¿El Responsable de Seguridad de la información junto con el Responsable del área informática, han definido las pautas para garantizar la seguridad de los servicios de la red del Organismo -tanto públicos como privados-?
En respuesta a Cristian Miguel SERRANO
Re: 13.1.2 Seguridad de Servicio de red
Requerimiento inicial:
- Política y procedimiento para generar reglas de autorización sobre las redes.
- Documentación de roles y accesos.
- Documentación de usuarios con sus respectivos roles.
- Documentación de redes y sub-redes del organismo con sus respectivas autorizaciones.
- Política y procedimiento para generar reglas de autorización sobre las redes.
- Documentación de roles y accesos.
- Documentación de usuarios con sus respectivos roles.
- Documentación de redes y sub-redes del organismo con sus respectivas autorizaciones.
En respuesta a Cristian Miguel SERRANO
Re: 13.1.2 Seguridad de Servicio de red
Procedimiento de cumplimiento:
1) Verificar que se estén cumpliendo las políticas para generar reglas de autorización.
2) Comparar documentación de usuarios activos con su respectivo rol dentro de la organización.
3) Corroborar que las reglas de autorización se encuentren creadas.
Procedimimiento sustantivo:
1) Verificar que las redes y sus autorizaciones definidas en la documentación se encuentren implementadas.
2) Comprobar los datos reales de usuarios/roles con la documentación.
3) Comprobar que cada usuario pueda acceder solo a los servicios que le corresponden.
1) Verificar que se estén cumpliendo las políticas para generar reglas de autorización.
2) Comparar documentación de usuarios activos con su respectivo rol dentro de la organización.
3) Corroborar que las reglas de autorización se encuentren creadas.
Procedimimiento sustantivo:
1) Verificar que las redes y sus autorizaciones definidas en la documentación se encuentren implementadas.
2) Comprobar los datos reales de usuarios/roles con la documentación.
3) Comprobar que cada usuario pueda acceder solo a los servicios que le corresponden.
En respuesta a Cristian Miguel SERRANO
Re: 13.1.2 Seguridad de Servicio de red
Imcumplimiento del procedimiento de cumplimiento : En el desarrollo para verificar el cumplimiento de las políticas de reglas de autorización y en la comparación de la documentación de usuarios activos con sus roles, se ha identificado un incumplimiento parcial. Durante la revisión, se encontró que un empleado tenia permisos inapropiados a redes de la empresa que no corresponden con su departamento de trabajo.
Impacto Estimado: El incumplimiento parcial podría resultar en un riesgo medio de acceso no autorizado a recursos, ya que si bien el usuario con permisos inapropiados no tienen acceso a redes criticas de la orzanizacion, su acceso a otras redes de otros departamentos denota una relajacion de las reglas de autorizacion para un usuario especifico
Impacto Estimado: El incumplimiento parcial podría resultar en un riesgo medio de acceso no autorizado a recursos, ya que si bien el usuario con permisos inapropiados no tienen acceso a redes criticas de la orzanizacion, su acceso a otras redes de otros departamentos denota una relajacion de las reglas de autorizacion para un usuario especifico