martes, 20 de marzo de 2012

ASI 2 - ISO 27002: Dominio 12 Adquisisión, desarrollo y mantenimiento de sistemas de información.



Continuando con los Dominios de la ISO 27002 (Numeral 12) o Anexo A de la ISO 27001 (Anexo A12), hoy vamos a revisar la Adquisición, desarrollo y mantenimiento de sistemas de información. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen seis objetivos de control:


12.1 Requisitos de seguridad de los sistemas de información
Objetivo: garantizar que la seguridad es parte integral de los sistemas de información.

Los sistemas de información incluyen sistemas operativos, infraestructura, aplicaciones del negocio, productos de vitrina, servicios y aplicaciones desarrolladas para usuarios. El diseño y la implementación del sistema de información que da soporte a los procesos del negocio pueden ser cruciales para la seguridad. Se deberían identificar y acordar los requisitos de seguridad antes del desarrollo y/o la implementación de los sistemas de información.

Todos los requisitos de seguridad se deberían identificar en la fase de requisitos de un proyecto y se deberían justificar, acordar y documentar como parte de todo el caso de negocio para un sistema de Información.

12.2 Procesamiento Correcto en las Aplicaciones
Objetivo: evitar errores. pérdidas, modificaciones no autorizadas o uso inadecuado de la información en las aplicaciones.

Se deberían diseñar controles apropiados en las aplicaciones, incluyendo las aplicaciones desarrolladas por el usuario para garantizar el procesamiento correcto. Estos controles deberían incluir la validación de los datos de entrada, del procesamiento interno y de los datos de salida.

Se pueden necesitar controles adicionales para los sistemas que procesan o tienen impacto en la información sensible, de valor o critica. Dichos controles se deberían determinar con base en los requisitos de seguridad y en la evaluación de riesgos.

12.3 Controles Criptograficos
Objetivo: proteger la confidencialidad, autenticidad o integridad de la información, por medios criptográficos.

Se debería desarrollar una política sobre el uso de los controles criptográficos y establecer una gestión de claves para dar soporte al empleo de técnicas criptográficas.

12.4 Seguridad de los archivos de sistema
Objetivo: garantizar la seguridad de los archivos del sistema.

Los accesos a los archivos del sistema y al código fuente del programa deberían estar protegidos, y los proyectos de tecnología de la información y las actividades de soporte se deberían efectuar de forma segura. Se debería tener cuidado para evitar la exposición de datos sensibles en los entornos de prueba.

12.5 Seguridad en los procesos de desarrollo y soporte.
Objetivo: mantener la seguridad del software y de la información dél sistema de aplicaciones.

Los entornos de soporte y de desarrollo deberían estar estrictamente controlados.

Los directores responsables de los sistemas de aplicación también deberían ser responsables de la seguridad del entorno del proyecto o del soporte. Ellos deberian garantizar que todos los cambios propuestos en el sistema se revisan para comprobar que no ponen en peligro la seguridad del sistema ni del entorno operativo.

12.6 Gestión de la vulnerabilidad técnica.
Objetivo: reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas.

La gestión de la vulnerabilidad técnica se debería implementar de forma eficaz, sistemática y repetible con toma de mediciones para confirmar su eficacia. Estas consideraciones deberían incluir a los sistemas operativos y otras aplicaciones en uso.


Sintetizando, este es el objetivo que persigue la Norma con este Dominio

Todos los sistemas de procesamiento de información, infraestructura, desarrollos, aplicaciones, archivos, procesos de desarrollo y mantenimiento de sistemas de información de la Organizacion deben ser controlados y tener una adecuada seguridad.

Profundizando en los requerimientos de la Norma:


12.1. Requisitos de seguridad de los sistemas
Los sistemas de información de la Organización, que incluyen la infraestructura, aplicaciones de negocio y aplicaciones desarrolladas por los usuarios deben tener incorporados los controles de seguridad correspondientes.

Se deben identificar y acordar los requerimientos de seguridad que deben contener los sistemas de información de la Organización antes de su desarrollo e implementación. Los requerimientos de seguridad para el desarrollo de los sistemas de información deben quedar documentados como parte del proceso de negocio del proyecto de implementación de sistemas de información.

12.2. Seguridad de las aplicaciones del sistema
Para las aplicaciones y sistemas de información de la Organización se deben diseñar e implementar medidas de control de seguridad y registros de auditoría o de actividades correspondientes a cada aplicación. En el diseño de los controles se deben incluir las validaciones de los datos de entrada, procesamiento interno y datos de salida que maneja la aplicación.

12.3. Controles criptográficos
Toda la información confidencial, sensible o en riego de la Organización debe estar protegida por sistemas y técnicas criptográficas en caso de que otras medidas y controles no le puedan proporcionar la protección apropiada y necesaria para su seguridad.

12.4. Seguridad de los archivos del sistema
Todos los accesos otorgados a los archivos de los sistemas de la Organización deben estar controlados, para asegurar que las actividades de soporte y proyectos de Tecnología de Información son llevados a cabo de forma segura.

12.5. Seguridad en los procesos de desarrollo y soporte
Se deben establecer normas para el control de los entornos del proyecto y procesos de desarrollo y soporte en el mantenimiento de la seguridad del software y de la información manejada por las aplicaciones de los sistemas de la Organización. Cada cambio propuesto para los diferentes sistemas de información debe ser revisado para asegurar que no afecta la seguridad del mismo o la del sistema operativo.

12.6. Gestión de la vulnerabilidad técnica
Se deben establecer normas y controles para reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas.

Este Dominio busca asegurar todos la infraestructura que soporta la información de la Organización, proporcionándoles controles adecuados para proteger toda la información de propiedad de la Organización.

No hay comentarios:

Publicar un comentario

Has tus comentarios