12.2.1 Control contra malware (código malicioso)

12.2.1 Control contra malware (código malicioso)

de Martín Cogo Belver -
Número de respuestas: 3
12.2.1.a               
¿El Responsable de Seguridad de la Información ha definido controles de detección y prevención para la protección contra software malicioso que deben implementar el Responsable del Área Informática?
12.2.1.b               
¿El Responsable de Seguridad de la Información ha desarrollado procedimientos adecuados de concientización de usuarios en materia de seguridad, controles de acceso al sistema y administración de cambios?


En respuesta a Martín Cogo Belver

Re: 12.2.1 Control contra malware (código malicioso)

de Martín Cogo Belver -
Requerimiento incial:
12.2.1.a:
- Documento Formal o Norma que indica los controles definidos
- Acceso a 2 sistemas o computadoras de la organización elegidas al azar por el aditor
12.2.1.b:
- Documento Formal o Norma que indica los procedimientos definidos.
- Lista de 200 mails de usuarios de la compañia a los cuales se les enviara un mail.
En respuesta a Martín Cogo Belver

Re: 12.2.1 Control contra malware (código malicioso)

de Martín Cogo Belver -
12.2.1.a:
Proc. sustantivo:
Realizar un pentesting.
Proc. cumplimiento 1:
Pedir una Carta Documento donde se notifica al responsable del Área informática sobre el la Norma y se ve la firma de compromiso.
Proc. cumplimiento 2:
Tomar 2 controles al azar de la norma y verificar si se encuentran implementados en 3 computadora o sistema al azar.
12.2.1.b:
Proc. sustantivo: 
Enviar un mail con un link a un lugar con codigo malicioso y enviarlo a varios usuarios del sistema. Para verificar si han sido concientizados.
Proc. cumplimiento 1:
Verificar un registro de mail o notificacion firmada por los usuarios que demuestre que han sido concientizados con respecto a la seguridad.
Proc. cumplimiento 2:
Verificar que existe una pagina o metodo de autenticación para asegurar la existencia de controles de acceso al sistema.
En respuesta a Martín Cogo Belver

Re: 12.2.1 Control contra malware (código malicioso)

de Eduardo Pérez -
12.2.1.b: Incumplimiento de proceso sustantivo.
El 10% de los empleados accedió al enlace del sitio con el código malicioso.

Como el porcentaje de empleados que ingresaron fue relativamente bajo, se puede concluir que si se llevo a cabo cierta concientización y esta tuvo efectos positivos para la mayoría de los empleados, por lo que se considera un incumplimiento parcial. Por otro lado, un solo empleado puede poner en riesgo los equipos y sistemas de la organización si no esta lo suficientemente capacitado, por lo que esto podría tener un impacto alto en la seguridad.