El objeto principal de este blog es proporcionar una descripción detallada y clara de los diferentes controles a evaluar necesarios para asegurar que se cumplen los requisitos de seguridad, incluyendo la seguridad lógica, física, de personal y del archivo.
Seguridad física
Se refiere a los controles físicos que tiene implantados. Las más básicas son: tener medios de prevención de fuego, controles de acceso, etc...
o ¿Qué son las listas de acceso?
Las listas de acceso son registros que controlan qué personas están autorizadas a acceder a ciertas áreas o recursos físicos. Deberían revisarse regularmente para garantizar que sólo el personal autorizado mantenga acceso, eliminando aquellos que ya no necesitan permisos.
o ¿Qué son consideradas áreas clave?
Las áreas clave son zonas críticas dentro de una instalación que requieren protección especial, como salas de servidores, archivos confidenciales o centros de control. Esto ayuda a prevenir accesos no autorizados y facilita la respuesta rápida frente a incidentes de seguridad
o ¿Quiénes son el personal de seguridad o guardias?
El personal de seguridad o guardias son profesionales encargados de vigilar físicamente las instalaciones para prevenir intrusiones, robos o incidentes de seguridad.
o ¿Cuáles son las medidas de seguridad física?
Las medidas de seguridad física tienen como objetivo proteger dispositivos de almacenamiento de información, como servidores y unidades de soporte, contra acceso no autorizado o daños físicos. Estas medidas pueden incluir salas seguras, sistemas de acceso restringido, cámaras de vigilancia y controles ambientales como sensores de temperatura y fuego.
o ¿Qué es un inventario de activos?
Un inventario de activos es un documento que registra y detalla todos los activos de una organización, que pueden ser físicos o digitales, con el fin de ayudar en la gestión de la seguridad de la información. Este inventario permite identificar, valorar y gestionar los riesgos asociados a estos activos para su adecuada protección.
Seguridad lógica
Se refiere a controles tecnológicos que tiene implantados para asegurar los equipos (ordenadores, etc.) de algún acceso por parte de un tercero. Las más básicas son: tener una contraseña que tenga más de X caracteres, que deba cambiarse cada cierto tiempo, que deba contener caracteres especiales, etc.
o ¿Qué es la seguridad lógica?
La seguridad lógica es un conjunto de medidas destinadas a proteger los sistemas informáticos y datos digitales contra diversas amenazas (acceso no autorizado, uso indebido, modificación o destrucción). Estas medidas incluyen el uso de firewalls, antivirus, contraseñas seguras y educación en seguridad. Las principales amenazas que combaten son el malware, los ataques de denegación de servicio (DDoS) y los ataques de fuerza bruta para descifrar contraseñas.
o ¿Qué son los privilegios de acceso?
Los privilegios de acceso se refieren a los derechos o permisos que se conceden a usuarios o sistemas para acceder a recursos específicos dentro de una red o sistema informático. Estos privilegios determinan qué puede hacer un usuario o proceso dentro del sistema, tales como ver, modificar, borrar, o ejecutar ciertos archivos o aplicaciones.
o ¿Qué son las herramientas de monitorización de seguridad?
Las herramientas de monitorización de seguridad son sistemas que detectan y registran actividades inusuales o sospechosas en redes, servidores y dispositivos. Incluyen sistemas de detección de intrusiones (IDS), firewalls, registros de auditorías y herramientas de análisis de tráfico. Estas herramientas ayudan a identificar posibles amenazas y vulnerabilidades de seguridad en tiempo real.
o Procedimientos para responder a eventos de seguridad y posibles intrusiones
Los procedimientos para responder a eventos de seguridad e intrusiones incluyen protocolos para detectar, contener, erradicar y recuperarse de las amenazas. Éstos incluyen la notificación a los equipos de respuesta, aislamiento de sistemas afectados, análisis del incidente, y restauración de servicios. También se realizan investigaciones posteriores para prevenir futuros incidentes.
o Proceso establecido para gestionar y aplicar parches de seguridad
Un proceso establecido para gestionar y aplicar parches de seguridad es un conjunto de pasos y prácticas organizadas que aseguran que las actualizaciones y correcciones de seguridad proporcionadas por los fabricantes de software para solucionar vulnerabilidades, errores o problemas de seguridad en aplicaciones, sistemas operativos u otros componentes del sistema, se gestionan y aplican de forma sistemática, controlada y eficiente en una organización.
o ¿Qué son las vulnerabilidades conocidas?
Las vulnerabilidades conocidas son fallas o debilidades en sistemas o software que pueden ser explotadas por atacantes. Se realiza un seguimiento mediante informes de seguridad y actualizaciones de los fabricantes. Para mitigarlas, se aplican parches, actualizaciones de software y configuraciones de seguridad reforzadas.
o Prácticas seguras durante el desarrollo de software
El desarrollo seguro de código implica seguir un conjunto de prácticas que minimicen riesgos y vulnerabilidades. Primero, es fundamental realizar validaciones de entrada para evitar ataques de inyección. También es necesario asegurarse de que el código gestione de manera adecuada las autentificaciones y autorizaciones, evitando accesos no autorizados. El uso del cifrado de datos sensibles es imprescindible para garantizar su confidencialidad. Además, debe realizarse una gestión segura de errores que no revele información crítica. Por último, el código debe ser regularmente auditado y testeado para identificar y corregir vulnerabilidades antes de que lleguen a la producción.
o Pruebas de seguridad y análisis de vulnerabilidades
Las pruebas de seguridad y análisis de vulnerabilidades son evaluaciones que identifiquen fallas de seguridad en aplicaciones desarrolladas internamente. Estas pruebas incluyen escaneos de vulnerabilidades, test de intrusión, y revisión de código para detectar errores. El objetivo es corregir las debilidades antes de que puedan ser explotadas por atacantes.
o Seguimiento post-incidente
El seguimiento y análisis post-incidente es clave para mejorar las medidas de seguridad y la respuesta a futuros incidentes. Permite identificar la causa raíz del problema, asegurando que se tomen acciones concretas para evitar que se repita. También ayuda a comprender el impacto real de los incidentes, aportando valiosas lecciones para toda la organización. Además, este proceso contribuye a reducir el tiempo de detección, diagnóstico y mitigación, mejorando la eficacia global frente a posibles amenazas.
Seguridad del personal
Se refiere a controles relacionados con el personal. Por ejemplo, procedimientos de baja, formación, etc.
o Procedimiento para la notificación de pérdida o robo de dispositivos que puedan contener información confidencial
Un procedimiento para la notificación de pérdida o robo es un conjunto de pasos definidos que deben seguirse cuando se descubre que un dispositivo con información confidencial ha sido perdido o robado. El objetivo es minimizar los riesgos asociados a la pérdida de información y garantizar una respuesta rápida y efectiva.
o Permisos de acceso
Los permisos de acceso son los derechos que se conceden a los empleados para acceder a determinadas áreas, sistemas o información dentro de una organización. Esto ayuda a prevenir accesos no autorizados y mantener la seguridad de la información.
o Proceso final del empleo
El proceso al final de la ocupación para retirar accesos y privilegios es un conjunto de pasos que se aplican cuando un empleado deja a la organización. Incluye la inmediata revocación de todos los permisos de acceso a sistemas, áreas e información sensible, así como la devolución de cualquier equipo y credenciales.
o Responsabilidades de seguridad al abandonar la organización
Las responsabilidades de seguridad al abandonar la organización incluyen que los trabajadores entiendan sus obligaciones incluso después de la finalización de su relación laboral, ayudando a proteger a la organización contra posibles riesgos de seguridad.
Seguridad del archivo
Se refiere a controles relacionados el archivo. Por ejemplo, controles de acceso, procesos de seguridad.
o ¿ Existen políticas claras sobre el manejo de archivos confidenciales?
Las políticas sobre el manejo de archivos confidenciales son directrices que establecen cómo gestionar, almacenar, compartir y destruir información sensible. El objetivo es proteger la información contra acceso no autorizado y asegurar el cumplimiento de las normativas de privacidad.
o Pruebas de recuperación para asegurarse de que los archivos pueden restaurarse eficazmente
Las pruebas de recuperación son simulaciones o test que se realizan para verificar que los archivos y sistemas pueden ser restaurados eficazmente después de un incidente, como una pérdida de datos o un fallo del sistema. Estas pruebas implican restaurar datos desde copias de seguridad y asegurarse de que funcionan correctamente.
o ¿ Existen niveles de autorización claramente definidos para limitar el acceso según los roles y las responsabilidades?
Los niveles de autorización son clasificaciones que determinan quién puede acceder a información o recursos según roles y responsabilidades dentro de la organización. Estos niveles aseguran que sólo el personal autorizado pueda acceder a datos sensibles, minimizando el riesgo de exposición o uso inapropiado.
Consulta el cuestionario de auditoría de los entes suscriptores.
Podría interesarte:
- ¿Por qué una auditoría?
- Auditoría: requisitos de gestión documental y archivo
- Auditoría: requisitos operativos
Para cualquier consulta puedes contactar con el correo de soporte a la auditoría.