdos con proveedores.

15.2.1 Monitoreo y revisión de servicios del proveedor

Control
Las organizaciones deberían monitorear, revisar y auditar regularmente la entrega de servicios por
parte de los proveedores.

15.2.2 Gestión de cambios a los servicios de proveedores

Control
Los cambios a la provisión de servicios por parte de proveedores, incluyendo el mantenimiento y
mejoramiento de políticas, procedimientos y controles existentes de seguridad de la información,
deberían ser gestionados tomando en cuenta la criticidad de la información del negocio, sistemas y
procesos involucrados y una reevaluación de riesgos.

16 Gestión de incidentes de seguridad de la información

16.1 Gestión de incidentes de seguridad de la información y mejoras

Objetivo: asegurar un enfoque consistente y efectivo a la gestión de incidentes de seguridad de la

información, incluyendo la comunicación sobre eventos de seguridad y debilidades.

16.1.1 Responsabilidades y procedimientos

Control
Las responsabilidades de gestión y los procedimientos deberían ser establecidos para asegurar una
respuesta rápida, efectiva y ordenada a los incidentes de seguridad de la información.

16.1.2 Reporte de eventos de seguridad de la información

Control
Los eventos de seguridad de la información deberían ser reportados a través de canales de gestión
apropiados tan rápido como sea posible.

16.1.3 Reporte de debilidades de seguridad de la información

Control
Empleados y contratistas que usan los sistemas y servicios de información de la organización deberían
ser exigidos a advertir y reportar cualquier debilidad observada o de la que se sospecha en cuanto a
seguridad de la información en los sistemas o servicios.

16.1.4 Evaluación y decisión sobre eventos de seguridad de la información

Control
Los eventos de seguridad de la información deberían ser evaluados y debería decidirse si son clasificados
como incidentes de seguridad de la información.

16.1.5 Respuesta a incidentes de seguridad de la información

Control
Los incidentes de seguridad de la información deberían ser respondidos de acuerdo con los
procedimientos documentados.

16.1.6 Aprendizaje de los incidentes de seguridad de la información

Control
El conocimiento adquirido a partir de analizar y resolver los incidentes de seguridad de la información
debería ser utilizado para reducir la probabilidad o el impacto de incidentes futuros.

16.1.7 Recolección de evidencia

Control
La organización debería definir y aplicar procedimientos para la identificación, recolección, adquisición y
preservación de información que pueda servir como evidencia.

17 Aspectos de seguridad de la información en la gestión de continuidad del negocio

17.1 Continuidad de seguridad de la información

Objetivo: la continuidad de seguridad de la información debería formar parte en los sistemas de gestión
de continuidad del negocio de la organización

17.1.1 Planificación de continuidad de seguridad de la información

Control
La organización debería determinar sus requisitos de seguridad de la información y continuidad de la
gestión de seguridad de la información en situaciones adversas, por ejemplo durante una crisis o
desastre.

17.1.2 Implementación de continuidad de seguridad de la información

Control
La organización debería establecer, documentar, implementar y mantener los procesos, procedimientos
y controles para asegurar el nivel requerido de continuidad de seguridad de la información durante una
situación adversa.

17.1.3 Verificación, revisión y evaluación de continuidad de seguridad de la información

Control
La organización debería verificar los controles de continuidad de seguridad de la información que han
establecido e implementado a intervalos regulares para asegurarse que son válidos y efectivos durante
situaciones adversas.

17.2 Redundancias

Objetivo: asegurar la disponibilidad de las instalaciones y procesamiento de la información

17.2.1 Instalaciones de procesamiento de la información

Control

Las instalaciones de procesamiento de la información deberían ser implementadas con redundancia

suficiente para cumplir con los requisitos de disponibilidad.
18 Cumplimiento
18.1 Cumplimiento con requisitos legales y contractuales

Objetivo: evitar infracciones de las obligaciones legales, estatutarias, regulatorias o contractuales

relacionadas a la seguridad de la información y a cualquier requisito de seguridad.

18.1.1 Identificación de requisitos contractuales y de legislación aplicable

Control
Todos los requisitos legislativos, estatutarios, regulatorios y contractuales relevantes así como el
enfoque de la organización para cumplir con estos requisitos deberían ser explícitamente identificados,
documentados y mantenidos al día para cada sistema de información y para la organización.

18.1.2 Derechos de propiedad intelectual

Control
Procedimientos apropiados deberían ser implementados para asegurar el cumplimiento de requisitos
legislativos, regulatorios y contractuales, relacionados a los derechos de propiedad intelectual y uso de
productos de software propietario.

18.1.3 Protección de registros

Control
Los registros deberían ser protegidos de cualquier pérdida, destrucción, falsificación, acceso no
autorizado y divulgación no autorizada, de acuerdo con los requisitos legislativos, regulatorios,
contractuales y del negocio.

18.1.4 Privacidad y protección de datos personales.

Control
La privacidad y la protección de datos personales deberían estar aseguradas tal como se requiere en la
legislación y regulación relevantes donde sea aplicable.

18.1.5 Regulación de controles criptográficos

Control
Controles criptográficos deberían ser utilizados en cumplimiento con todos los acuerdos, legislación y
regulación relevantes.

18.2 Revisiones de seguridad de la información

Objetivo: asegurar que la seguridad de la información está implementada y es operada de acuerdo con
las políticas y procedimientos organizativos.

18.2.1 Revisión independiente de la seguridad de la información

Control
El enfoque de la organización para manejar la seguridad de la información y su implementación (por
ejemplo objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la
información) debería ser revisado independientemente a intervalos planeados o cuando ocurran
cambios significativos.

18.2.2 Cumplimiento de políticas y normas de seguridad

Control
Los gerentes deberían revisar regularmente el cumplimiento del procesamiento de la información y de
los procedimientos, dentro de su área de responsabilidad con las políticas, normas y otros requisitos de
seguridad apropiados.

18.2.3 Revisión del cumplimiento técnico

Control
Los sistemas de información deberían ser revisados regularmente respecto al cumplimiento de las
políticas y normas de seguridad de la información de la organización.