SEGURIDAD

Dominios, Objetivos y Controles de la Norma ISO/IEC 27002:2013

Dominios Objetivos Controles
5. Políticas de seguridad 5.1 Directrices de la Dirección en seguridad de la información 5.1.1 Conjunto de políticas para la seguridad de la información
5.1.2 Revisión de las políticas para la seguridad de la información
6. Aspectos Organizativos SI 6.1 Organización interna 6.1.1 Asignación de responsabilidades para la SI
6.1.2 Segregación de tareas
6.1.3 Contacto con las autoridades
6.1.4 Contacto con grupos de interés especial
6.1.5 Seguridad de la información en la gestión de proyectos
6.2 Dispositivos para movilidad y teletrabajo 6.2.1 Política de uso de dispositivos para movilidad
6.2.2 Teletrabajo
7. Seguridad Ligada a los recursos humanos 7.1 Antes de la contratación 7.1.1 Investigación de antecedentes
7.1.2 Términos y condiciones de contratación
7.2 Durante la contratación 7.2.1 Responsabilidades de gestión
7.2.2 Concienciación, educación y capacitación en SI
7.2.3 Proceso disciplinario
7.3 Cese o cambio de puesto de trabajo 7.3.1 Cese o cambio de puesto de trabajo
8. Gestión Activos 8.1 Responsabilidad sobre los activos 8.1.1 Inventario de activos
8.1.2 Propiedad de los activos
8.1.3 Uso aceptable de los activos
8.1.4 Devolución de activos
8.2 Clasificación de la información 8.2.1 Directrices de clasificación
8.2.2 Etiquetado y manipulado de la información
8.2.3 Manipulación de activos
8.3 Manejo de los soportes de almacenamiento 8.3.1 Gestión de soportes extraíbles
8.3.2 Eliminación de soportes
8.3.3 Soportes físicos en tránsito
9. Control de Accesos 9.1 Requisitos de negocio para el control de accesos 9.1.1 Política de control de accesos
9.1.2 Control de acceso a las redes y servicios asociados
9.2 Gestión de acceso de usuario 9.2.1 Gestión de altas/bajas en el registro de usuarios
9.2.2 Gestión de los derechos de acceso asignados a usuarios
9.2.3 Gestión de los derechos de acceso con privilegios especiales
9.2.4 Gestión de información confidencial de autenticación de usuarios
9.2.5 Revisión de los derechos de acceso de los usuarios
9.2.6 Retirada o adaptación de los derechos de acceso
9.3 Responsabilidades del usuario 9.3.1 Uso de información confidencial para la autenticación
9.4 Control de acceso a sistemas y aplicaciones 9.4.1 Restricción del acceso a la información
9.4.2 Procedimientos seguros de inicio de sesión
9.4.3 Gestión de contraseñas de usuario
9.4.4 Uso de herramientas de administración de sistemas
9.4.5 Control de acceso al código fuente de los programas
10. Cifrado 10.1 Controles criptográficos 10.1.1 Política de uso de los controles criptográficos
10.1.2 Gestión de claves:
11. Seguridad física y Ambiental 11.1 Áreas seguras 11.1.1 Perímetro de seguridad física
11.1.2 Controles físicos de entrada
11.1.3 Seguridad de oficinas, despachos y recursos
11.1.4 Protección contra las amenazas externas y ambientales
11.1.5 El trabajo en áreas seguras
11.1.6 Áreas de acceso público, carga y descarga
11.2 Seguridad de los equipos 11.2.1 Emplazamiento y protección de equipos
11.2.2 Instalaciones de suministro
11.2.3 Seguridad del cableado
11.2.4 Mantenimiento de los equipos
11.2.5 Salida de activos fuera de las dependencias de la empresa
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento
11.2.8 Equipo informático de usuario desatendido
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla
12. Seguridad en la Operativa 12.1 Responsabilidades y procedimientos de operación 12.1.1 Documentación de procedimientos de operación
12.1.2 Gestión de cambios
12.1.3 Gestión de capacidades
12.1.4 Separación de entornos de desarrollo, prueba y producción
12.2 Protección contra código malicioso 12.2.1 Controles contra el código malicioso
12.3 Copias de seguridad 12.3.1 Copias de seguridad de la información
12.4 Registro de actividad y supervisión 12.4.1 Registro y gestión de eventos de actividad
12.4.2 Protección de los registros de información
12.4.3 Registros de actividad del administrador y operador del sistema
12.4.4 Sincronización de relojes
12.5 Control del software en explotación 12.5.1 Instalación del software en sistemas en producción
12.6 Gestión de la vulnerabilidad técnica 12.6.1 Gestión de las vulnerabilidades técnicas
12.6.2 Restricciones en la instalación de software
12.7 Consideraciones de las auditorías de los sistemas de información 12.7.1 Controles de auditoría de los sistemas de información
13. Seguridad en las Telecomunicaciones 13.1 Gestión de la seguridad en las redes 13.1.1 Controles de red
13.1.2 Mecanismos de seguridad asociados a servicios en red
13.1.3 Segregación de redes
13.2 Intercambio de información con partes externas 13.2.1 Políticas y procedimientos de intercambio de información
13.2.2 Acuerdos de intercambio
13.2.3 Mensajería electrónica
13.2.4 Acuerdos de confidencialidad y secreto
14. Adquisición, desarrollo y Mantenimiento de los sistemas de información 14.1 Requisitos de seguridad de los sistemas de información 14.1.1 Análisis y especificación de los requisitos de seguridad
14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas
14.1.3 Protección de las transacciones por redes telemáticas
14.2 Seguridad en los procesos de desarrollo y soporte 14.2.1 Política de desarrollo seguro de software
14.2.2 Procedimientos de control de cambios en los sistemas
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
14.2.4 Restricciones a los cambios en los paquetes de software
14.2.5 Uso de principios de ingeniería en protección de sistemas
14.2.6 Seguridad en entornos de desarrollo
14.2.7 Externalización del desarrollo de software
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas
14.2.9 Pruebas de aceptación
14.3 Datos de prueba 14.3.1 Protección de los datos utilizados en prueba
15. Relaciones con Suministradores 15.1 Seguridad de la información en las relaciones con suministradores 15.1.1 Política de seguridad de la información para suministradores
15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores
15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones
15.2 Gestión de la prestación del servicio por suministradores 15.2.1 Supervisión y revisión de los servicios prestados por terceros
15.2.2 Gestión de cambios en los servicios prestados por terceros
16. Gestión de Incidentes 16.1 Gestión de incidentes de seguridad de la información y mejoras 16.1.1 Responsabilidades y procedimientos
16.1.2 Notificación de los eventos de seguridad de la información
16.1.3 Notificación de puntos débiles de la seguridad
16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones
16.1.5 Respuesta a los incidentes de seguridad
16.1.6 Aprendizaje de los incidentes de seguridad de la información
16.1.7 Recopilación de evidencias
17. Aspectos de la SI en la Gestión de la Continuidad de Negocio 17.1 Continuidad de la seguridad de la información 17.1.1 Planificación de la continuidad de la seguridad de la información
17.1.2 Implantación de la continuidad de la seguridad de la información
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información
17.2 Redundancias 17.2.1 Disponibilidad de instalaciones para el procesamiento de la información
18. Cumplimiento 18.1 Cumplimiento de los requisitos legales y contractuales 18.1.1 Identificación de la legislación aplicable
18.1.2 Derechos de propiedad intelectual (DPI)
18.1.3 Protección de los registros de la organización
18.1.4 Protección de datos y privacidad de la información personal
18.1.5 Regulación de los controles criptográficos
18.2 Revisiones de la seguridad de la información 18.2.1 Revisión independiente de la seguridad de la información
18.2.2 Cumplimiento de las políticas y normas de seguridad
18.2.3 Comprobación del cumplimiento
INGENIERÍA Y SERVICIOS IT, SEGURIDAD

NORMA ISO/IEC 27017 – CONTROLES DE SEGURIDAD PARA SERVICIOS CLOUD

NORMA ISO/IEC 27017 – CONTROLES DE SEGURIDAD PARA SERVICIOS CLOUD. Tecnología de la información – Técnicas de seguridad – Código de prácticas para los controles de seguridad de la información en base a la norma ISO/IEC 27002 para los servicios en la nube.

Utilizada conjuntamente con la familia de normas ISO 27001, la norma ISO/IEC 27017 proporciona controles para proveedores y clientes de servicios en la nube. A diferencia de muchas otras normas relacionadas con la tecnología, ISO/IEC 27017 aclara las funciones y responsabilidades de ambas partes para ayudar a que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un sistema de gestión de la información certificado.

La norma proporciona una guía con 37 controles en la nube basados en ISO/IEC 27002, pero también ofrece siete nuevos controles cloud que tratan los siguientes puntos:

  • Quién es responsable de lo que ocurre entre el proveedor del servicio cloud y el cliente cloud
  • La eliminación/devolución de activos cuando un contrato se resuelve
  • Protección y separación del entorno virtual del cliente
  • Configuración de una máquina virtual
  • Operaciones y procedimientos administrativos relacionados con el entorno cloud
  • Seguimiento de la actividad de clientes en la nube
  • Alineación del entorno de la red virtual y cloud

https://www.isotools.org/2017/03/16/iso-27017-controles-seguridad-servicios-la-nube/

INGENIERÍA Y SERVICIOS IT, SEGURIDAD

ISO 27002

ISO/IEC 27002 es un estándar para la seguridad de la información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más reciente es la ISO/IEC 27002:2013.

ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como “la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)”.

La versión de 2013 del estándar describe los siguientes catorce dominios principales:

  1. Políticas de Seguridad: Sobre las directrices y conjunto de políticas para la seguridad de la información. Revisión de las políticas para la seguridad de la información.
  2. Organización de la Seguridad de la Información: Trata sobre la organización interna: asignación de responsabilidades relacionadas a la seguridad de la información, segregación de funciones, contacto con las autoridades, contacto con grupos de interés especial y seguridad de la información en la gestión de proyectos.
  3. Seguridad de los Recursos Humanos: Comprende aspectos a tomar en cuenta antes, durante y para el cese o cambio de trabajo. Para antes de la contratación se sugiere investigar los antecedentes de los postulantes y la revisión de los términos y condiciones de los contratos. Durante la contratación se propone se traten los temas de responsabilidad de gestión, concienciación, educación y capacitación en seguridad de la información. Para el caso de despido o cambio de puesto de trabajo también deben tomarse medidas de seguridad, como lo es des habilitación o actualización de privilegios o accesos.
  4. Gestión de los Activos: En esta parte se toca la responsabilidad sobre los activos (inventario, uso aceptable, propiedad y devolución de activos), la clasificación de la información (directrices, etiquetado y manipulación, manipulación) y manejo de los soportes de almacenamiento (gestión de soporte extraíbles, eliminación y soportes físicos en tránsito).
  5. Control de Accesos: Se refiere a los requisitos de la organización para el control de accesos, la gestión de acceso de los usuarios, responsabilidad de los usuarios y el control de acceso a sistemas y aplicaciones.
  6. Cifrado: Versa sobre los controles como políticas de uso de controles de cifrado y la gestión de claves.
  7. Seguridad Física y Ambiental: Habla sobre el establecimiento de áreas seguras (perímetro de seguridad física, controles físicos de entrada, seguridad de oficinas, despacho y recursos, protección contra amenazas externas y ambientales, trabajo en áreas seguras y áreas de acceso público) y la seguridad de los equipos (emplazamiento y protección de equipos, instalaciones de suministro, seguridad del cableado, mantenimiento de equipos, salida de activos fuera de las instalaciones, seguridad de equipos y activos fuera de las instalaciones, reutilización o retiro de equipo de almacenamiento, equipo de usuario desatendido y política de puesto de trabajo y bloqueo de pantalla).
  8. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware; resguardo; registro de actividad y monitorización; control del software operativo; gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información.
  9. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las transferencias de información.
  10. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas.
  11. Relaciones con los Proveedores: seguridad de la información en las relaciones con los proveedores; gestión de la entrega de servicios por proveedores.
  12. Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las incidencias que afectan a la seguridad de la información; mejoras.
  13. Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: continuidad de la seguridad de la información; redundancias.
  14. Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la información.

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 114 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.