09 Política de Seguridad de La Información ISO 17799 - 2000

5/21/2018 09 Pol tica de Seguridad de La Informaci n ISO 17799 - 2000

ESQUEMA 1

ISO IEC 177992002

Tecnologa de la informacin

Cdigo de prctica para la administracin de laseguridad de la informacin

Information technology.Code of practice for information security management.

Este esquema est sometido a discu-

sin pblica. Las observaciones de-

ben remitirse fundadas y por escri-

to, al Instituto IRAM, Per 552 / 556 -

(C1068AAB) Buenos Aires antes del

2002-06-28

DOCUMENTO EN ESTUDIO

DE NORMA IRAM-ISO IEC 17799

xxxx de 2002

INSTITUTO ARGENTINO DE NORMALIZACIN


2


Esquema 1 IRAM-ISO IEC 17799:2002

3

PrefacioEl Instituto Argentino de Normalizacin (IRAM) es una asociacincivil sin fines de lucro cuyas finalidades especficas, en su carcterde Organismo Argentino de Normalizacin, son establecer normastcnicas, sin limitaciones en los mbitos que abarquen, adems depropender al conocimiento y la aplicacin de la normalizacincomo base de la calidad, promoviendo las actividades decertificacin de productos y de sistemas de la calidad en lasempresas para brindar seguridad al consumidor.

IRAM es el representante de la Argentina en la InternationalOrganization for Standardization (ISO), en la ComisinPanamericana de Normas Tcnicas (COPANT) y en la AsociacinMERCOSUR de Normalizacin (AMN).

Esta norma IRAM es el fruto del consenso tcnico entre losdiversos sectores involucrados, los que a travs de susrepresentantes han intervenido en los Organismos de Estudio deNormas correspondientes.

Esta norma es una adopcin idntica de la norma ISO 17799:2000.



4

ndice

INTRODUCCIN ................................................................................................ 9

QU ES LA SEGURIDAD DE LA INFORMACIN ?....................................................... 9POR QU ES NECESARIA LA SEGURIDAD DE LA INFORMACIN ........................... 9CMO ESTABLECER LOS REQUERIMIENTOS DE SEGURIDAD ............................ 10EVALUACIN DE LOS RIESGOS EN MATERIA DE SEGURIDAD ............................. 10SELECCIN DE CONTROLES ..................................................................................... 11PUNTO DE PARTIDA PARA LA SEGURIDAD DE LA INFORMACIN ....................... 11FACTORES CRTICOS DEL XITO ............................................................................. 12DESARROLLO DE LINEAMIENTOS PROPIOS ........................................................... 12

1 ALCANCE ..................................................................................................... 13

2 TRMINOS Y DEFINICIONES ....................................................................... 13

3 POLTICA DE SEGURIDAD ......................................................................... 13

3.1 POLTICA DE SEGURIDAD DE LA INFORMACIN .............................................. 133.1.1 Documentacin de la poltica de seguridad de la informacin .......................... 143.1.2 Revisin y evaluacin ........................................................................................ 14

4 ORGANIZACIN DE LA SEGURIDAD ......................................................... 15

4.1 INFRAESTRUCTURA DE SEGURIDAD DE LA INFORMACIN ........................... 15

4.1.1 Foro gerencial sobre seguridad de la informacin ............................................ 154.1.2 Coordinacin de la seguridad de la informacin ............................................... 154.1.3 Asignacin de responsabilidades en materia de seguridad de lainformacin ................................................................................................................. 164.1.4 Proceso de autorizacin para instalaciones de procesamiento deinformacin ................................................................................................................. 164.1.5 Asesoramiento especializado en materia de seguridad de la informacin ....... 174.1.6 Cooperacin entre organizaciones .................................................................... 174.1.7 Revisin independiente de la seguridad de la informacin ............................... 17

4.2 SEGURIDAD FRENTE AL ACCESO POR PARTE DE TERCEROS...................... 184.2.1 Identificacin de riesgos del acceso de terceras partes ................................... 184.2.2 Requerimientos de seguridad en contratos con terceros.................................. 19

4.3 TERCERIZACIN .................................................................................................... 20

4.3.1 Requerimientos de seguridad en contratos de tercerizacin ............................ 20

5 CLASIFICACIN Y CONTROL DE ACTIVOS .............................................. 21

5.1 RESPONSABILIDAD POR RENDICIN DE CUENTAS DE LOS ACTIVOS ......... 215.1.1 Inventario de activos.......................................................................................... 21

5.2 CLASIFICACIN DE LA INFORMACIN ............................................................... 225.2.1 Pautas de clasificacin ...................................................................................... 225.2.2 Rotulado y manejo de la informacin ................................................................ 22

6 SEGURIDAD DEL PERSONAL .................................................................... 23

6.1 SEGURIDAD EN LA DEFINICIN DE PUESTOS DE TRABAJO Y LAASIGNACIN DE RECURSOS ..................................................................................... 23

6.1.1 Inclusin de la seguridad en las responsabilidades de los puestos detrabajo ......................................................................................................................... 23

Pgina



5

6.1.2 Seleccin y poltica de personal ........................................................................ 236.1.3 Acuerdos de confidencialidad ........................................................................... 246.1.4 Trminos y condiciones de empleo ................................................................... 24

6.2 CAPACITACIN DEL USUARIO............................................................................. 246.2.1 Formacin y capacitacin en materia de seguridad de la informacin ............. 25

6.3 RESPUESTA A INCIDENTES Y ANOMALAS EN MATERIA DE SEGURIDAD .... 256.3.1 Comunicacin de incidentes relativos a la seguridad ....................................... 256.3.2 Comunicacin de debilidades en materia de seguridad ................................... 256.3.3 Comunicacin de anomalas del software ........................................................ 266.3.4 Aprendiendo de los incidentes ......................................................................... 266.3.5 Proceso disciplinario ......................................................................................... 26

7 SEGURIDAD FSICA Y AMBIENTAL ............................................................ 26

7.1 REAS SEGURAS .................................................................................................. 267.1.1 Permetro de seguridad fsica ........................................................................... 277.1.2 Controles de acceso fsico ................................................................................ 277.1.3 Proteccin de oficinas, recintos e instalaciones................................................ 287.1.4 Desarrollo de tareas en reas protegidas ......................................................... 28

7.1.5 Aislamiento de las reas de entrega y carga .................................................... 297.2 SEGURIDAD DEL EQUIPAMIENTO ....................................................................... 29

7.2.1 Ubicacin y proteccin del equipamiento .......................................................... 297.2.2 Suministros de energa ..................................................................................... 307.2.3 Seguridad del cableado..................................................................................... 317.2.4 Mantenimiento de equipos ................................................................................ 317.2.5 Seguridad del equipamiento fuera del mbito de la organizacin .................... 317.2.6 Baja segura o reutilizacin de equipamiento. ................................................... 32

7.3 CONTROLES GENERALES .................................................................................... 327.3.1 Polticas de escritorios y pantallas limpias. ....................................................... 327.3.2 Retiro de bienes ................................................................................................ 33

8 GESTIN DE COMUNICACIONES Y OPERACIONES ................................ 33

8.1 PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS ............................. 338.1.1 Documentacin de los procedimientos operativos ........................................... 338.1.2 Control de cambios en las operaciones ............................................................ 348.1.3 Procedimientos de manejo de incidentes ......................................................... 348.1.4 Separacin de funciones ................................................................................... 358.1.5 Separacin entre instalaciones de desarrollo e instalaciones operativas ........ 358.1.6 Administracin de instalaciones externas ......................................................... 36

8.2 PLANIFICACIN Y APROBACIN DE SISTEMAS ................................................ 378.2.1 Planificacin de la capacidad ........................................................................... 378.2.2 Aprobacin del sistema ..................................................................................... 37

8.3 PROTECCIN CONTRA SOFTWARE MALICIOSO .............................................. 388.3.1 Controles contra software malicioso ................................................................. 38

8.4 MANTENIMIENTO ................................................................................................... 398.4.1 Resguardo de la informacin ............................................................................ 398.4.2 Registro de actividades del personal operativo ................................................ 398.4.3 Registro de fallas ............................................................................................... 39

8.5 ADMINISTRACIN DE LA RED .............................................................................. 408.5.1 Controles de redes ............................................................................................ 40

8.6 ADMINISTRACIN Y SEGURIDAD DE LOS MEDIOS DEALMACENAMIENTO ..................................................................................................... 40

8.6.1 Administracin de medios informticos removibles .......................................... 408.6.2 Eliminacin de medios informticos .................................................................. 418.6.3 Procedimientos de manejo de la informacin ................................................... 418.6.4 Seguridad de la documentacin del sistema .................................................... 42

8.7 INTERCAMBIOS DE INFORMACIN Y SOFTWARE ............................................ 42

8.7.1 Acuerdos de intercambio de informacin y software ........................................ 428.7.2 Seguridad de los medios en trnsito ................................................................. 43



6

8.7.3 Seguridad del comercio electrnico .................................................................. 438.7.4 Seguridad del correo electrnico ....................................................................... 448.7.5 Seguridad de los sistemas electrnicos de oficina ........................................... 458.7.6 Sistemas de acceso pblico .............................................................................. 458.7.7 Otras formas de intercambio de informacin .................................................... 46

9 CONTROL DE ACCESOS ............................................................................ 47

9.1 REQUERIMIENTOS DE NEGOCIO PARA EL CONTROL DE ACCESOS ............ 479.1.1 Poltica de control de accesos ........................................................................... 47

9.2 ADMINISTRACIN DE ACCESOS DE USUARIOS ............................................... 489.2.1 Registracin de usuarios ................................................................................... 489.2.2 Administracin de privilegios ............................................................................. 489.2.3 Administracin de contraseas de usuario ....................................................... 499.2.4 Revisin de derechos de acceso de usuario .................................................... 49

9.3 RESPONSABILIDADES DEL USUARIO ................................................................. 509.3.1 Uso de contraseas........................................................................................... 509.3.2 Equipos desatendidos en reas de usuarios .................................................... 50

9.4 CONTROL DE ACCESO A LA RED ........................................................................ 519.4.1 Poltica de utilizacin de los servicios de red .................................................... 519.4.2 Camino forzado ................................................................................................. 519.4.3 Autenticacin de usuarios para conexiones externas ....................................... 529.4.4 Autenticacin de nodos ..................................................................................... 529.4.5 Proteccin de los puertos (ports) de diagnostico remoto .................................. 539.4.6 Subdivisin de redes ......................................................................................... 539.4.7 Control de conexin a la red ............................................................................. 539.4.8 Control de ruteo de red...................................................................................... 549.4.9 Seguridad de los servicios de red ..................................................................... 54

9.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO ............................................. 549.5.1 Identificacin automtica de terminales ............................................................ 549.5.2 Procedimientos de conexin de terminales ...................................................... 549.5.3 Identificacin y autenticacin de los usuarios ................................................... 559.5.4 Sistema de administracin de contraseas ...................................................... 569.5.5 Uso de utilitarios de sistema ............................................................................. 569.5.6 Alarmas silenciosas para la proteccin de los usuarios .................................... 569.5.7 Desconexin de terminales por tiempo muerto ................................................. 579.5.8 Limitacin del horario de conexin .................................................................... 57

9.6 CONTROL DE ACCESO A LAS APLICACIONES .................................................. 579.6.1 Restriccin del acceso a la informacin ............................................................ 579.6.2 Aislamiento de sistemas sensibles .................................................................... 58

9.7 MONITOREO DEL ACCESO Y USO DE LOS SISTEMAS ..................................... 589.7.1 Registro de eventos........................................................................................... 589.7.2 Monitoreo del uso de los sistemas .................................................................... 599.7.3 Sincronizacin de relojes .................................................................................. 60

9.8 COMPUTACIN MVIL Y TRABAJO REMOTO .................................................... 609.8.1 Computacin mvil ............................................................................................ 609.8.2 Trabajo remoto .................................................................................................. 61

10 DESARROLLO Y MANTENIMIENTO DE SISTEMAS. ............................... 62

10.1 REQUERIMIENTOS DE SEGURIDAD DE LOS SISTEMAS. ............................... 6210.1.1 Anlisis y especificaciones de los requerimientos de seguridad. ................... 62

10.2 SEGURIDAD EN LOS SISTEMAS DE APLICACIN ........................................... 6310.2.1 Validacin de datos de entrada ....................................................................... 6310.2.2 Controles de procesamiento interno. .............................................................. 6310.2.3 Autenticacin de mensajes ............................................................................. 6410.2.4 Validacin de los datos de salida .................................................................... 64

10.3 CONTROLES CRIPTOGRFICOS ....................................................................... 65

10.3.1 Poltica de utilizacin de controles criptogrficos. ........................................... 6510.3.2 Cifrado ............................................................................................................. 65



7

10.3.3 Firma digital ..................................................................................................... 6610.3.4 Servicios de no repudio ................................................................................... 6610.3.5 Administracin de claves................................................................................. 66

10.4 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA............................................... 6810.4.1 Control del software operativo ........................................................................ 68

10.4.2 Proteccin de los datos de prueba del sistema .............................................. 6810.4.3 Control de acceso a las bibliotecas de programa fuente ................................ 69

10.5 SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE ................ 6910.5.1 Procedimientos de control de cambios ........................................................... 6910.5.2 Revisin tcnica de los cambios en el sistema operativo ............................... 7010.5.3 Restriccin del cambio en los paquetes de software ...................................... 7010.5.4 Canales ocultos y cdigo troyano ................................................................... 7110.5.5 Desarrollo externo de software ....................................................................... 71

11 ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS .............. 71

11.1 ASPECTOS DE LA ADMINISTRACIN DE LA CONTINUIDAD DE LOSNEGOCIOS .................................................................................................................... 71

11.1.1 Proceso de administracin de la continuidad de los negocios ....................... 72

11.1.2 Continuidad del negocio y anlisis del impacto .............................................. 7211.1.3 Elaboracin e implementacin de planes de continuidad de los negocios ..... 7211.1.4 Marco para la planificacin de la continuidad de los negocios ....................... 7311.1.5 Prueba, mantenimiento y reevaluacin de los planes de continuidad delos negocios ................................................................................................................ 73

12 CUMPLIMIENTO ......................................................................................... 75

12.1 CUMPLIMIENTO DE REQUISITOS LEGALES ..................................................... 7512.1.1 Identificacin de la legislacin aplicable ......................................................... 7512.1.2 Derechos de propiedad intelectual (dpi) ......................................................... 7512.1.3 Proteccin de los registros de la organizacin................................................ 7612.1.4 Proteccin de datos y privacidad de la informacin personal ......................... 77

12.1.5 Prevencin del uso inadecuado de los recursos de procesamiento deinformacin ................................................................................................................. 7712.1.6 Regulacin de controles para el uso de criptografa ....................................... 7712.1.7 Recoleccin de evidencia................................................................................ 78

12.2 REVISIONES DE LA POLTICA DE SEGURIDAD Y LA COMPATIBILIDADTCNICA ....................................................................................................................... 79

12.2.1 Cumplimiento de la poltica de seguridad ....................................................... 7912.2.2 Verificacin de la compatibilidad tcnica ........................................................ 79

12.3 CONSIDERACIONES DE AUDITORIA DE SISTEMAS ........................................ 8012.3.1 Controles de auditoria de sistemas ................................................................. 8012.3.2 Proteccin de las herramientas de auditora de sistemas .............................. 80

Anexo A (Informativo) Bibliografa ...................................................................... 81

Anexo B (Informativo) Integrantes del organismo de estudio ............................. 82



8



9

Tecnologa de la informacin

Cdigo de prctica para la administracin de la seguridad de la

informacin

INTRODUCCIN

Qu es la seguridad de la informacin ?

La informacin es un recurso que, como el resto de los importantes activos comerciales, tiene valorpara una organizacin y por consiguiente debe ser debidamente protegida. La seguridad de la infor-macin protege sta de una amplia gama de amenazas, a fin de garantizar la continuidad comercial,minimizar el dao al mismo y maximizar el retorno sobre las inversiones y las oportunidades.

La informacin puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenadaelectrnicamente, transmitida por correo o utilizando medios electrnicos, presentada en imgenes, oexpuesta en una conversacin. Cualquiera sea la forma que adquiere la informacin, o los mediospor los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada.

La seguridad de la informacin se define aqu como la preservacin de las siguientes caractersticas:

a) confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas au-torizadas a tener acceso a ella.

b) integridad: se salvaguarda la exactitud y totalidad de la informacin y los mtodos de proce-samiento.c) disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a

los recursos relacionados con ella toda vez que se requiera.

La seguridad de la informacin se logra implementando un conjunto adecuado de controles, queabarca polticas, prcticas, procedimientos, estructuras organizacionales y funciones del software.

Se deben establecer estos controles para garantizar que se logren los objetivos especficos de segu-ridad de la organizacin.

Por qu es necesaria la seguridad de la informacin

La informacin y los procesos, sistemas y redes que le brindan apoyo constituyen importantes recur-sos de la empresa. La confidencialidad, integridad y disponibilidad de la informacin pueden seresenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimientode las leyes y la imagen comercial.

Las organizaciones y sus redes y sistemas de informacin, se enfrentan en forma creciente conamenazas relativas a la seguridad, de diversos orgenes, incluyendo el fraude asistido por computa-dora, espionaje, sabotaje, vandalismo, incendio o inundacin. Daos tales como los ataquesmediante virus informticos, "hacking" y denegacin de servicio se han vuelto ms comunes, ambi-ciosos y crecientemente sofisticados.



10

La dependencia de las organizaciones respecto de los sistemas y servicios de informacin denotaque ellas son ms vulnerables a las amenazas concernientes a seguridad. La interconexin de lasredes pblicas y privadas y el uso compartido de los recursos de informacin incrementa la dificultadde lograr el control de los accesos. La tendencia hacia el procesamiento distribuido ha debilitado la

eficacia del control tcnico centralizado.Muchos sistemas de informacin no han sido diseados para ser seguros. La seguridad que puedelograrse por medios tcnicos es limitada y debe ser respaldada por una gestin y procedimientosadecuados. La identificacin de los controles que deben implementarse requiere una cuidadosa pla-nificacin y atencin a todos los detalles. La administracin de la seguridad de la informacin, exige,como mnimo, la participacin de todos los empleados de la organizacin. Tambin puede requerir laparticipacin de proveedores, clientes y accionistas. Asimismo, puede requerirse el asesoramientoexperto de organizaciones externas. Los controles de seguridad de la informacin resultan conside-rablemente ms econmicos y eficaces si se incorporan en la etapa de especificacin derequerimientos y diseo.

Cmo establecer los requerimientos de seguridad

Es esencial que una organizacin identifique sus requerimientos de seguridad. Existen tres recursosprincipales para lograrlo.

El primer recurso consiste en evaluar los riesgos que enfrenta la organizacin. Mediante la evalua-cin de riesgos se identifican las amenazas a los activos, se evalan las vulnerabilidades yprobabilidades de ocurrencia, y se estima el impacto potencial.

El segundo recurso est constituido por los requisitos legales, normativos, reglamentarios y contrac-tuales que deben cumplir la organizacin, sus socios comerciales, los contratistas y los prestadoresde servicios.

El tercer recurso es el conjunto especfico de principios, objetivos y requisitos para el procesamientode la informacin, que ha desarrollado la organizacin para respaldar sus operaciones.

Evaluacin de los riesgos en materia de seguridad

Los requerimientos de seguridad se identifican mediante una evaluacin metdica de los riesgos de se-guridad. Las erogaciones derivadas de la satisfaccin de las necesidades de control deben serequilibradas con respecto al impacto potencial de las fallas de seguridad en los negocios. Las tcnicasde evaluacin de riesgos pueden aplicarse a toda la organizacin, o slo a partes de la misma, as comoa los sistemas de informacin individuales, componentes de sistemas o servicios especficos cuando es-to resulte factible, viable y provechoso.

La evaluacin de riesgos es una consideracin sistemtica de los siguientes puntos;

a) impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las potencia-les consecuencias por una prdida de la confidencialidad, integridad o disponibilidad de lainformacin y otros recursos;

b) probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidadespredominantes, y los controles actualmente implementados.

Los resultados de esta evaluacin ayudarn a orientar ya determinar las prioridades y acciones de ges-tin adecuadas para la administracin de los riesgos concernientes a seguridad de la informacin, y

para la implementacin de los controles seleccionados a fin de brindar proteccin contra dichos riesgos.



11

Puede resultar necesario que el proceso de evaluacin de riesgos y seleccin de controles deba llevarseacabo en varias ocasiones, a fin de cubrir diferentes partes de la organizacin o sistemas de informacinindividuales.

Es importante llevar a cabo revisiones peridicas de los riesgos de seguridad y de los controles im-plementados a fin de:

a) reflejar los cambios en los requerimientos y prioridades de la empresa;b) considerar nuevas amenazas y vulnerabilidades;

c) corroborar que los controles siguen siendo eficaces y apropiados.

Las revisiones deben llevarse a cabo con diferentes niveles de profundidad segn los resultados deevaluaciones anteriores y los niveles variables de riesgo que la gerencia est dispuesta a aceptar.Frecuentemente, las evaluaciones de riesgos se realizan primero en un nivel alto, a fin de priorizarrecursos en reas de alto riesgo, y posteriormente en un nivel ms detallado, con el objeto de abor-dar riesgos especficos.

Seleccin de controles

Una vez identificados los requerimientos de seguridad, deben seleccionarse e implementarse controlespara garantizar que los riesgos sean reducidos a un nivel aceptable. Los controles pueden seleccionarsesobre la base de este documento, de otros estndares, o pueden disearse nuevos controles para satis-facer necesidades especficas segn corresponda. Existen diversos modos de administrar riesgos y estedocumento brinda ejemplos de estrategias generales. No obstante, es necesario reconocer que algunoscontroles no son aplicables a todos los sistemas o ambientes de informacin, y podran no resultar via-bles en todas las organizaciones. Como ejemplo, el punto 8.1.4 describe cmo pueden separarse lastareas para evitar fraudes y errores. Podra no resultar posible para las organizaciones ms pequeasseparar todas las tareas, pudiendo resultar necesarias otras formas de lograr el mismo objetivo de con-trol.

Los controles deben seleccionarse teniendo en cuenta el costo de implementacin en relacin conlos riesgos a reducir y las prdidas que podran producirse de tener lugar una violacin de la seguri-dad. Tambin deben tenerse en cuenta los factores no monetarios, como el dao en la reputacin.

Algunos controles de este documento pueden considerarse como principios rectores para la adminis-tracin de la seguridad de la informacin, aplicables a la mayora de las organizaciones. Se explicancon mayor detalle en el siguiente prrafo, bajo el ttulo de "Punto de partida para la seguridad de lainformacin".

Punto de partida para la seguridad de la informacin

Algunos controles pueden considerarse como principios rectores que proporcionan un buen punto departida para la implementacin de la seguridad de la informacin. Estn basados en requisitos lega-les fundamentales, o bien se consideran como prctica recomendada de uso frecuente concernientea la seguridad de la informacin.

Los controles que se consideran esenciales para una organizacin, desde el punto de vista legal com-prenden:

a) proteccin de datos y confidencialidad de la informacin personal (ver 12.1.4);b) proteccin de registros y documentos de la organizacin (ver 12.1.3) ;

c) derechos de propiedad intelectual (ver 12.1.2) ;



12

Los controles considerados como prctica recomendada de uso frecuente en la implementacin de laseguridad de la informacin comprenden:

a) documentacin de la poltica de seguridad de la informacin (ver 3.1.1);b) asignacin de responsabilidades en materia de seguridad de la informacin (ver 4.1 .3);c) instruccin y entrenamiento en materia de seguridad de la informacin (ver 6.2.1);d) comunicacin de incidentes relativos a la seguridad (ver 6.3.1);e) administracin de la continuidad de la empresa (ver 11.1 );

Estos controles son aplicables a la mayora de las organizaciones y en la mayora de los ambientes.

Se debe observar que aunque todos los controles mencionados en este documento son importantes,la relevancia de cada uno de ellos debe ser determinada teniendo en cuenta los riesgos especficosque afronta la organizacin. Por ello, si bien el enfoque delineado precedentemente se considera unbuen punto de partida, ste no pretende reemplazar la seleccin de controles que se realiza sobre la

base de una evaluacin de riesgos.

Factores crticos del xito

La experiencia ha demostrado que los siguientes factores, a menudo resultan crticos para la imple-mentacin exitosa de la seguridad de la informacin, dentro de una organizacin:

a) poltica de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;b) una estrategia de implementacin de seguridad que sea consecuente con la cultura organiza-

cional;c) apoyo y compromiso manifiestos por parte de la gerencia;d) un claro entendimiento de los requerimientos de seguridad, la evaluacin de riesgos y la ad-

ministracin de los mismos;e) comunicacin eficaz de los temas de seguridad a todos los gerentes y empleados;f) distribucin de guas sobre polticas y estndares de seguridad de la informacin a todos los

empleados y contratistas;g) instruccin y entrenamiento adecuados;h) un sistema integral y equilibrado de medicin que se utilice para evaluar el desempeo de la

gestin de la seguridad de la informacin y para brindar sugerencias tendientes a mejorarlo.

Desarrollo de lineamientos propios

Este cdigo de prctica puede ser considerado como un punto de partida para el desarrollo de

lineamientos especficos, aplicables a cada organizacin. No todos los lineamientos y controles deeste cdigo de prctica resultarn aplicables. Ms an, es probable que deban agregarse controlesque no estn incluidos en este documento. Ante esta situacin puede resultar til retener referenciascruzadas que faciliten la realizacin de pruebas de cumplimiento por parte de auditores y socios.



13

1 ALCANCE

Esta parte del estndar brinda recomendaciones para la gestin de la seguridad de la informacinque han de ser aplicadas por los responsables de iniciar, implementar o mantener la seguridad en

sus organizaciones. Su propsito es proveer de una base comn para el desarrollo de estndares deseguridad de la organizacin y una prctica efectiva de la administracin de la misma, brindandoasimismo, confianza en las relaciones llevadas a cabo entre las organizaciones.

2 TRMINOS Y DEFINICIONES

A los efectos de este documento se aplican las siguientes definiciones:

2.1 Seguridad de la informacin

La preservacin de la confidencialidad, integridad y disponibilidad de la informacin.

Confidencialidad: garanta de que acceden a la informacin, slo aquellas personas autoriza-das a hacerlo.

Integridad: mantenimiento de la exactitud y totalidad de la informacin y los mtodos de pro-cesamiento.

Disponibilidad: garanta de que los usuarios autorizados tienen acceso a la informacin y a losrecursos relacionados con la misma, toda vez que lo requieran.

2.2 Evaluacin de riesgos

La evaluacin de las amenazas, impactos y vulnerabilidades relativos a la informacin y a las instala-ciones de procesamiento de la misma, y a la probabilidad de que ocurran

2.3 Administracin de riesgos

El proceso de identificacin, control y minimizacin o eliminacin, a un costo aceptable, de los ries-gos de seguridad que podran afectar a los sistemas de informacin.

3 POLTICA DE SEGURIDAD

3.1 Poltica de seguridad de la informacin

Objetivo: Proporcionar direccin y apoyo gerencial para brindar seguridad de la informacin.El nivel gerencial debe establecer una direccin poltica clara y demostrar apoyo y compromiso conrespecto a la seguridad de la informacin, mediante la formulacin y mantenimiento de una polticade seguridad de la informacin a travs de toda la organizacin.



14

3.1.1 Documentacin de la poltica de seguridad de la informacin

Los responsables del nivel gerencial deben aprobar y publicar un documento que contenga la poltica deseguridad y comunicarlo a todos los empleados, segn corresponda. ste debe poner de manifiesto sucompromiso y establecer el enfoque de la organizacin con respecto a la gestin de la seguridad de lainformacin. Como mnimo, deben incluirse las siguientes pautas:

a) definicin de la seguridad de la informacin, sus objetivos y alcance generales y la importan-cia de la seguridad como un mecanismo que permite la distribucin de la informacin (verintroduccin);

b) una declaracin del propsito de los responsables del nivel gerencial, apoyando los objetivosy principios de la seguridad de la informacin;

c) una breve explicacin de las polticas, principios, normas y requisitos de cumplimiento en ma-teria de seguridad, que son especialmente importantes para la organizacin, por ejemplo:

1) cumplimiento de requisitos legales y contractuales;

2) requisitos de instruccin en materia de seguridad;3) prevencin y deteccin de virus y dems software malicioso;4) administracin de la continuidad comercial;5) consecuencias de las violaciones a la poltica de seguridad;

d) una definicin de las responsabilidades generales y especficas en materia de gestin de laseguridad de la informacin, incluyendo la comunicacin de los incidentes relativos a la segu-ridad;

e) referencias a documentos que puedan respaldar la poltica, por ej. , polticas y procedimientosde seguridad ms detallados para sistemas de informacin especficos o normas de seguri-dad que deben cumplir los usuarios.

Esta poltica debe ser comunicada a todos los usuarios de la organizacin de manera pertinente, ac-cesible y comprensible.

3.1.2 Revisin y evaluacin

La poltica debe tener un propietario que sea responsable del mantenimiento y revisin de la mismade acuerdo con un proceso definido. Ese proceso debe garantizar que se lleve acabo una revisin enrespuesta a cualquier cambio que pueda afectar la base original de evaluacin de riesgos, por ej., in-cidentes de seguridad significativos, nuevas vulnerabilidades o cambios en la infraestructura tcnicao de la organizacin. Tambin deben programarse revisiones peridicas de lo siguiente:

a) la eficacia de la poltica, demostrada por la naturaleza, nmero e impacto de los incidentes de seguri-dad registrados;b) el costo e impacto de los controles en la eficiencia del negocio;c) los efectos de los cambios en la tecnologa.



15

4 ORGANIZACIN DE LA SEGURIDAD

4.1 Infraestructura de seguridad de la informacin

Objetivo: Administrar la seguridad de la informacin dentro de la organizacin.Debe establecerse unmarco gerencial para iniciar y controlar la implementacin de la seguridad de la informacin dentro dela organizacin.

Deben establecerse adecuados foros de gestin liderados por niveles gerenciales, a fin de aprobar la polticade seguridad de la informacin, asignar funciones de seguridad y coordinar la implementacin de la seguridaden toda la organizacin. Si resulta necesario, se debe establecer y hacer accesible dentro de la organizacin,una fuente de asesoramiento especializado en materia de seguridad de la informacin. Deben desarrollarsecontactos con especialistas externos en materia de seguridad para estar al corriente de las tendencias de la in-dustria, monitorear estndares y mtodos de evaluacin y proveer puntos de enlace adecuados al afrontar

incidentes de seguridad. Se debe alentar la aplicacin de un enfoque multidisciplinario de la seguridad de la in-formacin, por ej., comprometiendo la cooperacin y colaboracin de gerentes, usuarios, administradores,diseadores de aplicaciones, auditores y personal de seguridad, y expertos en reas como seguros y adminis-tracin de riesgos.

4.1.1 Foro gerencial sobre seguridad de la informacin

La seguridad de la informacin es una responsabilidad de la empresa compartida por todos losmiembros del equipo gerencial. Por consiguiente, debe tenerse en cuenta la creacin de un forogerencial para garantizar que existe una clara direccin y un apoyo manifiesto de la gerencia a lasiniciativas de seguridad. Este foro debe promover la seguridad dentro de la organizacin mediante un

adecuado compromiso y una apropiada reasignacin de recursos. El foro podra ser parte de un cuerpogerencial existente. Generalmente, un foro de esta ndole comprende las siguientes acciones:

a) revisar y aprobar la poltica y las responsabilidades generales en materia de seguridad de lainformacin;

b) monitorear cambios significativos en la exposicin de los recursos de informacin frente a lasamenazas ms importantes;

c) revisar y monitorear los incidentes relativos a la seguridad;d) aprobar las principales iniciativas para incrementar la seguridad de la informacin.

Un gerente debe ser responsable de todas las actividades relacionadas con la seguridad.

4.1.2 Coordinacin de la seguridad de la informacin

En una gran organizacin, podra ser necesaria la creacin de un foro nter funcional que comprendarepresentantes gerenciales de sectores relevantes de la organizacin para coordinar la implementa-cin de controles de seguridad de la informacin.

Normalmente, dicho foro:

a) acuerda funciones y responsabilidades especficas relativas a seguridad de la informacin pa-ra toda la organizacin;

b) acuerda metodologas y procesos especficos relativos a seguridad de la informacin, por ej.,

evaluacin de riesgos, sistema de clasificacin de seguridad;



16

c) acuerda y brinda apoyo a las iniciativas de seguridad de la informacin de toda la organiza-cin, por ej. programa de concientizacin en materia de seguridad;

d) garantiza que la seguridad sea parte del proceso de planificacin de la informacin;e) evala la pertinencia y coordina la implementacin de controles especficos de seguridad de

la informacin para nuevos sistemas o servicios;f) revisa incidentes relativos a la seguridad de la informacin;g) promueve la difusin del apoyo de la empresa a la seguridad de la informacin dentro de la

organizacin.

4.1.3 Asignacin de responsabilidades en materia de seguridad de la informacin

Deben definirse claramente las responsabilidades para la proteccin de cada uno de los recursos ypor la implementacin de procesos especficos de seguridad.La poltica de seguridad de la informacin (ver punto 3) debe suministrar una orientacin generalacerca de la asignacin de funciones de seguridad y responsabilidades dentro la organizacin. Esto

debe complementarse, cuando corresponda, con una gua ms detallada para sitios, sistemas o ser-vicios especficos. Deben definirse claramente las responsabilidades locales para cada uno de losprocesos de seguridad y recursos fsicos y de informacin, como la planificacin de la continuidad delos negocios.

En muchas organizaciones, se asigna a un gerente de seguridad de la informacin la responsabilidadgeneral por el desarrollo e implementacin de la seguridad y por el soporte a la identificacin de con-troles. No obstante, la responsabilidad por la reasignacin e implementacin de controles a menudoes retenida por cada uno de los gerentes. Una prctica comn es designar a un propietario para cadarecurso de informacin que adems se haga responsable de su seguridad de manera permanente.Los propietarios de los recursos de informacin pueden delegar sus responsabilidades de seguridada cada uno de los gerentes o proveedores de servicios. No obstante, el propietario es en ltimotrmino responsable de la seguridad del recurso y debe estar en capacidad de determinar si las res-ponsabilidades delegadas fueron cumplimentadas correctamente.

Es esencial que se establezcan claramente las reas sobre las cuales es responsable cada gerente;en particular se debe cumplir lo siguiente.

a) Deben identificarse y definirse claramente los diversos recursos y procesos de seguridad re-lacionados con cada uno de los sistemas.

b) Se debe designar al gerente responsable de cada recurso o proceso de seguridad y se debendocumentar los detalles de esta responsabilidad.

c) Los niveles de autorizacin deben ser claramente definidos y documentados.

4.1.4 Proceso de autorizacin para instalaciones de procesamiento de informacin

Debe establecerse un proceso de autorizacin gerencial para nuevas instalaciones de procesamientode informacin. Debe considerarse lo siguiente.

a) Las nuevas instalaciones deben ser adecuadamente aprobadas por la gerencia usuaria, auto-rizando su propsito y uso. La aprobacin tambin debe obtenerse del gerente responsabledel mantenimiento del ambiente de seguridad del sistema de informacin local, a fin de garan-tizar que se cumplen todas las polticas y requerimientos de seguridad pertinentes.

b) Cuando corresponda, debe verificarse el hardware y software para garantizar que son compa-

tibles con los componentes de otros sistemas.



17

Nota:Puede ser necesaria la comprobacin de categoras para ciertas conexiones.

c) Deben ser autorizados el uso de las instalaciones personales de procesamiento de informa-cin, para el procesamiento de informacin de la empresa, y los controles necesarios.

d) El uso de instalaciones personales de procesamiento de informacin en el lugar de trabajo

puede ocasionar nuevas vulnerabilidades y en consecuencia debe ser evaluado y autorizado.Estos controles son especialmente importantes en un ambiente de red.

4.1.5 Asesoramiento especializado en materia de seguridad de la informacin

Es probable que muchas organizaciones requieran asesoramiento especializado en materia de segu-ridad. Idealmente, ste debe ser provisto por un asesor interno experimentado en seguridad de lainformacin. No todas las organizaciones desean emplear aun asesor especializado. En esos casos,se recomienda que se identifique a una persona determinada para coordinar los conocimientos y ex-periencias disponibles en la organizacin a fin de garantizar coherencia, y brindar ayuda para la tomade decisiones en materia de seguridad. Tambin debe tener acceso a calificados asesores externos

para brindar asesoramiento especializado ms all de su propia experiencia.

Los asesores en seguridad de la informacin o puntos de contacto equivalentes sern los encargadosde brindar asesoramiento acerca de todos los aspectos de la seguridad de la informacin, utilizando suspropias recomendaciones o las externas. La calidad de su evaluacin de las amenazas a la seguridad yde su asesoramiento en materia de controles determinar la eficacia de la seguridad de la informacinde la organizacin. Para lograr la mxima eficacia e impacto se les debe permitir acceso directo a losniveles gerenciales de toda la organizacin.

El asesor de seguridad de la informacin o cargo equivalente debe ser consultado lo ms temprana-mente posible a partir de la deteccin de un supuesto incidente o violacin de la seguridad, a fin de

suministrar una fuente de conocimientos o recursos de investigacin expertos. Si bien la mayora delas investigaciones de seguridad internas se llevan a cabo bajo el control de la gerencia, el asesor deseguridad de la informacin puede ser posteriormente convocado para asesorar, liderar o dirigir la in-vestigacin.

4.1.6 Cooperacin entre organizaciones

Se deben mantener adecuados contactos con autoridades policiales o de seguridad, organismosreguladores, proveedores de servicios de informacin y operadores de telecomunicaciones, a fin degarantizar que, en caso de producirse un incidente relativo a la seguridad, puedan tomarse las medidasadecuadas y obtenerse asesoramiento con prontitud. Del mismo modo, se debe tener en cuenta a losmiembros de grupos de seguridad y foros de la industria.

Se deben limitar los intercambios de informacin de seguridad, para garantizar que no se divulgue in-formacin confidencial, perteneciente a organizacin, entre personas no autorizadas.

4.1.7 Revisin independiente de la seguridad de la informacin

El documento que fija la poltica de seguridad de la informacin (ver 3.1.1) establece la poltica y lasresponsabilidades por la seguridad de la informacin. Su implementacin debe ser revisadaindependientemente para garantizar que las prcticas de la organizacin reflejan adecuadamente lapoltica, y que sta es viable y eficaz (ver 12.2.)



18

Dicha revisin puede ser llevada a cabo por la funcin de auditora interna, por un gerente indepen-diente o una organizacin externa especializados en revisiones de esta ndole, segn estoscandidatos tengan la experiencia y capacidad adecuada.

4.2 Seguridad frente al acceso por parte de tercerosObjetivo: Mantener la seguridad de las instalaciones de procesamiento de informacin y de los recur-sos de informacin de la organizacin a los que acceden terceras partes.

El acceso a las instalaciones de procesamiento de informacin de la organizacin por parte de terce-ros debe ser controlado.Cuando existe una necesidad de la empresa para permitir dicho acceso, debe llevarse a cabo unaevaluacin de riesgos para determinar las incidencias en la seguridad y los requerimientos de control.Los controles deben ser acordados y definidos en un contrato con la tercera parte.El acceso de terceros tambin puede involucrar otros participantes. Los contratos que confieren ac-ceso a terceros deben incluir un permiso para la designacin de otros participantes capacitados y las

condiciones para su acceso.Este estndar puede utilizarse como base para tales contratos y cuando se considere la tercerizacindel procesamiento de informacin.

4.2.1 Identificacin de riesgos del acceso de terceras partes

4.2.1.1 Tipos de acceso

El tipo de acceso otorgado a terceras partes es de especial importancia. Por ejemplo, los riesgos deacceso a travs de una conexin de red son diferentes de los riesgos relativos al acceso fsico. Los tiposde acceso que deben tenerse en cuenta son:

a) acceso fsico, por ej., a oficinas, salas de cmputos, armarios ;b) acceso lgico, por ej. a las bases de datos y sistemas de informacin de la organizacin.

4.2.1.2 Razones para el acceso

Puede otorgarse acceso a terceros por diversas razones. Por ejemplo, existen terceros que proveenservicios a una organizacin y no estn ubicados dentro de la misma pero se les puede otorgar ac-ceso fsico y lgico, tales como:

a) personal de soporte de hardware y software, quienes necesitan acceso a nivel de sistema o afunciones de las aplicaciones;

b) socios comerciales o socios con riesgos compartidos ("joint ventures"), quienes pueden inter-cambiar informacin, acceder a sistemas de informacin o compartir bases de datos.

La informacin puede ponerse en riesgo si el acceso de terceros se produce en el marco de una in-adecuada administracin de la seguridad. Cuando existe una necesidad de negocios que involucranuna conexin con un sitio externo, debe llevarse a cabo una evaluacin de riesgos para identificar losrequerimientos de controles especficos. sta debe tener en cuenta el tipo de acceso requerido, elvalor de la informacin, los controles empleados por la tercera parte y la incidencia de este acceso enla seguridad de la informacin de la organizacin.



19

4.2.1.3 Contratistas in situ

Las terceras partes que sean ubicadas in situ por un perodo de tiempo determinado segn contrato,tambin pueden originar debilidades en materia de seguridad. Entre los ejemplos de terceras partes

in situ se enumeran los siguientes:a) personal de mantenimiento y soporte de hardware y software;b) limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados;c) pasantas de estudiantes y otras designaciones contingentes de corto plazo;d) consultores.

Es esencial determinar qu controles son necesarios para administrar el acceso de terceras partes a lasinstalaciones de procesamiento de informacin. En general, todos los requerimientos de seguridad queresultan de los controles internos o del acceso de terceros, deben estar reflejados en los contratoscelebrados con los mismos (ver tambin 4.2.2). Por ejemplo, si existe una necesidad especfica de

confidencialidad de la informacin, podran implementarse acuerdos de no-divulgacin (ver 6.1.3).

No se debe otorgar a terceros acceso a la informacin ni a las instalaciones de procesamiento de lamisma hasta tanto se hayan implementado los controles apropiados y se haya firmado un contratoque defina las condiciones para la conexin o el acceso.

4.2.2 Requerimientos de seguridad en contratos con terceros

Las disposiciones que contemplan el acceso de terceros a las instalaciones de procesamiento de in-formacin de la organizacin deben estar basadas en un contrato formal que contenga todos losrequerimientos de seguridad, o haga referencia a los mismos, a fin de asegurar el cumplimiento delas polticas y estndares (normas) de seguridad de la organizacin. El contrato debe garantizar queno surjan malentendidos entre la organizacin y el proveedor. Las organizaciones deben estar satis-fechas con las garantas de su proveedor. Se deben considerar las siguientes clusulas para suinclusin en el contrato:

a) la poltica general de seguridad de la informacin;b) la proteccin de activos, con inclusin de:

1) procedimientos de proteccin de los activos de la organizacin, incluyendo informa-cin y software;

2) procedimientos para determinar si se han comprometido los activos, por ej., debidoa prdida o modificacin de datos;

3) controles para garantizar la recuperacin o destruccin de la informacin y los acti-vos al finalizar el contrato, o en un momento convenido durante la vigencia delmismo;

4) integridad y disponibilidad;5) restricciones a la copia y divulgacin de informacin;

c) una descripcin de cada servicio del que podr disponerse;d) el nivel de servicio al que se aspira y los niveles de servicio que se consideran inaceptables;e) disposicin que contemple la transferencia de personal cuando corresponda;f) las respectivas obligaciones de las partes con relacin al acuerdo;g) responsabilidades con respecto a asuntos legales, por ej., legislacin referida a proteccin de

datos, especialmente teniendo en cuenta diferentes sistemas legales nacionales si el contratocontempla la cooperacin con organizaciones de otros pases (ver tambin 12.1);



20

h) derechos de propiedad intelectual y asignacin de derecho de propiedad intelectual (ver12.1.2), y proteccin de trabajos realizados en colaboracin (ver tambin 6.1.3) ;

i) acuerdos de control de accesos que contemplen:1) los mtodos de acceso permitidos, y el control y uso de identificadores nicos como

IDs y contraseas de usuarios;2) un proceso de autorizacin de acceso y privilegios de usuarios;3) un requerimiento para mantener actualizada una lista de individuos autorizados a

utilizar los servicios que han de implementarse y sus derechos y privilegios con res-pecto a dicho uso;

j) la definicin de criterios de desempeo comprobables, y el monitoreo y presentacin de in-formes respecto de los mismos;

k) el derecho a monitorear, y revocar (impedir), la actividad del usuario;l) el derecho a auditar responsabilidades contractuales o a contratar a un tercero para la reali-

zacin de dichas auditoras;m) el establecimiento de un proceso gradual para la resolucin de problemas; tambin deben

considerarse, si corresponde, disposiciones con relacin a situaciones de contingencia;n) responsabilidades relativas a la instalacin y el mantenimiento de hardware y software;o) una clara estructura de dependencia y del proceso de elaboracin y presentacin de informes

que contemple un acuerdo con respecto a los formatos de los mismos;p) un proceso claro y detallado de administracin de cambios;q) los controles de proteccin fsica requeridos y los mecanismos que aseguren la implementa-

cin de los mismos;r) los mtodos y procedimientos de entrenamiento de usuarios y administradores en materia de

seguridad;s) los controles que garanticen la proteccin contra software malicioso (ver 8.3);t) las disposiciones con respecto a elaboracin y presentacin de informes, notificacin e inves-

tigacin de incidentes y violaciones relativos a la seguridad;

u) la relacin entre proveedores y subcontratistas.

4.3 Tercerizacin

Objetivo: Mantener la seguridad de la informacin cuando la responsabilidad por el procesamiento dela misma fue delegada a otra organizacin.Los acuerdos de tercerizacin deben contemplar los riesgos, los controles de seguridad y los proce-dimientos para sistemas de informacin, redes y/o ambientes de PC (desk top environments) en elcontrato entre las partes.

4.3.1 Requerimientos de seguridad en contratos de tercerizacin

Los requerimientos de seguridad de una organizacin que terceriza la administracin y el control detodos sus sistemas de informacin, redes y/o ambientes de PC, o de parte de los mismos, deben sercontemplados en un contrato celebrado entre las partes.

Entre otros tems, el contrato debe contemplar:a) cmo se cumplirn los requisitos legales, por ej., la legislacin sobre proteccin de datos;b) qu disposiciones se implementarn para garantizar que todas las partes involucradas en la

tercerizacin, incluyendo los subcontratistas, estarn al corriente de sus responsabilidades enmateria de seguridad;

c) cmo se mantendr y comprobar la integridad y confidencialidad de los .activos de negocio

de la organizacin ;



21

d) qu controles fsicos y lgicos se utilizarn para restringir y delimitar el acceso de los usuariosautorizados a la informacin sensible de la organizacin;

e) cmo se mantendr la disponibilidad de los servicios ante la ocurrencia de desastres;f) qu niveles de seguridad fsica se asignarn al equipamiento tercerizado;

g) el derecho a la auditora.

Asimismo, se deben tener en cuenta las clusulas enumeradas en el punto 4.2.2 como parte de estecontrato. El mismo debe permitir la ampliacin de los requerimientos y procedimientos de seguridaden un plan de administracin de la seguridad a ser acordado entre las partes.

Si bien los contratos de tercerizacin pueden plantear algunas cuestiones complejas en materia deseguridad, los controles incluidos en este cdigo de prctica pueden servir como punto de partida pa-ra acordar la estructura y el contenido del plan de gestin de la seguridad.

5 CLASIFICACIN Y CONTROL DE ACTIVOS

5.1 Responsabilidad por rendicin de cuentas de los activos

Objetivo: Mantener una adecuada proteccin de los activos de la organizacin.

Se debe rendir cuentas por todos los recursos de informacin importantes y se debe designar unpropietario para cada uno de ellos.La rendicin de cuentas por los activos ayuda a garantizar que se mantenga una adecuada protec-cin. Se deben identificar a los propietarios para todos los activos importantes y se debe asignarse laresponsabilidad por el mantenimiento de los controles apropiados. La responsabilidad por la imple-

mentacin de los controles puede ser delegada. En ltimo trmino, el propietario designado del activodebe rendir cuentas por el mismo.

5.1.1 Inventario de activos

Los inventarios de activos ayudan a garantizar la vigencia de una proteccin eficaz de los recursos, ytambin pueden ser necesarios para otros propsitos de la empresa, como los relacionados con sa-nidad y seguridad, seguros o finanzas (administracin de recursos). El proceso de compilacin de uninventario de activos es un aspecto importante de la administracin de riesgos. Una organizacin de-be contar con la capacidad de identificar sus activos y el valor relativo e importancia de los mismos.Sobre la base de esta informacin, la organizacin puede entonces,' asignar niveles de proteccin

proporcionales al valor e importancia de los activos. , Se debe elaborar y mantener un inventario delos activos importantes asociados a cada sistema de informacin. Cada activo debe ser claramenteidentificado y su propietario y clasificacin en cuanto a seguridad (ver 5.2) deben ser acordados ydocumentados, junto con la ubicacin vigente del mismo (importante cuando se emprende una recu-peracin posterior a una prdida o dao). Ejemplos de activos asociados a sistemas de informacinson los siguientes:

a) recursos de informacin: bases de datos y archivos, documentacin de sistemas, manuales deusuario, material de capacitacin, procedimientos operativos o de soporte, planes de continui-dad, disposiciones relativas a sistemas de emergencia para la reposicin de informacinperdida ("fallback"), informacin archivada;



22

b) recursos de software: software de aplicaciones, software de sistemas, herramientas de desa-rrollo y utilitarios;

c) activos fsicos: equipamiento informtico (procesadores, monitores, computadoras porttiles,mdems), equipos de comunicaciones (routers, PABXs, mquinas de fax, contestadores auto-

mticos), medios magnticos (cintas y discos), otros equipos tcnicos (suministro deelectricidad, unidades de aire acondicionado), mobiliario, lugares de emplazamiento ;d) servicios: servicios informticos y de comunicaciones, utilitarios generales, por ej., calefaccin,

iluminacin, energa elctrica, aire acondicionado.

5.2 Clasificacin de la informacin

Objetivo: Garantizar que los recursos de informacin reciban un apropiado nivel de proteccin.La informacin debe ser clasificada para sealar la necesidad, la prioridades y el grado de protec-cin.La informacin tiene diversos grados de sensibilidad y criticidad. Algunos tems pueden requerir unnivel de proteccin adicional o un tratamiento especial. Se debe utilizar un sistema de clasificacin de

la informacin para definir un conjunto apropiado de niveles de proteccin y comunicar la necesidadde medidas de tratamiento especial.

5.2.1 Pautas de clasificacin

Las clasificaciones y controles de proteccin asociados de la informacin, deben tomar cuenta de lasnecesidades de la empresa con respecto a la distribucin (uso compartido) o restriccin de lainformacin, y de la incidencia de dichas necesidades en las actividades de la organizacin, por ej.acceso no autorizado o dao ala informacin. En general, la clasificacin asignada a la informacin esuna forma sencilla de sealar cmo ha de ser tratada y protegida. La informacin y las salidas de lossistemas que administran datos clasificados deben ser rotuladas segn su valor y grado de sensibilidadpara la organizacin. Asimismo, podra resultar conveniente rotular la informacin segn su grado decriticidad, por ej. en trminos de integridad y disponibilidad.

Frecuentemente, la informacin deja de ser sensible o crtica despus de un cierto perodo de tiempo,verbigracia, cuando la informacin se ha hecho pblica. Estos aspectos deben tenerse en cuenta,puesto que la clasificacin por exceso ("over- classification") puede traducirse en gastos adicionalesinnecesarios para la organizacin. Las pautas de clasificacin deben prever y contemplar el hecho deque la clasificacin de un tem de informacin determinado no necesariamente, debe mantenerseinvariable por siempre, y que sta puede cambiar de acuerdo con una poltica predeterminada (ver 9.1).Se debe considerar el nmero de categoras de clasificacin y los beneficios que se obtendrn con suuso. Los esquemas demasiado complejos pueden tornarse engorrosos y antieconmicos o resultar pocoprcticos. Deben interpretarse cuidadosamente los rtulos de clasificacin de los documentos de otras

organizaciones que podran tener distintas definiciones para rtulos iguales o similares.

La responsabilidad por la definicin de la clasificacin de un tem de informacin, por ej., un docu-mento, registro de datos, archivo de datos o disquete, y por la revisin peridica de dichaclasificacin, debe ser asignada al creador o propietario designado de la informacin.

5.2.2 Rotulado y manejo de la informacin

Es importante que se defina un conjunto de procedimientos adecuados para el rotulado y manejo dela informacin, segn el esquema de clasificacin adoptado por la organizacin. Estos procedimien-tos deben incluir los recursos de informacin en formatos fsicos y electrnicos. Para cada



23

clasificacin, se deben definir procedimientos de manejo que incluyan los siguientes tipos de activi-dades de procesamiento de la informacin:

a) copia;

b) almacenamiento;c) transmisin por correo, fax y correo electrnico;d) transmisin oral, incluyendo telefona mvil, correo de voz, contestadores automticos;

6 SEGURIDAD DEL PERSONAL

6.1 Seguridad en la definicin de puestos de trabajo y la asignacin de recursos

Objetivo : Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones.Las responsabilidades en materia de seguridad deben ser explicitadas en la etapa de reclutamiento,

incluidas en los contratos y monitoreadas durante el desempeo del individuo como empleado.Los candidatos a ocupar los puestos de trabajo deben ser adecuadamente seleccionados (ver 6.1.2),especialmente si se trata de tareas crticas. Todos los empleados y usuarios externos de las instala-ciones de procesamiento de informacin deben firmar un acuerdo de confidencialidad (norevelacin).

6.1.1 Inclusin de la seguridad en las responsabilidades de los puestos de trabajo

Las funciones y responsabilidades en materia de seguridad, segn consta en la poltica de seguridadde la informacin de la organizacin (ver 3.1), deben ser documentadas segn corresponda. stasdeben incluir las responsabilidades generales por la implementacin o el mantenimiento de la polticade seguridad, as como las responsabilidades especficas por la proteccin de cada uno de los acti-vos, o por la ejecucin de procesos o actividades de seguridad especficos.

6.1.2 Seleccin y poltica de personal

Se deben llevar a cabo controles de verificacin del personal permanente en el momento en que sesolicita el puesto. stos deben incluir los siguientes:

a) disponibilidad de certificados de buena conducta satisfactorios, por ej. uno laboral y uno per-sonal

b) una comprobacin (de integridad y veracidad) del curriculum vitae del aspirantec) constatacin de las aptitudes acadmicas y profesionales alegadas

d) verificacin de la identidad (pasaporte o documento similar).Cuando un puesto, por asignacin inicial o por promocin, involucra a una persona que tiene accesoa las instalaciones de procesamiento de informacin, y en particular si stas manejan informacinsensible, por ej. informacin financiera o altamente confidencial, la organizacin tambin debe llevara cabo una verificacin de crdito. En el caso del personal con posiciones de jerarqua considerable,esta verificacin debe repetirse peridicamente.

Un proceso de seleccin similar debe llevarse a cabo con contratistas y personal temporario. Cuan-do ste es provisto a travs de una agencia, el contrato celebrado con la misma debe especificarclaramente las responsabilidades de la agencia por la seleccin y los procedimientos de notificacinque sta debe seguir si la seleccin no ha sido efectuada o si los resultados originan dudas o inquie-

tudes.



24

La gerencia debe evaluar la supervisin requerida para personal nuevo e inexperto con autorizacinpara acceder a sistemas sensibles. El trabajo de todo el personal debe estar sujeto a revisin peri-dica y a procedimientos de aprobacin por parte de un miembro del personal con mayor jerarqua.

Los gerentes deben estar al corriente de que las circunstancias personales de sus empleados pue-den afectar su trabajo. Los problemas personales o financieros, los cambios en su conducta o estilode vida, las ausencias recurrentes y la evidencia de stress o depresin pueden conducir a fraudes,robos, errores u otras implicaciones que afecten la seguridad. Esta informacin debe manejarse deacuerdo con la legislacin pertinente que rija en la jurisdiccin del caso.

6.1.3 Acuerdos de confidencialidad

Los acuerdos de confidencialidad o no divulgacin se utilizan para resear que la informacin es con-fidencial o secreta. Los empleados deben firmar habitualmente un acuerdo de esta ndole comoparte de sus trminos y condiciones iniciales de empleo.

El personal ocasional y los usuarios externos an no contemplados en un contrato formalizado (quecontenga el acuerdo de confidencialidad) debern firmar el acuerdo mencionado antes de que se lesotorgue acceso a las instalaciones de procesamiento de informacin.

Los acuerdos de confidencialidad deben ser revisados cuando se producen cambios en los trminosy condiciones de empleo o del contrato, en particular cuando el empleado est prximo a desvincu-larse de la organizacin o el plazo del contrato est por finalizar.

6.1.4 Trminos y condiciones de empleo

Los trminos y condiciones de empleo deben establecer la responsabilidad del empleado por la se-guridad de la informacin. Cuando corresponda, estas responsabilidades deben continuar por un

perodo definido una vez finalizada la relacin laboral. Se deben especificar las acciones que se em-prendern si el empleado hace caso omiso de los requerimientos de seguridad.

Las responsabilidades y derechos legales del empleado, por ej. en relacin con las leyes de derechode propiedad intelectual o la legislacin de proteccin de datos, deben ser clarificados e incluidos enlos trminos y condiciones de empleo.

Tambin se debe incluir la responsabilidad por la clasificacin y administracin de los datos del em-pleador. Cuando corresponda, los trminos y condiciones de empleo deben establecer que estasresponsabilidades se extienden ms all de los lmites de la sede de la organizacin y del horarionormal de trabajo, por ej. cuando el empleado desempea tareas en su domicilio (ver tambin 7.2.5 y9.8.1).

6.2 Capacitacin del usuario

Objetivo : Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia deseguridad de la informacin, y estn capacitados para respaldar la poltica de seguridad de laorganizacin en el transcurso de sus tareas normales.Los usuarios deben ser capacitados en relacin con los procedimientos de seguridad y el correctouso de las instalaciones de procesamiento de informacin, a fin de minimizar eventuales riesgos deseguridad.



25

6.2.1 Formacin y capacitacin en materia de seguridad de la informacin

Todos los empleados de la organizacin y, cuando sea pertinente, los usuarios externos, deben reci-bir una adecuada capacitacin y actualizaciones peridicas en materia de polticas y procedimientosde la organizacin. Esto comprende los requerimientos de seguridad, las responsabilidades legalesy controles del negocio, as como la capacitacin referida al uso correcto de las instalaciones de pro-cesamiento de informacin, por ej. el procedimiento de entrada al sistema ("log-on") y el uso depaquetes de software, antes de que se les otorgue acceso a la informacin o a los servicios.

6.3 Respuesta a incidentes y anomalas en materia de seguridad

Objetivo : Minimizar el dao producido por incidentes y anomalas en materia de seguridad, y monito-rear dichos incidentes y aprender de los mismos.Los incidentes que afectan la seguridad deben ser comunicados mediante canales gerenciales ade-cuados tan pronto como sea posible.Se debe concientizar a todos los empleados y contratistas acerca de los procedimientos de

comunicacin de los diferentes tipos de incidentes (violaciones, amenazas, debilidades o anomalas enmateria de seguridad) que podran producir un impacto en la seguridad de los activos de laorganizacin. Se debe requerir que los mismos comuniquen cualquier incidente advertido o supuesto alpunto de contacto designado tan pronto como sea posible. La organizacin debe establecer un procesodisciplinario formal para ocuparse de los empleados que perpetren violaciones de la seguridad. Paralograr abordar debidamente los incidentes podra ser necesario recolectar evidencia tan pronto comosea posible una vez ocurrido el hecho (ver 12.1.7).

6.3.1 Comunicacin de incidentes relativos a la seguridad

Los incidentes relativos a la seguridad deben comunicarse a travs de canales gerenciales apropia-dos tan pronto como sea posible.

Se debe establecer un procedimiento formal de comunicacin, junto con un procedimiento de res-puesta a incidentes, que establezca la accin que ha de emprenderse al recibir un informe sobreincidentes. Todos los empleados y contratistas deben estar al corriente del procedimiento de comu-nicacin de incidentes de seguridad, y deben informar de los mismos tan pronto como sea posible.

Debern implementarse adecuados procesos de "feedback" para garantizar que las personas quecomunican los incidentes sean notificadas de los resultados una vez tratados y resueltos los mismos.

Estos incidentes pueden ser utilizados durante la capacitacin a fin de crear conciencia de seguridaden el usuario (ver 6.2) como ejemplos de lo que puede ocurrir, de cmo responder a dichos inciden-tes y de cmo evitarlos en el futuro (ver tambin 12.1.7).

6.3.2 Comunicacin de debilidades en materia de seguridad

Los usuarios de servicios de informacin deben advertir, registrar y comunicar las debilidades oamenazas supuestas u observadas en materia de seguridad, con relacin a los sistemas o servicios.

Debern comunicar estos asuntos a su gerencia, o directamente a su proveedor de servicios, tan prontocomo sea posible. Se debe informar a los usuarios que ellos no deben, bajo ninguna circunstancia,intentar probar una supuesta debilidad. Esto se lleva a cabo para su propia proteccin, debido a que elintentar probar debilidades puede ser interpretado como un potencial mal manejo del sistema.



26

6.3.3 Comunicacin de anomalas del software

Se deben establecer procedimientos para la comunicacin de anomalas del software. Se debenconsiderar las siguientes acciones:

a) Deben advertirse y registrarse los sntomas del problema y los mensajes que aparecen enpantalla.

b) La computadora debe ser aislada, si es posible, y debe detenerse el uso de la misma. Se de-be alertar de inmediato a la persona pertinente (contacto). Si se ha de examinar el equipo,ste debe ser desconectado de las redes de la organizacin antes de ser activado nuevamen-te. Los disquetes no deben transferirse a otras computadoras.

c) El asunto debe ser comunicado inmediatamente al gerente de seguridad de la informacin.

Los usuarios no deben quitar el software que supuestamente tiene una anomala, a menos que estnautorizados a hacerlo. La recuperacin debe ser realizada por personal adecuadamente capacitadoy experimentado.

6.3.4 Aprendiendo de los incidentes

Debe haberse implementado mecanismos que permitan cuantificar y monitorear los tipos, volmenesy costos de los incidentes y anomalas. Esta informacin debe utilizarse para identificar incidentes oanomalas recurrentes o de alto impacto. Esto puede sealar la necesidad de mejorar o agregar con-troles para limitar la frecuencia, dao y costo de casos futuros, o de tomarlos en cuenta en el procesode revisin de la poltica de seguridad (ver 3.1.2).

6.3.5 Proceso disciplinario

Debe existir un proceso disciplinario formal para los empleados que violen las polticas y procedi-

mientos de seguridad de la organizacin (ver 6.1.4 y para el tpico retencin de evidencia, ver12.1.7). Dicho proceso puede servir de factor disuasivo de los empleados que, de no mediar el mis-mo, podran ser proclives a pasar por alto los procedimientos de seguridad.

Asimismo, este proceso debe garantizar un trato imparcial y correcto hacia los empleados sospecho-sos de haber cometido violaciones graves o persistentes a la seguridad.

7 SEGURIDAD FSICA Y AMBIENTAL

7.1 reas seguras

Objetivo: Impedir accesos no autorizados, daos e interferencia a las sedes e informacin de la em-presa.Las instalaciones de procesamiento de informacin crtica o sensible de la empresa deben estar ubi-cadas en reas protegidas y resguardadas por un permetro de seguridad definido, con vallas deseguridad y controles de acceso apropiados. Deben estar fsicamente protegidas contra accesos noautorizados, daos e intrusiones.La proteccin provista debe ser proporcional a los riesgos identificados. Se recomienda la implemen-tacin polticas de escritorios y pantallas limpios para reducir el riesgo de acceso no autorizado o dedao a papeles, medios de almacenamiento e instalaciones de procesamiento de informacin.



27

7.1.1 Permetro de seguridad fsica

La proteccin fsica puede llevarse a cabo mediante la creacin de diversas barreras fsicas alrede-dor de las sedes de la organizacin y de las instalaciones de procesamiento de informacin. Cadabarrera establece un permetro de seguridad, cada uno de los cuales incrementa la proteccin totalprovista.

Las organizaciones deben utilizar permetros de seguridad para proteger las reas que contienen ins-talaciones de procesamiento de informacin (ver 7.1.3). Un permetro de seguridad es algodelimitado por una barrera, por ej. una pared, una puerta de acceso controlado por tarjeta o un escri-torio u oficina de recepcin atendidos por personas. El emplazamiento y la fortaleza de cada barreradependern de los resultados de una evaluacin de riesgos.Se deben considerar e implementar los siguientes lineamientos y controles, segn corresponda.

a) El permetro de seguridad debe estar claramente definido.b) El permetro de un edificio o rea que contenga instalaciones de procesamiento de informa-

cin debe ser fsicamente slido (por ej. no deben existir claros [o aberturas] en el permetro oreas donde pueda producirse fcilmente una irrupcin). Las paredes externas del rea de-ben ser de construccin slida y todas las puertas que comunican con el exterior deben seradecuadamente protegidas contra accesos no autorizados, por ej., mediante mecanismos decontrol, vallas, alarmas, cerraduras, etc.

c) Debe existir un rea de recepcin atendida por personal u otros medios de control de accesofsico al rea o edificio. El acceso a las distintas reas y edificios debe estar restringido ex-clusivamente al personal autorizado.

d) Las barreras fsicas deben, si es necesario, extenderse desde el piso (real) hasta el techo (re-al), a fin de impedir el ingreso no autorizado y la contaminacin ambiental, por ejemplo, laocasionada por incendio e inundacin.

e) Todas las puertas de incendio de un permetro de seguridad deben tener alarma y cerrarse

automticamente.

7.1.2 Controles de acceso fsico

Las reas protegidas deben ser resguardadas por adecuados controles de acceso que permitan ga-rantizar que slo se permite el acceso de personal autorizado. Deben tenerse en cuenta lossiguientes controles:

a) Los visitantes de reas protegidas deben ser supervisados o inspeccionados y la fecha yhorario de su ingreso y egreso deben ser registrados. Slo se debe permitir el acceso a losmismos con propsitos especficos y autorizados, instruyndose en dicho momento al visitan-te sobre los requerimientos de seguridad del rea y los procedimientos de emergencia.

b) El acceso a la informacin sensible, y a las instalaciones de procesamiento de informacin,debe ser controlado y limitado exclusivamente a las personas autorizadas. Se deben utilizarcontroles de autenticacin, por ej. tarjeta y nmero de identificacin personal (PIN), para auto-rizar y validar todos los accesos. Debe mantenerse una pista protegida que permita auditartodos los accesos.

c) Se debe requerir que todo el personal exhiba alguna forma de identificacin visible y se lo de-be alentar a cuestionar la presencia de desconocidos no escoltados y a cualquier persona queno exhiba una identificacin visible.

d) Se deben revisar y actualizar peridicamente los derechos de acceso a las reas protegidas.



28

7.1.3 Proteccin de oficinas, recintos e instalaciones

Un rea protegida puede ser una oficina cerrada con llave, o diversos recintos dentro de un permetrode seguridad fsica, el cual puede estar bloqueado y contener cajas fuertes o gabinetes con cerradu-ras. Para la seleccin y el diseo de un rea protegida debe tenerse en cuenta la posibilidad de daoproducido por incendio, inundacin, explosin, agitacin civil, y otras formas de desastres naturales oprovocados por el hombre. Tambin deben tomarse en cuenta las disposiciones y normas (estnda-res) en materia de sanidad y seguridad. Asimismo, se debern considerar las amenazas a laseguridad que representan los edificios y zonas aledaas, por ej. filtracin de agua desde otras re-as.

Se deben considerar los siguientes controles

a) Las instalaciones clave deben ubicarse en lugares a los cuales no pueda acceder el pblico.b) Los edificios deben ser discretos y ofrecer un sealamiento mnimo de su propsito, sin sig-

nos obvios, exteriores o interiores, que identifiquen la presencia de actividades de

procesamiento de informacin.c) Las funciones y el equipamiento de soporte, por ej. fotocopiadoras, mquinas de fax, debenestar ubicados adecuadamente dentro del rea protegida para evitar solicitudes de acceso, elcual podra comprometer la informacin.

d) Las puertas y ventanas deben estar bloqueadas cuando no hay vigilancia y debe considerar-se la posibilidad de agregar proteccin externa a las ventanas, en particular las que seencuentran al nivel del suelo.

e) Se deben implementar adecuados sistemas de deteccin de intrusos. Los mismos deben serinstalados segn estndares profesionales y probados peridicamente. Estos sistemas com-prendern todas las puertas exteriores y ventanas accesibles. Las reas vacas deben teneralarmas activadas en todo momento. Tambin deben protegerse otras reas, como la sala decmputos o las salas de comunicaciones.

f) Las instalaciones de procesamiento de informacin administradas por la organizacin debenestar fsicamente separadas de aquellas administradas por terceros.

g) Los guas telefnicas y listados de telfonos internos que identifican las ubicaciones de lasinstalaciones de procesamiento de informacin sensible no deben ser fcilmente accesibles alpblico.

h) Los materiales peligrosos o combustibles deben ser almacenados en lugares seguros a unadistancia prudencial del rea protegida. Los suministros a granel, como los tiles de escrito-rio, no deben ser almacenados en el rea protegida hasta que sean requeridos.

i) El equipamiento de sistemas de soporte UPC (Usage Parameter Control) de reposicin de in-formacin perdida ("fallback") y los medios informticos de resguardo deben estar situados auna distancia prudencial para evitar daos ocasionados por eventuales desastres en el sitioprincipal.

7.1.4 Desarrollo de tareas en reas protegidas

Para incrementar la seguridad de un rea protegida pueden requerirse controles y lineamientos adi-cionales. Esto incluye controles para el personal o terceras partes que trabajan en el rea protegida,as como para las actividades de terceros que tengan lugar all. Se debern tener en cuenta los si-guientes puntos:

a) El personal slo debe tener conocimiento de la existencia de un rea protegida, o de las acti-vidades que se llevan a cabo dentro de la misma, segn el criterio de necesidad de conocer.

b) Se debe evitar el trabajo no controlado en las reas protegidas tanto por razones de seguri-

dad como para evitar la posibilidad de que se lleven a cabo actividades maliciosas.



29

c) Las reas protegidas desocupadas deben ser fsicamente bloqueadas y peridicamente ins-peccionadas.

d) El personal del servicio de soporte externo debe tener acceso limitado a las reas protegidaso a las instalaciones de procesamiento de informacin sensible. Este acceso debe ser otor-

gado solamente cuando sea necesario y debe ser autorizado y monitoreado. Puedenrequerirse barreras y permetros adicionales para controlar el acceso fsico entre reas con di-ferentes requerimientos de seguridad, y que estn ubicadas dentro del mismo permetro deseguridad.

e) A menos que se autorice expresamente, no debe permitirse el ingreso de equipos fotogrfi-cos, de vdeo, audio u otro tipo de equipamiento que registre informacin.

7.1.5 Aislamiento de las reas de entrega y carga

Las reas de entrega y carga deben ser controladas y, si es posible, estar aisladas de las instalacio-nes de procesamiento de informacin, a fin de impedir accesos no autorizados. Los requerimientosde seguridad de dichas reas deben ser determinados mediante una evaluacin de riesgos. Se de-

ben tener en cuenta los siguientes lineamientos:

a) El acceso a las reas de depsito, desde el exterior de la sede de la organizacin, debe estarlimitado a personal que sea previamente identificado y autorizado.

b) El rea de depsito debe ser diseada de manera tal que los suministros puedan ser descar-gados sin que el personal que realiza la entrega acceda a otros sectores del edificio.

c) Todas las puertas exteriores de un rea de depsito deben ser aseguradas cuando se abre lapuerta interna.

d) El material entrante debe ser inspeccionado para descartar peligros potenciales (ver 7.2.l d)antes de ser trasladado desde el rea de depsito hasta el lugar de uso.

e) El material entrante debe ser registrado, si corresponde (ver 5.1), al ingresar al sitio pertinen-te.

7.2 Seguridad del equipamiento

Objetivo: Impedir prdidas, daos o exposiciones al riesgo de los activos e interrupcin de las activi-dades de la empresa.El equipamiento debe estar fsicamente protegido de las amenazas a la seguridad y los peligros delentornoEs necesaria la proteccin del equipamiento (incluyendo el que se utiliza en forma externa) para re-ducir el riesgo de acceso no autorizado a los datos y para prevenir prdidas o daos. Esto tambindebe tener en cuenta la ubicacin y disposicin equipamiento. Pueden requerirse controles especia-les para prevenir peligros o accesos no autorizados, y para proteger instalaciones de soporte, comola infraestructura de cableado y suministro de energa elctrica.

7.2.1 Ubicacin y proteccin del equipamiento

El equipamiento debe ser ubicado o protegido de tal manera que se reduzcan los riesgos ocasiona-dos por amenazas y peligros ambientales, y oportunidades de acceso no autorizado. Se deben teneren cuenta los siguien

09 Política de Seguridad de La Información ISO 17799 - 2000

Documents

Transcript of 09 Política de Seguridad de La Información ISO 17799 - 2000