¿Se han implementado procesos de auditoría específicos para los casos de accesos remotos, los que deben ser revisados regularmente y se lleva un registro de incidentes a fin de corregir eventuales fallas en la seguridad de este tipo de accesos?
Requerimientos iniciales:
- Documentación que describe las politicas y procedimientos relacionados con el trabajo remoto.
- Contratos entre las partes involucradas que avalen el trabajo remoto.
- Registros de accesos remotos: quién accede, cómo y cuándo.
- Documentación que demuestra las revisiones periódicas de las políticas y procedimientos de trabajo remoto.
- Documentación que describe las politicas y procedimientos relacionados con el trabajo remoto.
- Contratos entre las partes involucradas que avalen el trabajo remoto.
- Registros de accesos remotos: quién accede, cómo y cuándo.
- Documentación que demuestra las revisiones periódicas de las políticas y procedimientos de trabajo remoto.
Procedimientos de cumplimiento:
- Verificar que se utilicen métodos adecuados de autenticación para los accesos remotos, como contraseñas seguras, autenticación de dos factores, o métodos biométricos.
- Examinar los registros de capacitación del personal para verificar que hayan recibido formación adecuada sobre las políticas y procedimientos de acceso remoto.
Procedimiento sustantivo:
- Seleccionar una muestra representativa de registros de acceso remoto y verificar la existencia de un registro adecuado de quién accede de manera remota, cuándo se realiza el acceso y cómo se autentica la identidad de los usuarios.
- Verificar que se utilicen métodos adecuados de autenticación para los accesos remotos, como contraseñas seguras, autenticación de dos factores, o métodos biométricos.
- Examinar los registros de capacitación del personal para verificar que hayan recibido formación adecuada sobre las políticas y procedimientos de acceso remoto.
Procedimiento sustantivo:
- Seleccionar una muestra representativa de registros de acceso remoto y verificar la existencia de un registro adecuado de quién accede de manera remota, cuándo se realiza el acceso y cómo se autentica la identidad de los usuarios.
De cumplimiento:
- Se encontro la utilizacion de protocolos no seguros http durante el inicio de sesion remoto por parte de los empleados debido a la falta de certificados en el servidor de autorizacion
Sustantivo:
- Los logs o registros se almacenan solamente por un periodo de 15 dias, lo que resulta insuficiente para determinar anomalias
- Se encontro la utilizacion de protocolos no seguros http durante el inicio de sesion remoto por parte de los empleados debido a la falta de certificados en el servidor de autorizacion
Sustantivo:
- Los logs o registros se almacenan solamente por un periodo de 15 dias, lo que resulta insuficiente para determinar anomalias