ESCUELA POLITECNICA NACIONAL

Transcripción

1 1 de 19

2 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC para una adecuada administración de la información. Prologo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. La Norma ISO/EIC ha sido elaborada por el subcomité SC 27 Técnicas de seguridad que forma parte del comité técnico conjunto ISO/EIC JTC 1 Tecnologías de la información. Introducción Esta norma internacional proporciona un modelo para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de este estándar es una decisión estratégica de la empresa para mejorar su sistema de seguridad. Esta decisión está basada en las necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el tamaño y estructura de la organización. Este modelo debe ser revisado y modificado de acuerdo a la escalabilidad de la empresa. La implementación de este estándar en una empresa depende de la manera efectiva en que esta desea que se realice sus procesos de una manera efectiva. Los principales pilares en que se basa son: a) Entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para la seguridad de la información; b) Implementar y operar controles para manejar los riesgos de la seguridad de la información. c) Monitorear y revisar el desempeño y la efectividad del Sistema de Seguridad implementado. d) El mejoramiento continúo en base a la medición del objetivo propio de cada empresa. El modelo de gestión de seguridad toma como base los siguientes parámetros: Planear-Hacer-Chequear-Actuar 2 de 19

3 Este Estándar Internacional proporciona un modelo sólido para implementar los principios en aquellos lineamientos que gobiernan la evaluación del riesgo, diseño e implementación de seguridad, gestión y re-evaluación de la seguridad. Planificar (creación del SGSI) Establecer la política, objetivos, procesos y procedimientos del SGSI. Hacer (implementación y Implementar y operar la política, controles y operación del SGSI) procedimientos del SGSI. Verificar (supervisión y revisión del SGSI) Evaluar y, donde sea aplicable, medir el desempeño del proceso contra la política y práctica del SGSI. Actuar (mantenimiento y mejora del SGSI) Tomar acciones correctivas y preventivas, basadas en los resultados de la auditoría interna del SGSI. Compatibilidad con otros sistemas de gestión Este estándar se alinea con el ISO 9001:2000 e ISO 14001:2004 para dar soporte a una implementación y operación consistente e integrada con los estándares de gestión que existen y están implementados en la mayoría de empresas. 1 Objeto y campo de la aplicación 1.1 General Este Estándar Internacional especifica los requerimientos para la implementación de controles de seguridad personalizados para las necesidades de cada organización. El SGSI está diseñado de modo que permita realizar una selección adecuada de los controles de seguridad brindando seguridad y confianza a cada una de las partes. 1.2 Aplicación 3 de 19

4 Los requerimientos establecidos en este Estándar Internacional son genéricos y aplicables a cualquier tipo de empresa. No se debe excluir ninguno de los requerimientos especificados en las Cláusulas 4, 5, 6, y 8 una vez que la organización asegura su conformidad con este Estándar. Al realizar alguna exclusión, debe ser plenamente justificada y se debe proporcionar evidencia de que los riesgos asociados han sido aceptados por las personas responsables; o a su vez dichas exclusiones no deben afectar la capacidad y/o responsabilidad de la organización. 2 Normas para la consulta Para referencias fechadas, sólo se aplica la edición citada. Para referencias no fechadas, se aplica la última edición del documento citado. 3 Términos y definiciones Pto. Término Definición Norma ISO/IEC 3.1 Activo Cualquier cosa que tenga valor para la organización : Disponibilidad Propiedad de estar disponible y utilizable cuando lo :2004 requiera una entidad autorizada 3.3 Confidencialidad Que la información no sea divulgada a personas, entidades :2004 o procesos no-autorizados. 3.4 Preservación de la confidencialidad, integridad y Seguridad de disponibilidad de la información; además, de otras información propiedades como la autenticidad, responsabilidad, norepudio 17799:2005 y confiabilidad 3.5 Evento de Evento que indica una posible violación de la política de seguridad de la información seguridad de la información o situación que puede ser relevante para la seguridad. TR 18044: Incidente de seguridad de la información Eventos de seguridad pueden comprometer las operaciones o la seguridad de la información. TR 18044: Sistema de gestión de Parte del sistema gerencial general, desarrollada para seguridad de la información SGSI establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. 3.8 Integridad La propiedad de salvaguardar la exactitud e integridad de :2004 los activos. 3.9 Riesgo residual El riesgo remanente después del tratamiento del riesgo Guía 73: Aceptación de Decisión de aceptar el riesgo Guía 73:2002 riesgo 3.11 Análisis de riesgo Uso sistemático de la información para identificar fuentes y para estimar el riesgo Guía 73: Valuación del Proceso general de análisis del riesgo y evaluación del Guía 73:2002 riesgo riesgo 3.13 Evaluación del Proceso de comparar el riesgo estimado con el criterio de Guía 73: de 19

5 riesgo 3.14 Gestión del riesgo 3.15 Tratamiento del riesgo 3.16 Enunciado de aplicabilidad riesgo dado para determinar la Importancia del riesgo Actividades coordinadas para dirigir y controlar una organización con relación al riesgo Proceso de tratamiento de la selección e implementación de medidas para modificar el riesgo Enunciado documentado que describe los objetivos de control y los controles que son relevantes y aplicables al SGSI de la organización. Guía 73:2002 Guía 73:2002 Guía 73: Sistema de gestión de seguridad de la información La organización debe establecer, implementar, operar, monitorear, mantener y mejorar continuamente un SGSI para lograr esto los procesos utilizados se basan en el modelo PDCA (Planear-Hacer-Chequear-Actuar) 4.2 Establecer y manejar el SGSI Establecer el SGSI Para establecer un SGCI la organización debe hacer lo siguiente: a) Definir el alcance y los límites del SGSI en términos de las características del negocio (organización, ubicación, activos, tecnología) detallando y justificando su alcance. b) Definir una política SGSI en términos de las características del negocio, estas deben incluir: 1. Objetivos y principios para la acción con relación a la seguridad de la información 2. Requerimientos comerciales y legales o reguladores, y las obligaciones de la seguridad contractual 3. Debe estar alineada con el contexto de la gestión riesgo estratégico de la organización en la cual se dará el establecimiento y mantenimiento del SGSI 4. Debe establecer el criterio con el que se evaluará el riesgo y ser aprobado por la gerencia c) Definir el enfoque de valuación del riesgo de la organización: 1. Identificar una metodología de cálculo del riesgo adecuado para el SGSI y los requerimientos identificados de seguridad, legales y reguladores de la información comercial. 2. Desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptables 5 de 19

6 La metodología de estimación del riesgo seleccionada debe asegurar que los cálculos del riesgo produzcan resultados comparables y reproducibles. d) Identificar los riesgos. 1. Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos. 2. Identificar las amenazas para aquellos activos. 3. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas. 4. Identificar los impactos que pueden tener las pérdidas de confiabilidad, integridad y disponibilidad sobre los activos. e) Analizar y evaluar el riesgo 1. Calcular el impacto comercial sobre la organización que podría resultar de una falla en la seguridad, tomando en cuenta las consecuencias de una pérdida de confidencialidad, integridad o disponibilidad de los activos. 2. Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades prevalecientes, y los impactos asociados con estos activos, y los controles implementados actualmente. 3. Calcular los niveles de riesgo. 4. Determinar si el riesgo es aceptable o requiere tratamiento utilizando el criterio de aceptación del riesgo Implementación y operación el SGSI La organización debe formular un plan, implementarlo, controlarlo, medirlo, capacitar y mejorar mediante programas y manejar recursos del SGSI a demás se debe implementar procedimientos o controles para detectar y responder a incidentes de seguridad Supervisión y revisión el SGSI La organización debe ejecutar procedimientos de monitoreo y revisión, y otros controles para detectar oportunamente incidentes de seguridad y resultados de procesamiento así como sus delegados e indicadores. Por otra parte se debe realizar revisiones, mediciones y evaluaciones regulares de la efectividad del SGSI así como sus objetivos para llegar a tener un riesgo aceptable en la seguridad. También es necesario realizar auditorías SGSI internas bajo una revisión gerencial que busque la mejora continua y actualice los planes de seguridad incluyendo actividades de monitoreo y revisión. Registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI Mantenimiento y mejora del SGSI 6 de 19

7 La organización debe realizar cuando crea conveniente las mejoras identificadas en el SGSI. Para tomar las acciones correctivas-preventivas y comunicar clara y objetivamente los resultados y acciones a todas las partes interesadas con el fin de asegurar que las mejoras logren sus objetivos señalados. 4.3 Requisitos de la documentación Generalidades La documentación debe incluir las decisiones de la Dirección junto con los registros de las mismas, debiendo quedar constancia de que las acciones dan respuesta a las decisiones y a las políticas adoptadas Control de documentos Los documentos exigidos por el SGSI deben estar protegidos y controlados. Se debe establecer un procedimiento documentado para definir las acciones de gestión necesarias Control de registros Se deben crear y mantener registros para proporcionar evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Dichos registros deben estar protegidos y controlados. 5 Responsabilidad de la Dirección 5.1 Compromiso de la Dirección La Dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI. 5.2 Gestión de los recursos Provisión de los recursos La organización debe implementar y proporcionar los recursos para: a) Establecer, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI. b) Mejorar la eficacia del SGSI c) Asegurar que los procedimientos de seguridad de la información responden a los requisitos empresariales 7 de 19

8 d) Mantener la seguridad adecuada mediante la aplicación correcta de los controles implementados Concienciación, formación y capacitación La organización debe asegurarse de que todo el personal al que se le hayan asignado responsabilidades definidas en el SGSI sea competente para llevar a cabo las tareas requeridas. 6 Auditorías internas del SGSI La organización debe realizar auditorías internas SGSI a intervalos planeados para determinar si los objetivos de control, controles, procesos y procedimientos del SGSI cumplen con los requerimientos a) Estándar Internacional, legislación y regulaciones relevantes; b) Seguridad de la información identificados; c) se implementan y mantienen de manera efectiva; y d) se realizan conforme lo esperado. Se debe planear un programa de auditoría tomando en cuenta el status e importancia de los procesos y áreas a ser auditados, así como los resultados de auditorías. Se debe definir el criterio, alcance, frecuencia y métodos de auditoría. Los auditores y las auditorías deben asegurar la objetividad e imparcialidad del proceso. Los auditores no deben auditar su propio trabajo. Las responsabilidades y requerimientos para las auditorías, el reporte de resultados y mantenimiento de registros se deben ser documentados. 7 Revisión Gerencial del SGSI 7.1 General La gerencia debe revisar el SGSI de la organización (por lo menos una vez al año) para asegurarse de su idoneidad, conveniencia y efectividad. 7.2 Insumo de la revisión El insumo para la revisión gerencial debe incluir: a) resultados de auditorías y revisiones del SGSI; 8 de 19

9 b) retroalimentación de las partes interesadas; c) técnicas, productos o procedimientos, para mejorar el desempeño y efectividad del SGSI; d) status de acciones preventivas y correctivas; e) vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de riesgo previa; f) resultados de mediciones de efectividad; g) acciones de seguimiento de las revisiones gerenciales previas; h) cualquier cambio que pudiera afectar el SGSI; y i) recomendaciones para el mejoramiento. 7.3 Resultado de la revisión Debe incluir cualquier decisión y acción relacionada con lo siguiente: a) mejoramiento de la efectividad del SGSI; b) actualización de la evaluación del riesgo y el plan de tratamiento del riesgo; c) modificación de procedimientos y controles que afectan la seguridad de la información, para responder a eventos internos o externos que pudieran tener impacto sobre el SGSI, incluyendo cambios en: 1. requerimientos comerciales; 2. requerimientos de seguridad; 3. procesos comerciales; 4. requerimientos reguladores o legales; 5. obligaciones contractuales; y 6. niveles de riesgo y/o criterio de aceptación del riesgo. d) necesidades de recursos; e) mejoramiento de la medición de efectividad de los controles 8.2 Acción correctiva La organización debe realizar las acciones para eliminar la causa de las noconformidades con los requerimientos del SGSI para evitar la recurrencia. La documentación para la acción correctiva debe definir los requerimientos para: 9 de 19

10 a) identificar las no-conformidades; b) determinar las causas de las no-conformidades; c) evaluar la necesidad de acciones para asegurar que las no-conformidades no vuelvan a ocurrir; d) determinar e implementar la acción correctiva necesaria; e) registrar los resultados de la acción tomada; y f) revisar la acción correctiva tomada. La acción para evitar las no-conformidades con frecuencia es más una acción efectiva en costo que la acción correctiva. 8.3 Acción preventiva La organización debe determinar la acción para eliminar la causa de las noconformidades de los requerimientos SGSI para evitar que ocurran. El procedimiento documentado para la acción preventiva debe definir los requerimientos para: a) identificar las no-conformidades potenciales y sus causas; b) evaluar la necesidad para la acción para evitar la ocurrencia de noconformidades; c) determinar e implementar la acción preventiva necesaria; d) registrar los resultados de la acción tomada; y e) revisar la acción preventiva tomada. La organización debe identificar los riesgos cambiados y los requerimientos de acción preventiva enfocando la atención sobre los riesgos cambiados significativamente. La prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del riesgo. Anexo A (Normativo) Objetivos de control y controles Los objetivos de control y los controles enumerados en la Tabla A.1 se derivan directamente de, y se alinean con, aquellos enumerados en BS ISO/IEC 17799:2005 Cláusulas del 5 al de 19

11 Tabla A.1 Objetivos de control y controles A.5 Política de seguridad A.5.1 Política de seguridad de información A Documentar política de seguridad de información. A Revisión de la política de seguridad de la información. A.6 Organización de la seguridad de la información A.6.1 Organización interna A Compromiso de la gerencia con la seguridad de la información A Coordinación de la seguridad de información A Asignación de responsabilidades de la seguridad de la información A Proceso de autorización para los medios de procesamiento de información A Acuerdos de confidencialidad A Contacto con autoridades A Contacto con grupos de interés especial A Revisión independiente de la seguridad de la información A.6.2 Terceros A Identificación de riesgos relacionados con entidades externas A Tratamiento de la seguridad cuando se trabaja con clientes A Tratamiento de la seguridad en contratos con terceras personas A.7 Gestión de activos A.7.1 Responsabilidad por los activos Objetivo: Lograr y mantener la protección apropiada de los activos organizacionales. A Inventarios de activos A Propiedad de los activos A Uso aceptable de los activos A.7.2 Clasificación de la información Objetivo: Asegurar que a información reciba un nivel de protección apropiado. A Lineamientos de clasificación A Etiquetado y manejo de la información A.8 Recursos Humanos de seguridad A.8.1 Prioridad a los empleados. Asegura que los empleados, contratistas y terceros usuarios entiendan sus responsabilidades, y sean susceptibles de considerar sus roles, y reducir riesgos de robo, fraude o uso indebido de las instalaciones. Entre los que hay: Funciones y responsabilidades, proyección, términos y condiciones de los empleados. A.8. 2 Durante el empleo Garantizar que todos los empleados, contratistas y terceros usuarios son conscientes de las amenazas de seguridad de la información y preocupaciones, sus 11 de 19

12 responsabilidades y obligaciones, y están equipados para apoyar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el riesgo de la de error. Responsabilidades de gestión, concienciación sobre la seguridad de la información, la educación y la formación, proceso disciplinario. A.8.3 Terminación o cambio de empleo Garantizar que los empleados, contratistas y terceros usuarios de salida de una organización o cambien de empleo de una manera ordenada, responsabilidades de terminación, devolución de activos y eliminación de los derechos de acceso. A.9 Seguridad Física y ambiental A.9.1 Áreas segura Impedir el acceso físico no autorizado, daño e interferencia a los locales de la organización y la información. Perímetro de la seguridad física, controles de entrada física, asegurar oficinas; habitaciones e instalaciones, protección contra las amenazas externas y ambientales, trabajo en áreas seguras, acceso del público, la entrega y áreas de carga. A.9.2 Seguridad de equipos Prevenir la pérdida, daños, robo o comprometer los intereses e interrumpir las actividades de la organización. Se dictan recomendaciones para el manejo de posicionamiento y protección de equipo, utilidades de soporte, cableado de seguridad, mantenimiento de equipos, seguridad de equipos fuera del recinto, desecho seguro o rehúso de equipos o finalmente remoción de propiedades, respectivamente. A.10 Administración de comunicaciones y operaciones A.10.1 Procedimientos y responsabilidades de operación Asegurar correctas y seguras instalaciones de procesamiento y operación de información. Procedimientos de operación documentados, administración de cambios, división de responsabilidades y la separación de instalaciones de desarrollo, pruebas y operaciones. A.10.2 Administración de servicio de entrega de terceros Implementar y mantener un nivel apropiado de seguridad en la información y en el servicio de entrega en línea con terceros. 12 de 19

13 Servicio de entrega, monitoreo y revisión de servicios de terceros y la administración de cambios de terceros. A.10.3 Planeamiento y aceptación del sistema Reducir el riesgo de fallas en el sistema. Se trata sobre el manejo de capacidad y aceptación del sistema. A.10.4 Protección contra código malicioso y móvil Proteger la integridad del software y la información. Control contra código malicioso y control contra código móvil. A.10.5 Respaldos Mantener la integridad y disponibilidad de la información. Respaldo de la información. A.10.6 Administración de la seguridad de la red Asegurar la protección de la información en una red y la protección de las estructuras de soporte. Se trata sobre los controles en la red y sobre la seguridad de los servicios de la red. A.10.7 Manipulación de los soportes Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización. A.10.8 Intercambio de información Mantener la seguridad de la información y del software intercambiado dentro de una organización y con un tercero. A.10.9 Servicios de comercio electrónico Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos. A Supervisión Detectar las actividades de procesamiento de la información no autorizadas A.11 Control de Accesos A.11.1 Requisitos de negocios para el control de acceso Controlar el acceso a la información. 13 de 19

14 A.11.2 Gestión de acceso de usuario. Asegurar el acceso de un usuario autorizado y prevenir el acceso no autorizado a los sistemas de información. A.11.3 Responsabilidades del usuario Prevenir el acceso de usuarios no autorizados, así como evitar el que se comprometa o se produzca el robo de la información o de los recursos de procesamiento de la información. A.11.4 Control de acceso a la red Prevenir el acceso no autorizado a los servicios en red. A.11.5 Control de acceso al sistema operativo Evitar acceso no autorizado a los sistemas operativos. Control de acceso mediante el registro de usuarios Los usuarios deben identificarse y autenticarse Las claves deben ser seguras e interactivas. Restringir el uso de programas. Las sesiones interactivas deben cerrarse después de un tiempo definido, y las conexiones deben durar un periodo de tiempo específico. A.11.6 Control de acceso a las aplicaciones e información Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación. Restricción al acceso a la información A.11.7 Computación móvil y tele-trabajo Asegurar la seguridad de la información cuando se utilice medios computación móvil y tele-trabajo. Establecer las medidas adecuadas para proteger la información cuando se usan de computación y comunicación móviles. Políticas en lo que se refiere a actividades de tele-trabajo. A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información A.12.1 Requerimientos de seguridad de los sistemas La seguridad debe ser una parte importante de los sistemas de información, se debe tratar de mejorar los existentes de acuerdo a los requerimientos actuales. 14 de 19

15 A.12.2 Procesamiento correcto en las aplicaciones Evitar errores, pérdida, modificación no-autorizada o mal uso de la información en las aplicaciones. Chequeo y validación e identificación de requerimientos de las aplicaciones para validar el procesamiento de la información. A.12.3 Controles criptográficos Proteger la confidencialidad, autenticidad o integridad de la información a través de medios criptográficos. Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información. Soporte de uso de técnicas criptográficas A.12.4 Seguridad de los archivos del sistema Garantizar la seguridad de los archivos del sistema Procedimientos para controlar operacionales. la instalación de software en los sistemas Restringir el acceso al código fuente del programa. A.12.5 Seguridad en los procesos de desarrollo y soporte Mantener la seguridad del software e información del sistema de aplicación Revisión técnica de las aplicaciones después de cambios en el sistema operativo Controlar los cambios en los paquetes de software Se deben evitar las oportunidades de filtraciones en la información. A.12.6 Seguridad en los procesos de desarrollo y soporte Tiene como objetivo mantener la seguridad del software e información del sistema de aplicación. La implementación de cambios deben ser controlados por procedimientos formales. Cuando se realizan cambios en el Sistema Operativo se debe revisar y probar las aplicaciones críticas para evitar que no exista un impacto en las operaciones de la 15 de 19

16 organización. Además se debe evitar las modificaciones en los paquetes de software, y realizar cambios que sean estrictamente necesarios y estos deben ser controlados. Se debe prevenir fugas de información. Este tipo de desarrollo debe ser supervisado y monitoreado por la organización. A.12.6 Gestión de la vulnerabilidad técnica Tiene como objetivo reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicadas. Se debe tener información oportuna de las vulnerabilidades técnicas de los sistemas de información que se encuentran en uso; evaluar la exposición a dichas vulnerabilidades y se debe tomar las medidas necesarias para tratar el riesgo. A.13 Gestión de incidentes en la seguridad de la información A.13.1 Reportes de eventos de la seguridad de la información y debilidades El objetivo de esto es que la información de los eventos y debilidades debe ser comunicada para tomar una acción correctiva oportuna. Los eventos de seguridad deben ser reportados por canales apropiados y lo más rápido posible. Se requiere que todos los usuarios de los sistemas y servicios de información reporten cualquier debilidad observada o sospechosa en la seguridad de los sistemas. A.13.2 Gestión de incidentes y mejoras en seguridad de la información El objetivo de esto es asegurar que se aplique un enfoque efectivo a la gestión de la seguridad de la información. Establecer responsabilidades y procedimientos para asegurar una respuesta rápida efectiva y ordenada a los incidentes de seguridad. Deben existir mecanismos para cuantificar y monitorear los tipos, volúmenes de los incidentes en la seguridad de la información. Cuando se ha producido un incidente y se ha llevado a cabo una acción de seguimiento contra el incidente y se haya involucrado una acción legal, se debe recolectar, mantener y presentar evidencia para cumplir las reglas en las jurisdicciones relevantes. A.14 Gestión de la continuidad comercial A.14.1 Aspectos de la seguridad de la información 16 de 19

17 El objetivo es contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales de los efectos de fallas o desastres, además se debe asegurar su reanudación oportuna. Se debe mantener un proceso para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización. Además se deben identificar los eventos que causan interrupciones en los procesos de la empresa, junto con la probabilidad, el impacto de las mismas y sus consecuencias. Es importante desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información. Los planes de continuidad comercial se deben probar y actualizar regularmente, para que sean efectivos. A.15 Cumplimiento A.15.1 Cumplimiento con requerimientos legales Objetivo principal es evitar cualquier violación de ley, obligación reguladora o contractual y de cualquier requerimiento de seguridad. Se deben definir explícitamente, documentar y actualizar los requerimientos estatutarios, reguladores y el enfoque de la organización relevante para cada sistema de información. Además de implementar los procedimientos para asegurar el cumplimiento de los requerimientos legislativos, reguladores sobre el uso de material con respecto a los derechos de propiedad intelectual y sobre el uso de software patentados. Se necesita proteger los registros importantes de una organización de cualquier pérdida, destrucción, falsificación en concordancia con los requerimientos estatutarios, contractuales y comerciales. Por otro lado, se debe desanimar a los usuarios de utilizar medios de procesamiento de la información para propósitos no autorizados Cumplimiento con las políticas y estándares de seguridad, y el cumplimiento técnico Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional. Los gerentes son los encargados de que los procedimientos, políticas y estándares de seguridad se cumplan Los sistemas de información deben chequearse regularmente Consideraciones de auditoría de los sistemas de información 17 de 19

18 Objetivo: Maximizar la efectividad de y minimizar la interferencia en el proceso de auditoría. Se debe planear cuidadosamente las auditorias acordando minimizar el riego de interrupciones en los procesos comerciales. Se debe proteger el acceso a las herramientas de auditoría para evitar cualquier mal uso. Anexo B (Informativo) Principios OECD y este Estándar Internacional Los principios dados en los Lineamientos OECD para la Seguridad de los Sistemas y Redes de Información se aplican a todas las políticas y niveles operacionales. Este Estándar proporciona un marco referencial del sistema de gestión de la seguridad de la información se describe alguno de los principios OECD son los siguientes. Principio OECD Conciencia Los participantes deben tener conocimiento de la necesidad de seguridad en los sistemas y redes de la información sistema y lo que pueden hacer para aumentar la seguridad. Responsabilidad Todos los participantes son responsables de la seguridad de los sistemas y redes de información. Respuesta Los participantes deben actuar de manera oportuna y cooperativa para evitar, detectar y responder a los incidentes de seguridad. Evaluación del riesgo Los participantes deben realizar evaluaciones de riesgo. Diseño e implementación de la seguridad Los participantes deben incorporar la seguridad como un elementos esencial de los sistemas y redes de información. Gestión de la seguridad 18 de 19

19 Los participantes deben adoptar un enfoque integral para la gestión de la seguridad. La gestión del riesgo es un proceso que incluye la prevención, detección y respuesta a los incidentes, mantenimiento continuo, revisión y auditoria. Reevaluación Los participantes deben revisar y reevaluar la seguridad de los sistemas y redes de información, y realizar las modificaciones apropiadas a las políticas, prácticas, medidas y procedimientos. Anexo C (Informativo) Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional Se muestra las principales diferencias entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional Los tres estándares tienen una estructura muy similar los puntos en los que se encuentran pequeñas diferencias las cuales son la adición de los siguientes puntos: Responsabilidad de gestión Manejo de recursos 19 de 19