CSA CCM

CSA (Cloud Security Alliance)

Es un grupo de especialistas y
experimentados en el rea de servicios en la
nube (red) que se renen para definir las
mejores prcticas sobre seguridad para los
servicios.

CCM (Cloud Controls Matrix)

Es una matriz diseada para brindar guias y
lineamientos a las personas y empresas sobre
la prestacin de servicios en la nube, la
seguridad en ellos y los posibles riesgos a
encontrar durante la creacin, venta/renta o
prestacin de un servicio.

CCM En la industria
En la actualidad los servicios en la nube son cada vez ms comunes y necesarios para el
sector econmico de la sociedad y para el uso personal de muchas personas.

Debido al crecimiento de la popularidad y el uso de los servicios en linea se siguen

creando muchos ms con el tiempo y ms gente se agrega a la creciente demanda, pero

no solo eso, tambien crece el inters de los que intentan obtener informacin y
beneficios a travs datos de otras personas; Conociendo que la informacin

almacenada o manejada por los servicios en linea suele ser de suma importancia, es
importante que los servicios existentes y los que sern creados cuenten con una
infraestructura, reglas y seguridad que brinde a los usuarios calma y an ms
importante, proteja los datos almacenados en ellos.

Esta matrz contiene recomendaciones, lineamientos y guias que puede seguir una

persona o empresa creadora de un servicio en linea para ayudarlo a tomar en cuenta la

mayor cantidad de precauciones y as brinde un mejor servicio adems de ms seguro.

Dominios de control

Seguridad de Aplicacin e Interface

(Application and interface security)
Contiene recomendaciones bsicas de
construccin, estructura y soluciones de
seguridad que debera contener la aplicacin
o las interfaces de acceso a la misma, ya sea
de acceso generado por la misma aplicacin al
sistema interno y bases de datos o del usuario
haca la aplicacin.

Objetivos de control
AIS-01 - Seguridad en la aplicacin
Menciona que las aplicaciones y sus interfaces (APIs) deben ser diseadas, creadas y lanzadas de
acuerdo a especificaciones de algn estndar aceptado por la industria y de acuerdo a leyes o
estattos aplicables.

Relevancia en la arquitectura:
Aplica a redes debido a que es el medio por el cual se transmiten los datos y se debe elegir bien
como y por que medio se transmitirn.

Computo para planear como se procesan y tratan los datos.

Almacenamiento y datos ya que debe planearse como se almacenarn los datos y su seguridad,
adems de que menciona la planeacin para el manejo de datos y las vas de comunicacin.
Aplicacin, como ya se dijo, menciona algunos lineamientos sobre las aplicaciones y sus
interfaces de comunicacin.

Aplica para modelos: SaaS PaaS e IaaS

Tiene relacin con COBIT E HIPAA

AIS-03 - Integridad de los datos

Menciona que todo manejo de datos debe realizarse por medio de interfaces y bases de
datos para evitar la corrupcin y/o perdida de informacin, as como el uso incorrecto.
Relevancia en la arquitectura.
Red: Menciona como deben transmitirse los datos y como debe planearse su
transmisin por los posibles medios.
Cmputo: nos dice como deben manejarse los datos.
Almacenamiento: Nos indica los medios de almacenamiento de datos recomendables.
Aplicacin: Indica la forma de recepcin de datos, su procesamiento y su posterior
almacenamiento.
Datos: Indica una situacin importante a tomar en cuenta que es la integridad de los
datos y su importancia.
Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con HIPAA

Conformidad y garanta de auditora

(Audit assurance and compliance)
Este dominio promueve la planeacin de
auditoras peridicas adems de procesos y
documentacin de control sobre procesos de
la organizacin y del servicio a prestar, crear
inventarios y detectar obligaciones que
puedan derivarse de la informacin a tratar.

Objetivos de control
AAC-01 - Planeacin de auditora
Deben ser diseadas auditoras y actividades de control basadas en el acceso a los datos, la duplicidad de los

mismos para reducir los riesgos. Adems de esto las actividades de auditora deben ser planeadas y acordadas
previamente por los stakeholders.
Relevancia en la arquitectura:
Fsico: Una parte importante de la planeacin de un servicio es su infraestructura, la seguridad en ella y
su acceso.

Aplica a redes debido a que es el medio por el cual se transmiten los datos y se deben realizar auditoras
sobre la transmisin de los datos y su funcionamiento.

Computo para planear como se procesan y tratan los datos.

Almacenamiento y datos ya que debe planearse como se almacenarn los datos y su seguridad, adems
de que menciona la planeacin para el manejo de datos y las vas de comunicacin.

Aplicacin, como ya se dijo, menciona algunos lineamientos sobre las aplicaciones y sus interfaces de
comunicacin.

Aplica para modelos: SaaS PaaS e IaaS

Tiene relacin con COBIT E HIPAA

AAC-02 - Auditorias independientes

Deben realizarse auditoras y revisiones independientes al menos una vez al ao o en
intervalos planeados para comprobar que la organizacin cumpla con las polticas y
procedimientos establecidos.
Relevancia en la arquitectura.
Fsica.
Red
Cmputo
Almacenamiento.
Aplicacin.
Datos.
Se realizan auditorias a todo nivel, ya que existen procedimientos y polticas
en cada una de las etapas que necesitan ser controladas y verificadas
Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con COBIT E HIPAA

Administracin de la continuidad del negocio y residencia

(resistencia) operacional

(Business continuity management and operational resilence)

Este dominio nos habla sobre la creacin de

planeas de continuidad de negocio as como
de resistencia ante amenazas fsicas y lgicas.
Adems de los planes, menciona la revisin de
los mismos, su mejora contina y la divulgacin
haca los involucrados para su efectiva
implementacin en caso de ser necesario.

Objetivos de control
BCR-02 - Prueba de la continuidad del negocio
Dicta que los planes de continuidad as como los planeas de repuesta ante incidentes de
seguridad deben ser revisados y probados entre intervalos planeados o ante cambios
organizacionales o ambientales significantes. Los planes deben incluir a los clientes

afectados y otras relaciones de negocios que representen dependencia crtica en la

cadena de proveedores.

Relevancia en la arquitectura:
Fsica: dado que los planes de continuidad residen mucho en la cuestin fsica, forma
parte importante de la arquitectura en esta seccin.

De red: Debido a que los servicios en internet requieren de acceso a la red, se incluye
esta parte de la arquitectura dado que es un elemento crtico en la cadena de
proveedores siendo el servicio ms importante para el negocio.
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con HIPAA

BCR-06 - Locacin del equipo.

Este objetivo marca la importancia de la locacin del equipo
de la empresa, ya que, para evitar riesgos, es importante

mantener la localizacin de los equipos lejos de locaciones

de alto riesgo y exista redundancia de equipos y datos a
una distancia considerable.

Relevancia en la arquitectura.
Fsica: Dado que habla de la localizacin de los equipos,

forma parte de la seccin fsica dentro de la arquitectura.

Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con HIPAA

Control del cambio y administracin de la

configuracin

(Change control and configuration management)

Se habla sobre generar polticas, procesos y

procedimientos de control en caso de
adquisiciones, desarrollo, ventas o algn
cambio en los activos de la empresa.

Objetivos de control
CCC-01 - Nuevo desarrollo o adquisicin
Se deben establecer polticas y procedimientos para asegurar que el desarrollo y/o adquisicin de
nuevos datos, aplicaciones, infraestructura, componentes, sistemas, corporaciones o cualquier

instalacin haya sido revisada y aprobada por el encargado de negocio de la empresa o algn otro
rol similar.

Relevancia en la arquitectura:
Fsica.
Red
Cmputo
Almacenamiento.
Aplicacin.
Datos.
Dado que se habla de activos o cambios de cualquier seccin de la arquitectura, interviene
en todas las reas.

Aplica para modelos: SaaS PaaS e IaaS

Tiene relacin con COBIT

CCC-04 -Instalacin de software sin autorizacin.

Este objetivo indica que se deben implementar polticas, procesos de negocio y

medidas tcnicas para restringir y evitar la instalacin de software no autorizado en

equipos de la empresa, incluyendo los que estn en del cliente/usuario.
Relevancia en la arquitectura.
Redes: Se busca cuidar que no se use software no autorizado dentro de la red
y afecte a otros equipos o se use de manera indebida.

Cmputo: Debido a que se habla de aplicaciones, entra dentro del rea de

cmputo.

Almacenamiento: Al ser un programa que reside en los equipos, interviene con

el almacenamiento.

Aplicacin: Se cuida que las aplicaciones existentes en los equipos solo sean
las autorizadas.

Aplica para modelos: SaaS, PaaS e IaaS

Seguridad de los datos y la administracin del ciclo de

vida de la informacin

(Data security and Information lifecycle management)

Se habla sobre el manejo y uso de los datos

durante su interaccin con la empresa y hasta
llegar al cliente, su trato en caso de
mantenerse dentro de la empresa y los
mtodos de seguridad que se necesita para
todo el ciclo de vida de dichos datos.

Objetivos de control
DSI-03 - Transacciones de comercio electrnico
Los datos relacionados a una transaccin de comercio electrnico deben ser
etiquetados apropiadamente y protegidos de actividad fraudulenta,

modificacin o lectura por parte de alguien distinto a el o los destinatarios.

Relevancia en la arquitectura:
Red: Se habla del tratamiento de los datos durante su transaccin, lo
que involucra la infraestructura de red y su configuracin.

Datos: La proteccin de los datos es lo que se busca principalmente

con este objetivo dada su relevancia, vulnerabilidad y alto inters por

parte de intrusos.

Aplica para modelos: SaaS PaaS e IaaS

Tiene relacin con COBIT E HIPAA

DSI-05 -Fuga de informacin

Indica que deben existir mecanismos de seguridad que impidan o prevengan la existencia
de fugas de datos.
Relevancia en la arquitectura.
Cmputo: La seguridad debe ser aplicada inclusive en el tratamiento de los datos,
ya que dentro de este proceso pueden existir vulnerabilidades.
Almacenamiento: Al ser la locacin de los datos es uno de los puntos de mayor
importancia para la seguridad.
Aplicacin: Las aplicaciones pueden representar puntos de riesgo debido a fallas
que permitan la filtracin de datos as como el acceso, por lo que se vuelve un punto
importante dentro de este objetivo.
Datos: Es la materia prima de muchos servicios, y aunque no lo sea, los datos que
manejan la mayora de ellos es de suma importancia por lo que deben cuidarse.
Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con COBIT

DSI-08 -Desecho (Borrado) Seguro

Se deben definir polticas y procedimientos para el borrado seguro y completo de
los datos de todo medio de almacenamiento asegurandose de que los datos no
podrn ser recuperados por ningn medio forense computacional.
Relevancia en la arquitectura.
Cmputo: Se busca desarrollar procesos de borrado que faciliten la tarea pero
que tambin no sean reversibles.

Almacenamiento: Incumbe el almacenamiento ya que se debe buscar el borrado

de los datos completamente pero sin afectar otros datos cercanos.

Aplicacin: Se desarrollan y/o utilizan herramientas para facilitar la tarea o

para realizarla de manera ms metdica.

Datos: Los datos son el objetivo a eliminar.

Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con HIPAA y COBIT

Seguridad del centro de datos

(Datacenter security)
Describe las medidas de seguridad
recomendadas para el acceso a los equipos
que manejan y contienen la informacin,
adems de reas crticas, ya sea fsico o a
distancia.

Objetivos de control
DCS-04 - Autorizacin para instalaciones (zonas) externas.
Se debe solicitar y obtener autorizacin previa a cualquier movimiento de lugar
o transferencia equipo, software o datos a instalaciones externas.
Relevancia en la arquitectura:
Fsico: Involucra el manejo de equipo fsico y de ubicaciones.
Almacenamiento: Dado que se busca cuidar son los equipos ya que
contienen (almacenan) informacin importante.

Datos: La proteccin de los datos es lo que se busca principalmente

con este objetivo dada su relevancia, vulnerabilidad y alto inters por

parte de intrusos.

Aplica para modelos: SaaS PaaS e IaaS

Tiene relacin con HIPAA

DCS-05 -Equipo fuera de las instalaciones.

Se deben crear polticas y procesos para el uso y correcto desecho del equipo que se encuentra y usa fuera
de las instalaciones.
Relevancia en la arquitectura.
Fsico: Se habla de locaciones y equipo (fsico).
Red: Dado que el acceso a los equipos o su uso puede ser por medio de la red o pueden hacer uso de
la red, se deben preparar polticas sobre como se administrar dicho y como o cual debe ser el uso y
como se debe realizar su desecho.
Cmputo: Dado que los equipos pueden procesar informacin o accesar a recursos de la empresa es
necesario cuidar que programas se instalan en ellos y quien o como los usa.
Almacenamiento: Al ser equipo externo se genera un mayor riesgo y es de mayor importancia tomar en
cuenta la seguridad en el y el uso que se les dar.
Aplicacin: Puede hacerse uso de herramientas de software para cuidar, proteger y monitorear el
equipo a distancia.
Datos: Se debe cuidar a que datos tienen acceso los equipos y quien los utilizar dado que al ser
equipo externo es en ocasiones ms vulnerable a ataques.
Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con HIPAA

DCS-07 -Autorizacin de rea segura

El ingreso y salida del rea segura de las instalaciones debe ser limitado y monitoreado por mecanismos de
control de acceso para asegurar que solo el personal autorizado ingrese a dicha rea.
Relevancia en la arquitectura.
Fsico: Se habla sobre el cuidado del rea segura, que es una locacin dentro de las instalaciones
fsicas.
Red: Debido a que en el rea segura se encuentran los equipos que manejan el servicio y los equipos
de conexin hacia la red, se debe planear la seguridad para cuidar ambos puntos crticos.
Cmputo: Dado que los equipos que prestan los servicios a los clientes se encuentran en el rea
segura es importante protegerlos y evitar que se realicen cambios no autorizados o perdida de datos.
Almacenamiento: En el rea segura se encuentran los equipos de informacin ms sensible y deben ser
cuidados.
Aplicacin: Puede hacerse uso de herramientas de software para cuidar, proteger y monitorear el rea
segura.
Datos: Se debe cuidar quien tiene acceso a los datos.
Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con COBIT

Administracin de llaves y encriptacin

(Encryption and key management)

Habla sobre la administracin y uso de llaves

(comunmente contraseas) y el uso de
encriptacin para la transmisin y
almacenamiento de datos.

Objetivos de control
EKM-01 - Derecho (Autorizacin).
Todas las autorizaciones deben ser otorgadas a

identidades de entidades involucradas (en lo que se le

da acceso). Adems deben ser administradas por un

sistema de administracin de identidades. Todo acceso,

o llave debe tener dueo(s) identificables y deben existir

polticas para el uso de accesos.
Relevancia en la arquitectura:
-

EKM-03 -Proteccin de datos sensibles

Habla sobre la creacin de polticas y procesos/procedimientos para el uso de protocolos de
encriptacin para la proteccin de datos sensibles almacenados en los servidores y la transmisin de
datos, adems de realizarlo cumpliendo normas legales, estatutos y obligaciones.
Relevancia en la arquitectura.
Red: Se debe planear la red para que soporte el trfico encriptado, adems de pensar en que
etapa de la transmisin de los datos se aplicara la transmisin y que tipo de protocolo se utilizar.
Cmputo: La encriptacin afecta el modo en que se manejan y procesan los datos por lo que
afecta la planeacin de esta rea de arquitectura.
Almacenamiento: Se debe planear como se almacenar la informacin y en caso de ser de tipo
sensible se recomienda y en la mayora de los casos se tiene la obligacin legal de encriptar dichos
datos.
Aplicacin: Puede hacerse uso de herramientas de software para la encriptacin y
desencriptacin de los datos.
Datos: Son el valor a proteger y a los cuales se aplican estas normas de seguridad.
Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con COBIT e HIPAA

Gobierno y gestin de riesgos

(Governance and risk management)
Indica recomendaciones para incentivar y lograr el
cumplimiento de las polticas de seguridad as como
del manejo de riesgos, recomienda crear responsables
que revisen el cumplimiento de las reglas, revisiones
peridicas y actualizacin de las polticas y
recomienda crear consecuencias (castigos) que los
empleados conozcan para aplicar en caso de no
acatar los planes de seguridad y manejo de riesgos.

Objetivos de control
GRM-03 - Supervisin de la gestin.
Los administradores son los encargados de mantener

conciencia de y el cumplimiento de las polticas de seguridad,

procedimientos y estndares que estn relacionados con su
rea de responsabilidad.

Relevancia en la arquitectura:
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con COBIT

GRM-07 -Aplicacin de las polticas

Una poltica formal de sanciones o disciplinaria debe ser

establecida, para los empleados que hayan violado polticas

de seguridad y/o procedimientos. Los empleados deben

estar conscientes de la existencia de la poltica y las posibles

acciones a tomar en caso de haber realizado alguna violacin.

Relevancia en la arquitectura.
Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con COBIT e HIPAA

GRM-08 -Autorizacin de rea segura

Los resultados de la gestin de riesgos debern contener o derivar en actualizaciones a las
polticas de seguridad, procesos, estndares y controles para mantenerlos actuales y
funcionales.
Relevancia en la arquitectura.
Fsico.
Red.
Cmputo.
Almacenamiento.
Aplicacin.
Datos.
La gestin de riesgos incluye todas las reas de la arquitectura dado que existen
posibles riesgos en cada una de ellas que deben ser administrados y controlados.
Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con COBIT

Recursos humanos
(Human resources)
Menciona recomendaciones sobre la
administracin de colaboradores, como son
precauciones en momento de contratacin,
empleo de personal externo, entrenamiento, y
conocimiento sobre las polticas de la empresa
por parte de los empleados.

Objetivos de control
HRS-02 - Investigacin de antecedentes.
En conformidad con leyes y estatutos legales, adems de reglas ticas y

limitantes contractuales, todos los empleados potenciales, contratistas y

terceros deben ser investigados de acuerdo al tipo y cantidad de informacin a la

cual tendrn acceso, las necesidades del negocio y la cantidad de riesgo
aceptable.

Relevancia en la arquitectura:
Datos: Debido que se busca cuidar los datos, se debe investigar a la

personas de acuerdo a la sensibilidad e importancia de los datos que

tendrn bajo su cargo.

Aplica para modelos: SaaS PaaS e IaaS

Tiene relacin con COBIT

HRS-04 -Terminacin de empleo

Indica que los roles y responsabilidades para

realizar una terminacin o cambio de empleo deben

ser asignados, documentados y comunicados.
Relevancia en la arquitectura.
Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con COBIT e HIPAA

HRS-12 -Espacio de trabajo

Indica que deben ser establecidas polticas y procedimientos para

implementar que los espacios de trabajo no deben tener informacin

sensible, documentos importantes o informacin de los clientes a plena

vista o en lugares de fcil acceso, adems de asegurarse de que las

sesiones de usuario en los equipos sean desactivadas o cerradas despus

de un tiempo de inactividad.

Relevancia en la arquitectura.
Fsico: Se habla del rea de trabajo de los empleados.
Datos: Se busca cuidar los datos creando polticas que eviten el
acceso no deseado a los mismos.

Aplica para modelos: SaaS, PaaS e IaaS

Tiene relacin con -

Gestin del acceso y la identidad

(identity and access management)
Brinda recomendaciones sobre el manejo de
identidades (cuentas de acceso o accesos)
en lugares importantes, sensibles y de riesgo
en la organizacin adems de controles de
acceso, polticas y procedimientos para
renovacin recuperacin y asignacin de
accesos.

Objetivos de control
IAM-03 - Diagnostico/configuracin de puntos de acceso.
El acceso a los usuarios hacia puertos de diagnostico o configuracin deben
ser limitados a individuos autorizados y aplicaciones (autorizadas).
Relevancia en la arquitectura:
Fsico: Se debe restringir el acceso a dichos puertos dado que su mal
uso puede conllevar varios problemas.
Aplicacin: Solo ciertas aplicaciones tendrn acceso y permisos de
entrada a los puertos, son herramientas que auxilian al encargado con
sus tareas.
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con COBIT

IAM-04 -Polticas y procedimientos

Indica que se deben establecer polticas y procedimientos

para almacenar y administrar la informacin de identidad de

cada persona que tiene acceso a la infraestructura de TI y

para establecer su nivel de acceso. Tambin pueden crearse

polticas para el acceso o uso de recursos de red de acuerdo

a identidades de usuario.

Relevancia en la arquitectura.
Aplica para modelos: Tiene relacin con -

IAM-13 -Acceso a programas de utilidad

Menciona que cualquier programa capaz de anular cualquier sistema, objeto, red, entorno virtual
y controles de aplicacin debe ser restringido.
Relevancia en la arquitectura.
Red: Es importante cuidar la integridad de la red dado que es una herramienta
indispensable para la empresa.
Cmputo: Los sistemas que mantienen a la empresa, ya sea administrativamente u
operativamente deben mantenerse funcionando para el correcto desempeo de la
organizacin.
Almacenamiento: Los datos se deben proteger as como entregar de acuerdo al servicio por
lo que toda la organizacin debe funcionar en perfectas condiciones.
Aplicacin: El acceso de aplicaciones terceras debe ser restringido as como cuidar que las
propias y permitidas deben funcionar correctamente.
Datos: Se busca que los datos estn protegidos pero que tambin estn disponibles.
Aplica para modelos: SaaS, PaaS e IaaS
Tiene relacin con COBIT

Infraestructura y seguridad de virtualizacin

(Infrastructure and virtualization security)
Menciona algunas recomendaciones sobre la
administracin de entornos virtuales, ya se

internos, externos y de servicio para el usuario,

ya sea como cliente de una aplicacin o con
acceso al sistema completo. Dentro de la
administracin tambien da relevancia la

configuracin de los equipos y su cuidado

durante su ciclo de vida completo.

Objetivos de control
IVS-03 - Sincronizacin de reloj.
Indica que se debe acordar una fuente de reloj confiable externa a la organizacin que
usarn los sistemas y en especial los encargados de procesamiento e informacin sensible
para facilitar el rastreo de actividades y la reconstruccin de lineas de tiempo.
Relevancia en la arquitectura:
Red: Debido a que la fuente de reloj debe ser externa y confiable, tambin lo debe
ser el acceso a esa fuente de reloj.
Cmputo: El reloj afecta algunas tareas programadas y la fiabilidad de los registros.
Aplicacin: Algunas aplicaciones dependen del reloj, por lo cual es importante la
correcta sincronizacin.
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con COBIT

IVS-08 -Ambientes de produccin y no produccin.

Recuerda que el ambiente de produccin debe permanecer separado del ambiente de no
produccin para evitar el acceso indeseado, cambios y perdida de los activos (informacin,
datos y planes), de la empresa.
Relevancia en la arquitectura.
Fsico.
Red.
Cmputo.
Almacenamiento.
Aplicacin.
Datos.
Aplica en todas las reas de la arquitectura debido a que ambos ambientes poseen
todas o la mayora de las reas mencionadas.
Aplica para modelos: SaaS, PaaS e IaaS.
Tiene relacin con COBIT

IVS-10 -Espacio de trabajo

Indica que se deben utilizar canales de comunicacin
seguros y encriptados en el caso de migracin de
servidores fsicos, aplicaciones o datos a servidores
virtualizados y de ser posible utilizar una red distinta a la
red de produccin.
Relevancia en la arquitectura.
Aplica para modelos: Tiene relacin con -

Interoperatibilidad/Interoperabilidad y portabilidad
(Interoperability and portability)

Habla sobre lo que se recomienda a un

prestador de servicios para lograr una
potabilidad mayor, adems de una
interoperabilidad dado que busca que el
proveedor brinde al usuario acceso a los
datos de una manera segura y confiable.

Objetivos de control
IPY-01 - IPAs (API)s.
Recomienda que el proveedor utilice APIs abiertas y

publicadas para apuntar hacia el soporte de interoperabilidad

entre componentes ms amplio posible y para facilitar la
migracin de aplicaciones.

Relevancia en la arquitectura:
Aplica para modelos: Tiene relacin con -

IPY-04 -Protocolos de red estandarizados.

El proveedor debe utilizar protocolos estandarizados de
red seguros para la importacin y exportacin de datos y la
administracin del servicio, adems de eso se debe proveer
al usuario de un documento que le permita conocer los
estndares relevantes de potabilidad que intervienen.
Relevancia en la arquitectura.
Aplica para modelos: -.
Tiene relacin con -.

Seguridad mvil
(Mobile security)
Menciona recomendaciones como son la
creacin de polticas sobre el uso de los
dispositivos mviles en la empresa, seguridad
en dichos dispositivos y la regulacin de
aplicaciones permitidas para accesar a los
recursos de la empresa.

Objetivos de control
MOS-02 - Tiendas de aplicaciones.
La empresa debe tener documentadas y comunicar cuales son
las tiendas de aplicaciones que han sido aceptadas para
permitir el acceso de los dispositivos o para contener

informacin de la empresa o programas en el dispositivo.

Relevancia en la arquitectura:
Aplica para modelos: Tiene relacin con -.

MOS-07 -Compatibilidad.
Indica que la empresa debe tener un proceso de
validacin de aplicaciones documentado para

encontrar problemas de compatibilidad en cada

dispositivo, sistema operativo, y aplicacin.
Relevancia en la arquitectura.
Aplica para modelos: -.
Tiene relacin con -

MOS-20 -Usuarios
La poltica Trae tu propio dispositivo debe aclarar
a que sistemas y servidores tienen acceso los

dispositivos que se encuentran dentro de este

programa.

Relevancia en la arquitectura.
Aplica para modelos: Tiene relacin con -

Gestin de incidentes de seguridad, Descubrimiento

electrnico y actividades forenses en la nube
(Security incident management, e-Discovery and Cloud
forensics)

Se presentan recomendaciones sobre la gestin

de incidentes de seguridad, previsin de

actividades para la respuesta ante incidentes y se

mencionan en caso de ser necesario, actividades
de recabacin de pruebas y actividades forense
ms que nada para cuestiones legales para los

que se recomienda existan polticas y procesos.

Objetivos de control
SEF-02 - Gestin de incidentes.
Indica que se deben establecer polticas y procedimientos, adems medios tcnicos para valorar y gestionar
eventos relacionados con la seguridad para lograr una respuesta en el tiempo necesario.
Relevancia en la arquitectura:
Fsico.
Red.
Cmputo.
Almacenamiento.
Aplicacin.
Datos:
Aplica a todos dado que pueden existir incidentes de seguridad en cada uno de estas reas o
pudieran verse afectadas por l.
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con COBIT e HIPAA

SEF-05 -Mtricas de respuesta de incidentes.

Menciona que se deben implementar mecanismos para monitorear y cuantificar los tipos,
volmenes y costos de incidentes en seguridad de la informacin.
Relevancia en la arquitectura.
Fsico.
Red.
Cmputo.
Almacenamiento.
Aplicacin.
Datos.
Aplica a todas dado que pueden existir incidentes de seguridad en cada uno de
estas reas y pudieran afectar la seguridad de la informacin.
Aplica para modelos: SaaS, PaaS e IaaS.
Tiene relacin con COBIT e HIPAA

Gestin de la cadena de proveedores, transparencia y

responsabilidad/rendicin de cuentas.
(Supply chain management, transparency and accountability)

Se debe conocer y gestionar los proveedores as

como se debe dar a conocer al cliente las
responsabilidades de cada uno en la relacin.
Se deben conocer todos los proveedores y
conocer las garantas y tiempos de respuesta de
servicio y en caso de fallas para integrarlo como
posible tiempo de respuesta al ser uno proveedor
tambien.

Objetivos de control
STA-02 - Reporte de incidentes.
Dicta que el proveedor debe brindar informacin sobre
cualquier incidente de seguridad a todos los clientes y

proveedores afectados a travs de medios electronicos.

Relevancia en la arquitectura:
Aplica para modelos: Tiene relacin con -.

STA-04 -Valoraciones internas del proveedor.

El proveedor debe realizar valoraciones internas

anuales sobre la efectividad y funcionamiento de

sus polticas, procesos/procedimientos, mtricas y

medidas.

Relevancia en la arquitectura.
Aplica para modelos: -.
Tiene relacin con -

STA-06 -Revisiones de gobierno de la cadena de suministro

Los proveedores deben conocer/revisar la gestin de

riesgos y los procesos de gobierno de sus socios para

asegurarse que sean consistentes y alineados a lo

planeado, esto ayuda con la gestin de riesgos heredados

desde otros miembros de la cadena de suministro .
Relevancia en la arquitectura.
Aplica para modelos: Tiene relacin con -

Gestin de amenazas y vulnerabilidad

(Thread and vulnerability management)

Se brindan recomendaciones a tomar en cuenta con
relacin a la seguridad de la infraestructura de TI, de
red y equipos que hacen uso de dicha infraestructura,
ya sean parte de la propiedad de la organizacin o no.
Se plantean algunos consejos para la deteccin de
vulnerabilidad, ejecucin de software indeseado y
gestin de equipos y su mantenimiento.

Objetivos de control
TVM-01 - Gestin de incidentes.
Se deben crear polticas, procesos y utilizar herramientas para evitar la ejecucin de software
malintencionado en equipo propiedad de la empresa o en equipos del usuario administrados
por la organizacin, la infraestructura de TI, la red o los componentes del sistema.
Relevancia en la arquitectura:
Red: Se debe proteger la red evitando posibles infecciones.
Cmputo: Se evita la ejecucin de programas indeseados.
Almacenamiento: Se protegen equipos para que no exista el software malintencionado
en ellos.

Aplicacin: Se debe de controlar las aplicaciones que se instalan y/o ejecutan en los
equipos, adems que se pueden emplear herramientas como antivirus y dems.
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con COBIT e HIPAA

TVM-03 -Cdigo mvil.

Recomienda que se creen polticas y procedimientos para prevenir la ejecucin de cdigo mvil el
cual se transmite entre dispositivos por medio de redes de confianza o desconocidas y se ejecuta
en el equipo local sin requerir una instalacin o ejecucin explicita del equipo que lo recibe.
Relevancia en la arquitectura.
Red: Se debe cuidar el acceso de dichas aplicaciones dado que son el medio ms buscado
para la divulgacin este tipo de ataques.
Cmputo: Los equipos infectados pueden causar daos a la empresa o a el mismo, por lo cual
es mejor evitar su ejecucin.
Aplicacin: Se debe evitar la instalacin de aplicaciones maliciosas para proteger los equipos
y la informacin de la organizacin y sus clientes. Tambin se puede hacer uso de aplicaciones
de seguridad para facilitar la tarea de supervisin.
Datos: Los datos se vuelven muy vulnerables en estos ataques, no solo de la organizacin
sino tambin los de los clientes.
Aplica para modelos: SaaS, PaaS e IaaS.
Tiene relacin con -