12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

12.1 Requerimientos de seguridad de los sistemas de informacin

Los sistemas de informacin incluyen sistemas operativos, infraestructura, aplicaciones de negocio, productos enlatados (off-the-shell), servicios y aplicaciones desarrolladas por el usuario. El diseo e implementacin del sistema de informacin que da soporte a los procesos de negocio puede ser crucial para la seguridad. Se recomienda que los requerimientos de seguridad se identifiquen y acuerden antes del desarrollo e implementacin de los sistemas de informacin.

12.1.1 Anlisis y especificaciones de los requerimientos de seguridad

Control.Se recomienda que las declaraciones de requerimientos de la actividad para nuevos sistemas de informacin, o mejoras de los sistemas de informacin existentes, especifiquen las necesidades de controles de seguridad

Gua de implementacinSe recomienda que las especificaciones para los requerimientos de control consideren los controles automticos a incorporar al sistema de informacin as como la necesidad de controles manuales de apoyo. Es conveniente aplicar consideraciones similares a evaluar paquetes de software, desarrollados o comprados, para las aplicaciones de la actividad.

Es conveniente que los requerimientos y controles de seguridad reflejen el valor para el negocio.

Se recomienda que los requerimientos de los sistemas para la seguridad de la informacin y los procesos para la implementacin de la seguridad, se integran en las etapas tempranas de los proyectos de seguridad de la informacin.

Si los productos son comprados, es conveniente que se siga un proceso formal de pruebas y adquisicin.

Se recomienda que los contratos con el proveedor apunten a los requerimientos de seguridad identificados.

Cuando la funcionalidad no de seguridad no satisfaga los requerimientos especificados, se recomienda que se reconsideren el riesgo que se introduce y los controles asociados en forma previa.

Informacin adicionalSi se considera apropiado, por ejemplo por razones de costo, la alta direccin puede desear hacer uso de productos certificados y evaluados independientemente, mas informacin acerca de los criterios puede encontrarse en la ISO/IEC TR 13335-3.

12.2 Procesamiento correcto en las aplicaciones

Es conveniente que se diseen los controles apropiados en las aplicaciones, incluyendo las aplicaciones desarrolladas por los usuarios para asegurar el procesamiento correcto. Se recomienda que estos controles incluyan validacin de los datos de entrada, procesamiento interno y datos de salida

12.2.1 Validacin de los datos de entradaControlSe recomienda que los datos de entrada de las aplicaciones se validen para asegurar que son correctos y apropiados

Gua de ImplementacinEs conveniente que los controles se apliquen a las entradas de las transacciones de negocio, datos permanentes y tablas de parmetros. Se recomienda que se consideren las directrices siguientes:a) Controles de entrada duales y otros controles de entrada tales como verificacin de lmites o campos limitantes.1) Valores fuera de rango2) Caracteres invlidos en campos de datos3) Datos faltantes o incompletos4) Volmenes de datos que exceden los lmites superiores e inferiores5) Controles de datos no autorizados o inconsistentesb) Revisin peridica del contenido de campos clave o archivos de datosc) Inspeccin de los documentos de entrada para detectar cambios no autorizados.d) Procedimientos para responder a errores de validacine) Procedimientos para determinar la veracidad de los datosf) Definicin de las responsabilidades de todo el personal involucrado en el proceso de entrada de datosg) Creacin de un registro de las actividades involucradas en el proceso de entrada de los datosInformacin adicionalSe puede considerar la examinacin y validacin automtica de los datos de entrada, segn corresponda para reducir el riesgo de errores y para prevenir ataques, incluyendo el desbordamiento del buffer (Buffer overflow) y la insercin de cdigo (code injection).