El objeto principal de este blog es proporcionar una descripción detallada y clara de los diferentes controles a evaluar necesarios para asegurar que se cumplen los requisitos de seguridad, incluyendo la seguridad lógica, física, de personal y del archivo.

Procedimiento de seguridad

  • Seguridad física

Se refiere a los controles físicos que tiene implantados. Las más básicas son: tener medios de prevención de fuego, controles de acceso, etc...

o 3.1.1 ¿Se realiza una revisión regular de las listas de acceso para asegurarse de que sólo personas autorizadas tengan acceso?

Las listas de acceso son registros que controlan qué personas están autorizadas a acceder a ciertas áreas o recursos físicos. Deberían revisarse regularmente para garantizar que sólo el personal autorizado mantenga acceso, eliminando aquellos que ya no necesitan permisos.

  • Seguridad lógica

Se refiere a controles tecnológicos que tiene implantados para asegurar los equipos (ordenadores, etc.) de algún acceso por parte de un tercero. Las más básicas son: tener una contraseña que tenga más de X caracteres, que deba cambiarse cada cierto tiempo, que deba contener caracteres especiales, etc.

o 3.2.1 ¿Disponen de políticas de control de acceso lógico : roles y responsabilidades, calidad de contraseñas, de tablas limpias (bloqueo de pantallas) y de buenas prácticas en seguridad ?

Las políticas de control de acceso lógico aseguran que sólo las personas autorizadas puedan acceder a los sistemas según sus roles y responsabilidades. Incluyen requisitos para contraseñas seguras (complejas, con caducidad e histórico), bloqueo automático de pantallas en caso de inactividad (mesa neta), y buenas prácticas generales como el uso de antivirus, cortafuegos y formación del personal en seguridad. Estas medidas minimizan el riesgo de accesos no autorizados y protegen la información.

o 3.2.2 ¿Existen niveles de autorización claramente definidos para limitar el acceso según roles y responsabilidades?

Los niveles de autorización son clasificaciones que determinan quién puede acceder a información o recursos según roles y responsabilidades dentro de la organización. Estos niveles aseguran que sólo el personal autorizado pueda acceder a datos sensibles, minimizando el riesgo de exposición o uso inapropiado

o 3.2.3 ¿Tiene implementados controles para evitar el acceso indebido a los sistemas de información (doble factor para la autenticación de sistemas, imposibilidad de acceder dependiendo del rol asignado, etc.)?

Los controles para evitar el acceso indebido a los sistemas incluyen medidas como autenticación multifactor (MFA), que requiere más de un método de verificación para acceder a los sistemas, y la limitación de acceso según el rol asignado a cada usuario. Estas medidas garantizan que sólo las personas autorizadas puedan acceder a los recursos específicos que necesitan, reduciendo el riesgo de intrusiones y usos indebidos de la información.

o 3.2.4 ¿Existe un procedimiento claro para la notificación de pérdida o robo de dispositivos que puedan contener información confidencial?

Un procedimiento para la notificación de pérdida o robo es un conjunto de pasos definidos que deben seguirse cuando se descubre que un dispositivo con información confidencial ha sido perdido o robado. El objetivo es minimizar los riesgos asociados a la pérdida de información y garantizar una respuesta rápida y efectiva.

  • Seguridad del personal

Se refiere a controles relacionados con el personal. Por ejemplo, procedimientos de baja, formación, etc.

o 3.3.1 ¿Se revisan regularmente los permisos de acceso a medida que cambian las responsabilidades laborales?

Los permisos de acceso son los derechos que se conceden a los empleados para acceder a determinadas áreas, sistemas o información dentro de una organización. Esto ayuda a prevenir accesos no autorizados y mantener la seguridad de la información.

o 3.3.2 ¿Todos los operadores que hayan sido de baja han sido comunicados al Consorcio AOC a través del responsable y se ha revocado el certificado del operador en cuestión?

Este control verifica si se ha gestionado correctamente la baja de los operadores. Incluye la notificación formal al Consorcio AOC por parte del responsable correspondiente y la revocación del certificado digital asociado al operador. Esto asegura que los exoperadores no puedan acceder a los sistemas o servicios, evitando posibles riesgos de seguridad derivados de usuarios no autorizados.

o 3.3.3 ¿Los titulares de los certificados custodian con diligencia sus tarjetas, así como el PIN y el PUK de las mismas?

Los titulares de certificados digitales son responsables de custodiar cuidadosamente sus tarjetas y los códigos asociados (PIN y PUK). Esto incluye mantener las tarjetas a buen recaudo, proteger el PIN contra divulgación no autorizada y guardar de forma segura el PUK. Esta custodia diligente es esencial para prevenir el uso no autorizado de los certificados digitales y proteger la seguridad de la información de la organización


o 3.3.4 En caso de participación de personal externo, ¿estos han firmado una cláusula de confidencialidad con la Entidad de Registro?

El personal externo que trabaja con la Entidad de Registro debe firmar una cláusula de confidencialidad. Esto asegura que los colaboradores no empleados directamente por la organización, pero con acceso a información sensible, se comprometan legalmente a mantener su confidencialidad. Esta práctica protege los datos sensibles, cumple con normativas de protección de datos y establece una base legal para posibles acciones en caso de incumplimiento, manteniendo así la seguridad e integridad de la información de la Entidad de Registro.

o 3.3.5 ¿De todos los titulares de certificados con cargo o de representante se ha verificado la vigencia de este cargo durante la vigencia del certificado o se ha solicitado la revocación del mismo?

Los titulares de certificados digitales con cargo o representante mantienen estas posiciones durante la vigencia del certificado. Si un titular ya no ocupa el cargo o no tiene la representación, debe solicitarse la revocación del certificado. Este proceso es esencial para mantener la integridad y validez de los certificados, asegurando que sólo las personas actualmente autorizadas tengan certificados válidos, cumpliendo así con las normativas y políticas de seguridad establecidas.

Consulta el cuestionario de auditoría de los entes suscriptores.

Podría interesarte:

Para cualquier consulta puedes contactar con el correo de soporte a la auditoría.