MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.2.1 Control: La organización que hace uso de una<br />
infraestructura de clave pública (PKI), debe establecer y<br />
docum<strong>en</strong>tar normas y procedimi<strong>en</strong>tos que definan:<br />
a) el proceso necesario para la gestión de claves<br />
criptográficas y certificados digitales d<strong>en</strong>tro de la PKI<br />
b) los métodos necesarios para el funcionami<strong>en</strong>to del<br />
PKI<br />
c) las medidas que deb<strong>en</strong> adoptarse <strong>en</strong> caso de un<br />
compromiso o una sospecha de compromiso de la PKI<br />
SM6.2.2 Control: Los usuarios de PKI deb<strong>en</strong> ser consci<strong>en</strong>tes del<br />
propósito y función de la PKI, y su responsabilidad para<br />
proteger las claves privadas y para utilizar la firma digital<br />
SM6.2.3 Control: Una Autoridad de Certificación (CA) está<br />
compuesto por las personas, los procesos y las<br />
herrami<strong>en</strong>tas que son responsables de la creación,<br />
g<strong>en</strong>eración y administración de los certificados de clave<br />
pública que se utilizan d<strong>en</strong>tro de una PKI. Donde una<br />
PKI es soportada por una CA interna la cual debe estar<br />
protegida por:<br />
a) la restricción de acceso a personas autorizadas (por<br />
ejemplo, utilizando mecanismos de control de acceso y<br />
aut<strong>en</strong>ticación fuerte)<br />
b) el asegurami<strong>en</strong>to del sistema operativo que lo soporta<br />
(por ejemplo, mediante la eliminación de todas las<br />
vulnerabilidades conocidas)<br />
c) el empleo de otros controles g<strong>en</strong>erales (por ejemplo,<br />
la gestión de cambios) de manera organizada<br />
SM6.2.4 Control: Los planes de conting<strong>en</strong>cia para las<br />
aplicaciones que se soportan <strong>en</strong> PKI deberían incluir los<br />
métodos para la recuperación de la PKI <strong>en</strong><br />
el ev<strong>en</strong>to de un desastre<br />
SM6.3 Correo electrónico<br />
SM6.3.1 Control: Se deb<strong>en</strong> establecer y docum<strong>en</strong>tar normas y<br />
procedimi<strong>en</strong>tos para la provisión y uso del correo<br />
electrónico, los cuales deb<strong>en</strong> especificar métodos para:<br />
a) configurar los servidores de correo (por ejemplo, para<br />
limitar el tamaño de los m<strong>en</strong>sajes o buzones de usuario)<br />
b) escanear los m<strong>en</strong>sajes de correo electrónico (por<br />
ejemplo, para el malware, cad<strong>en</strong>as de m<strong>en</strong>sajes o el<br />
cont<strong>en</strong>ido of<strong>en</strong>sivo)<br />
c) mejorar la seguridad de los m<strong>en</strong>sajes de correo<br />
electrónico (por ejemplo, mediante la utilización de<br />
descargos de responsabilidad, algoritmos de hashing,<br />
cifrado o técnicas de no-repudio)<br />
d) hacer que los usuarios sean más consci<strong>en</strong>tes de las<br />
consecu<strong>en</strong>cias de sus acciones al utilizar el correo<br />
electrónico<br />
Página 164 de 207