MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW3.1.5 Control: El uso de herrami<strong>en</strong>tas para análisis y<br />
monitoreo de la red debe estar restringido a personas<br />
autorizadas<br />
NW3.1.6 Control: Se deb<strong>en</strong> revisar los reportes <strong>en</strong>viados por los<br />
proveedores de servicios para descubrir uso inusual de<br />
la red u otras facilidades de red<br />
NW3.1.7 Control: El dueño de la red debe revisar los resultados<br />
de las actividades de monitoreo y comunicarlos a los<br />
dueños de las aplicaciones e instalaciones para qui<strong>en</strong>es<br />
se prestan los servicios<br />
NW3.2 Administración de cambios<br />
NW3.2.1 Control: Se debe establecer un proceso de gestión de<br />
cambios que cubra todos los tipos de cambios <strong>en</strong> la red<br />
(por ejemplo, actualizaciones de equipos de<br />
comunicaciones y software, la introducción de nuevos<br />
servicios de los proveedores de servicios y<br />
ajustes temporales o de emerg<strong>en</strong>cia a la red)<br />
NW3.2.2 Control: El proceso de gestión de cambios debe estar<br />
docum<strong>en</strong>tado e incluir:<br />
a) la aprobación de los cambios y las pruebas para<br />
asegurarse de que no pongan <strong>en</strong> peligro los controles de<br />
seguridad<br />
b) la realización de cambios y su aprobación para<br />
asegurarse de que se realizan correctam<strong>en</strong>te y de forma<br />
segura<br />
c) la revisión de los cambios realizados para garantizar<br />
que no se aplican cambios no autorizados<br />
NW3.2.3 Control: Antes de que sean aplicados los cambios al<br />
ambi<strong>en</strong>te productivo de la red se debe considerar:<br />
a) la docum<strong>en</strong>tación de las solicitudes de cambio y la<br />
aceptación por parte de las personas autorizadas<br />
b) los cambios deb<strong>en</strong> ser aprobados por el repres<strong>en</strong>tante<br />
del negocio apropiado<br />
c) se debe evaluar el impacto pot<strong>en</strong>cial para el negocio<br />
de los cambios a ser realizados<br />
d) los cambios deb<strong>en</strong> ser probados<br />
e) los cambios deb<strong>en</strong> ser revisados para garantizar que<br />
no comprometan los controles de seguridad<br />
f) se debe realizar un copia de respaldo de manera que<br />
se pueda restaurar la red después de cambios fallidos o<br />
resultados inesperados<br />
NW3.2.4 Control: Los cambios <strong>en</strong> la red deb<strong>en</strong> ser:<br />
a) realizados por personal capacitado y compet<strong>en</strong>te<br />
b) supervisados por un especialista de la red<br />
c) aprobados por el repres<strong>en</strong>tante del negocio apropiado<br />
Página 185 de 207