Adquisición, desarrollo y mantenimiento de los sistemas de información
Páginas: 24 (5800 palabras)
Publicado: 30 de abril de 2014
12 Adquisición, desarrollo y mantenimiento de los sistemas de información
12.1 Requerimientos de seguridad de los sistemas de información
Objetivo: Garantizar que la seguridad sea una parte integral de los sistemas de información.
Los sistemas de información incluyen sistemas de operación, infraestructura, aplicaciones comerciales, productos de venta masiva, servicios y aplicacionesdesarrolladas por el usuario. El diseño e implementación del sistema de información que soporta el proceso comercial puede ser crucial para la seguridad. Se debieran identificar y acordar los requerimientos de seguridad antes del desarrollo y/o implementación de los sistemas de información.
Se debieran identificar todos los requerimientos de seguridad en la fase de requerimientos de un proyecto; ydebieran ser justificados, acordados y documentados como parte del caso comercial general para un sistema de información.
12.1.1 Análisis y especificación de los requerimientos de seguridad
Control
Los enunciados de los requerimientos comerciales para los sistemas de información nuevos, o las mejoras a los sistemas de información existentes, debieran especificar los requerimientos de los controlesde seguridad.
Los requerimientos y los controles de seguridad debieran reflejar el valor comercial de los activos de información involucrados (ver también 7.2), y el daño comercial potencia que podría resultar de una falla o ausencia de seguridad.
Los requerimientos de seguridad para a seguridad de la información y los procesos para implementar la seguridad debieran ser integrados en lasprimeras etapas de los proyectos de sistemas de información. Los controles introducidos en la etapa de diseño son significativamente más baratos de implementar y mantener que aquellos incluidos durante o después de la implementación.
Si los productos son comprados, se debiera realizar un proceso de prueba y adquisición formal. Los contratos con el proveedor debieran tratar los requerimientos deseguridad identificados. Cuando la funcionalidad de seguridad de un producto propuesto no satisface el requerimiento especificado entonces se debieran reconsiderar el riesgo introducido y los controles asociados antes de comprar el producto. Donde se suministra funcionalidad adicional y causa un riesgo de seguridad, este debiera ser desactivado o se debiera revisar la estructura de control propuesta paradeterminar si se puede obtener alguna ventaja de la funcionalidad mejorada disponible.
Otra información
Si se considera apropiado, por ejemplo por razones de costo, la gerencia puede desear hacer uso de productos evaluados y certificados independientemente. Se puede encontrar mayor información sobre el criterio de evaluación de los productos de seguridad TI en ISO/IEC 15408 u otros estándaresde certificación o evaluación, conforme sea apropiado.
120
ISO/IEC TR 13335-3 proporciona un lineamiento sobre el uso de procesos de gestión de riesgo para identificar los requerimientos para los controles de seguridad.
12.2 Procesamiento correcto en las aplicaciones
Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones.
Se debierandiseñar controles apropiados en las aplicaciones, incluyendo las aplicaciones desarrolladas por el usuario para asegurar un procesamiento correcto. Estos controles debieran incluir la validación de la input data, procesamiento interno y output data.
Se pueden requerir controles adicionales para los sistemas que procesan, o tienen impacto sobre, la información confidencial, valiosa o crítica. Estoscontroles se debieran determinar sobre la base de los requerimientos de seguridad y la evaluación del riesgo.
12.2.1 Validación de la input data
Control
Se debiera validar la input data para las aplicaciones para asegurar que esta data sea correcta y apropiada.
Lineamiento de implementación
Se debieran realizar chequeos del input de las transacciones comerciales, la data fija (por ejemplo...
12.1 Requerimientos de seguridad de los sistemas de información
Objetivo: Garantizar que la seguridad sea una parte integral de los sistemas de información.
Los sistemas de información incluyen sistemas de operación, infraestructura, aplicaciones comerciales, productos de venta masiva, servicios y aplicacionesdesarrolladas por el usuario. El diseño e implementación del sistema de información que soporta el proceso comercial puede ser crucial para la seguridad. Se debieran identificar y acordar los requerimientos de seguridad antes del desarrollo y/o implementación de los sistemas de información.
Se debieran identificar todos los requerimientos de seguridad en la fase de requerimientos de un proyecto; ydebieran ser justificados, acordados y documentados como parte del caso comercial general para un sistema de información.
12.1.1 Análisis y especificación de los requerimientos de seguridad
Control
Los enunciados de los requerimientos comerciales para los sistemas de información nuevos, o las mejoras a los sistemas de información existentes, debieran especificar los requerimientos de los controlesde seguridad.
Los requerimientos y los controles de seguridad debieran reflejar el valor comercial de los activos de información involucrados (ver también 7.2), y el daño comercial potencia que podría resultar de una falla o ausencia de seguridad.
Los requerimientos de seguridad para a seguridad de la información y los procesos para implementar la seguridad debieran ser integrados en lasprimeras etapas de los proyectos de sistemas de información. Los controles introducidos en la etapa de diseño son significativamente más baratos de implementar y mantener que aquellos incluidos durante o después de la implementación.
Si los productos son comprados, se debiera realizar un proceso de prueba y adquisición formal. Los contratos con el proveedor debieran tratar los requerimientos deseguridad identificados. Cuando la funcionalidad de seguridad de un producto propuesto no satisface el requerimiento especificado entonces se debieran reconsiderar el riesgo introducido y los controles asociados antes de comprar el producto. Donde se suministra funcionalidad adicional y causa un riesgo de seguridad, este debiera ser desactivado o se debiera revisar la estructura de control propuesta paradeterminar si se puede obtener alguna ventaja de la funcionalidad mejorada disponible.
Otra información
Si se considera apropiado, por ejemplo por razones de costo, la gerencia puede desear hacer uso de productos evaluados y certificados independientemente. Se puede encontrar mayor información sobre el criterio de evaluación de los productos de seguridad TI en ISO/IEC 15408 u otros estándaresde certificación o evaluación, conforme sea apropiado.
120
ISO/IEC TR 13335-3 proporciona un lineamiento sobre el uso de procesos de gestión de riesgo para identificar los requerimientos para los controles de seguridad.
12.2 Procesamiento correcto en las aplicaciones
Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones.
Se debierandiseñar controles apropiados en las aplicaciones, incluyendo las aplicaciones desarrolladas por el usuario para asegurar un procesamiento correcto. Estos controles debieran incluir la validación de la input data, procesamiento interno y output data.
Se pueden requerir controles adicionales para los sistemas que procesan, o tienen impacto sobre, la información confidencial, valiosa o crítica. Estoscontroles se debieran determinar sobre la base de los requerimientos de seguridad y la evaluación del riesgo.
12.2.1 Validación de la input data
Control
Se debiera validar la input data para las aplicaciones para asegurar que esta data sea correcta y apropiada.
Lineamiento de implementación
Se debieran realizar chequeos del input de las transacciones comerciales, la data fija (por ejemplo...
Leer documento completo
Regístrate para leer el documento completo.