L’objecte principal d'aquest bloc és proporcionar una descripció detallada i clara dels diferents controls a avaluar necessaris per assegurar que és compleixen els requisits de seguretat, incloent-hi la seguretat lògica, física, de personal i de l'arxiu.

Procediment de seguretat

 

  • Seguretat física

Es refereix als controls físics que teniu implantats. Les més bàsiques són: tenir mitjans de prevenció de foc, controls d’accés, etc...

o    3.1.1 Es realitza una revisió regular de les llistes d'accés per a assegurar-se que només persones autoritzades tinguin accés?

Les llistes d'accés són registres que controlen quines persones estan autoritzades a accedir a certes àrees o recursos físics. S’haurien de revisar regularment per garantir que només el personal autoritzat mantingui accés, eliminant-ne aquells que ja no necessiten permisos.

 

  • Seguretat lògica

Es refereix a controls tecnològics que teniu implantats per assegurar els equips (ordinadors, etc.) d'algun accés per part d'un tercer. Les més bàsiques són: tenir una contrasenya que tingui més de X caràcters, que s'hagi de canviar cada cert temps, que hagi de contenir caràcters especials, etc.

o    3.2.1 Disposen de polítiques de control d’accés lògic: rols i responsabilitats, qualitat de contrasenyes, de taules netes (bloqueig de pantalles) i de bones pràctiques en seguretat?

Les polítiques de control d’accés lògic asseguren que només les persones autoritzades puguin accedir als sistemes segons els seus rols i responsabilitats. Inclouen requisits per a contrasenyes segures (complexes, amb caducitat i històric), bloqueig automàtic de pantalles en cas d’inactivitat (taula neta), i bones pràctiques generals com l’ús d’antivirus, tallafocs i formació del personal en seguretat. Aquestes mesures minimitzen el risc d’accessos no autoritzats i protegeixen la informació.

o    3.2.2 Existeixen nivells d'autorització clarament definits per a limitar l'accés segons els rols i les responsabilitats?

Els nivells d'autorització són classificacions que determinen qui pot accedir a informació o recursos segons els rols i les responsabilitats dins de l'organització. Aquests nivells asseguren que només el personal autoritzat pugui accedir a dades sensibles, minimitzant el risc d'exposició o ús inapropiat

o    3.2.3 Teniu implementats controls per evitar l'accés indegut als sistemes d'informació (doble factor per l'autenticació de sistemes, impossibilitat d'accedir depenent del rol assignat, etc.)?

Els controls per evitar l'accés indegut als sistemes inclouen mesures com l’autenticació multifactor (MFA), que requereix més d’un mètode de verificació per accedir als sistemes, i la limitació d’accés segons el rol assignat a cada usuari. Aquestes mesures garanteixen que només les persones autoritzades puguin accedir als recursos específics que necessiten, reduint el risc d'intrusions i d'usos indeguts de la informació.

o    3.2.4 Existeix un procediment clar per a la notificació de pèrdua o robatori de dispositius que puguin contenir informació confidencial?

Un procediment per a la notificació de pèrdua o robatori és un conjunt de passos definits que s'han de seguir quan es descobreix que un dispositiu amb informació confidencial ha estat perdut o robat. L'objectiu és minimitzar els riscos associats a la pèrdua d'informació i garantir una resposta ràpida i efectiva.

 

  • Seguretat del personal

Es refereix a controls relacionats amb el personal. Per exemple, procediments de baixa, formació, etc.

o    3.3.1 Es revisen regularment els permisos d'accés a mesura que canvien les responsabilitats laborals?

Els permisos d'accés són els drets que es concedeixen als empleats per accedir a determinades àrees, sistemes o informació dins d'una organització. Això ajuda a prevenir accessos no autoritzats i a mantenir la seguretat de la informació.

o    3.3.2 Tots els operadors que hagin estat de baixa han estat comunicats al Consorci AOC a través del responsable i s’ha revocat el certificat de l’operador en qüestió?

Aquest control verifica si s’ha gestionat correctament la baixa dels operadors. Inclou la notificació formal al Consorci AOC per part del responsable corresponent i la revocació del certificat digital associat a l’operador. Això assegura que els ex-operadors no puguin accedir als sistemes o serveis, evitant possibles riscos de seguretat derivats d’usuaris no autoritzats.

o    3.3.3 Els titulars dels certificats custodien amb diligència les seves targetes, així com el PIN i el PUK de les mateixes?

Els titulars de certificats digitals són responsables de custodiar amb cura les seves targetes i els codis associats (PIN i PUK). Això inclou mantenir les targetes en un lloc segur, protegir el PIN contra divulgació no autoritzada i guardar de manera segura el PUK. Aquesta custòdia diligent és essencial per prevenir l'ús no autoritzat dels certificats digitals i protegir la seguretat de la informació de l'organització


o    3.3.4 En cas de participació de personal extern, aquests han signat una clàusula de confidencialitat amb l’Entitat de Registre?

El personal extern que treballa amb l'Entitat de Registre ha de signar una clàusula de confidencialitat. Això assegura que els col·laboradors no empleats directament per l'organització, però amb accés a informació sensible, es comprometin legalment a mantenir la confidencialitat. Aquesta pràctica protegeix les dades sensibles, compleix amb normatives de protecció de dades i estableix una base legal per a possibles accions en cas d'incompliment, mantenint així la seguretat i integritat de la informació de l'Entitat de Registre.

 

o    3.3.5 De tots els titulars de certificats amb càrrec o de representant s'ha verificat la vigència d'aquest càrrec durant la vigència del certificat o s'ha sol·licitat la revocació del mateix?

Els titulars de certificats digitals amb càrrec o de representant mantenen aquestes posicions durant la vigència del certificat. Si un titular ja no ocupa el càrrec o no té la representació, s'ha de sol·licitar la revocació del certificat. Aquest procés és essencial per mantenir la integritat i validesa dels certificats, assegurant que només les persones actualment autoritzades tinguin certificats vàlids, i complint així amb les normatives i polítiques de seguretat establertes.

 

Consulta el qüestionari d'auditoria dels ens subscriptors.

Et podria interessar:

Per qualsevol consulta pots contactar amb el correu de suport a l'auditoria.