Controles, Normas y Políticas de Seguridad

en el Desarrollo de Aplicaciones de Software

ISO/IEC 27701 y otros
estándares ISO 27002
Guía de buenas prácticas
ISO 27001 ISO 27003
Requisitos del SGSI Guía implementación
SGSI
03 ISO 29151
02 04 Buenas prácticas
ISO 27000 ISO 27004 11 protección de
información personal
Vocabulario 01 05 Métricas SGSI

ISO 27005 06 10 ISO 29100

Gestión del riesgo Framework de privacidad

07 09
ISO 27007 08 ISO 27035
Gestión de Incidentes de
Directrices para auditoría
ISO 27018 Seguridad de la Información
Protección de información
personal en la nube
¿Cómo podemos mejorar la seguridad de la
información?

ESTRATEGIA DEFINIDA
 Utilizar estándares de seguridad ISO 27001
 Seleccionar controles de seguridad iniciales (30).
 Desarrollar e implementar Políticas y Procedimientos
que soporten los controles seleccionados

“Contar con
regulaciones
adecuadas y conocidas,
permitirá reducir los
riesgos de seguridad.”

O
B
J
E
T
I
 ISO/IEC 27001
Alcanc Sistema de Gestión
ISO/IEC 27701
Sistema de Gestión

e de Seguridad de la
Información
de Privacidad
de la
Información
ISO/IEC 27002
El documento del estándar especifica Controles de
Seguridad de la
los requerimientos y proporciona Información
orientación para el establecimiento,
implementación, mantenimiento y
mejora continua de un Sistema de
Gestión de Privacidad de la 01 03
Información como una extensión de
ISO/IEC 27001 e ISO/IEC 27002 02

•El documento especifica los requerimientos y proporciona orientación a los responsables y

encargados
que tienen la responsabilidad del procesamiento de datos personales.
•Aplicable a todos los tipos y tamaños de organizaciones, sectores público o privado u organizaciones sin
fines de lucro.
 Estructura Normativa ISO 27001
- 27002
Estructura POLÍTICAS PROCEDIMIENTOS
Norma POLÍTICA GENERAL
ESPECÍFICAS DE ESPECÍFICOS DE
DOMINIOS CONTROLES DE SEGURIDAD DE
ISO 27001 LA INFORMACIÓN
SEGURIDAD DE LA SEGURIDAD DE LA
INFORMACIÓN INFORMACIÓN
-
ISO 27002

Dominios Norma ISO 27001 Controles Seleccionados ISO 27002 Política General, cubre aspectos transversales de la norma y
establece la existencia de ésta en la Organización.
5. Políticas de Seguridad de la Información A.05.01.01 Políticas para la seguridad de la información
6. Organización de la seguridad de la información A.06.01.01 Roles y responsabilidades de la seguridad de la información Políticas específicas que cubren los controles seleccionados
7. Seguridad ligada a los recursos humanos A.07.02.02 Concientización, educación en seguridad de la información  De la organización de la seguridad de la información
8. Administración de activos A.08.01.01 Inventario de activos  De administración de activos de información
9. Control de acceso A.09.01.01 Política de control del acceso  De seguridad física y del ambiente
10. Criptografía A.09.04.03 Sistema de gestión de contraseñas  De gestión de comunicaciones y operaciones
11. Seguridad física y del ambiente A.11.01.01 Perímetro de seguridad física  De control de acceso
12. Seguridad de las operaciones A.12.01.04 Segregación de los ambientes (Desa., Test, Prod.)  De gestión de incidentes de seguridad de la información
13. Seguridad de las comunicaciones A.12.02.01 Controles contra códigos maliciosos  De planificación de la continuidad de la seguridad de la Infor.
14. Adquisición, desarrollo y mantenimiento del sistema A.12.03.01 Respaldo de la información  De trabajo a distancia o teletrabajo.
15. Relaciones con el proveedor A.12.04.01 Registro de eventos
16. Gestión de incidentes de seguridad de la información A.12.05.01 Instalación del software en sistemas operacionales
17. Aspectos de seguridad de la información en la gestión A.12.06.01 Gestión de las vulnerabilidades técnicas Procedimientos específicos que cubren los controles seleccionados
de la continuidad del negocio A.13.01.01 Controles de Red  De Respaldo y Recuperación de La Información
18. Cumplimiento A.14.02.01 Política de desarrollo seguro  De Prevención de Programa Malicioso Informático
A.14.02.09 Prueba de aprobación del sistema  De Gestión de identidad
A.15.02.01 Supervisión y revisión de los servicios del proveedor  De Seguridad Física
A.16.01.02 Informe de eventos de seguridad de la información  De Tercerización de Servicios TI
Total Controles Norma ISO 27002 A.16.01.05 Respuesta ante incidentes de seguridad de la información  Uso Correcto de Estaciones de Trabajo
A.17.01.01 Planificación de la continuidad de la seguridad de la info.  Uso Correcto de Servidores y Redes
114 Controles asociados a los dominios mencionados. A.18.02.03 Verificación del cumplimiento técnico  De Gestión de Incidentes
Objetivos de control y controles ISO
27002
Seguridad
Organizativa

Seguridad
Lógica

Seguridad
Física

Seguridad
Jurídica
Dominio (5)  Política de la seguridad de la
información
Política General cuyo principal objetivo es:
(PG-SGSI-001),

• Establecer los principios y marco general de trabajo para administrar, mantener, sensibilizar,
monitorear y revisar el Sistema de Gestión de Seguridad de la Información (SGSI) acorde a
las definiciones estratégicas y objetivos trazados por la Organización.

CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION

A.05.01.01 Políticas para la seguridad En el nivel más alto, las organizaciones deberían definir una “política de seguridad de la información" que la
de la información aprueba la dirección y que establece el enfoque de la organización para administrar sus objetivos de
seguridad de la información.

A.05.01.02 Revisión de las Políticas de Cada política debería tener un titular que tenga responsabilidad administrativa aprobada para el desarrollo,
Seguridad de la Información la revisión y la evaluación de ellas.

Importancia:
Permite conocer el marco
general de operación y
alcance del SGSI de
acuerdo con las
definiciones estratégicas
de la organización.
Dominio (6)  Organización de la seguridad de la
información
Política de organización de la seguridad de la información (PE-SGSI-001), +

Política de trabajo a distancia o teletrabajo(PE-SGSI-011), cuyos principales objetivos son:

• Establecer un marco de trabajo para la administración y directivos que permita controlar
el funcionamiento de la seguridad de la información dentro de la organización.
• Asignar las responsabilidades en relación con seguridad de la información.
• Promover la segregación de funciones y definir Matriz de Responsabilidades de la
Organización
• Definir las condiciones y las restricciones del uso del trabajo a distancia y del teletrabajo.
CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION

Política General de Seguridad con roles y responsabilidades del SGSI definidos. Resoluciones y/o documento en
Roles y responsabilidades de el que se establezca los respectivos nombramientos.
A.06.01.01 la seguridad de la información Se deberían indicar las áreas por las que las personas son responsables.

Las organizaciones que permiten las actividades de teletrabajo deberían emitir una política que define las
A.06.02.02 Teletrabajo condiciones y las restricciones del uso del teletrabajo. Se deberían considerar los siguientes asuntos donde se
considere aplicable y lo permita la ley

MATRIZ DE RESPONSABILIDADES
POLITÍCA DE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Importancia:
GERENTE
COMITÉ DE OFICIAL DE
GERENTES AUDITOR
RECURSOS Permite conocer las
SEGURIDAD DE LA HUMANOS Y USUARIOS
responsabilidades
RESPONSABILIDADES DIRECTORIO SEGURIDAD DE LA
GENERAL INFORMACIÓN DE ÁREA INTERNO SERVICIO
INFORMACIÓ
N S

Aprobar la Política de Seguridad de la Información. X

(deberes y obligaciones)
Sponsor de la Implementación del SGSI. X de cada colaborador en
Revisar y proponer Política de Seguridad de la Información. X X la organización,
Comunicar la Política de Seguridad de la Información.

Velar por el Cumplimiento de los Controles Internos

X X X
facilitando el ciclo de
X
(procedimientos) relacionados con el SGSI.
Supervigilar que las estrategias definidas por el Directorio,
vida del SGSI
asociadas al control de los activos de información, se desarrollen X X X
Dominio (7)  Seguridad Ligada a los
Recursos
Política deHumanos
seguridad ligada a los recursos humanos (PE-SGSI-003) , cuyos principales objetivos
son:
• Asegurar que todo el personal tiene conocimiento sobre los derechos, deberes y
responsabilidades en relación a la seguridad de la información.
• Establecer los niveles de acceso apropiados a la información, brindando y asegurando la
confidencialidad, integridad
y disponibilidad que requiera cada sistema y usuario.
CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION
A.07.02.02 Concientización, Se deberá asegurarse de que los empleados y contratistas están en conocimiento de y que cumplen
educación en seguridad con sus responsabilidades de seguridad de la información. La dirección debería exigir a todos los
de la información empleados y contratistas que apliquen la seguridad de la información de acuerdo con las políticas y
procedimientos establecidos de la organización.

SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

ANTES DEL Términos y Condiciones

EMPLEO Selección
del Empleo
Importancia:
Concientización
Permite conocer a los
DURANTE Roles y Responsabilidades usuarios sus deberes,
Educación y Capacitación
EL EMPLEO respecto de la seguridad
sobre Seguridad derechos y obligaciones
respecto de la seguridad
DESPUÉS de la información en la
Baja de servicios
DEL organización.
EMPLEO
Dominio (8)  Administración de
Activos
 Política de administración de activos de información para usuarios +, (PE-SGSI-002)
 Procedimiento uso correcto estaciones de trabajo, cuyos principales objetivos son:
• Mantener un inventario de activos de la información, a cargo de cada Unidad responsable.
• Almacenar, manejar y custodiar los activos de información de acuerdo con su nivel de
clasificación.
• Delinear el cuidado especial y responsable que se le debe dar a los computadores
institucionales para controlar la administración de este recurso y evitar el mal uso, robo, su
CONTROL DESCRIPCIÓN
posible pérdida o daño. ORIENTACION SOBRE LA IMPLEMENTACION
A.08.01.01 Inventario de Activos Se deberían identificar los activos asociados a la información y las instalaciones de procesamiento de información y se
debería elaborar y mantener un inventario de estos activos. Para cada uno de los activos identificados, se debería
asignar su propiedad (ver 8.1.2) y clasificación. (Ver 8.2).

GESTIÓN DE ACTIVOS DE INFORMACIÓN CLASIFICACIÓN SEGÚN CRITICIDAD

Revisión de Identificación y NIVEL DE INDISPONIBILIDA
Definición de la Definición del SERVICIO CLASIFICACIÓ
Diagnóstico

Clasificación
Normativa y D

Tratamiento
valoración de Tratamiento SERVICIO (SLA)
Metodologías. Activos. Clasificación. N
Inventari

por nivel de
Clasificación.
MES EN HORAS
Organización para la
gestión de Activos. Definición de Serv. Correo Crítica 99,95% 00:36
Propiedad de los Consolidación y
Definición de Activos. Validación. Serv. Autentificación Crítica 99,95% 00:36
Metodologías. Definición de
AD
o

Proyectos de
Necesidad de Consolidación
Reporte Tratamiento. Servicio de Telefonía Crítica 99,95% 00:36
Cumplimiento. y Validación
Servicio Internet Crítica 99,95% 00:36
Servicio Erp Alta 99,80% 01:30
Plat. de Media 99,50% 03:30
Importancia: Remuneraciones

Permite clasificar los activos y permite

determinar el tratamiento que se le dará
de acuerdo a su clasificación
Dominio (9)  Control de
Acceso
 Política control de acceso + (PE-SGSI-006) ,
 Procedimiento control gestión de identidad, cuyos principales objetivos son:
• Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de estaciones
de trabajo.
• Administrar los derechos de acceso en un ambiente distribuido y de red, que
reconozcan todos los tipos de
conexiones disponibles.
• Establecer los niveles de acceso apropiados a la información de la organización,
CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION
brindando y asegurando la
confidencialidad, integridad ycontrol
Política de disponibilidad
de acceso físico y que requiera
lógico alineada cada8, sistema
a dominios 9 y 18 y usuario.
A.09.01.01 Política de control del acceso Se debería implementar un proceso formal de registro y cancelación de registro de un usuario para permitir la
asignación de derechos de acceso.

Acceso a redes y servicios de Procedimiento de acceso a la red alineado a política de control de acceso.
A.09.01.02 red Los usuarios solo deberían tener acceso a la red y a los servicios de red en los que cuentan con autorización específica.
Sistema de gestión de Procedimiento de sistemas de gestión de contraseñas, alineados a control 9.3.1.
A.09.04.03 contraseñas Los sistemas de administración de contraseñas deberían ser interactivos y deberían garantizar contraseñas de calidad.

Estructura de la Password
recomendada:
• Largo mínimo de 10 caracteres,
Importancia:
• Uso de números obligatorio (1 o más), Permite definir y controlar
• Uso de letras mayúsculas obligatorio (1 o los accesos correctos y
más),
• Uso de letras minúsculas obligatorio (1 o adecuados a los activos de
más) y
Otros información en la
• Usoparámetros recomendados:
de caracteres especiales obligatorio (1 ó
• Cambio
más). automático cada 90 organización.
días,
• Al 3° intento fallido bloque x 24
Dominio (11)  Seguridad
Física
 Política de seguridad física y del ambiente (PE-SGSI-004) +
 Procedimiento de seguridad física, cuyos principales objetivos son:
• Velar por la protección de la Infraestructura tecnológica de almacenamiento de información
y de provisión de servicios tecnológicos de apoyo a la gestión.
• Protección de los espacios Físicos.
• Dar condiciones de continuidad operacional a la gestión operacional, de servicio y comercial
de la organización.
CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION
A.11.01.01 Perímetro de seguridad Procedimiento de control de acceso, en concordancia con el Procedimiento de control de acceso físico.
física Los perímetros de seguridad se deberían definir y utilizar para proteger a las áreas que contienen información y a las
instalaciones de procesamiento de información sensible o crítica.

Importancia:
Permite definir y controlar
un resguardo adecuado a
los activos de información
en la organización.
Dominio (12 y 13)  Seguridad de las Operaciones y
Comunicaciones
 Política gestión de comunicaciones y operaciones (PE-SGSI-005) +,
 Procedimiento uso correcto de servidores y redes +,
 Procedimiento prevención de programa malicioso informático +,
 Procedimiento de respaldo y recuperación de la información +,
 Procedimiento uso correcto de servidores y redes , cuyos principales objetivos son:
• Analizar y establecer una adecuada gestión de comunicaciones y operaciones apropiados
para la información de la
organización, brindando y asegurando la confidencialidad, integridad y disponibilidad que
requiera cada sistema.
CONTROL DESCRIPCIÓN
• Controlar ORIENTACION SOBRE LA IMPLEMENTACION
y asegurar las instalaciones de procesamiento de información y datos de la
empresa
Controles contra Procedimiento contra código malicioso.
códigos Se deberían implementar controles para la detección, prevención y recuperación para
A.12.02.01 resguardarse contra el malware en combinación con la concientización adecuada para los
maliciosos
usuarios.
Políticas de Respaldo.
Respaldo de la Se deberían realizar copias de la información, del software y de las imágenes del sistema y se
A.12.03.01 información deberían probar de manera regular de acuerdo con una política de respaldo acordada.

Procedimiento de instalación de software en los sistemas.

Instalación
A.12.05.01 del software Se deberían implementar procedimientos para controlar la instalación de software en sistemas Importancia:
SOP
operacionales. Permite definir y
Restricciones
Procedimiento o Documento que detalle las Restricciones sobre la instalación de software.
controlar importantes
sobre la
A.12.06.02 instalación Se deberían establecer e implementar las reglas que rigen la instalación de software por parte estándares de operación
de los usuarios.
de software para la administración en
Procedimiento o Documento que detalle los controles de red. forma adecuada y
A.13.01.01 Controles de Red Se deberían administrar y controlar las redes para proteger la información en los sistemas y
aplicaciones. Se debe disponer de un diagrama de Red de Datos de la Organización. segura de los activos de
Nota: información en la
Si bien es cierto, la política específica de seguridad de las operaciones y comunicaciones organización.
definida y los procedimientos desarrollados (4) cubren 11 controles del dominio 12 y 13
para el propósito de esta presentación sólo se muestran 5.
Dominio (14)  Adquisición, desarrollo y mantención
del sistema
 Política de proceso de desarrollo de software (PE-SGSI-007) +,
 Procedimiento uso correcto de servidores y redes +,
 Procedimiento para desarrollo de software, cuyos
• principales objetivos
Identificar los son:
requerimientos de seguridad de cada una de las aplicaciones.
• Identificar toda la información relacionada con las de
aplicaciones (usuarios y restricciones interoperabilidad, reglas acceso,
de respaldo, disponibilidad y ventanas de trabajo entro otros).
• Establecer los niveles de acceso apropiados a la información institucional, perfil
de usuarios.
CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION
Política de Política de desarrollo seguro, se deberían establecer reglas para el desarrollo de software y
A.14.02.01 desarrollo seguro sistemas y, se deberían aplicar a los desarrollos dentro de la organización.

Procedimiento o Documento que señale el Entorno de desarrollo seguro

Entorno de Las organizaciones deberían establecer y proteger adecuadamente a los entornos de desarrollo
A.14.02.06 desarrollo seguro seguros para las labores de desarrollo e integración de sistemas que abarcan todo el ciclo de vida
de desarrollo del sistema.
Prueba de Procedimiento o Documento que establezca la metodología de seguridad del sistema.
A.14.02.08 seguridad del Las pruebas de la funcionalidad de seguridad se deberían realizar durante el desarrollo y debe estar
sistema especificadas en el procedimiento.
Prueba de Procedimiento o Documento que establezca las pruebas de aprobación del sistema
A.14.02.09 aprobación del Se deberían establecer programas de pruebas de aceptación por parte de los clientes y criterios Importancia:
sistema relacionados para los nuevos sistemas de información, actualizaciones y nuevas versiones.
Permite establecer controles
adecuados requeridos para
el desarrollo de software en
las organizaciones, estos
Nota:
Si bien es cierto, la política específica de proceso de desarrollo de software definida y el controles evitan costos
procedimiento desarrollado (1) mayores asociados al ciclo
cubren 6 controles del dominio 14 para el propósito de esta presentación sólo se muestran 4. de vida de los desarrollos.
Dominio (15)  Relaciones con el
proveedor
Procedimiento de tercerización de servicios TI, cuyos principal objetivo ES:
• Definir las actividades y las acciones que permitan definir, guiar, formalizar y
administrar los procesos de entregar a terceros la responsabilidad por la
ejecución de tareas correspondientes a la entrega, uso y aplicación de
tecnologías de la información (Outsourcing), en la empresa y sus unidades
dependientes.
CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION
Supervisión y revisión Procedimiento o Documento que detalle los mecanismos de Supervisión y revisión de los servicios del proveedor
A.15.02.01 de los servicios del Las organizaciones deberían monitorear, revisar y auditar la presentación de servicios del proveedor de manera
proveedor regular.

CUMPLIMIENTO SLA 2021 VARIOS PROVEEDORES

SLA SLA SLA
PLATAFORMA ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
OBJETIVO 2020 2019
ERP 99,50%
100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,00% 100,00% Importancia:
Infraestructura
100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0%
95,00%
100,00% 100,00% Permite establecer controles
Respaldo 98,00% adecuados requeridos para
100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,00% 100,00%
Correo 99,90%
la operación de servicios
100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,00% 100,00%
externalizados, permite
Telefonía 99,90%
100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,00% 100,00% control de SLA definidos.
Enlaces 99,90%
100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,00% 100,00%
Dominio (16)  Gestión de Incidentes de seguridad de
la información
 Política gestión de incidentes de seguridad de la información +, (PE-SGSU-008)
 Procedimiento gestion de incidentes, cuyos principales objetivos son:
• Responder en forma rápida, eficaz y ordenada ante la ocurrencia de incidentes de seguridad que
afecten los activos de información de la organización.
• Asegurar un enfoque consistente y eficaz sobre la gestión de los incidentes de seguridad de la
información, incluida la comunicación sobre eventos de seguridad y debilidades (educación).
CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION

Procedimientos de gestión de incidentes de seguridad de la información.

Informe de eventos de Los eventos de seguridad de la información se deberían informar a través de canales de administración
A.16.01.02 seguridad de la información adecuados lo más pronto posible.

Procedimiento que indique como responder ante incidentes de seguridad de la información.

Respuesta ante incidentes de Se debería responder ante los incidentes de seguridad de la información de acuerdo con los procedimientos
A.16.01.05 seguridad de la información
documentados.

Modo de Operación Control de Incidentes CSIRT

USUARIO EQUIPO SOC NIVEL 1 EQUIPO SOC NIVEL 2 SUPERVISOR SOC
NOTIFICACIÓN EVALUACIÓN 1 EVALUACIÓN 2
Registro de
Evento
Antecedent
Detecció es Evaluación 2 y
Clasificación
n Evaluación 1 y  Nivel de Peligrosidad

Importancia:
Clasificación  Nivel de Impacto RESPUESTA
 Nivel de
Notificación No
NoPeligrosidad Si Incident Si
Permite establecer un
Incident
 Nivel de Impacto e es
e es
real Real

estándar de operación y de
? ? Incidente No Activar

Legal Análisis

Comunicacion
No Bajo

Respuesta
Inmediata
es Apoyo
Forense
Plan de
Falso Positivo Control
Crisis servicio respecto de la
Si
gestión de incidentes
Si
Informe de Plan de
sobre los activos de
Mejora
Control Crisis
información.
Fuente: Norma ISO 27001
Continua Revisión
Dominio (17)  Gestión de la continuidad
del Negocio
Política de planificación de la continuidad de la seguridad de la información (PE-SGSI-

, cuyo principal
010)

objetivo es:
• Es brindar una guía que permita, al personal designado por el departamento de TI
gestionar de mejor forma el desempeño diario de las tareas que involucran los activos de
información de acuerdo con la normativa vigente, respecto de contingencias catastróficas
CONTROL
o emergencias
DESCRIPCIÓN
que impidan la operación normal de las plataformas tecnológicas.
ORIENTACION SOBRE LA IMPLEMENTACION
Planificación de la continuidad Política que señale la Planificación de la continuidad de la seguridad de la información.
A.17.01.01 de la seguridad de la La organización debería determinar sus requisitos para la seguridad de la información y la continuidad de la administración
información de la seguridad de la información ante situaciones adversas, es decir, durante una crisis o desastre.

Pasos a seguir para implementar un Plan de Continuidad Operacional Ejemplo que hacer cuando ocurre:
1
Realizar
 Pérdida de suministro de energía eléctrica
Análisis del impacto
en el negocio y
 Corte en los enlaces de comunicaciones
evaluación
de riesgos  Falla en los equipos de comunicaciones
 Ataque de virus informático
 Falla operacional site principal
4 2
 Operación bajo situación de Fuerza Mayor
Realizar Control y
Desarrollar

Estrategia
Ensayos y Planificación

Importancia:
de

Pruebas Operacional
Continuidad

3
Operacional
Permite establecer una guía de como operar
ante la ocurrencia de un incidente en la
Establecer e
Implementar
procedimientos
de Continuidad
Operacional organización, asignado roles y responsabilidades.
Se recomienda iniciar con los más comunes.
Dominio (18) 
Cumplimiento
Procedimiento de revisión de cumplimiento técnico, cuyos principal objetivo es:
• Contar con un mecanismo adecuado para la revisión del cumplimiento técnico de
los controles implementados por parte de la organización. Esta revisión
corresponderá al estado de avance porcentual del cumplimiento de cada uno de
los controles registrados en la planilla de control del cumplimiento técnico.
CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION

A.18.02.01 Revisión independiente de la Procedimiento o Documento que detalle el mecanismo de revisión independiente de la información de
seguridad de la Información seguridad de la Información.
A.18.02.03 Verificación del cumplimiento Procedimiento o Documento que indique como se debería revisar y verificar regularmente el cumplimiento
técnico técnico de las políticas y normas de seguridad de la Información.

PLANILLA DE CONTROL DEL CUMPLIMIENTO TECNICO NORMA ISO27002

DECRIPCION
N° CONTROL CONTROL ORIENTACION SOBRE LA IMPLEMENTACION DOCUMENTACION O EVIDENCIA REQUERIDA

Políticas para En el nivel más alto, las organizaciones deberían definir una “política de 1. EXISTENCIA DE POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION
1 A.05.01.01 la seguridad seguridad de la información" que la aprueba la dirección y que establece el 2. EXISTENCIA DE RESOLUCION
de la enfoque de la organización para administrar sus objetivos de seguridad de 3. EVIDENCIA DE DIFUSIÓN
información la información.

Importancia:
Revisión de las
Cada política debería tener un titular que tenga responsabilidad
administrativa aprobada para el desarrollo, la revisión y la evaluación de
1. EXISTENCIA DE POLITICAS Y PROCEDIMIENTOS
2. ACTA COMITÉ DE RIESGO APROBACION DE POLITICAS Y PROCEDIMIENTOS Permite asegurar un
3. ACTA DE CONSTITUCION DE COMITÉ DE SEGURIDAD
2 A 05.01.02 Politicas de
Seguridad de la
ellas. La revisión debería incluir la evaluación de oportunidades de mejora
y un enfoque para administrar la seguridad de la información en respuesta 4. ACTA NOMBRAMIENTO DE ENCARGADO DE SEGURIDAD
5. RESOLUCION EXENTA N°4468
funcionamiento
a los cambios en el entorno que las puedan afectar. Se debería obtener la
adecuando e incorporar
Información
aprobación de la dirección para una política revisada. 6. RESOLUCION EXENTA N°555

Roles y
responsabilidades
Política General de Seguridad con roles y responsabilidades del SGSI
definidos. Resoluciones y/o documento en el que se establezca los
1. EXISTENCIA DE POLITICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN
2. EXISTENCIA DE UNA POLITICA DE ROLES U ORGANICA DE LAS POLITICAS mejora continua al
3 A.06.01.01 de la seguridad de
la información
respectivos nombramientos. Se deberían indicar las áreas por las que las
personas son responsables.
3. ACTA COMITÉ DE RIESGO APROBACION DE POLITICAS Y PROCEDIMIENTOS
4. RESOLUCION EXENTA N°555 Sistema de Gestión de
Concientización,
Se deberá segurarse de que los empleados y contratistas están en
conocimiento de y
1. EXISTENCIA DE UNA POLITICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN
2. ACTA COMITÉ DE RIESGO APROBACION DE POLITICAS Y PROCEDIMIENTOS
Seguridad de la
que cumplen con sus responsabilidades de seguridad de la información.
Información (SGSI)
4 A.07.02.02 educación en
seguridad de la La dirección debería exigir a todos los empleados y contratistas que 3. RESOLUCION EXENTA N°555
información apliquen la seguridad de la información de acuerdo con las políticas y 4. EVIDENCIA DE DIFUSION Y CAPACITACION
procedimientos establecidos de la organización.
Ejemplo de ataque de Spearphishing
(Fraude del CEO)

A continuación se muestra un ejemplo de un Phishing dirigido

a una sociedad que cuenta con un SGSI implementado y que
tiene controles definidos que le permiten atenuar y evitar
potenciales fraudes.
Ejemplo de ataque de Spearphishing
(Fraude del CEO) Secuencia de
eventos:
1. Se obtiene credencial de usuario (Posible Phishing o
Santiago, 14 de Septiembre de 2021 credencial débil).
2. Se interviene correo creando regla específica que captura
correos.
3. Se crean cuentas de correo falsas con extensión “.xx”
REF: SOLICITUD DE FONDO PARA INVERSION EN EL EXTRANJERO POR USD$

De mi consideración:
4. Maleantes detectan envío de documentos de transferencia
Por medio de la presente y de acuerdo con lo conversado y autorizado favor solicito a Uds. realizar de fondos.
abono a la cuenta corriente N°23232323 de la sociedad Alerce Blanco la suma de USD$3.500.000.
¿Qué
5. Seesinterviene
el fraude del
PDFCEO o BEC?
cambiando cuenta de destino de la
Capital Comprometido del Proyecto:

Capital Depositado a la fecha:

El fraude del CEO
transferencia. es una forma de ataque de Spearphishing que apunta
a los miembros del equipo financiero o contable de una compañía, en
Caja Disponible a la fecha:
6. Gracias a validaciones técnicas y manuales se evita estafa
el caso de este fraude, los criminales intentan hacerse pasar por
Esta transferencia requiere sea realizada a más tardar el 15 de Septiembre, con el propósito de
obtener un mejor rentabilidad en la transacción. (Fraude
ejecutivos delconvencer
para CEO). a los destinatarios del correo electrónico de
Los datos para realizar la transferencia bancaria son los siguientes:
la necesidad de realizar una transferencia de dinero de forma urgente
Banco del Beneficiario : UOB BANK OF SINGAPORE
Dirección Banco Beneficiario : 80 Raffles Place UOB Plaza 1, #07- para una operación supuestamente crítica para la organización. Sin
01, Singapore 048624
SWIFT CODE
QWZARRTHB
: embargo, el dinero se transfiere a una cuenta que está bajo el control
Beneficiario
Account Number
: UNITES SEA HOLDING PTE LTD
:
de los atacantes. El FBI estima que entre 2016 y 2019, se generaron
Dirección : 340 Plaza Park Blvd. Suit 200 pérdidas por MMUSD$ 26.000 a través de ataques conocidos como
Conclusi
BEC (del inglés, Business Email Compromise).

ón:Construir claves robustas y difíciles de deducir.
 Informar a Soporte TI de potenciales Phishing o actividades
extrañas.
 Revisar reglas existentes en nuestros correos, generar
Firmas 1 Firma 2 Firma 3
acciones de mitigación.
 Mantener precaución en la información que se comparte.
 Potenciar uso de firma electrónica entre involucrados.
Por qué es necesario implementar Políticas y Procedimientos
de Seguridad ?

 Porque el contar con regulaciones adecuadas y conocidas,

permitirá reducir los riesgos de seguridad y mejorar el nivel de
madurez tecnológica de la organización.

 Capacitar, Capacitar, Capacitar:

Si bien es cierto las organizaciones cuenta con herramientas
tecnológicas (AntiSpam y Antivirus) que nos protegen de posibles
ataques externos, es de suma importancia que se entienda
que:
“la primera barrera de contención somos nosotros mismos”.