Professional Documents
Culture Documents
CCM En la industria
En la actualidad los servicios en la nube son cada vez ms comunes y necesarios para el
sector econmico de la sociedad y para el uso personal de muchas personas.
almacenada o manejada por los servicios en linea suele ser de suma importancia, es
importante que los servicios existentes y los que sern creados cuenten con una
infraestructura, reglas y seguridad que brinde a los usuarios calma y an ms
importante, proteja los datos almacenados en ellos.
Esta matrz contiene recomendaciones, lineamientos y guias que puede seguir una
Dominios de control
Objetivos de control
AIS-01 - Seguridad en la aplicacin
Menciona que las aplicaciones y sus interfaces (APIs) deben ser diseadas, creadas y lanzadas de
acuerdo a especificaciones de algn estndar aceptado por la industria y de acuerdo a leyes o
estattos aplicables.
Relevancia en la arquitectura:
Aplica a redes debido a que es el medio por el cual se transmiten los datos y se debe elegir bien
como y por que medio se transmitirn.
Objetivos de control
AAC-01 - Planeacin de auditora
Deben ser diseadas auditoras y actividades de control basadas en el acceso a los datos, la duplicidad de los
mismos para reducir los riesgos. Adems de esto las actividades de auditora deben ser planeadas y acordadas
previamente por los stakeholders.
Relevancia en la arquitectura:
Fsico: Una parte importante de la planeacin de un servicio es su infraestructura, la seguridad en ella y
su acceso.
Aplica a redes debido a que es el medio por el cual se transmiten los datos y se deben realizar auditoras
sobre la transmisin de los datos y su funcionamiento.
Aplicacin, como ya se dijo, menciona algunos lineamientos sobre las aplicaciones y sus interfaces de
comunicacin.
Objetivos de control
BCR-02 - Prueba de la continuidad del negocio
Dicta que los planes de continuidad as como los planeas de repuesta ante incidentes de
seguridad deben ser revisados y probados entre intervalos planeados o ante cambios
organizacionales o ambientales significantes. Los planes deben incluir a los clientes
Relevancia en la arquitectura:
Fsica: dado que los planes de continuidad residen mucho en la cuestin fsica, forma
parte importante de la arquitectura en esta seccin.
De red: Debido a que los servicios en internet requieren de acceso a la red, se incluye
esta parte de la arquitectura dado que es un elemento crtico en la cadena de
proveedores siendo el servicio ms importante para el negocio.
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con HIPAA
Relevancia en la arquitectura.
Fsica: Dado que habla de la localizacin de los equipos,
Objetivos de control
CCC-01 - Nuevo desarrollo o adquisicin
Se deben establecer polticas y procedimientos para asegurar que el desarrollo y/o adquisicin de
nuevos datos, aplicaciones, infraestructura, componentes, sistemas, corporaciones o cualquier
instalacin haya sido revisada y aprobada por el encargado de negocio de la empresa o algn otro
rol similar.
Relevancia en la arquitectura:
Fsica.
Red
Cmputo
Almacenamiento.
Aplicacin.
Datos.
Dado que se habla de activos o cambios de cualquier seccin de la arquitectura, interviene
en todas las reas.
Aplicacin: Se cuida que las aplicaciones existentes en los equipos solo sean
las autorizadas.
Objetivos de control
DSI-03 - Transacciones de comercio electrnico
Los datos relacionados a una transaccin de comercio electrnico deben ser
etiquetados apropiadamente y protegidos de actividad fraudulenta,
Objetivos de control
DCS-04 - Autorizacin para instalaciones (zonas) externas.
Se debe solicitar y obtener autorizacin previa a cualquier movimiento de lugar
o transferencia equipo, software o datos a instalaciones externas.
Relevancia en la arquitectura:
Fsico: Involucra el manejo de equipo fsico y de ubicaciones.
Almacenamiento: Dado que se busca cuidar son los equipos ya que
contienen (almacenan) informacin importante.
Objetivos de control
EKM-01 - Derecho (Autorizacin).
Todas las autorizaciones deben ser otorgadas a
Objetivos de control
GRM-03 - Supervisin de la gestin.
Los administradores son los encargados de mantener
Relevancia en la arquitectura:
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con COBIT
Recursos humanos
(Human resources)
Menciona recomendaciones sobre la
administracin de colaboradores, como son
precauciones en momento de contratacin,
empleo de personal externo, entrenamiento, y
conocimiento sobre las polticas de la empresa
por parte de los empleados.
Objetivos de control
HRS-02 - Investigacin de antecedentes.
En conformidad con leyes y estatutos legales, adems de reglas ticas y
Relevancia en la arquitectura:
Datos: Debido que se busca cuidar los datos, se debe investigar a la
Relevancia en la arquitectura.
Fsico: Se habla del rea de trabajo de los empleados.
Datos: Se busca cuidar los datos creando polticas que eviten el
acceso no deseado a los mismos.
Objetivos de control
IAM-03 - Diagnostico/configuracin de puntos de acceso.
El acceso a los usuarios hacia puertos de diagnostico o configuracin deben
ser limitados a individuos autorizados y aplicaciones (autorizadas).
Relevancia en la arquitectura:
Fsico: Se debe restringir el acceso a dichos puertos dado que su mal
uso puede conllevar varios problemas.
Aplicacin: Solo ciertas aplicaciones tendrn acceso y permisos de
entrada a los puertos, son herramientas que auxilian al encargado con
sus tareas.
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con COBIT
Relevancia en la arquitectura.
Aplica para modelos: Tiene relacin con -
Objetivos de control
IVS-03 - Sincronizacin de reloj.
Indica que se debe acordar una fuente de reloj confiable externa a la organizacin que
usarn los sistemas y en especial los encargados de procesamiento e informacin sensible
para facilitar el rastreo de actividades y la reconstruccin de lineas de tiempo.
Relevancia en la arquitectura:
Red: Debido a que la fuente de reloj debe ser externa y confiable, tambin lo debe
ser el acceso a esa fuente de reloj.
Cmputo: El reloj afecta algunas tareas programadas y la fiabilidad de los registros.
Aplicacin: Algunas aplicaciones dependen del reloj, por lo cual es importante la
correcta sincronizacin.
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con COBIT
Interoperatibilidad/Interoperabilidad y portabilidad
(Interoperability and portability)
Objetivos de control
IPY-01 - IPAs (API)s.
Recomienda que el proveedor utilice APIs abiertas y
Relevancia en la arquitectura:
Aplica para modelos: Tiene relacin con -
Seguridad mvil
(Mobile security)
Menciona recomendaciones como son la
creacin de polticas sobre el uso de los
dispositivos mviles en la empresa, seguridad
en dichos dispositivos y la regulacin de
aplicaciones permitidas para accesar a los
recursos de la empresa.
Objetivos de control
MOS-02 - Tiendas de aplicaciones.
La empresa debe tener documentadas y comunicar cuales son
las tiendas de aplicaciones que han sido aceptadas para
permitir el acceso de los dispositivos o para contener
MOS-07 -Compatibilidad.
Indica que la empresa debe tener un proceso de
validacin de aplicaciones documentado para
MOS-20 -Usuarios
La poltica Trae tu propio dispositivo debe aclarar
a que sistemas y servidores tienen acceso los
Relevancia en la arquitectura.
Aplica para modelos: Tiene relacin con -
Objetivos de control
SEF-02 - Gestin de incidentes.
Indica que se deben establecer polticas y procedimientos, adems medios tcnicos para valorar y gestionar
eventos relacionados con la seguridad para lograr una respuesta en el tiempo necesario.
Relevancia en la arquitectura:
Fsico.
Red.
Cmputo.
Almacenamiento.
Aplicacin.
Datos:
Aplica a todos dado que pueden existir incidentes de seguridad en cada uno de estas reas o
pudieran verse afectadas por l.
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con COBIT e HIPAA
Objetivos de control
STA-02 - Reporte de incidentes.
Dicta que el proveedor debe brindar informacin sobre
cualquier incidente de seguridad a todos los clientes y
Relevancia en la arquitectura.
Aplica para modelos: -.
Tiene relacin con -
Objetivos de control
TVM-01 - Gestin de incidentes.
Se deben crear polticas, procesos y utilizar herramientas para evitar la ejecucin de software
malintencionado en equipo propiedad de la empresa o en equipos del usuario administrados
por la organizacin, la infraestructura de TI, la red o los componentes del sistema.
Relevancia en la arquitectura:
Red: Se debe proteger la red evitando posibles infecciones.
Cmputo: Se evita la ejecucin de programas indeseados.
Almacenamiento: Se protegen equipos para que no exista el software malintencionado
en ellos.
Aplicacin: Se debe de controlar las aplicaciones que se instalan y/o ejecutan en los
equipos, adems que se pueden emplear herramientas como antivirus y dems.
Aplica para modelos: SaaS PaaS e IaaS
Tiene relacin con COBIT e HIPAA