MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM5.6.2 Control: Las normas y procedimi<strong>en</strong>tos para parches<br />
deb<strong>en</strong> incluir un método para:<br />
a) la definición de roles y responsabilidades <strong>en</strong> la gestión<br />
de parches<br />
b) determinar la importancia de los sistemas (por<br />
ejemplo, sobre la base de la información que se maneja,<br />
los procesos de negocio<br />
soportados y los ambi<strong>en</strong>tes <strong>en</strong> los que se utilizan)<br />
c) registrar los parches que se han aplicado (por<br />
ejemplo, utilizando un inv<strong>en</strong>tario de los activos que<br />
incluya las versiones de los parches)<br />
SM5.6.3 Control: Se debe establecer un proceso de gestión de<br />
parches para regular la aplicación de parches <strong>en</strong> el día a<br />
día. El proceso debe estar docum<strong>en</strong>tado y aprobado por<br />
la ger<strong>en</strong>cia correspondi<strong>en</strong>te, y se debe asignar un dueño<br />
de este proceso.<br />
SM5.6.4 Control: El proceso de gestión de parches debería:<br />
a) determinar los métodos de obt<strong>en</strong>ción de los parches<br />
b) especificar los métodos de validación de los parches<br />
(por ejemplo, garantizando que el parche es de una<br />
fu<strong>en</strong>te autorizada)<br />
c) id<strong>en</strong>tificar las vulnerabilidades que son aplicables a las<br />
aplicaciones y sistemas utilizados por la organización<br />
d) evaluar el impacto que ti<strong>en</strong>e para la empresa la<br />
aplicación de parches (o la no aplicación de un parche<br />
específico)<br />
e) garantizar que los parches se prueban contra criterios<br />
conocidos<br />
f) describir los métodos de instalar los parches (por<br />
ejemplo, utilizando las herrami<strong>en</strong>tas de distribución de<br />
software)<br />
g) informar sobre el estado de instalación de parches <strong>en</strong><br />
toda la organización<br />
h) incluir la aplicación de métodos para manejar las fallas<br />
<strong>en</strong> la instalación de un parche<br />
SM5.6.5 Control: Se deb<strong>en</strong> establecer métodos para proteger la<br />
información y los sistemas si no hay parches disponibles<br />
para vulnerabilidades id<strong>en</strong>tificadas (por ejemplo, la<br />
desactivación de servicios y agregar controles de acceso<br />
adicionales)<br />
SM6 Tópicos especiales<br />
SM6.1 Soluciones criptográficas<br />
Página 162 de 207