WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)



Documentos relacionados
WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

Guía: Controles de Seguridad y Privacidad de la Información

Javier Bastarrica Lacalle Auditoria Informática.

Resumen Norma ISO

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

Aranda 360 ENDPOINT SECURITY

ESCUELA POLITECNICA NACIONAL

Lista de verificación norma ISO (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

SOLUCIONES EN SEGURIDAD INFORMATICA

Anexo I. Politicas Generales de Seguridad del proyecto CAT

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Directiva PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros

La seguridad según Batman

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Requisitos de control de proveedores externos

Políticas de Seguridad

En el artículo del mes pasado,

PRODUCTIVIDAD EN TUS MANOS

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

6 - Aspectos Organizativos para la Seguridad

We Care For Your Business Security

ISO/IEC CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO

Políticas para Asistencia Remota a Usuarios

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

NTP - ISO/IEC 27001:2008

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Políticas de Seguridad de la información

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Norma Técnica Peruana:

Normas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

OBJETIVOS DE APRENDIZAJE

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

INFOGUARD MONITOREO Y AUDITORIA DEL USO DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

Uso Equipos personales Ministerio del Interior N05

Políticas de seguridad de la información. Empresa

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Aranda 360 ENDPOINT SECURITY

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1

RECETA ELECTRÓNICA Informe de Seguridad

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT:

MS_20688 Managing and Maintaining Windows 8.1

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

We Care For Your Business Security

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL

Gestión de Seguridad Informática

We Care For Your Business Security

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Servicios Administrados de Infraestructura

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

mope SEGURIDAD INFORMÁTICA

POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A.

Política de Control de Hojas de Cálculo. Prorrectoría

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

ISO27002.es PATROCINADO POR:

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.)

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR)


MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

SEMANA 12 SEGURIDAD EN UNA RED

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Norma de uso Identificación y autentificación Ministerio del Interior N02

20687 Configuring Windows 8

Redes cableadas (Ethernet)

Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA

Información sobre seguridad

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Manual de Usuario Servidor Cloud

Transcripción:

con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008

TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com 2

INTRODUCCIÓN Sistemas de gestión de seguridad de la información (requisitos) Esta norma cubre todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin ánimo de lucro). Esta norma especifica los requisitos para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organización. Especifica los requisitos para la implementación de controles de seguridad adaptados a las necesidades de las organizaciones individuales o partes de ellas. Aranda 360 ENDPOINT SECURITY cumple como solución de implementación de algunos de los objetivos de control y controles enumerados en la Tabla A.1 de la norma ISO/EIC 27001, numerales 5 al 15. En dichos numerales se proporciona asesoría y orientación sobre las mejores prácticas de apoyo a los controles especificados. www.arandasoft.com 3

Aranda 360 ENDPOINT SECURITY & la Norma ISO / IEC 27001 A.10 GESTION DE COMUNICACIONES Y OPERACIONES A.10.4 Protección contra códigos maliciosos y móviles Objetivo: proteger la integridad del software y de la información A.10.4.1 Controles contra códigos maliciosos Se debe implementar controles de detección, prevención y recuperación para proteger contra códigos maliciosos, así como procedimientos apropiados de concientización de los usuarios. A.10.4.2 Controles contra códigos móviles Cuando se autoriza la utilización de códigos móviles, la configuración debe asegurar que dichos códigos operan de acuerda con la política de seguridad claramente definida, y se debe evitar la ejecución de los códigos móviles no autorizados. Proteger el sistema de software dañino (gusanos y virus). Defender al sistema de programas espía (troyanos, spyware, keyloggers, rootkits). Controlar las aplicaciones de los usuarios mediante el acceso a listas blancas y listas negras. Controlar el acceso a los diferentes tipos de archivos. Establecer permisos de acceso detallados para cada aplicación. A.10 GESTION DE COMUNICACIONES Y OPERACIONES A.10.6 Gestión de la seguridad de las redes Establecer permisos de acceso a registros y archivos. Objetivo: asegurar la protección de la información de las redes y la protección de la infraestructura de soporte. A.10.6.1 Controles de las redes. Las redes se deben mantener y controlar adecuadamente para protegerlas de las amenazas y mantener la seguridad de los sistemas y aplicaciones que usan la red, incluyendo la información en tránsito. Detectar accesos no autorizados a un computador o a una red mediante el IDS (sistema de detección de intrusos). Filtro avanzado de tráfico (protocolos múltiples sobre IP, TCP/UDP/ICMP y Ethernet, y filtro de direcciones MAC/IP). www.arandasoft.com 4

Revisar la integridad del protocolo. Proteger la red del escaneo de puertos. A.10.6.2 Seguridad de los servicios de la red. En cualquier acuerdo sobre los servicios de la red, se deben identificar e incluir las características de seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de la red, sin importar si los servicio se prestan en la organización o se contratan externamente. Configurar permisos de acceso a la red. Controlar el tráfico de red en los puntos finales de acuerdo a los niveles de servicio mediante un firewall integrado al kernel. A.10 GESTION DE COMUNICACIONES Y OPERACIONES A.10.7 Manejo de los medios Objetivo: evitar la divulgación, modificación, retiro o destrucción de activos no autorizada, y la interrupción en las actividades del negocio. A.10.7.1 Manejo de los medios. Se deben establecer procedimientos para la gestión de los medios removibles. Deniega dispositivos de almacenamiento sin bloquear los puertos. Control según el tipo de dispositivo: USB, Firewire, CD/DVD, disco duro externo y disquete. Controlar el dispositivo de acuerdo con el distribuidor, con el serial o con el modelo. A.10.7.2 Eliminación de los medios. Cuando ya no se requieran estos medios, su eliminación se debe hacer de forma segura y sin riesgo, utilizando los procedimientos formales. A.10.7.3 Procedimientos para el manejo de la información. Se deben establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado. Restringir el uso del medio eliminado mediante la identificación del fabricante, serial o modelo del dispositivo. Controlar el acceso a los diferentes tipos de archivos. Establecer permisos de acceso a registros y archivos. www.arandasoft.com 5

A.10.7.4 Seguridad de la documentación del sistema. La documentación del sistema debe estar protegida contra el acceso no autorizado. Controlar el acceso a los diferentes tipos de archivos. Establecer permisos de acceso a registros y archivos. A.10 GESTION DE COMUNICACIONES Y OPERACIONES A.10.8 Intercambio de la Información. Objetivo: mantener la seguridad de la información y del software que se intercambian dentro de la organización y con cualquier entidad externa. A.10.8.3 Medios físicos en tránsito. Los medios que contienen información se deben proteger contra el acceso no autorizado, el uso inadecuado o la corrupción durante el transporte más allá de los límites físicos de la organización. Encriptar los datos almacenados en dispositivos removibles. Controlar las operaciones de acceso y modificación de archivos almacenados en dispositivos de almacenamiento removibles. A.10 GESTION DE COMUNICACIONES Y OPERACIONES A.10.10 Monitoreo. Objetivo: detectar actividades de procesamiento de la información no autorizadas. A.10.10.1 Registro de auditorías. Se deben elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoría de las actividades de los usuarios, las excepciones y los eventos de seguridad de la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso. A.10.10.2 Monitoreo del uso del sistema. Se deben establecer procedimientos para el monitoreo del uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deben revisar con regularidad. Registrar y generar reportes sobre todo tipo de actividad, acceso a los recursos del sistema, acceso a los recursos de la red y acceso a archivos. Monitorear y generar reportes detallados sobre el acceso a dispositivos removibles. Monitorear cualquier tipo de actividad en la red, sistema, aplicaciones y dispositivos del punto final. www.arandasoft.com 6

A.10.10.3 Protección de la información del registro. Los servicios y la información de la actividad de registro se deben proteger contra el acceso o la manipulación no autorizados. A.10.10.4 Registros del administrador y del operador. Se deben registrar las actividades tanto del operador como del administrador del sistema. A.10.10.6 Sincronización de relojes. Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de la organización o del dominio de seguridad deben estar sincronizados con una fuente de tiempo exacta y acordada. Almacenar de forma centralizada y segura (base de datos), los registros de actividad reportados por los agentes instalados en los puntos finales. Generar registros de actividades en archivos locales con permisos de nivel de acceso implementados mediante el uso de políticas. Registrar actividades de los usuarios de la consola de administración de Aranda 360. Controlar y restringir mediante la aplicación de políticas, los cambios de configuración del sistema operativo e impedir así la modificación del reloj del sistema. A.11 CONTROL DE ACCESO A.11.2 Gestión del acceso de usuarios. Objetivo: asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios no autorizados a los sistemas de información. A.11.2.2 Gestión de privilegios. Se debe restringir y controlar la asignación y uso de privilegios. Restringir el acceso al sistema de administración de usuarios y evitar la modificación de los niveles de acceso. Proteger el sistema de la ejecución de rootkits que intentar elevar los privilegios del usuario. www.arandasoft.com 7

A.11 CONTROL DE ACCESO A.11.3 Responsabilidades de los usuarios. Objetivo: evitar el acceso de usuarios no autorizados, el robo o la puesta en peligro de la información y de los servicios de procesamiento de la información. A.11.3.2 Equipo de usuario desatendido. Los usuarios deben asegurarse de que a los equipos desatendidos se les da protección apropiada. Endurecer el sistema desatendido mediante la protección contra desbordamientos de memoria, inyección de código, uso excesivo de CPU, reinicios espontáneos y elevación de privilegios. A.11 CONTROL DE ACCESO A.11.3 Responsabilidades de los usuarios. Objetivo: evitar el acceso de usuarios no autorizados, el robo o la puesta en peligro de la información y de los servicios de procesamiento de la información. A.11.3.2 Equipo de usuario desatendido. Los usuarios deben asegurarse de que a los equipos desatendidos se les da protección apropiada. Endurecer el sistema desatendido mediante la protección contra desbordamientos de memoria, inyección de código, uso excesivo de CPU, reinicios espontáneos y elevación de privilegios. A.11 CONTROL DE ACCESO A.11.4 Control de acceso a las redes. Objetivo: evitar el acceso no autorizado a los servicios de red. A.11.4.1 Política de uso de los servicios de red. Los usuarios sólo deben tener acceso a los servicios para cuyo uso están específicamente autorizados. Controlar el acceso a las aplicaciones. Establecer permisos de acceso detallados para cada aplicación. Configurar permisos de acceso a la red. www.arandasoft.com 8

Detectar accesos no autorizados a un computador o a una red mediante el IDS (sistema de detección de intrusos). A.11.4.4 Protección de los puertos de configuración y diagnóstico remoto. El acceso lógico y físico a los puertos de configuración y de diagnóstico debe estar controlado. A.11.4.5 Separación en las redes. En las redes se deben separar los grupos de servicios de información, usuarios y sistemas de información. A.11.4.6 Control de conexión a las redes. Para redes compartidas, especialmente aquellas que se extienden mas allá de las fronteras de la organización, se debe restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la política de control del acceso y los requisitos de aplicación del negocio (véase el numeral 11.1). Proteger la red del escaneo de puertos. Filtrar tráfico (protocolos múltiples sobre IP, TCP/UDP/ICMP y Ethernet, y filtro de direcciones MAC/IP). Agrupar y administrar redes de puntos finales identificados mediante membrecía en Active Directory, dirección IP, segmento de red y dirección MAC. Configurar permisos de acceso a la red. Controlar las conexiones a redes inalámbricas (Infraestructura y Ad- Hoc) Controlar el acceso a las redes privadas virtuales (VPN). Proteger las configuraciones de red de los puntos finales de cualquier modificación hecha por el usuario. A.11 CONTROL DE ACCESO A.11.5 Control de acceso al sistema operativo. Objetivo: evitar el acceso no autorizado a los sistemas operativos. A.11.5.4 Uso de las utilidades del sistema. Se debe restringir y controlar estrictamente el uso de programas utilitarios que pueden anular los controles del sistema y de la aplicación. Restringir el acceso a las herramientas del panel de control de Windows Monitorear y proteger proactivamente los procesos activos (procesos de sistema, antivirus, etc.). www.arandasoft.com 9

Restringir el acceso a utilidades de administración del sistema operativo (Administrador de tareas, Editor del registro, etc.) A.11 CONTROL DE ACCESO A.11.6 Control de acceso a las aplicaciones y a la información. Objetivo: evitar el acceso no autorizado a la información contenida en los sistemas de información. A.11.6.1 Restricción de acceso a la información. Se debe restringir el acceso a la información y a las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida de control de acceso. Controlar el acceso a las aplicaciones mediante el uso de listas de control de acceso (ACL). Establecer permisos de acceso detallados para cada aplicación. Configurar permisos de acceso a la red. A.11 CONTROL DE ACCESO A.11.7 Computación móvil y trabajo remoto. Objetivo: garantizar la seguridad de la información cuando se utilizan dispositivos de comunicación móvil y de trabajo remoto. A.11.7.1 Computación y comunicaciones móviles Se debe establecer una política formal y se deben adoptar las medidas de seguridad apropiadas para la protección contra los riesgos debidos al uso de dispositivos de computación y comunicaciones móviles. Controlar las conexiones a redes inalámbricas con métodos de autenticación y encripción (Open, WEP, WPA, WPA2). Autorizar la conexión a puntos de acceso mediante su identificación (SSID, MAC). Controlar las conexiones Bluetooth. www.arandasoft.com 10

A.11.7.2 Trabajo remoto. Se deben desarrollar e implementar políticas, planes operativos y procedimientos para las actividades de trabajo remoto. Controlar perfiles de conectividad inalámbrica (Conexión LAN, hotspots, VPN, etc.). Permitir el acceso remoto a los recursos de la red mediante el uso de herramientas de conexión VPN autorizadas. A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTOS DE SISTEMAS DE INFORMACIÓN A.12.3 Controles criptográficos. Objetivo: proteger la confidencialidad, autenticidad e integridad de la información. A.12.3.1 Política sobre el uso de controles criptográficos. Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información. Encriptar los datos almacenados en dispositivos removibles. Definir zonas de encripción en discos duros (archivos y directorios) y controlar el acceso mediante uso de contraseñas. A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTOS DE SISTEMAS DE INFORMACIÓN A.12.4 Seguridad de los archivos del sistema. Objetivo: garantizar la seguridad de los archivos del sistema. A.12.4.1 Control del software operativo. Se deben implementar procedimientos para controlar la instalación de software en sistemas operativos. A.12.4.2 Protección de los datos de prueba del sistema. Los datos de prueba deben seleccionarse cuidadosamente, así como protegerse y controlarse. Restringir la instalación de software no autorizado y la desinstalación de aplicaciones. Controlar el acceso a los diferentes tipos de archivos. Establecer permisos de acceso a registros y archivos. Prevenir la contaminación binaria de aplicaciones existentes. www.arandasoft.com 11

A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTOS DE SISTEMAS DE INFORMACIÓN A.12.5 Seguridad en los procesos de desarrollo y soporte. Objetivo: mantener la seguridad del software y de la información del sistema de aplicaciones. A.12.5.3 Restricciones en los cambios a los paquetes de software. Se debe desalentar la realización de modificaciones a los paquetes de software, limitarlas a los cambios necesarios, y todos los cambios se deben controlar estrictamente. A.12.5.4 Fuga de información. Se deben evitar las oportunidades para que se produzca fuga de información. Restringir la modificación de archivos binarios. Registrar todo tipo de acceso (Lectura/Escritura), en archivos ejecutables. Restringir el almacenamiento de datos en dispositivos removibles no autorizados (Memorias USB, Discos Duros externos, ipods, etc.). Restringir la funcionalidad de escritura en unidades CD/DVD. Restringir la conexión de impresoras USB. Encriptar los datos almacenados en dispositivos removibles. A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTOS DE SISTEMAS DE INFORMACIÓN A.12.6 Gestión de la vulnerabilidad técnica. Objetivo: reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicadas. A.12.6.1 Control de vulnerabilidades técnicas. Se debe tener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados. Prevenir los desbordamientos de memoria (memoria estática y memoria dinámica). Analizar las actualizaciones de firmas y parches. Ejecutar scripts de actualización y remediación para la solución de problemas. www.arandasoft.com 12

A.13 GESTION DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN A.13.1 Reporte sobre los eventos y debilidades de la seguridad de la información. Objetivo: asegurar que los eventos y las debilidades de la seguridad de la información asociados con los sistemas de información se comunican de forma tal que permiten tomar las acciones correctivas oportunamente. A.13.1.1 Reporte sobre los eventos de seguridad de la información. Los eventos de seguridad de la información se deben informar a través de los canales de gestión apropiados tan pronto como sea posible. A.13.1.2 Reporte sobre las debilidades de la seguridad. Se debe exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios. Monitorear actividades y generar reportes permanentemente. Exportar registros a sistemas externos de análisis y generación de reportes. Generar alertas sobre actividades irregulares o incidentes de seguridad en tiempo real. A.13 GESTION DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN A.13.2 Gestión de los incidentes y las mejoras en la seguridad de la información. Objetivo: asegurar que se aplica un enfoque consistente y eficaz para le gestión de los incidentes de seguridad de la información. A.13.2.3 Recolección de evidencia. Cuando una acción de seguimiento contra una persona u organización después de un incidente de seguridad de la información implica acciones legales (civiles o penales), la evidencia se debe recolectar, retener y presentar para cumplir con las reglas para la evidencia establecidas en la jurisdicción pertinente. Almacenar y exportar registros a sistemas externos de análisis y generación de reportes. www.arandasoft.com 13

A.15 CUMPLIMIENTO A.15.1 Cumplimiento de los requisitos legales. Objetivo: evitar el incumplimiento de cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. A.15.1.4 Protección de los datos y privacidad de la información personal. Se debe garantizar la protección de los datos y la privacidad, de acuerdo con la legislación y reglamentos pertinentes y, si se aplica, con las cláusulas del contrato. A.15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información. Se debe disuadir a los usuarios de utilizar los servicios de procesamiento de información para propósitos no adecuados. A.15.1.6 Reglamentación de los controles criptográficos. Se deben utilizar controles criptográficos que cumplan todos los acuerdos, las leyes y los reglamentos pertinentes. Controlar el acceso a los diferentes tipos de archivos. Encriptar directorios y archivos en discos duros y dispositivos de almacenamiento removibles. Establecer permisos de acceso a registros y archivos. Controlar el acceso a las aplicaciones mediante el uso de listas de control de acceso (ACL). Establecer permisos de acceso detallados para cada aplicación. Controlar las conexiones a redes inalámbricas con métodos de autenticación y encripción (Open, WEP, WPA, WPA2). Utilizar algoritmos estándar de encripción de datos para proteger la confidencialidad, integridad y autenticidad de la información. www.arandasoft.com 14

A.15 CUMPLIMIENTO A.15.2 Cumplimiento de las políticas y las normas de seguridad y cumplimiento técnico. Objetivo: asegurar que los sistemas cumplen con las normas y políticas de seguridad de la información. A.15.2.2 Verificación del cumplimiento técnico. Los sistemas de información se deben verificar periódicamente para determinar el cumplimiento con las normas de implementación de la seguridad. Analizar las actualizaciones de firmas y parches. Ejecutar scripts de verificación de procesos de las soluciones de seguridad y de otro software de seguridad. Monitorear actividades y generar reportes permanentemente. www.arandasoft.com 15

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback