Guía de Auditoria del Marco de Ciberseguridad 5.0

Gestión de activos 

Conjunto de posible evidencia que permite probar el cumplimiento de cada requisito incluido en esta sección. 

Requisito GA.1 - Identificar formalmente los activos de la organización junto con la definición de su responsable.  

  1. Planillas de control, exportaciones de herramientas, capturas de sistemas de gestión o registros internos entre otros mecanismos que evidencien que los servidores, racks, UPS, dispositivos de red y otros componentes físicos del centro de procesamiento de datos se encuentran inventariados.  

  1. Reportes generados por herramientas de gestión de activos o descubrimiento automático de software, planillas internas, scripts de auditoría o capturas del sistema de gestión de activos, entre otros mecanismos que evidencien que el software base y de aplicación instalado en los activos del centro de procesamiento de datos se encuentra debidamente inventariado. 

  1. Planillas de inventario, registros del sistema de gestión de activos, formularios de asignación o capturas de plataformas utilizadas, donde cada activo cuenta con un responsable asignado y documentado. 

  1. Planillas de control, reportes de sistemas de gestión de activos, capturas de herramientas de descubrimiento automático o formularios de alta de equipos, entre otros registros que evidencien que todos los dispositivos físicos utilizados dentro y fuera del centro de procesamiento de datos están inventariados. 

  1. Listados técnicos, planillas internas, reportes de herramientas de gestión o plataformas de administración de licencias, que reflejen que se mantiene un inventario actualizado de software y aplicaciones. 

  1. Planillas de seguimiento, reportes automatizados, formularios de adquisición o registros de auditoría que permiten verificar que se gestiona activamente el licenciamiento del software, incluyendo información sobre tipo, vigencia y uso asignado. 

  1. Capturas de plataformas de gestión con control de accesos configurado, registros de permisos, actas de definición de perfiles o documentación interna de seguridad que acrediten que el inventario está disponible exclusivamente para las personas autorizadas por la organización. 

  1. Políticas de gestión de activos, diagramas de flujo, procedimientos operativos normalizados o instructivos de trabajo que detallen cómo se mantiene actualizado el inventario de activos, demostrando que existen lineamientos formales definidos por la organización. 

  1. Capturas de pantalla, reportes de uso, manuales internos o fichas técnicas del sistema implementado que permitan constatar que la organización utiliza una herramienta específica para registrar, rastrear y controlar sus activos tecnológicos y de información. 

  1. Configuraciones de herramientas con agentes instalados, flujos automatizados documentados, registros generados por scripts programados o capturas de tareas programadas, utilizados para verificar que el proceso de actualización del inventario incluye mecanismos automáticos, ya sea total o parcialmente. 

  1. Reportes periódicos de control, alertas automáticas, paneles de monitoreo de licencias o registros de revisión de cumplimiento, que permitan confirmar que se realiza un seguimiento continuo del estado del licenciamiento y se detectan a tiempo los vencimientos o irregularidades. 

  1. Informes de auditoría interna, cronogramas de revisión, listas de verificación utilizadas, reportes de hallazgos o planes de acción generados, que evidencien que se realizan auditorías periódicas sobre el inventario para evaluar el cumplimiento de las políticas y procedimientos definidos. 

  1. Planillas de inventario de software, reportes de escaneo de versiones, registros de gestión de vulnerabilidades, tickets de remoción o actas de comité técnico que evidencien que el software fuera de soporte, o que representa un riesgo no aceptable según el análisis de seguridad, ha sido eliminado de los sistemas o reemplazado por versiones soportadas o alternativas seguras. 

  1. Inventario actualizado con fechas de fin de soporte, registros de baja de activos, informes de análisis de obsolescencia, actas del CSI o reportes del RSI que documenten la decisión de eliminación, cronogramas de reemplazo, y reportes de escaneo que identifiquen versiones sin soporte eliminadas del entorno. 

Requisito GA.2 - Clasificar y proteger la información de acuerdo con la normativa y a los criterios de valoración definidos.  

  1. Listas de activos priorizados, matrices de criticidad, planillas internas o reportes generados por el área de seguridad, entre otros mecanismos que demuestren que se han identificado los activos que contienen información crítica conforme a criterios definidos por la organización. 

  1. Campos configurados en el sistema de gestión de activos, planillas con columnas de clasificación, capturas de pantalla o formularios de registro que indiquen que cada activo tiene asignada su clasificación según los criterios establecidos. 

  1. Inventarios donde se visualice la clasificación aplicada, reportes de revisión de activos clasificados, formularios de registro o tickets de alta que reflejen que los activos que almacenan o procesan información han sido clasificados de acuerdo con el procedimiento institucional.  

  1. Capturas de pantalla, manuales de usuario, fichas de configuración o reportes generados por la herramienta de gestión de activos, que evidencien que el sistema permite registrar, consultar y mantener la clasificación de cada activo. 

  1. Política formal, instructivo interno o procedimiento operativo firmado o validado por la organización, que establezca los criterios y niveles de clasificación alineados con la normativa nacional vigente. 

  1. Instructivos o diagramas de flujo que definan cómo se etiquetan los activos. 

  1. Formularios de alta, tickets de modificación, procedimientos de baja y configuraciones del sistema que reflejen la incorporación del criterio de clasificación en todas las etapas de gestión de los activos. 

  1. Configuraciones de sistemas, matrices de control de accesos, registros de asignación de permisos o instructivos técnicos que permitan demostrar que los accesos a la información están definidos en función de la clasificación de los activos y los perfiles autorizados.  

  1. Informes de revisión interna, lista de verificación, registros de auditoría o reportes de monitoreo que acrediten que se realizan controles periódicos para validar que la clasificación aplicada a los activos sigue siendo correcta y actualizada. 

 

 

Requisito GA.3 - Pautar el uso aceptable de los activos.  

  1. Instructivos, manuales de usuario, guías operativas, mensajes institucionales o registros de comunicación interna que permitan comprobar que existen pautas básicas de uso aceptable de los activos de información definidas por la organización.  

  1. Formularios de aceptación firmados, registros de consentimiento en plataformas de inducción, contratos con cláusulas específicas o sistemas con validación previa al primer acceso, que evidencien que toda persona debe aceptar formalmente las condiciones de uso antes de acceder a activos de información.  

  1. Instructivos técnicos, políticas de uso, configuraciones de herramientas de cifrado o control de acceso y listas de activos restringidos, que demuestren que se prohíbe o regula el almacenamiento de información sensible en activos sin controles adecuados. 

  1. Políticas de uso, configuraciones de herramientas de gestión de dispositivos, controles técnicos en endpoints o registros de incidentes bloqueados, que evidencien que existen medidas técnicas o administrativas para impedir acciones como la instalación de software no autorizado o el cambio de configuraciones críticas.  

  1. Documento de Política de uso aceptable de los activos aprobado por la dirección, incorporado en normativas internas, planificaciones institucionales o publicaciones oficiales, que evidencie la existencia de una política formal que regule el uso adecuado de los activos de información. 

  1. Correos institucionales, registros de comunicación en la intranet, materiales de sensibilización o listas de distribución, que demuestren que la política de uso ha sido comunicada al personal, proveedores y terceros.  

  1. Informes de revisión, cronogramas de controles, listas de verificación o tickets de seguimiento que demuestren que se realiza una supervisión periódica de los activos que contienen o procesan información sensible. 

  1. Planes de contingencia, procedimientos específicos de respuesta, formularios de notificación o simulacros realizados, que demuestren que existe un plan formal para actuar ante la pérdida o robo de activos de información. 

  1. Registros de actividad de herramientas de monitoreo, reportes de SOC, configuraciones de alertas o contratos con proveedores de servicios gestionados, que evidencien que las medidas de protección implementadas en los activos son monitoreadas permanentemente. 

  1. Informes de revisión, auditorías internas, controles aleatorios, listas de chequeo o reportes de hallazgos que evidencien que se realizan evaluaciones periódicas para verificar que el uso de los activos se ajusta a lo definido en la política. 

 

Requisito GA.4 - Gestionar los medios de almacenamiento externos.  

  1. Correos institucionales, publicaciones en intranet, cartelería interna, materiales de concientización o presentaciones utilizadas para sensibilizar sobre la importancia de proteger y utilizar de forma segura los medios de almacenamiento externos. 

  1. Listados de medios autorizados, actas de definición, instructivos técnicos, manuales de uso o entradas en sistemas de gestión, que evidencien que la organización ha definido e identificado los tipos de medios de almacenamiento externos habilitados para su uso. 

  1. Instructivos, manuales operativos, presentaciones de sensibilización, publicaciones en canales internos o correos masivos que demuestren que se han establecido y comunicado las pautas de uso seguro para medios de almacenamiento externos. 

  1. Planillas, registros en herramientas de gestión, etiquetas físicas o digitales, o formularios internos que permitan verificar que los medios de almacenamiento externo están inventariados y clasificados según la información que contienen y sus características técnicas. 

  1. Procedimientos operativos, protocolos de respuesta, materiales de comunicación, formularios o instructivos difundidos que detallen las acciones específicas ante la pérdida, hurto o daño de un medio externo y su distribución a los interesados. 

  1. Documento de política aprobado y vigente, procedimiento operativo formalizado, publicaciones oficiales o versiones registradas en sistemas de gestión, que evidencien que la organización cuenta con una política y procedimiento para la gestión de medios de almacenamiento externos. 

  1. Informes de control interno, listado de verificación de auditoría, reportes de cumplimiento o actas de revisión que permitan verificar que se evalúa regularmente el cumplimiento de las pautas, la política y el procedimiento aplicables a los medios de almacenamiento externos. 

  1. Registros de ajustes realizados, versiones comparadas, comunicaciones al RSI, actas de comités o correos formales que evidencien que los resultados de las revisiones se utilizan para mejorar la política y el procedimiento, y que estas mejoras son comunicadas a los responsables y partes interesadas. 

 

Requisito GA.5 - Establecer los mecanismos para destruir la información y medios de almacenamiento.  

  1. Instructivos operativos, guías internas, procedimientos simplificados o publicaciones institucionales que indiquen cómo debe realizarse el borrado seguro o la disposición final de los medios de almacenamiento.  

  1. Campañas de concientización, correos institucionales, afiches internos, publicaciones en la intranet o presentaciones utilizadas para comunicar la necesidad de eliminar correctamente los medios de almacenamiento que ya no se utilizarán. 

  1. Planillas internas, esquemas operativos, asignaciones de roles o cartelería en puntos específicos que indiquen las personas o ubicaciones autorizadas para llevar a cabo la eliminación segura de medios. 

  1. Instructivos técnicos, flujos de decisión, cuadros de referencia o guías de uso interno que especifiquen los criterios bajo los cuales se decide aplicar destrucción lógica, física o combinada sobre los medios de almacenamiento. 

  1. Documento de política vigente, aprobado por la dirección, publicado en los canales oficiales o incorporado en el marco normativo interno, que defina los principios y lineamientos sobre la destrucción de la información. 

  1. Procedimiento operativo validado, con detalle de roles, métodos permitidos, etapas del proceso y registros requeridos, que permita verificar que existe un método formalmente establecido para la destrucción de la información. 

  1. Planillas, formularios de destrucción, registros firmados, sistemas internos o tickets que documenten fecha, tipo de medio, técnica utilizada y personal involucrado en cada actividad de destrucción. 

  1. Resultados de pruebas de borrado, certificados de destrucción, informes de validación o controles cruzados que evidencien que la organización evalúa la efectividad de los métodos aplicados en la destrucción de información. 

  1. Informes de control interno, listas de verificación, hallazgos de auditoría o reportes de revisión que permitan constatar que se evalúa periódicamente el cumplimiento del procedimiento establecido para la destrucción de medios e información. 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Políticas de Ciberseguridad Ciberseguridad Seguro te conectás Herramientas para organismos Política Digital del Uruguay