L'objeto principal de este blog es proporcionar una descripción detallada i clara de los diferentes controles a evaluar necesarios para asegurar que se cumplen los requisitos de seguridad, incluyendo-yla seguridad lógica, física, de personal i de l'archivo.

<a href="https://suportaoc.powerappsportals.com/article/KA-07269/DownloadKbAttachmentFile/0593702a-0d2b_ _TRA__0__f011-8c4e-6045bd9ffce9?kbAttachmentId=257e2ab9-3736-f011-8c4d-0022487f50fc" rel="noopener noreferrer" target="_blank">Procedimiento de seguridad

  • Seguridad física

Se refiere a los controles físicos que tiene implantados. Las más básicas son: tener medios de prevención de fuego, controles de acceso, etc...

o ¿Qué son las listas de acceso?
Las listas de acceso son registros que controlan qué personas están autorizadas a acceder a ciertas áreas o recursos físicos. S deberían revisarse regularmente para garantizar que sólo el personal autorizado mantenga acceso, eliminando- aquellos que ya no necesitan permisos.

o ¿Qué son consideradas áreas clave?
Las áreas clave son zonas críticas dentro de una instalación que requieren protección especial, como salas de servidores, archivos confidenciales o centros de control. Esto ayuda a prevenir accesos no autorizados i facilita la respuesta rápida ante incidentes de seguridad

o ¿Quiénes son el personal de seguridad o guardias?
El personal de seguridad o guardias son profesionales encargados de vigilar físicamente las instalaciones para prevenir intrusiones, robos o incidentes de seguridad.

o ¿Cuáles son las medidas de seguridad física?
Las medidas de seguridad física tienen como a objetivo proteger dispositivos de almacenamiento de información, como servidores i unidades de soporte, contra acceso no autorizado o daños físicos. Estas medidas pueden incluir salas seguras, sistemas de acceso restringido, cámaras de vigilancia i controles ambientales como sensores de temperatura i fuego.

o ¿Qué es un inventario de activos?
Un inventario de activos es un documento que registra i detalla todos los activos de una organización, que pueden ser físicos o digitales, con l objetivo de ayudar en la gestión de la seguridad de la información. Este inventario permite identificar, valorar i gestionar los riesgos asociados a estos activos para proteger-los adecuadamente.

  • Seguridad lógica

Se refiere a controles tecnológicos que tiene implantados para asegurar los equipos (ordenadores, etc.) de algún acceso por parte de un tercero. Las más básicas son: tener una contraseña que tenga más de X caracteres, que deba cambiarse cada cierto tiempo, que deba contener caracteres especiales, etc.

o ¿Qué es la seguridad lógica?
La seguridad lógica es un conjunto de medidas destinadas a proteger los sistemas informáticos i los datos digitales contra diversas amenazas (acceso no autorizado, uso indebido, modificación o destrucción). Estas medidas incluyen l'uso de firewalls, anti-virus, contraseñas seguras i educación en seguridad. Las principales amenazas que combaten son el software malicioso (malware), los ataques de denegación de servicio (DDoS) i los ataques de fuerzaa sucia para descifrar contraseñas.

o ¿Qué son los privilegios de acceso?
Los privilegios de acceso se refieren a los derechos o permisos que se conceden a usuarios o sistemas para acceder a recursos específicos dentro de una red o sistema informático. Estos privilegios determinan qué puede hacer un usuario o proceso dentro del sistema, tales como ver, modificar, borrar, o ejecutar ciertos archivos o aplicaciones.

o ¿Qué son las herramientas de monitorización de seguridad?
Las herramientas de monitorización de seguridad son sistemas que detectan i registran actividades inusuales o sospechosas en redes, servidores i dispositivos. Incluyen sistemas de detección de intrusiones (IDS), firewalls, registros de auditorías, herramientas de análisis de tráfico. Estas herramientas ayudan a a identificar posibles amenazas i vulnerabilidades de seguridad en tiempo real.

o Procedimientos para a responder a eventos de seguridad i posibles intrusiones
Los procedimientos para a responder a eventos de seguridad i intrusiones incluyen protocolos para detectar, contener, erradicar i recuperar-se de las amenazas. Éstos incluyen la notificación a los equipos de respuesta, aislamiento de sistemas afectados, análisis de l'incidente, i restauración de servicios. También se llevan a cabo investigaciones posteriores para prevenir futuros incidentes.

o Proceso establecido por a gestionar i aplicar parches de seguridad
Un proceso establecido para a gestionar i aplicar parches de seguridad es un conjunto de pasos i prácticas organizadas que aseguran que las actualizaciones i correcciones de seguridad proporcionadas por los fabricantes de software para solucionar vulnerabilidades, errores o problemas de seguridad en aplicaciones, sistemas operativos i aplican de forma sistemática, controlada i eficiente en una organización.

o ¿Qué son las vulnerabilidades conocidas?
Las vulnerabilidades conocidas son fallas o debilitadas en sistemas o software que pueden ser explotadas por atacantes. Se realiza un seguimiento mediante informes de seguridad i actualizaciones de los fabricantes. Para mitigar-las, se aplican parches, actualizaciones de software i configuraciones de seguridad reforzadas.

o Prácticas seguras durante el desarrollo de software
El desarrollo seguro de código implica seguir un conjunto de prácticas que minimicen riesgos vulnerabilidades. Primero, es fundamental realizar validaciones de entrada para evitar ataques de inyección. También es necesario asegurar-se que el código gestione de manera adecuada las autentificaciones i autorizaciones, evitando accesos no autorizados. L'uso del cifrado de datos sensibles es imprescindible para garantizar- su confidencialidad. A más, se debe realizar una gestión segura de errores que no revele información crítica. Por último, el código debe ser regularmente auditado i testeado para identificar i corregir vulnerabilidades antes de que lleguen a la producción.

o Pruebas de seguridad i análisis de vulnerabilidades
Las pruebas de seguridad i análisis de vulnerabilidades son evaluaciones que identifican fallas de seguridad en aplicaciones desarrolladas internamente. Estas pruebas incluyen escaneos de vulnerabilidades, test de intrusión, i revisión de código para detectar errores. L'objetivo es corregir las debilidades antes de que puedan ser explotadas por atacantes.

o Seguimiento post-incidente
El seguimiento i análisis post-incidente es clave para mejorar las medidas de seguridad i la respuesta a incidentes futuros. Permite identificar la causa raíz del problema, asegurando que se tomen acciones concretas para evitar que se repita. También ayuda a a comprender l'impacto real de los incidentes, aportando lecciones valiosas para a toda l'organización. A más, este proceso contribuye a a reducir el tiempo de detección, diagnóstico i mitigación, mejorando l'eficacia global ante posibles amenazas.

  • Seguridad del personal

Se refiere a controles relacionados con el personal. Por ejemplo, procedimientos de baja, formación, etc.

o Procedimiento por a la notificación de pérdida o robo de dispositivos que puedan contener información confidencial
Un procedimiento para a la notificación de pérdida o robo es un conjunto de pasos definidos que deben seguirse cuando se descubre que un dispositivo con información confidencial ha sido perdido o robado. L'objetivo es minimizar los riesgos asociados a la pérdida de información i garantizar una respuesta rápida i efectiva.

o Permisos de acceso
Los permisos de acceso son los derechos que se conceden a los empleados para acceder a determinadas áreas, sistemas o información dentro de una organización. Esto ayuda a a prevenir accesos no autorizados i a mantener la seguridad de la información.

o Proceso final de l'ocupación
El proceso al final de l'ocupación por a retirar accesos i privilegios es un conjunto de pasos que se aplican cuando un empleado deja l'organización. Incluye la revocación inmediata de todos los permisos de acceso a sistemas, áreas i información sensible, así como la devolución de cualquier equipo i credenciales.

o Responsabilidades de seguridad al abandonar l'organización
Las responsabilidades de seguridad al abandonar l'organización incluyen que los trabajadores entiendan sus obligaciones hasta i todo después de la finalización de su relación laboral, ayudando a proteger l'organización contra posibles riesgos de seguridad.

  • Seguridad de l'archivo

Se refiere a controles relacionados l'archivo. Por ejemplo, controles de acceso, procesos de seguridad.

o ¿Existen políticas claras sobre el manejo de archivos confidenciales?
Las políticas sobre el manejo de archivos confidenciales son directrices que establecen cómo se debe gestionar, almacenar, compartir i destruir información sensible. L'objetivo es proteger la información contra acceso no autorizado i asegurar el cumplimiento de las normativas de privacidad.

o Pruebas de recuperación por a asegurar-se que los archivos pueden restaurar-se eficazmente
Las pruebas de recuperación son simulaciones o tests que se realizan para verificar que los archivos i sistemas pueden ser restaurados eficazmente después de un incidente, como una pérdida de datos o un fallo del sistema. Estas pruebas implican restaurar datos desde copias de seguridad i asegurar-se que funcionan correctamente.

o ¿Existen niveles de autorización claramente definidos por a limitar l'acceso según los roles i las responsabilidades?
Los niveles de autorización son clasificaciones que determinan quién puede acceder a información o recursos según los roles i las responsabilidades dentro de l'organización. Estos niveles aseguran que sólo el personal autorizado pueda acceder a datos sensibles, minimizando el riesgo de exposición o uso inapropiado.

Consulta el <a href="https://suportaoc.powerappsportals.com/article/KA-07299/DownloadKbAttachmentFile/4f40d333-0d2b_ _TRA__0__f011-8c4e-6045bdf32139?kbAttachmentId=9209ae83-3636-f011-8c4d-0022487f50f rel="noopener noreferrer" target="_blank">cuestionario de auditoría ER idCAT

Podría interesarte:

  • <a href="https://suport-eridcat.aoc.cat/hc/es/articles/22030868852125" rel="noopener noreferrer" target="_blank">Auditoría: requisitos de gestión documental __TRA__1
  • <a href="https://suport-eridcat.aoc.cat/hc/es/articles/22148731597725" rel="noopener noreferrer" target="_blank">Auditoría: requisitos operativos
  • <a href="https://suport-eridcat.aoc.cat/hc/es/articles/22030284473373" rel="noopener noreferrer" target="_blank">¿Por qué una auditoría?

Para cualquier consulta puedes contactar con el <a href="mailto:auditoria.scd@aoc.cat" rel="noopener noreferrer" target="_blank">correo de apoyo a l'auditoría.