PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES
Documentación de los procedimientos de operación
Los procedimientos de operación se deberían documentar, mantener y estar disponibles para
todos los usuarios que los necesiten.
Se deberían elaborar procedimientos documentados para las actividades del sistema asociadas
con los servicios de comunicaciones y de procesamiento de información, como por ejemplo
procedimientos para el encendido y apagado de los computadores, copias de respaldo,
mantenimiento de equipos, manejo de los medios, cuarto de equipos y gestión del correo, como
también de la seguridad.
Los procedimientos de operación deberían especificar las instrucciones para la ejecución
detallada de cada trabajo, incluyendo:
a) procesamiento y manejo de información;
b) copias de respaldo;
c) requisitos de programación, incluyendo las interrelaciones con otros sistemas, hora de
comienzo de la tarea inicial y de terminación de la tarea final;
d) instrucciones para el manejo de errores y otras condiciones excepcionales que se
pueden presentar durante la ejecución del trabajo, incluyendo las restricciones al uso de
las utilidades del sistema;
e) contactos de soporte en caso de dificultades técnicas u operativas inesperadas;
f) Instrucciones de manejo de los medios y los informes especiales, como el uso de
papelería especial o el manejo de los informes confidenciales incluyendo los
procedimientos para la eliminación segura de los informes de tareas fallidas ;
g) procedimientos para el reinicio y la recuperación del sistema que se han de usar en
caso de falla del sistema;
h) gestión de los registros de auditoria y de la información de registro del sistema.
Los procedimientos operativos, y los procedimientos documentados para las actividades del sistema, se deberían tratar como documentos formales y sus cambios deberían ser autorizados por la dirección. Cuando sea técnicamente viable, se recomienda gestionar los sistemas de información de forma consistente, utilizando los mismos procedimientos, herramientas y utilidades.
Gestión del cambio
Se deberían controlar los cambios en los servicios y los sistemas de procesamiento de
información.
Los sistemas operativos y el software de aplicación deberían estar sujetos a un control estricto de la gestión del cambio.
En particular, se deberían considerar los siguientes elementos:
a) identificación y registro de los cambios significativos;
b) planificación y pruebas de los cambios;
c) evaluación de los impactos potenciales de tales cambios, incluyendo los impactos en la
seguridad;
d) procedimiento de aprobación formal para los cambios propuestos;
e) comunicación de los detalles del cambio a todas las personas implicadas;
f) procedimientos de emergencia, incluyendo los procedimientos y las responsabilidades
de cancelar o recuperarse de cambios fallidos y eventos imprevistos.
Se deberían establecer las responsabilidades y los procedimientos formales de gestión para garantizar el control satisfactorio de todos los cambios en los equipos, el software o los procedimientos. Cuando se realicen los cambios, es conveniente conservar un registro de auditoría que contenga toda la información pertinente.
Distribución (segregación) de funciones
Las funciones y las áreas de responsabilidad se deberían distribuir para reducir las
oportunidades de modificación no autorizada o no intencional, o el uso inadecuado de los
activos de la organización.
La distribución de funciones es un método para reducir el riesgo de uso inadecuado deliberado o accidental del sistema. Se debería tener cuidado de que ninguna persona pueda tener acceso, modificar o utilizar los activos sin autorización o sin ser detectado. La iniciación de un evento se debería separar de su autorización. Es conveniente considerar la posibilidad de complicidad al diseñar los controles.
Las organizaciones pequeñas pueden encontrar difícil de lograr la distribución de funciones, pero el principio se debería aplicar en la medida de lo posible y viable. Siempre que haya dificultad para la distribución, se deberían considerar otros controles como monitoreo de actividades, registros de auditoría y supervisión por la dirección. Es importante que la auditoría de seguridad siga siendo independiente.
Separación de las instalaciones de desarrollo, ensayo y operación
Las instalaciones de desarrollo, ensayo y operación deberían estar separadas para reducir los riesgos de acceso o cambios no autorizados en el sistema operativo.
Se debería identificar el grado de separación entre los ambientes operativo, de prueba y
de desarrollo que es necesario para prevenir problemas operativos e implementar los controles adecuados.
Se deberían tener presentes los siguientes elementos:
a) se recomienda definir y documentar las reglas para la trasferencia de software del
estado de desarrollo al operativo;
b) el software de desarrollo y el operativo se deberían ejecutar en diferentes sistemas o
procesadores de computación y en diferentes dominios o directorios;
c) los compiladores, editores y otras herramientas de desarrollo o utilidades del sistema no deberían ser accesibles desde los sistemas operativos cuando no se requiera;
d) el ambiente del sistema de prueba debería emular al ambiente del sistema operativo lo
más estrechamente posible;
e) los usuarios deberían emplear perfiles de usuario diferentes para los sistemas
operativos y de prueba y los menús deberían desplegar mensajes de identificación
adecuados para reducir el riesgo de error;
f) los datos sensibles no se deberían copiar en el entorno del sistema de prueba.
GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR TERCERAS PARTES
Prestación del servicio
Se deberían garantizar que los controles de seguridad, las definiciones del servicio y los niveles de prestación del servicio incluidos en el acuerdo, sean implementados, mantenidos y operados por el tercero.
La prestación de servicios por terceros debería incluir los acuerdos sobre disposiciones de
seguridad, definiciones del servicio y aspectos de la gestión del mismo. En el caso de
contrataciones externas, la organización debería planificar las transiciones necesarias (de
información, servicios de procesamiento de información y todo lo demás que se deba transferir) y garantizar que la seguridad se mantiene durante todo el periodo de transición.
Es recomendable que la organización garantice que el tercero mantenga una capacidad de
servicio suficiente, junto con planes ejecutables diseñados para garantizar la conservación de los niveles de continuidad del servicio acordados, después de desastres o fallas significativas en el servicio
Monitoreo y revisión de los servicios por terceros
Los servicios, reportes y registros suministrados por terceras partes se deberían controlar y revisar con regularidad y las auditorias se deberían llevar a cabo a intervalos regulares.
El monitoreo y la revisión de los servicios por terceros deberían garantizar el cumplimiento de los términos y condiciones de seguridad de la información de los acuerdos y que los incidentes y problemas de la seguridad de la información se manejan adecuadamente. Ello debería implicar una relación y un proceso de gestión del servicio entre la organización y el tercero para:
a) monitorear los niveles de desempeño del servicio para verificar el cumplimiento de los
acuerdos;
b) revisar los reportes del servicio elaborados por el tercero y acordar reuniones periódicas sobre el progreso, según lo exijan los acuerdos;
c) suministrar información sobre los incidentes de seguridad de la información, y revisión de esta información por parte de la organización y el tercero, según lo exijan los
acuerdos, directrices y los procedimientos de soporte;
d) revisión de los registros y pruebas de auditoría del tercero con respecto a eventos de
seguridad, problemas operativos, fallas, rastreo de fallas e interrupciones relacionadas
con el servicio prestado;
e) resolver y manejar todos los problemas identificados.
La responsabilidad por la gestión de la relación con el tercero se le debería asignar a una
persona o a un equipo de gestión del servicio. Además, la organización debería garantizar que el tercero asigna responsabilidades para la verificación del cumplimiento y la aplicación de los requisitos de los acuerdos. Se recomienda poner a disposición suficientes habilidades técnicas y recursos para monitorear el cumplimiento de los requisitos del acuerdo, en particular los requisitos de seguridad de la información. Cuando se observan
deficiencias en la prestación del servicio se deberían tomar las acciones adecuadas.
persona o a un equipo de gestión del servicio. Además, la organización debería garantizar que el tercero asigna responsabilidades para la verificación del cumplimiento y la aplicación de los requisitos de los acuerdos. Se recomienda poner a disposición suficientes habilidades técnicas y recursos para monitorear el cumplimiento de los requisitos del acuerdo, en particular los requisitos de seguridad de la información. Cuando se observan
deficiencias en la prestación del servicio se deberían tomar las acciones adecuadas.
La organización debería mantener suficiente control global y no perder de vista todos los
aspectos de seguridad para la información sensible o crítica, o de los servicios de
procesamiento de información que haya procesado, gestionado o tenido acceso el tercero. La organización debería asegurarse de que conserva visibilidad en las actividades de seguridad como gestión de cambios, identificación de vulnerabilidades e informe / respuesta de los incidentes de seguridad de la información a través de un proceso, estructuras y formatos definidos claramente para la presentación de informes.
Gestión de los cambios en los servicios por terceras partes
Los cambios en la prestación de los servicios, incluyendo mantenimiento y mejora de las
políticas existentes de seguridad de la información, en los procedimientos y los controles se deberían gestionar teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, así como la reevaluación de los riesgos.
Es necesario que el proceso de gestión de los cambios en el servicio prestado por el tercero tome en consideración:
a) los cambios hechos por la organización para implementar:
1) mejoras en los servicios actuales ofrecidos;
2) desarrollo de todos los sistemas o aplicaciones nuevas;
3) modificaciones o actualizaciones de las políticas y procedimientos de la
organización;
4) controles nuevos para resolver los incidentes de seguridad de la información y
para mejorar la seguridad;
b) cambios en los servicios por el tercero para implementar:
1) cambios y mejoras en las redes;
2) uso de nuevas tecnologías;
3) adopción de productos nuevos o versiones / divulgaciones más recientes;
4) nuevas herramientas y entornos de desarrollo;
5) cambios en la ubicación física de las instalaciones de los servicios;
6) cambio de proveedores.
PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA
Gestión de la capacidad
Se debería hacer seguimiento y adaptación del uso de los recursos, así como proyecciones de los requisitos de la capacidad futura para asegurar el desempeño requerido del sistema
Para cada actividad nueva y existente es conveniente identificar los requisitos de la capacidad. Se recomienda monitorear y adaptar el sistema para garantizar y, cuando sea necesario, mejorar la capacidad y la eficacia de los sistemas. Se deberían establecer controles de indagación para indicar los problemas en el momento oportuno.
En las proyecciones de los requisitos de capacidad futura se deberían considerar los negocios nuevos y los requisitos del sistema, así como las tendencias actuales y proyectadas en la capacidad de procesamiento de información de la organización.
Es necesario poner atención a los recursos cuya adquisición toma mucho tiempo o requiere costos elevados; por lo tanto, los directores deberían monitorear la utilización de los recursos claves del sistema. También deberían identificar las tendencias del uso, particularmente en relación con las aplicaciones del negocio o las herramientas del sistema de información para la gestión.
Es conveniente que los directores utilicen esta información para identificar y evitar posibles cuellos de botella así como la dependencia de personal clave, los cuales pueden presentar una amenaza para los servicios o la seguridad del sistema, y para planificar la acción adecuada.
Aceptación del sistema
Se deberían establecer criterios de aceptación para sistemas de información nuevos,
actualizaciones y nuevas versiones y llevar a cabo los ensayos adecuados del sistema durante el desarrollo y antes de la aceptación.
Los directores deberían garantizar que los requisitos y los criterios para la aceptación de
sistemas nuevos están definidos, acordados, documentados y probados claramente. Los
sistemas de información nuevos, las actualizaciones y las nuevas versiones únicamente
deberían migrar a producción después de obtener la aceptación formal. Se deberían considerar los siguientes elementos antes de la aceptación formal:
a) requisitos de desempeño y capacidad de los computadores;
b) procedimientos de reinicio y de recuperación por errores, y planes de contingencia;
c) preparación y prueba de procedimientos operativos de rutina para las normas definidas;
d) establecimiento del conjunto de controles de seguridad acordados;
e) procedimientos manuales eficaces;
f) disposiciones para la continuidad del negocio (véase el numeral 14.1);
g) evidencia de que la instalación del sistema nuevo no afectará adversamente a los
sistemas existentes, particularmente en los momentos pico de procesamiento, como al
final de mes;
h) evidencia de que se ha tenido en cuenta el efecto del sistema nuevo en toda la
seguridad de la organización;
i) formación en el funcionamiento o utilización de los sistemas nuevos;
j) facilidad de uso, en la medida en que afecte el desempeño del usuario y evite el error
humano.
Para nuevos desarrollos importantes se debería consultar a los usuarios y a la función de
operaciones en todas las fases del proceso de desarrollo para garantizar la eficiencia operativa del diseño del sistema propuesto. Es conveniente llevar a cabo pruebas adecuadas para confirmar el cumplimiento pleno de todos los criterios de aceptación.
PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MÓVILES
Controles contra códigos maliciosos
Se deberían implementar controles de detección, prevención y recuperación para proteger contra códigos maliciosos, así como procedimientos apropiados de concientización de los usuarios.
La protección contra códigos maliciosos se debería basar en software de detección y
reparación de códigos maliciosos, conciencia sobre seguridad, acceso apropiado al sistema y controles en la gestión de cambios. Se recomienda considerar las siguientes directrices:
a) establecer una política formal que prohíba el uso de software no autorizado;
b) establecer una política formal para la protección contra los riesgos asociados con la
obtención de archivos y software, bien sea desde o a través de redes externas o
cualquier otro medio, indicando las medidas de protección que se deberían tomar
c) llevar a cabo revisiones regulares del software y del contenido de datos de los sistemas
que dan soporte a los procesos críticos del negocio; se debería investigar formalmente
la presencia de archivos no aprobados o modificaciones no autorizadas;
d) instalación y actualización regular del software de detección y reparación de códigos
maliciosos para explorar los computadores y los medios, como control preventivo o de
forma rutinaria; las verificaciones realizadas deberían incluir:
1) verificación de la presencia de códigos maliciosos en todos los archivos en
medios ópticos o electrónicos y archivos recibidos en las redes antes de su uso;
2) verificación de la presencia de códigos maliciosos en los adjuntos y las
descargas del correo electrónico antes del uso; esta verificación se debería
efectuar en diferentes lugares, por ejemplo en los servidores de correo
electrónico, los computadores de escritorio y cuando ingresan a la red de la
organización;
3) verificación de las páginas web para comprobar la presencia de códigos
maliciosos;
e) definir responsabilidades y procedimientos de gestión para tratar la protección contra
códigos maliciosos en los sistemas, la formación sobre su uso, el reporte y la
recuperación debido a ataques de códigos maliciosos;
f) preparación de planes adecuados para la continuidad del negocio con el fin de
recuperarse de los ataques de códigos maliciosos, incluyendo todos los datos y el
soporte de software necesarios y las disposiciones para la recuperación;
g) implementación de procedimientos para recolectar información con regularidad, como la suscripción a sitios web de verificación y / o listados de correo que suministren
información sobre los códigos maliciosos nuevos;
h) implementación de procedimientos para verificar la información relacionada con códigos maliciosos y garantizar que los boletines de advertencia sean exactos e informativos; los directores deberían garantizar que se utilizan fuentes calificadas, por ejemplo diarios reconocidos, sitios confiables de Internet o proveedores de software de protección contra códigos maliciosos para diferenciar entre falsas alarmas y códigos maliciosos reales; todos los usuarios deberían conocer el problema de los falsas alarmas y qué hacer al recibirlas.
Controles contra códigos móviles
Cuando se autoriza la utilización de códigos móviles, la configuración debería asegurar que dichos códigos operan de acuerdo con la política de seguridad claramente definida, y se debería evitar la ejecución de los códigos móviles no autorizados.
Se recomienda tener en cuenta las siguientes consideraciones para la protección contra
códigos móviles que ejecutan acciones no autorizadas:
a) ejecución de los códigos móviles en un entorno con aislamiento lógico;
b) bloqueo de cualquier uso de códigos móviles;
c) bloqueo de la recepción de códigos móviles;
d) activación de medidas técnicas, según estén disponibles, en un sistema específico para
garantizar la gestión del código móvil;
e) control de recursos disponibles para el acceso a códigos móviles;
f) controles criptográficos para autenticar de forma única el código móvil.
RESPALDO
Respaldo de la información
Se deberían hacer copias de respaldo de la información y del software, y se deben poner a
prueba con regularidad de acuerdo con la política de respaldo acordada.
Es conveniente disponer de servicios de respaldo adecuados para garantizar que la información y el software esenciales se recuperan después de un desastre o una falla de los medios.
Se recomienda considerar los siguientes elementos para el respaldo de la información:
a) es recomendable definir el nivel necesario para la información de respaldo;
b) se deberían hacer registros exactos y completos de las copias de respaldo y generar
procedimientos documentados de restauración;
c) la extensión (por ejemplo respaldo completo o diferencial) y la frecuencia de los
respaldos debería reflejar los requisitos del negocio de la organización, los requisitos de
seguridad de la información involucrada y la importancia de la operación continua de la
organización;
d) los respaldos se deberían almacenar en un sitio lejano, a una distancia suficiente para
escapar a cualquier daño debido a desastres en la sede principal;
e) a la información de respaldo se le debería dar un grado apropiado de protección física y ambiental consistente con las normas aplicadas en la sede principal; los controles aplicados a los medios en la sede principal se deberían extender para cubrir el sitio en donde está el respaldo;
f) es conveniente probar con regularidad los medios de respaldo para garantizar que sean
confiables para uso en emergencias, cuando sea necesario;
g) los procedimientos de restauración se deberían verificar y probar con regularidad para
garantizar su eficacia y que se pueden completar dentro del tiempo designado en los
procedimientos operativos para la recuperación;
h) en situaciones en donde es importante la confidencialidad, los respaldos se deberían
proteger por medio de encriptación.
Las disposiciones de respaldo para los sistemas individuales se deberían someter a prueba con regularidad para garantizar que cumplen los requisitos de los planes para la continuidad del negocio (véase la sección 14). Para sistemas críticos, las disposiciones de respaldo deberían comprender toda la información de los sistemas, las aplicaciones y los datos necesarios para recuperar todo el sistema en caso de desastre.
Es necesario determinar el periodo de retención de la información esencial para el negocio, así como cualquier requisito para retener permanentemente las copias de archivo
GESTIÓN DE LA SEGURIDAD DE LAS REDES
Controles de las redes
Las redes se deberían mantener y controlar adecuadamente para protegerlas de las amenazas y mantener la seguridad de los sistemas y aplicaciones que usan la red, incluyendo la información en tránsito.
Los directores de la red deberían implementar controles que garanticen la seguridad de la
información sobre las redes y la protección de los servicios conectados contra el acceso no
autorizado. En particular, es conveniente tener en cuenta los siguientes elementos:
a) la responsabilidad operativa por las redes debería estar separada de las operaciones de
computador, según sea apropiado (véase el numeral 10.1.3);
b) es necesario establecer las responsabilidades y los procedimientos para la gestión de
equipos remotos, incluyendo los equipos en áreas de usuarios;
c) es conveniente establecer controles especiales para salvaguardar la confidencialidad y
la integridad de los datos que pasan por redes públicas o redes inalámbricas y para
proteger los sistemas y las aplicaciones conectadas (véanse los numerales 11.4 y 12.3);
también se pueden requerir controles especiales para mantener la disponibilidad de los
servicios de la red y los computadores conectados;
d) se deberían aplicar el registro y el monitoreo adecuados para permitir el registro de
acciones de seguridad pertinentes;
e) se recomienda coordinar estrechamente las actividades de gestión tanto para optimizar
el servicio para la organización como para garantizar que los controles se aplican
consistentemente en toda la infraestructura del procesamiento de información.
Seguridad de los servicios de la red
En cualquier acuerdo sobre los servicios de la red se deberían identificar e incluir las
características de seguridad, los niveles de servicio y los requisitos de gestión de todos los
servicios de la red, sin importar si los servicios se prestan en la organización o se contratan externamente.
La capacidad del proveedor del servicio de red para gestionar los servicios acordados de forma segura se debería determinar y monitorear regularmente, y se debería acordar el derecho a auditoría.
Se deberían identificar las disposiciones de seguridad necesarias para servicios particulares, tales como las características de seguridad, los niveles de servicio y los requisitos de gestión.
La organización debería garantizar que los proveedores de servicios de red implementan estas medidas.
Las características de los servicios de red podrían ser:
a) tecnología aplicada para la seguridad de los servicios de red, como la autenticación, la
encriptación y los controles de conexión de red;
b) parámetros técnicos requeridos para la conexión segura a los servicios de red según las
reglas de seguridad y conexión de red;
c) procedimientos para la utilización de los servicios de red para restringir el acceso a los
servicios de red o a las aplicaciones, cuando sea necesario.
MANEJO DE LOS MEDIOS
Gestión de los medios removibles
Se deberían establecer procedimientos para la gestión de los medios removibles.
Se recomienda tener presentes las siguientes directrices:
a) si ya no son necesarios, los contenidos de todos los medios reutilizables que se van a
retirar de la organización se deberían hacer irrecuperables;
b) cuando sea necesario y práctico, se debería exigir autorización para los medios
retirados de la organización y conservar un registro de tales retiros para mantener una
prueba de auditoría;
c) todos los medios se deberían almacenar en un ambiente seguro y vigilado, según las
especificaciones del fabricante;
d) la información almacenada en los medios que debe estar disponible por más tiempo del
de la vida del medio (según las especificaciones del fabricante) también se debería
almacenar en otra parte para evitar la pérdida de información debido al deterioro de
dichos medios;
e) se debería tener en cuenta el registro de los medios removibles para evitar la
oportunidad de que se presente pérdida de datos;
f) las unidades de medios removibles sólo se deberían habilitar si existen razones del
negocio para hacerlo.
Todos los procedimientos y niveles de autorización deberían estar documentados con claridad.
Eliminación de los medios
Cuando ya no se requieren estos medios, su eliminación se debería hacer de forma segura y sin riesgo, utilizando los procedimientos formales.
Los procedimientos formales para la eliminación segura de los medios deberían minimizar el riesgo de fuga de información sensible a personas no autorizadas. Los procedimientos para la eliminación segura de los medios que contienen información sensible deberían estar acordes con la sensibilidad de dicha información. Se recomienda tener en cuenta los siguientes elementos.
forma segura e inocua, por ejemplo mediante incineración o trituración, o borrar los
datos para evitar el uso por parte de otra aplicación en la organización;
b) se deberían establecer procedimientos para identificar los elementos que pueden
requerir eliminación segura;
c) puede ser más fácil disponer de todos los elementos de los medios de almacenamiento
que serán recogidos y liberados de forma segura, que tratar de disponer sólo de los
elementos sensibles;
d) muchas organizaciones ofrecen servicios de recolección y eliminación de papel, equipos
y medios; se debe tener cuidado en seleccionar un contratista idóneo con controles y
experiencia adecuados;
e) cuando sea posible, se debería registrar la eliminación de los elementos sensibles con
el objeto de mantener una prueba de auditoría.
Cuando se acumulan medios para su eliminación se debería considerar el efecto de
agregación, el cual puede hacer que una gran cantidad de información no sensible se vuelva sensible.
agregación, el cual puede hacer que una gran cantidad de información no sensible se vuelva sensible.
Procedimientos para el manejo de la información
Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado.
Se deberían elaborar procedimientos para manejar, procesar, almacenar y comunicar la
información de acuerdo con su clasificación. Se deberían considerar los siguientes elementos:
a) manejo y etiquetado de todos los medios hasta su nivel indicado de clasificación;
b) restricciones de acceso para evitar el acceso de personal no autorizado;
c) mantenimiento de un registro formal de los receptores autorizados de los datos;
d) garantizar que los datos de entrada están completos, que el procesamiento se completa adecuadamente y que se aplica la validación de la salida;
e) protección, según su nivel de sensibilidad, de los datos de la memoria temporal que
esperan su ejecución;
f) almacenamiento de los medios según las especificaciones del fabricante;
g) mantenimiento de la distribución de datos en un mínimo;
h) rotulado claro de todas las copias de los medios para la autenticación del receptor
autorizado;
i) revisión de las listas de distribución y las listas de receptores autorizados a intervalos
regulares.
Seguridad de la documentación del sistema
La documentación del sistema debería estar protegida contra el acceso no autorizado.
Para asegurar la documentación del sistema, se deberían tener en cuenta los siguientes elementos:
a) la documentación del sistema se debería almacenar con seguridad;
b) la lista de acceso a la documentación del sistema se debería mantener mínima y
debería estar autorizada por el dueño de la aplicación;
c) la documentación del sistema en la red pública o que se suministra a través de una red
pública, debería tener protección adecuada.
