Professional Documents
Culture Documents
DE SEGURIDAD
PRINCIPIOS BSICOS
1- Seguridad integral
1.1 Proceso integral de los elementos tcnicos, humanos, materiales y organizativos.
1.2 Concienciacin del personal que intervienen en el proceso y sus responsabilidades.
2- Gestin de riesgos
2.1 Anlisis y gestin de riesgos permanentemente actualizados.
2.2 Mantenimiento de un entorno controlado, minimizando todos los riesgos hasta
un alto nivel de seguridad.
3- Prevencin, reaccin y recuperacin
3.1 Contemplar aspectos de prevencin, deteccin y correccin para evitar las
amenazas, tanto de la informacin, como de los servicios.
3.2 Prevencin y eliminacin de amenazas que afecten al sistema, para ello se
dispone de disuasin y reduccin de la exposicin.
3.3 Se dispondr de medidas de reaccin, para acortar los tiempos de respuesta ante
incidentes.
3.4 Disposicin de medios de recuperacin casi inmediata.
3.5 Garanta de conservacin de los datos en soporte electrnico, al igual que de los
servicios mientras se disponga de la informacin.
4- Lneas de defensa
4.1 Disponer de estrategias de proteccin en mltiples capas de seguridad, de forma
que ante el fallo de una de las capas:
4.1.1 Ganar tiempo de reaccin ante incidentes.
4.1.2 Reducir la probabilidad de que el sistema sea comprometido
globalmente.
4.1.3 Minimizar el impacto final.
4.2 Disponer de lneas de defensa organizativa, fsicas y lgicas.
5- Reevaluacin peridica
5.1 Revisin y actualizacin peridica de los sistemas de seguridad.
6- Funcin diferenciada
6.1 Diferenciacin de los responsables de la informacin, del servicio y de la
seguridad, disponiendo en todo momento de las atribuciones de cada responsable y
los mecanismos de coordinacin y resolucin de conflictos. Estos roles son:
6.1.1 Responsable de la informacin. Determina los requisitos de la
informacin tratada.
6.1.2 Responsable del servicio. Determina los requisitos de los servicios
prestados.
6.1.3 Responsable de seguridad. Toma de decisiones para satisfacer los
requisitos de la seguridad de la informacin y de los servicios.
REQUISITOS MNIMOS
DIMENSIONES DE LA SEGURIDAD
Para determinar el impacto que tendra un incidente que afectara la seguridad de la
informacin y sus sistemas sobre una organizacin, se tendrn en cuenta las siguientes
dimensiones de la seguridad, que sern identificadas por sus correspondientes iniciales en
maysculas:
1- Disponibilidad (D)
2- Autenticidad (A)
3- Integridad (I)
4- Confidencialidad (C)
5- Trazabilidad (T)
n.a.: No aplica
MARCO ORGANIZATIVO
1- Poltica de seguridad [org.1]: La poltica de seguridad ser aprobada por el rgano
superior competente que corresponda, de acuerdo con lo establecido en el artculo 11,
y se plasmar en un documento escrito, en el que, de forma clara, se precise, al
menos, lo siguiente:
1.1 Los objetivos o misin de la organizacin.
1.2 El marco legal y regulatorio en el que se desarrollarn las actividades.
1.3 Los roles o funciones de seguridad, definiendo para cada uno, los deberes y
responsabilidades del cargo, as como el procedimiento para su designacin y
renovacin.
1.4 La estructura del comit o los comits para la gestin y coordinacin de la
seguridad, detallando su mbito de responsabilidad, los miembros y la relacin
con otros elementos de la organizacin.
1.5 Las directrices para la estructuracin de la documentacin de seguridad del
sistema, su gestin y acceso.
MARCO OPERACIONAL
Planificacin
Categora BSICA
Bastar un anlisis informal, realizado en lenguaje natural. Es decir, una exposicin textual que
describa los siguientes aspectos:
Categora MEDIA
Se deber realizar un anlisis semi-formal, usando un lenguaje especfico, con un catlogo bsico
de amenazas y una semntica definida. Es decir, una presentacin con tablas que describa los
siguientes aspectos:
Categora ALTA
Se deber realizar un anlisis formal, usando un lenguaje especfico, con un fundamento
matemtico reconocido internacionalmente. El anlisis deber cubrir los siguientes aspectos:
a) Necesidades de procesamiento.
b) Necesidades de almacenamiento de informacin: durante su procesamiento y durante el
periodo que deba retenerse.
d) Necesidades de comunicacin.
e) Necesidades de personal: cantidad y cualificacin profesional.
f) Necesidades de instalaciones y medios auxiliares.
10- Identificacin [op.acc.1]: La identificacin de los usuarios del sistema se realizar de acuerdo
con lo que se indica a continuacin:
a) Se asignar un identificador singular para cada entidad (usuario o proceso) que accede al
sistema, de tal forma que:
1. Se puede saber quin recibe y qu derechos de acceso recibe.
2. Se puede saber quin ha hecho algo y qu ha hecho.
b) Las cuentas de usuario se gestionarn de la siguiente forma:
1. Cada cuenta estar asociada a un identificador nico.
2. Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la
organizacin; cuando el usuario cesa en la funcin para la cual se requera la cuenta de usuario;
o, cuando la persona que la autoriz, da orden en sentido contrario.
3. Las cuentas se retendrn durante el periodo necesario para atender a las necesidades de
trazabilidad de los registros de actividad asociados a las mismas. A este periodo se le
denominar periodo de retencin.
11- Requisitos de acceso [op.acc.2]: Los requisitos de acceso se atendern a lo que a continuacin
se indica:
a) Los recursos del sistema se protegern con algn mecanismo que impida su utilizacin, salvo
a las entidades que disfruten de derechos de acceso suficientes.
b) Los derechos de acceso de cada recurso, se establecern segn las decisiones de la persona
responsable del recurso, atenindose a la poltica y normativa de seguridad del sistema.
c) Particularmente se controlar el acceso a los componentes del sistema y a sus ficheros o
registros de configuracin.
a) Desarrollo de operacin.
b) Configuracin y mantenimiento del sistema de operacin.
c) Auditora o supervisin de cualquier otra funcin.
13- Proceso de gestin de derechos de acceso [op.acc.4]: Los derechos de acceso de cada usuario,
se limitarn atendiendo a los siguientes principios:
- Nivel BAJO
a) Se admitir el uso de cualquier mecanismo de autenticacin: claves concertadas, o
dispositivos fsicos (en expresin inglesa tokens) o componentes lgicos tales como
certificados software u otros equivalentes o mecanismos biomtricos.
b) En el caso de usar contraseas se aplicarn reglas bsicas de calidad de las mismas.
c) Se atender a la seguridad de los autenticadores de forma que:
1. Los autenticadores se activarn una vez estn bajo el control efectivo del usuario.
2. Los autenticadores estarn bajo el control exclusivo del usuario.
3. El usuario reconocer que los ha recibido y que conoce y acepta las obligaciones que
implica su tenencia, en particular el deber de custodia diligente, proteccin de su
confidencialidad e informacin inmediata en caso de prdida.
4. Los autenticadores se cambiarn con una periodicidad marcada por la poltica de la
organizacin, atendiendo a la categora del sistema al que se accede.
5. Los autenticadores se retirarn y sern deshabilitados cuando la entidad (persona, equipo o
proceso) que autentican termina su relacin con el sistema.
- Nivel MEDIO
a) No se recomendar el uso de claves concertadas.
b) Se recomendar el uso de otro tipo de mecanismos del tipo dispositivos fsicos
(tokens) o componentes lgicos tales como certificados software u otros equivalentes o
biomtricos.
c) En el caso de usar contraseas se aplicarn polticas rigurosas de calidad de la contrasea y
renovacin frecuente.
- Nivel ALTO
a) Los autenticadores se suspendern tras un periodo definido de no utilizacin.
b) No se admitir el uso de claves concertadas.
c) Se exigir el uso de dispositivos fsicos (tokens) personalizados o biometra.
d) En el caso de utilizacin de dispositivos fsicos (tokens) se emplearn algoritmos acreditados
por el Centro Criptolgico Nacional.
e) Se emplearn, preferentemente, productos certificados [op.pl.5].
15- Acceso local [op.acc.6]: Se considera acceso local al realizado desde puestos de trabajo dentro
de las propias instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las
dimensiones de seguridad:
- Nivel BAJO
a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar a acceder al
mismo. La informacin revelada a quien intenta acceder, debe ser la mnima imprescindible
(los dilogos de acceso proporcionarn solamente la informacin indispensable).
b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de acceso una
vez efectuados un cierto nmero de fallos consecutivos.
c) Se registrarn los accesos con xito, y los fallidos.
d) El sistema informar al usuario de sus obligaciones inmediatamente despus de obtener el
acceso.
- Nivel MEDIO
Se informar al usuario del ltimo acceso efectuado con su identidad.
- Nivel ALTO
a) El acceso estar limitado por horario, fechas y lugar desde donde se accede.
b) Se definirn aquellos puntos en los que el sistema requerir una renovacin de la
autenticacin del usuario, mediante identificacin singular, no bastando con la sesin
establecida.
16- Acceso remoto [op.acc.7]: Se considera acceso remoto al realizado desde fuera de las propias
instalaciones de la organizacin, a travs de redes de terceros. Se garantizar la seguridad del
sistema cuando accedan remotamente usuarios u otras entidades, lo que implicar proteger tanto
el acceso en s mismo (como [op.acc.6]) como el canal de acceso remoto (como en [mp.com.2] y
[mp.com.3]).
Nivel MEDIO
Se establecer una poltica especfica de lo que puede hacerse remotamente, requirindose
autorizacin positiva.
Explotacin [op.exp].
Explotacin [op.ext]
17- Inventario de activos [op.exp.1]: Se mantendr un inventario actualizado de todos los
elementos del sistema, detallando su naturaleza e identificando a su propietario; es decir, la
persona que es responsable de las decisiones relativas al mismo.
20- Mantenimiento [op.exp.4]: Para mantener el equipamiento fsico y lgico que constituye el
sistema, se aplicar lo siguiente:
a) Todos los cambios anunciados por el fabricante o proveedor sern analizados para
determinar su conveniencia para ser incorporados, o no.
b) Antes de poner en produccin una nueva versin o una versin parcheada, se comprobar
en un equipo que no est en produccin, que la nueva instalacin funciona correctamente y
no disminuye la eficacia de las funciones necesarias para el trabajo diario. El equipo de
pruebas ser equivalente al de produccin en los aspectos que se comprueban.
c) Los cambios se planificarn para reducir el impacto sobre la prestacin de los servicios
afectados.
d) Mediante anlisis de riesgos se determinar si los cambios son relevantes para la seguridad
del sistema. Aquellos cambios que impliquen una situacin de riesgo de nivel alto sern
aprobados explcitamente de forma previa a su implantacin.
22- Proteccin frente a cdigo daino [op.exp.6]: Se considera cdigo daino: los virus, los
gusanos, los troyanos, los programas espas, conocidos en terminologa inglesa como spyware,
y en general, todo lo conocido como malware. Se dispondr de mecanismos de prevencin y
reaccin frente a cdigo daino con mantenimiento de acuerdo a las recomendaciones del
fabricante.
23- Gestin de incidencias [op.exp.7]: Se dispondr de un proceso integral para hacer frente a los
incidentes que puedan tener un impacto en la seguridad del sistema, incluyendo:
24- Registro de la actividad de los usuarios [op.exp.8]: Se registrarn todas las actividades de los
usuarios en el sistema, de forma que:
26- Proteccin de los registros de actividad [op.exp.10]: Se protegern los registros del sistema,
de forma que:
- Categora BSICA
a) Los medios de generacin estarn aislados de los medios de explotacin.
b) Las claves retiradas de operacin que deban ser archivadas, lo sern en medios aislados
de los de explotacin.
- Categora MEDIA
a) Se usarn programas evaluados o dispositivos criptogrficos certificados.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
29- Gestin diaria [op.ext.2]: Para la gestin diaria del sistema, se establecern los siguientes
puntos:
30- Medios alternativos [op.ext.9]: Estar prevista la provisin del servicio por medios alternativos
en caso de indisponibilidad del servicio contratado. El servicio alternativo disfrutar de las
mismas garantas de seguridad que el servicio habitual.
32- Plan de continuidad [op.cont.2]: Se desarrollar un plan de continuidad que establezca las
acciones a ejecutar en caso de interrupcin de los servicios prestados con los medios habituales.
Este plan contemplar los siguientes aspectos:
33- Pruebas peridicas [op.cont.3]: Se realizarn pruebas peridicas para localizar y, corregir en su
caso, los errores o deficiencias que puedan existir en el plan de continuidad
37- Identificacin de las personas [mp.if.2]: El mecanismo de control de acceso se atendr a lo que
se dispone a continuacin:
a) Se identificar a todas las personas que accedan a los locales donde hay equipamiento que
forme parte del sistema de informacin.
b) Se registrarn las entradas y salidas de personas.
38- Acondicionamiento de los locales [mp.if.3]: Los locales donde se ubiquen los sistemas de
informacin y sus componentes, dispondrn de elementos adecuados para el eficaz
funcionamiento del equipamiento all instalado. Y, en especial:
39- Energa elctrica [mp.if.4]: Los locales donde se ubiquen los sistemas de informacin y sus
componentes dispondrn de la energa elctrica, y sus tomas correspondientes, necesaria para su
funcionamiento, de forma que en los mismos:
40- Proteccin frente a incendios [mp.if.5]: Los locales donde se ubiquen los sistemas de
informacin y sus componentes se protegern frente a incendios fortuitos o deliberados,
aplicando al menos la normativa industrial pertinente.
41- Proteccin frente a inundaciones [mp.if.6]: Los locales donde se ubiquen los sistemas de
informacin y sus componentes se protegern frente a incidentes fortuitos o deliberados
causados por el agua.
44- Caracterizacin del puesto de trabajo [mp.per.1]: Cada puesto de trabajo se caracterizar de
la siguiente forma:
a) Configuracin de sistemas.
b) Deteccin y reaccin a incidentes.
c) Gestin de la informacin en cualquier soporte en el que se encuentre. Se cubrirn al menos
las siguientes actividades: almacenamiento, transferencia, copias, distribucin y destruccin.
49- Puesto de trabajo despejado [mp.eq.1]: Se exigir que los puestos de trabajo permanezcan
despejados, sin ms material encima de la mesa que el requerido para la actividad que se est
realizando en cada momento
Categora MEDIA
Este material se guardar en lugar cerrado cuando no se est utilizando.
Categora ALTA
Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas desde dicho
puesto de trabajo.
51- Proteccin de porttiles [mp.eq.3]: Los equipos que abandonen las instalaciones de la
organizacin y no puedan beneficiarse de la proteccin fsica correspondiente, con un riesgo
manifiesto de prdida o robo, sern protegidos adecuadamente.
Sin perjuicio de las medidas generales que les afecten, se adoptarn las siguientes:
Categora ALTA
a) Se dotar al dispositivo de detectores de violacin que permitan saber el equipo ha sido
manipulado y activen los procedimientos previstos de gestin del incidente.
b) La informacin de nivel alto almacenada en el disco se proteger mediante cifrado.
Igualmente, se establecer un tiempo mximo para que los equipos alternativos entren en
funcionamiento.
Categora ALTA
a) El sistema de cortafuegos constar de dos o ms equipos de diferente fabricante dispuestos en
cascada.
b) Se dispondrn sistemas redundantes.
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes fuera del
propio dominio de seguridad.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
Nivel ALTO
a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento y utilizacin de la
red privada virtual.
b) Se emplearn, preferentemente, productos certificados [op.pl.5].
Nivel BAJO
a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin antes de
intercambiar informacin alguna (ver [op.acc.5]).
b) Se prevendrn ataques activos, garantizando que al menos sern detectados. Y se activarn los
procedimientos previstos de tratamiento del incidente Se considerarn ataques activos:
1. La alteracin de la informacin en transito
2. La inyeccin de informacin espuria
3. El secuestro de la sesin por una tercera parte
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes fuera del
propio dominio de seguridad.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
Nivel ALTO
a) Se valorar positivamente en empleo de dispositivos hardware en el establecimiento y
utilizacin de la red privada virtual.
b) Se emplearn, preferentemente, productos certificados [op.pl.5].
a) Estarn sujetos y proporcionar las mismas garantas de proteccin que el medio habitual.
b) Garantizarn un tiempo mximo de entrada en funcionamiento.
Proteccin de los soportes de informacin [mp.si]
58- Etiquetado [mp.si.1]: Los soportes de informacin se etiquetarn de forma que, sin revelar su
contenido, se indique el nivel de seguridad de la informacin contenida de mayor calificacin.
Los usuarios han de estar capacitados para entender el significado de las etiquetas, bien mediante
simple inspeccin, bien mediante el recurso a un repositorio que lo explique.
59- Criptografa. [mp.si.2]: Esta medida se aplica, en particular, a todos los dispositivos
removibles. Se entendern por dispositivos removibles, los CD, DVD, discos USB, u otros de
naturaleza anloga.
Nivel ALTO
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
b) Se emplearn, preferentemente, productos certificados [op.pl.5].
60- Custodia [mp.si.3]: Se aplicar la debida diligencia y control a los soportes de informacin que
permanecen bajo la responsabilidad de la organizacin, mediante las siguientes actuaciones:
61- Transporte [mp.si.4]: El responsable de sistemas garantizar que los dispositivos permanecen
bajo control y que satisfacen sus requisitos de seguridad mientras estn siendo desplazados de un
lugar a otro.
Para ello:
a) Se dispondr de un registro de salida que identifique al transportista que recibe el soporte para
su traslado.
b) Se dispondr de un registro de entrada que identifique al transportista que lo entrega.
c) Se dispondr de un procedimiento rutinario que coteje las salidas con las llegadas y levante las
alarmas pertinentes cuando se detecte algn incidente.
d) Se utilizarn los medios de proteccin criptogrfica ([mp.si.2]) correspondientes al nivel de
calificacin de la informacin contenida de mayor nivel.
e) Se gestionarn las claves segn [op.exp.11].
a) Los soportes que vayan a ser reutilizados para otra informacin o liberados a otra
organizacin sern objeto de un borrado seguro de su anterior contenido.
b) Se destruirn de forma segura los soportes, en los siguientes casos:
1. Cuando la naturaleza del soporte no permita un borrado seguro.
2. Cuando as lo requiera el procedimiento asociado al tipo de la informacin contenida.
c) Se emplearn, preferentemente, productos certificados [op.pl.5].
Categora BSICA
Antes de pasar a produccin se comprobar el correcto funcionamiento de la aplicacin.
a) Se comprobar que:
1. Se cumplen los criterios de aceptacin en materia de seguridad.
2. No se deteriora la seguridad de otros componentes del servicio.
b) Las pruebas se realizarn en un entorno aislado (pre-produccin).
c) Las pruebas de aceptacin no se realizarn con datos reales, salvo que se asegure el nivel de
seguridad correspondiente.
Categora MEDIA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de vulnerabilidades.
b) Pruebas de penetracin.
Categora ALTA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de coherencia en la integracin en los procesos.
b) Se considerar la oportunidad de realizar una auditora de cdigo fuente.
Lo indicado en el prrafo anterior tambin se aplicar, cuando una disposicin con rango de ley
se remita a las normas sobre datos de carcter personal en la proteccin de informacin.
Nivel MEDIO
Se redactarn los procedimientos necesarios que describan, en detalle, la forma en que se ha de
etiquetar y tratar la informacin en consideracin al nivel de seguridad que requiere; y
precisando cmo se ha de realizar:
a) Su control de acceso.
b) Su almacenamiento.
c) La realizacin de copias.
d) El etiquetado de soportes.
e) Su transmisin telemtica.
f) Y cualquier otra actividad relacionada con dicha informacin.
Nivel BAJO
Se emplear cualquier medio de firma electrnica de los previstos en la legislacin vigente.
Nivel MEDIO
1. Los medios utilizados en la firma electrnica sern proporcionados a la calificacin de la
informacin tratada. En todo caso:
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
b) Se emplearn, preferentemente, certificados reconocidos.
c) Se emplearn, preferentemente, dispositivos seguros de firma.
2. Se garantizar la verificacin y validacin de la firma electrnica durante el tiempo requerido
por la actividad administrativa que aqulla soporte, sin perjuicio de que se pueda ampliar este
perodo de acuerdo con lo que establezca la poltica de firma electrnica y de certificados que
sea de aplicacin. Para tal fin:
a) Se adjuntar a la firma, o se referenciar, toda la informacin pertinente para su
verificacin y validacin:
1. Certificados.
2. Datos de verificacin y validacin.
b) Se protegern la firma y la informacin mencionada en el apartado anterior con un sello
de tiempo.
c) El organismo que recabe documentos firmados por el administrado verificar y validar
la firma recibida en el momento de la recepcin, anexando o referenciando sin ambigedad
la informacin descrita en los epgrafes a) y b).
d) La firma electrnica de documentos por parte de la Administracin anexar o
referenciar sin ambigedad la informacin descrita en los epgrafes a y b.
Nivel ALTO
Se aplicarn las medidas de seguridad referentes a firma electrnica exigibles en el nivel Medio,
adems de las siguientes:
a) Se usarn certificados reconocidos.
b) Se usarn dispositivos seguros de creacin de firma.
c) Se emplearn, preferentemente, productos certificados [op.pl.5].
69- Sellos de tiempo [mp.info.5]: Los sellos de tiempo prevendrn la posibilidad del repudio
posterior:
1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser utilizada
como evidencia electrnica en el futuro.
2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con la misma
seguridad que la informacin fechada a efectos de disponibilidad, integridad y confidencialidad.
3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida ya no sea
requerida por el proceso administrativo al que da soporte.
4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos.
Vase [op.exp.10].
71- Copias de seguridad (backup) [mp.info.9]: Se realizarn copias de respaldo que permitan
recuperar datos perdidos accidental o intencionadamente con una antigedad determinada.
Las copias de respaldo disfrutarn de la misma seguridad que los datos originales en lo que se
refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerar la
conveniencia o necesidad de que las copias de seguridad estn cifradas para garantizar la
confidencialidad.
72- Proteccin del correo electrnico (e-mail) [mp.s.1]: El correo electrnico se proteger frente a
las amenazas que le son propias, actuando del siguiente modo:
Nivel MEDIO
Se establecern medidas preventivas y reactivas frente a ataques de denegacin de servicio (DOS
Denial of Service). Para ello:
a) Se planificar y dotar al sistema de capacidad suficiente para atender a la carga prevista con
holgura.
b) Se desplegarn tecnologas para prevenir los ataques conocidos.
Nivel ALTO
a) Se establecer un sistema de deteccin de ataques de denegacin de servicio.
b) Se establecern procedimientos de reaccin a los ataques, incluyendo la comunicacin con el
proveedor de comunicaciones.
c) Se impedir el lanzamiento de ataques desde las propias instalaciones perjudicando a terceros.
AUDITORA DE SEGURIDAD
Objetivo de la auditora
2- Las auditoras sern basadas en la evidencia que permitan cumplimentar los siguientes
puntos:
a) Documentacin de los procedimientos.
b) Registro de incidencias.
c) Examen del personal afectado en el estado de la seguridad de la informacin.
Niveles de auditora
3- Auditora BSICA
a) Este nivel no requiere de una auditora, es suficiente con reevaluaciones del personal
que administre los sistemas de la informacin, o en su defecto, en quien se delegue
dichas funciones.
La reevaluacin debe ser documentada, indicando cada una de las medidas
implantadas y sus evaluaciones correspondientes.
b) Dichos informes de reevaluacin, deben ser analizados por el responsable de
seguridad correspondiente, que entregar las conclusiones al responsable del sistema
para realizar las medidas correctoras oportunas.