¿Se han desarrollado procedimientos que garanticen que, cuando se utilizan dispositivos informáticos móviles, no se comprometa la información ni la infraestructura del Organismo?
Se deben tener en cuenta todos los dispositivos móviles y/o removibles que pudieran contener información confidencial del Organismo, incluyendo, pero no limitándose a: Notebooks, Laptop o PDA (Asistente Personal Digital), Teléfonos Celulares y sus tarjetas de memoria, Dispositivos de Almacenamiento removibles, tales como CDs, DVDs, Disquetes, Tapes, y cualquier dispositivo de almacenamiento de conexión USB, Tarjetas de identificación personal (control de acceso), dispositivos criptográficos, cámaras digitales, etc.
Requerimientos inciales:
- Inventario de los dispositivos informáticos móviles propiedad de la organización.
- Inventario de dispositivos informáticos móviles de empleados o terceros con acceso a información o sistemas internos del organismo.
- Registros de acceso de dispositivos móviles a los distintos sistemas informáticos de la organización.
- Registros de permisos de acceso/edición otorgados a dispositivos móviles sobre la información o sistemas de la organización.
- Inventario de los dispositivos informáticos móviles propiedad de la organización.
- Inventario de dispositivos informáticos móviles de empleados o terceros con acceso a información o sistemas internos del organismo.
- Registros de acceso de dispositivos móviles a los distintos sistemas informáticos de la organización.
- Registros de permisos de acceso/edición otorgados a dispositivos móviles sobre la información o sistemas de la organización.
1. Procedimiento de control sustantivo:
- Realizar pruebas de vulnerabilidad y escaneos de seguridad en los dispositivos móviles habilitados para identificar posibles vulnerabilidades.
- Realizar pruebas de penetración sobre dispositivos representativos para evaluar la resistencia de los dispositivos móviles a posibles ataques malintencionados.
- Verificar que el software en los dispositivos móviles esté actualizado con los últimos parches y actualizaciones de seguridad disponibles.
2. Procedimiento de control de cumplimiento:
- Revisar periodicamente las políticas y procedimientos de seguridad de la información relacionados con el uso de dispositivos móviles.
- Verificar que las políticas de acceso de dispositivos móviles estén actualizadas y reflejen las mejores prácticas y normativas más actualizadas de seguridad de la información.
3. Procedimiento de control de cumplimiento:
- Realizar auditorías cada cierto periodo de tiempo para verificar el cumplimiento de los procedimientos de seguridad de los dispositivos móviles.
- Revisar periódicamente el inventario de dispositivos móviles para asegurarse de que todos los dispositivos estén debidamente documentados y protegidos.
- Revisar periódicamente los registros de acceso al sistemas desde dispositivos móviles y contrastarlos contra el inventario de dispositivos móviles habilitados en busca de accesos de dispositivos no listados.
- Realizar pruebas de vulnerabilidad y escaneos de seguridad en los dispositivos móviles habilitados para identificar posibles vulnerabilidades.
- Realizar pruebas de penetración sobre dispositivos representativos para evaluar la resistencia de los dispositivos móviles a posibles ataques malintencionados.
- Verificar que el software en los dispositivos móviles esté actualizado con los últimos parches y actualizaciones de seguridad disponibles.
2. Procedimiento de control de cumplimiento:
- Revisar periodicamente las políticas y procedimientos de seguridad de la información relacionados con el uso de dispositivos móviles.
- Verificar que las políticas de acceso de dispositivos móviles estén actualizadas y reflejen las mejores prácticas y normativas más actualizadas de seguridad de la información.
3. Procedimiento de control de cumplimiento:
- Realizar auditorías cada cierto periodo de tiempo para verificar el cumplimiento de los procedimientos de seguridad de los dispositivos móviles.
- Revisar periódicamente el inventario de dispositivos móviles para asegurarse de que todos los dispositivos estén debidamente documentados y protegidos.
- Revisar periódicamente los registros de acceso al sistemas desde dispositivos móviles y contrastarlos contra el inventario de dispositivos móviles habilitados en busca de accesos de dispositivos no listados.
Incumplimiento del control sustantivo:
Se verifica el software de los dispositivos móviles de terceros y el reporte indica que estos poseen un SO sin las últimas actualizaciones de seguridad comprometiendo la información del organismo.
- Incumplimiento parcial; Este posee un riesgo alto de acceso a la información, ya que usuarios que no pertenecen a la organización están generando amenzas contra la integridad o confidencialidad de los datos.
Incumplimiento del control de cumplimiento (Del punto 3.1):
Siguiendo el caso anterior, se detecta que no han cumplido las auditorías requeridas sobre los dispositivos móviles de terceros.
- Incumplimiento parcial; No cumplir las auditorias en tiempo y forma conlleva un riesgo alto, ya que poseer software desactualizado o con vulnerabilidades compromete la información de la organización.
Se verifica el software de los dispositivos móviles de terceros y el reporte indica que estos poseen un SO sin las últimas actualizaciones de seguridad comprometiendo la información del organismo.
- Incumplimiento parcial; Este posee un riesgo alto de acceso a la información, ya que usuarios que no pertenecen a la organización están generando amenzas contra la integridad o confidencialidad de los datos.
Incumplimiento del control de cumplimiento (Del punto 3.1):
Siguiendo el caso anterior, se detecta que no han cumplido las auditorías requeridas sobre los dispositivos móviles de terceros.
- Incumplimiento parcial; No cumplir las auditorias en tiempo y forma conlleva un riesgo alto, ya que poseer software desactualizado o con vulnerabilidades compromete la información de la organización.