4.3.1 Controles, Normas y Políticas de Seguridad en El Desarrollo de Aplicaciones de Software
4.3.1 Controles, Normas y Políticas de Seguridad en El Desarrollo de Aplicaciones de Software
4.3.1 Controles, Normas y Políticas de Seguridad en El Desarrollo de Aplicaciones de Software
07 09
ISO 27007 08 ISO 27035
Gestión de Incidentes de
Directrices para auditoría
ISO 27018 Seguridad de la Información
Protección de información
personal en la nube
¿Cómo podemos mejorar la seguridad de la
información?
ESTRATEGIA DEFINIDA
Utilizar estándares de seguridad ISO 27001
Seleccionar controles de seguridad iniciales (30).
Desarrollar e implementar Políticas y Procedimientos
que soporten los controles seleccionados
“Contar con
regulaciones
adecuadas y conocidas,
permitirá reducir los
riesgos de seguridad.”
O
B
J
E
T
I
ISO/IEC 27001
Alcanc Sistema de Gestión
ISO/IEC 27701
Sistema de Gestión
e de Seguridad de la
Información
de Privacidad
de la
Información
ISO/IEC 27002
El documento del estándar especifica Controles de
Seguridad de la
los requerimientos y proporciona Información
orientación para el establecimiento,
implementación, mantenimiento y
mejora continua de un Sistema de
Gestión de Privacidad de la 01 03
Información como una extensión de
ISO/IEC 27001 e ISO/IEC 27002 02
Dominios Norma ISO 27001 Controles Seleccionados ISO 27002 Política General, cubre aspectos transversales de la norma y
establece la existencia de ésta en la Organización.
5. Políticas de Seguridad de la Información A.05.01.01 Políticas para la seguridad de la información
6. Organización de la seguridad de la información A.06.01.01 Roles y responsabilidades de la seguridad de la información Políticas específicas que cubren los controles seleccionados
7. Seguridad ligada a los recursos humanos A.07.02.02 Concientización, educación en seguridad de la información De la organización de la seguridad de la información
8. Administración de activos A.08.01.01 Inventario de activos De administración de activos de información
9. Control de acceso A.09.01.01 Política de control del acceso De seguridad física y del ambiente
10. Criptografía A.09.04.03 Sistema de gestión de contraseñas De gestión de comunicaciones y operaciones
11. Seguridad física y del ambiente A.11.01.01 Perímetro de seguridad física De control de acceso
12. Seguridad de las operaciones A.12.01.04 Segregación de los ambientes (Desa., Test, Prod.) De gestión de incidentes de seguridad de la información
13. Seguridad de las comunicaciones A.12.02.01 Controles contra códigos maliciosos De planificación de la continuidad de la seguridad de la Infor.
14. Adquisición, desarrollo y mantenimiento del sistema A.12.03.01 Respaldo de la información De trabajo a distancia o teletrabajo.
15. Relaciones con el proveedor A.12.04.01 Registro de eventos
16. Gestión de incidentes de seguridad de la información A.12.05.01 Instalación del software en sistemas operacionales
17. Aspectos de seguridad de la información en la gestión A.12.06.01 Gestión de las vulnerabilidades técnicas Procedimientos específicos que cubren los controles seleccionados
de la continuidad del negocio A.13.01.01 Controles de Red De Respaldo y Recuperación de La Información
18. Cumplimiento A.14.02.01 Política de desarrollo seguro De Prevención de Programa Malicioso Informático
A.14.02.09 Prueba de aprobación del sistema De Gestión de identidad
A.15.02.01 Supervisión y revisión de los servicios del proveedor De Seguridad Física
A.16.01.02 Informe de eventos de seguridad de la información De Tercerización de Servicios TI
Total Controles Norma ISO 27002 A.16.01.05 Respuesta ante incidentes de seguridad de la información Uso Correcto de Estaciones de Trabajo
A.17.01.01 Planificación de la continuidad de la seguridad de la info. Uso Correcto de Servidores y Redes
114 Controles asociados a los dominios mencionados. A.18.02.03 Verificación del cumplimiento técnico De Gestión de Incidentes
Objetivos de control y controles ISO
27002
Seguridad
Organizativa
Seguridad
Lógica
Seguridad
Física
Seguridad
Jurídica
Dominio (5) Política de la seguridad de la
información
Política General cuyo principal objetivo es:
(PG-SGSI-001),
• Establecer los principios y marco general de trabajo para administrar, mantener, sensibilizar,
monitorear y revisar el Sistema de Gestión de Seguridad de la Información (SGSI) acorde a
las definiciones estratégicas y objetivos trazados por la Organización.
A.05.01.01 Políticas para la seguridad En el nivel más alto, las organizaciones deberían definir una “política de seguridad de la información" que la
de la información aprueba la dirección y que establece el enfoque de la organización para administrar sus objetivos de
seguridad de la información.
A.05.01.02 Revisión de las Políticas de Cada política debería tener un titular que tenga responsabilidad administrativa aprobada para el desarrollo,
Seguridad de la Información la revisión y la evaluación de ellas.
Importancia:
Permite conocer el marco
general de operación y
alcance del SGSI de
acuerdo con las
definiciones estratégicas
de la organización.
Dominio (6) Organización de la seguridad de la
información
Política de organización de la seguridad de la información (PE-SGSI-001), +
Política General de Seguridad con roles y responsabilidades del SGSI definidos. Resoluciones y/o documento en
Roles y responsabilidades de el que se establezca los respectivos nombramientos.
A.06.01.01 la seguridad de la información Se deberían indicar las áreas por las que las personas son responsables.
Las organizaciones que permiten las actividades de teletrabajo deberían emitir una política que define las
A.06.02.02 Teletrabajo condiciones y las restricciones del uso del teletrabajo. Se deberían considerar los siguientes asuntos donde se
considere aplicable y lo permita la ley
MATRIZ DE RESPONSABILIDADES
POLITÍCA DE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Importancia:
GERENTE
COMITÉ DE OFICIAL DE
GERENTES AUDITOR
RECURSOS Permite conocer las
SEGURIDAD DE LA HUMANOS Y USUARIOS
responsabilidades
RESPONSABILIDADES DIRECTORIO SEGURIDAD DE LA
GENERAL INFORMACIÓN DE ÁREA INTERNO SERVICIO
INFORMACIÓ
N S
Clasificación
Normativa y D
Tratamiento
valoración de Tratamiento SERVICIO (SLA)
Metodologías. Activos. Clasificación. N
Inventari
por nivel de
Clasificación.
MES EN HORAS
Organización para la
gestión de Activos. Definición de Serv. Correo Crítica 99,95% 00:36
Propiedad de los Consolidación y
Definición de Activos. Validación. Serv. Autentificación Crítica 99,95% 00:36
Metodologías. Definición de
AD
o
Proyectos de
Necesidad de Consolidación
Reporte Tratamiento. Servicio de Telefonía Crítica 99,95% 00:36
Cumplimiento. y Validación
Servicio Internet Crítica 99,95% 00:36
Servicio Erp Alta 99,80% 01:30
Plat. de Media 99,50% 03:30
Importancia: Remuneraciones
Acceso a redes y servicios de Procedimiento de acceso a la red alineado a política de control de acceso.
A.09.01.02 red Los usuarios solo deberían tener acceso a la red y a los servicios de red en los que cuentan con autorización específica.
Sistema de gestión de Procedimiento de sistemas de gestión de contraseñas, alineados a control 9.3.1.
A.09.04.03 contraseñas Los sistemas de administración de contraseñas deberían ser interactivos y deberían garantizar contraseñas de calidad.
Estructura de la Password
recomendada:
• Largo mínimo de 10 caracteres,
Importancia:
• Uso de números obligatorio (1 o más), Permite definir y controlar
• Uso de letras mayúsculas obligatorio (1 o los accesos correctos y
más),
• Uso de letras minúsculas obligatorio (1 o adecuados a los activos de
más) y
Otros información en la
• Usoparámetros recomendados:
de caracteres especiales obligatorio (1 ó
• Cambio
más). automático cada 90 organización.
días,
• Al 3° intento fallido bloque x 24
Dominio (11) Seguridad
Física
Política de seguridad física y del ambiente (PE-SGSI-004) +
Procedimiento de seguridad física, cuyos principales objetivos son:
• Velar por la protección de la Infraestructura tecnológica de almacenamiento de información
y de provisión de servicios tecnológicos de apoyo a la gestión.
• Protección de los espacios Físicos.
• Dar condiciones de continuidad operacional a la gestión operacional, de servicio y comercial
de la organización.
CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION
A.11.01.01 Perímetro de seguridad Procedimiento de control de acceso, en concordancia con el Procedimiento de control de acceso físico.
física Los perímetros de seguridad se deberían definir y utilizar para proteger a las áreas que contienen información y a las
instalaciones de procesamiento de información sensible o crítica.
Importancia:
Permite definir y controlar
un resguardo adecuado a
los activos de información
en la organización.
Dominio (12 y 13) Seguridad de las Operaciones y
Comunicaciones
Política gestión de comunicaciones y operaciones (PE-SGSI-005) +,
Procedimiento uso correcto de servidores y redes +,
Procedimiento prevención de programa malicioso informático +,
Procedimiento de respaldo y recuperación de la información +,
Procedimiento uso correcto de servidores y redes , cuyos principales objetivos son:
• Analizar y establecer una adecuada gestión de comunicaciones y operaciones apropiados
para la información de la
organización, brindando y asegurando la confidencialidad, integridad y disponibilidad que
requiera cada sistema.
CONTROL DESCRIPCIÓN
• Controlar ORIENTACION SOBRE LA IMPLEMENTACION
y asegurar las instalaciones de procesamiento de información y datos de la
empresa
Controles contra Procedimiento contra código malicioso.
códigos Se deberían implementar controles para la detección, prevención y recuperación para
A.12.02.01 resguardarse contra el malware en combinación con la concientización adecuada para los
maliciosos
usuarios.
Políticas de Respaldo.
Respaldo de la Se deberían realizar copias de la información, del software y de las imágenes del sistema y se
A.12.03.01 información deberían probar de manera regular de acuerdo con una política de respaldo acordada.
Importancia:
Clasificación Nivel de Impacto RESPUESTA
Nivel de
Notificación No
NoPeligrosidad Si Incident Si
Permite establecer un
Incident
Nivel de Impacto e es
e es
real Real
estándar de operación y de
? ? Incidente No Activar
Legal Análisis
Comunicacion
No Bajo
Respuesta
Inmediata
es Apoyo
Forense
Plan de
Falso Positivo Control
Crisis servicio respecto de la
Si
gestión de incidentes
Si
Informe de Plan de
sobre los activos de
Mejora
Control Crisis
información.
Fuente: Norma ISO 27001
Continua Revisión
Dominio (17) Gestión de la continuidad
del Negocio
Política de planificación de la continuidad de la seguridad de la información (PE-SGSI-
, cuyo principal
010)
objetivo es:
• Es brindar una guía que permita, al personal designado por el departamento de TI
gestionar de mejor forma el desempeño diario de las tareas que involucran los activos de
información de acuerdo con la normativa vigente, respecto de contingencias catastróficas
CONTROL
o emergencias
DESCRIPCIÓN
que impidan la operación normal de las plataformas tecnológicas.
ORIENTACION SOBRE LA IMPLEMENTACION
Planificación de la continuidad Política que señale la Planificación de la continuidad de la seguridad de la información.
A.17.01.01 de la seguridad de la La organización debería determinar sus requisitos para la seguridad de la información y la continuidad de la administración
información de la seguridad de la información ante situaciones adversas, es decir, durante una crisis o desastre.
Pasos a seguir para implementar un Plan de Continuidad Operacional Ejemplo que hacer cuando ocurre:
1
Realizar
Pérdida de suministro de energía eléctrica
Análisis del impacto
en el negocio y
Corte en los enlaces de comunicaciones
evaluación
de riesgos Falla en los equipos de comunicaciones
Ataque de virus informático
Falla operacional site principal
4 2
Operación bajo situación de Fuerza Mayor
Realizar Control y
Desarrollar
Estrategia
Ensayos y Planificación
Importancia:
de
Pruebas Operacional
Continuidad
3
Operacional
Permite establecer una guía de como operar
ante la ocurrencia de un incidente en la
Establecer e
Implementar
procedimientos
de Continuidad
Operacional organización, asignado roles y responsabilidades.
Se recomienda iniciar con los más comunes.
Dominio (18)
Cumplimiento
Procedimiento de revisión de cumplimiento técnico, cuyos principal objetivo es:
• Contar con un mecanismo adecuado para la revisión del cumplimiento técnico de
los controles implementados por parte de la organización. Esta revisión
corresponderá al estado de avance porcentual del cumplimiento de cada uno de
los controles registrados en la planilla de control del cumplimiento técnico.
CONTROL DESCRIPCIÓN ORIENTACION SOBRE LA IMPLEMENTACION
A.18.02.01 Revisión independiente de la Procedimiento o Documento que detalle el mecanismo de revisión independiente de la información de
seguridad de la Información seguridad de la Información.
A.18.02.03 Verificación del cumplimiento Procedimiento o Documento que indique como se debería revisar y verificar regularmente el cumplimiento
técnico técnico de las políticas y normas de seguridad de la Información.
Políticas para En el nivel más alto, las organizaciones deberían definir una “política de 1. EXISTENCIA DE POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION
1 A.05.01.01 la seguridad seguridad de la información" que la aprueba la dirección y que establece el 2. EXISTENCIA DE RESOLUCION
de la enfoque de la organización para administrar sus objetivos de seguridad de 3. EVIDENCIA DE DIFUSIÓN
información la información.
Importancia:
Revisión de las
Cada política debería tener un titular que tenga responsabilidad
administrativa aprobada para el desarrollo, la revisión y la evaluación de
1. EXISTENCIA DE POLITICAS Y PROCEDIMIENTOS
2. ACTA COMITÉ DE RIESGO APROBACION DE POLITICAS Y PROCEDIMIENTOS Permite asegurar un
3. ACTA DE CONSTITUCION DE COMITÉ DE SEGURIDAD
2 A 05.01.02 Politicas de
Seguridad de la
ellas. La revisión debería incluir la evaluación de oportunidades de mejora
y un enfoque para administrar la seguridad de la información en respuesta 4. ACTA NOMBRAMIENTO DE ENCARGADO DE SEGURIDAD
5. RESOLUCION EXENTA N°4468
funcionamiento
a los cambios en el entorno que las puedan afectar. Se debería obtener la
adecuando e incorporar
Información
aprobación de la dirección para una política revisada. 6. RESOLUCION EXENTA N°555
Roles y
responsabilidades
Política General de Seguridad con roles y responsabilidades del SGSI
definidos. Resoluciones y/o documento en el que se establezca los
1. EXISTENCIA DE POLITICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN
2. EXISTENCIA DE UNA POLITICA DE ROLES U ORGANICA DE LAS POLITICAS mejora continua al
3 A.06.01.01 de la seguridad de
la información
respectivos nombramientos. Se deberían indicar las áreas por las que las
personas son responsables.
3. ACTA COMITÉ DE RIESGO APROBACION DE POLITICAS Y PROCEDIMIENTOS
4. RESOLUCION EXENTA N°555 Sistema de Gestión de
Concientización,
Se deberá segurarse de que los empleados y contratistas están en
conocimiento de y
1. EXISTENCIA DE UNA POLITICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN
2. ACTA COMITÉ DE RIESGO APROBACION DE POLITICAS Y PROCEDIMIENTOS
Seguridad de la
que cumplen con sus responsabilidades de seguridad de la información.
Información (SGSI)
4 A.07.02.02 educación en
seguridad de la La dirección debería exigir a todos los empleados y contratistas que 3. RESOLUCION EXENTA N°555
información apliquen la seguridad de la información de acuerdo con las políticas y 4. EVIDENCIA DE DIFUSION Y CAPACITACION
procedimientos establecidos de la organización.
Ejemplo de ataque de Spearphishing
(Fraude del CEO)
De mi consideración:
4. Maleantes detectan envío de documentos de transferencia
Por medio de la presente y de acuerdo con lo conversado y autorizado favor solicito a Uds. realizar de fondos.
abono a la cuenta corriente N°23232323 de la sociedad Alerce Blanco la suma de USD$3.500.000.
¿Qué
5. Seesinterviene
el fraude del
PDFCEO o BEC?
cambiando cuenta de destino de la
Capital Comprometido del Proyecto: