MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.5.1 Control: La prestación de acceso a terceros debe ser<br />
apoyado por las normas y procedimi<strong>en</strong>tos docum<strong>en</strong>tados<br />
que especifican<br />
que, antes de la conexión:<br />
a) se deb<strong>en</strong> evaluar los riesgos del negocio asociados<br />
con el acceso a terceros<br />
b) se asigne la responsabilidad para la autorización de<br />
acceso a terceros al personal apropiado<br />
c) se realice la debida dilig<strong>en</strong>cia y se implem<strong>en</strong>t<strong>en</strong> los<br />
controles de seguridad acordados<br />
d) se efectú<strong>en</strong> pruebas<br />
e) se formalic<strong>en</strong> los acuerdos <strong>en</strong> los contratos<br />
SM6.5.2 Control: Se deb<strong>en</strong> aplicar métodos para:<br />
a) garantizar que los controles de terceros sean<br />
proporcionales a los riesgos del negocio<br />
b) proteger los intereses de la organización <strong>en</strong> relación<br />
con la propiedad de la información y los sistemas<br />
c) limitar los pasivos de la organización a terceros (por<br />
ejemplo, mediante el uso de las condiciones<br />
contractuales y advert<strong>en</strong>cias que aparec<strong>en</strong> <strong>en</strong> la<br />
pantalla)<br />
d) cumplir con las obligaciones legales<br />
e) hacer responsables a los terceros por sus acciones<br />
SM6.5.3 Control: Cuando se trata de conexiones individuales a<br />
terceros, se debe establecer un proceso para:<br />
a) lograr la compatibilidad técnica<br />
b) proteger la información s<strong>en</strong>sible almac<strong>en</strong>ada <strong>en</strong> los<br />
sistemas o <strong>en</strong> su tránsito hacia instalaciones de terceros<br />
c) mant<strong>en</strong>er registros de actividades (por ejemplo, para<br />
ayudar a rastrear las transacciones individuales y hacer<br />
cumplir la r<strong>en</strong>dición de cu<strong>en</strong>tas)<br />
d) proporcionar un único punto de contacto para la<br />
at<strong>en</strong>ción de problemas (por ejemplo, un servicio de mesa<br />
de ayuda o c<strong>en</strong>tro de llamadas)<br />
SM6.5.4 Control: El acceso de terceros a través de las<br />
conexiones debe ser administrado mediante:<br />
a) la restricción de métodos de conexión (por ejemplo,<br />
define los puntos de <strong>en</strong>trada sólo a través de firewalls)<br />
b) la aut<strong>en</strong>ticación de usuarios alineado con la función<br />
que desempeñan<br />
c) la restricción de los tipos de acceso permitido (es<br />
decir, <strong>en</strong> términos de información, capacidades de la<br />
aplicación y privilegios de acceso)<br />
d) el otorgami<strong>en</strong>to de acceso a la información y los<br />
sistemas de la organización bajo el principio de "el<br />
mínimo acceso"<br />
e) la terminación de conexiones cuando no se necesitan<br />
SM6.5.5 Control: Las conexiones que proporcionan el acceso a<br />
terceros se deb<strong>en</strong> id<strong>en</strong>tificar individualm<strong>en</strong>te, deb<strong>en</strong> ser<br />
aprobadas por el dueño del negocio, deb<strong>en</strong> ser<br />
registradas y acordadas por las partes <strong>en</strong> un contrato<br />
docum<strong>en</strong>tado<br />
Página 168 de 207