Listado de controles de seguridad

Estructura de las áreas de seguridad

La seguridad de la información no se puede abordar únicamente desde un enfoque técnico, se deben considerar diversos aspectos en, al menos, las siguientes 14 áreas:

1. Anexo A5. Política de seguridad:
   5. 1 Política de seguridad de la información: Proporcionar la guía y apoyo de la Dirección para la seguridad de la información en relación a los requisitos del negocio y a las leyes y regulaciones relevantes.
2. Anexo A6. Aspectos organizativos:
   6. 1 Organización interna: Establecer un marco de gestión para iniciar y controlar la implementación y operación de seguridad de la información dentro de la organización.
   7. 2 Dispositivos móviles de teletrabajo: Para garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
3. Anexo A7. Seguridad ligada a RRHH:
   7. 1 Antes del empleo: Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.
   8. 2 Durante el empleo: Asegurar que los empleados, contratistas y terceras partes son conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y que están equipados para cumplir con la política de seguridad de la organización en el desempeño de sus labores diarias, para reducir el riesgo asociado a los errores humanos.
   9. 3 Al cese de la relación laboral: Proteger los intereses de la organización cuando empleados, contratistas y terceras partes abandonan la organización.
4. Anexo A8. Gestión de activos:
   8. 1 Responsabilidad de los activos: Identificar los activos de la organización y definir las responsabilidades de protección adecuados.
   9. 2 Clasificación de la información: Asegurar que la información reciba un nivel adecuado de protección de acuerdo con su importancia para la organización.
   10. 3 Manipulación de los soportes: Evitar la divulgación, modificación, retirada o destrucción de activos no autorizada e interrupciones en las actividades de la organización.
5. Anexo A9. Control de accesos:
   9. 1 Requerimientos de negocio frente al control de acceso: Limitar el acceso a las instalaciones de procesamiento de información y la información.
   10. 2 Gestión de accesos de usuario: Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de información.
   11. 3 Responsabilidades de los usuarios: Impedir el acceso de usuarios no autorizados y el compromiso o robo de información y recursos para el tratamiento de la información.
   12. 4 Control de acceso al sistema y las aplicaciones: Prevenir el acceso no autorizado a los sistemas y aplicaciones
6. Anexo A10. Criptografía:
   10. 1 Criptografía: Garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y / o integridad de la información.
7. Anexo A11. Seguridad física y medioambiental:
   11. 1 Áreas seguras: Evitar el acceso físico no autorizado, daños o intromisiones en las instalaciones y a la información de la organización.
   12. 2 Seguridad de equipos: Evitar la pérdida, daño, robo o puesta en peligro de los activos e interrupción de las actividades de la organización.
8. Anexo A12. Seguridad en las operaciones:
   12. 1 Responsabilidades y procedimientos de operación: Asegurar la operación correcta y segura de los recursos de tratamiento de la información.
   13. 2 Protección contra el código malicioso: Asegurar que las instalaciones de procesamiento de información y la información están protegidos contra el malware
   14. 3 Copias de seguridad: Garantizar la disponibilidad de la información en la organización frente a la perdida de datos.
   15. 4 Supervisión y monitorización de log: Registrar eventos y generar evidencia.
   16. 5 Control del software (operativo): Garantizar la integridad de los sistemas operativos.
   17. 6 Gestión de vulnerabilidades técnicas: Minimizar el riesgo de explotación de vulnerabilidades técnicas.
   18. 7 Auditoria de los sistemas: Minimizar el impacto de las actividades de auditoría en los sistemas operativos.
9. Anexo A13. Seguridad en las comunicaciones:
   13. 1 Gestión de la seguridad de las redes: Asegurar la protección de la información en las redes y la protección de su infraestructura de apoyo.
   14. 2 Intercambios de información: Mantener la seguridad de la información y del software que se intercambian dentro de la organización o con cualquier entidad externa.
10. Anexo A14. Adquisición, desarrollo y mantenimiento:
    14. 1 Requerimientos de seguridad de los SI: Garantizar que la seguridad es parte integral de los sistemas de información.
    15. 2 Seguridad en los procesos de desarrollo y soporte: Mantener la seguridad del software del sistema de aplicaciones y la información.
    16. 3 Validación de la información: Evitar errores, pérdidas, modificaciones no autorizadas o mal uso de la información en las aplicaciones.
11. Anexo A15. Relación con proveedores:
    15. 1 Seguridad de la información en relación con los proveedores: Garantizar la protección de los activos de la organización que sea accesible por los proveedores.
    16. 2 Gestión de la prestación de servicios de proveedor: Mantener un nivel acordado de la seguridad y la prestación de servicios de información en línea con acuerdos con proveedores.
12. Anexo A16. Gestión de incidentes de seguridad:
    16. 1 Gestión de incidentes de seguridad y mejoras: Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de información se comuniquen de modo que se puedan realizar las acciones correctivas oportunas.
13. Anexo A17. Continuidad de negocio:
    17. 1 Seguridad en la continuidad de negocio Objetivo La información sobre la continuidad de seguridad se puede integrar en sistemas de gestión de continuidad de negocio de la organización.
    18. 2 Redundancia: Asegurar la continuidad de la organización, usando para ello sistemas redundantes.
14. Anexo A18. Cumplimiento legal:
    18. 1 Cumplimiento de los requisitos legales: Evitar incumplimientos de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requisito de seguridad.
    19. 2 Revisión de la SI: Asegurar que la seguridad de la información se aplica y opera de acuerdo con las políticas y procedimientos de la organización.