Guía de Auditoria del Marco de Ciberseguridad 5.0

Seguridad física y del ambiente

Conjunto de posible evidencia que permite probar el cumplimiento de cada requisito incluido en esta sección.  

Requisito SF.1 - Implementar controles de acceso físico a las instalaciones y equipos ubicados en los centros de procesamiento de datos y áreas relacionadas.  

  1. Planos de seguridad, relevamientos internos, informes de riesgo o matrices de clasificación de áreas que permitan verificar que la organización ha identificado qué sectores requieren control de acceso físico. 

  1. Fotografías, configuraciones de sistemas de control, registros de ingreso o informes técnicos que evidencien la existencia de barreras físicas, cerraduras electrónicas, lectores biométricos u otros mecanismos de control en el centro de procesamiento de datos. 

  1. Formularios de solicitud, tickets de autorización, planillas de control o registros de sistemas que evidencien que el acceso al centro de procesamiento de datos es evaluado, aprobado y registrado. 

  1. Diagramas de distribución física, documentación de seguridad, planos con zonas delimitadas o informes de arquitectura que muestren cómo se definen y aplican los perímetros de seguridad en el centro de procesamiento de datos y otras áreas protegidas. 

  1. Registros de ingreso, configuraciones de sistemas de control de accesos, fotografías o listas de áreas protegidas con barreras físicas y tecnológicas implementadas. 

  1. Solicitudes de acceso, tickets con aprobación, planillas firmadas o registros electrónicos que evidencien que el ingreso a áreas seguras es evaluado, autorizado y documentado. 

  1. Bitácoras electrónicas, reportes exportados de sistemas de control de acceso, planillas manuales o logs automatizados que permitan verificar que se lleva un registro de todos los accesos físicos realizados. 

  1. Documento de política aprobado por la dirección o el CSI, publicado en medios internos o incorporado en el marco normativo de seguridad de la organización que establezca criterios para el control de acceso físico. 

  1. Logs de control de accesos, reportes de incidentes, tickets de verificación o informes posteriores al evento que permitan demostrar que los registros de ingreso a áreas protegidas son revisados ante alertas o eventos específicos. 

  1. Configuraciones de sistemas, capturas de pantallas, manuales de seguridad o instructivos que indiquen que las aplicaciones que manejan información sensible requieren reautenticación periódica, especialmente desde ubicaciones de riesgo. 

  1. Procedimiento formal aprobado, cronogramas de revisión, listas de verificación, informes de control o actas de seguimiento que evidencien que la organización ha establecido un proceso periódico para revisar los accesos al centro de procesamiento de datos y a las áreas seguras. 

  1. Informes de auditoría interna, listas de hallazgos, planes de acción o resultados de control que permitan verificar el cumplimiento de los procedimientos establecidos para el acceso físico. 

  1. Configuraciones de políticas, reglas de firewall, soluciones de acceso seguro, instructivos operativos o reportes de monitoreo que demuestren que existen restricciones y controles sobre accesos desde ubicaciones externas a la organización. 

 

Requisito SF.2 - Implementar controles ambientales en los centros de procesamiento de datos y áreas relacionadas.  

  1. Informes de evaluación de riesgos, matrices de riesgo, estudios de impacto ambiental o relevamientos de infraestructura que evidencien que se han identificado los riesgos ambientales que podrían afectar al centro de procesamiento de datos.  

  1. Fotografías, reportes técnicos, contratos de mantenimiento o documentación de las instalaciones que evidencien la existencia de medidas de control ambiental.  

  1. Certificados de instalación, registros de mantenimiento, informes de inspección o fichas técnicas que evidencien la instalación de sistemas de detección y extinción de incendios en el centro de procesamiento de datos y su mantenimiento periódico. 

  1. Capturas de pantallas, diagramas de arquitectura, reportes de herramientas o manuales operativos que permitan verificar que se utilizan soluciones automatizadas para monitorear condiciones ambientales en el centro de procesamiento de datos. 

  1. Fichas técnicas, fotografías del sistema, registros de operación, contratos de mantenimiento o reportes de monitoreo que demuestren que se cuenta con un sistema de climatización activo que regula la temperatura y la humedad.  

  1. Documento de política vigente que incluya medidas de protección ambiental para el equipamiento, aprobado por la dirección o el CSI y disponible en medios institucionales. 

  1. Procedimiento formal, flujos operativos, instructivos técnicos o manuales de operación que documenten cómo se monitorean los controles ambientales, incluyendo el uso de herramientas automatizadas. 

  1. Informes de revisión, registros de ajustes, tickets de mejora o minutas técnicas que evidencien que los controles ambientales se revisan periódicamente y se adaptan a condiciones climáticas o tecnológicas cambiantes. 

  1. Informes de control interno, listas de verificación, hallazgos de auditoría o reportes de seguimiento que permitan verificar que se evalúa el cumplimiento de la política y los procedimientos ambientales. 

  1. Registros de incidentes o fallos ambientales, informes de análisis, minutas de revisión o versiones ajustadas de procedimientos que evidencien que los resultados del monitoreo se utilizan para extraer lecciones aprendidas y mejorar los procedimientos. 

 

Requisito SF.3 - Contar con un sistema de gestión y monitoreo centralizado capaz de alertar fallas sobre el equipamiento y establecer el mantenimiento de los componentes críticos.  

  1. Registros de revisión posterior a incidentes, logs de eventos críticos, tickets de soporte o alertas gestionadas manualmente que evidencien que se realiza monitoreo reactivo o no sistemático sobre los servicios más críticos. 

  1. Registros de eventos críticos, configuraciones del sistema de logs, capturas de consolas de monitoreo o archivos de historial exportados que evidencien que se almacenan los registros de fallas y alertas críticas para su posterior revisión y análisis. 

  1. Capturas de herramientas, reportes de monitoreo, configuración de alertas o registros de eventos que demuestren que los activos críticos están monitoreados automáticamente y generan alertas ante incidentes. 

  1. Fichas técnicas de equipos, manuales del fabricante, reportes del sistema o configuraciones habilitadas que muestren que los dispositivos monitorean condiciones como temperatura, energía o ventilación. 

  1. Configuraciones del sistema, listas de distribución, capturas de correo o registro de alertas por SMS que permitan verificar que se han definido y activado notificaciones para incidentes o condiciones de riesgo. 

  1. Reportes del sistema, capturas de herramientas de monitoreo, registros de eventos o configuraciones que demuestren que se generan alertas ante comportamientos anómalos que podrían escalar a incidentes.  

  1. Configuraciones de alertas avanzadas, paneles de monitoreo o registros de eventos clasificados como precursores de fallos, que permitan demostrar que el sistema anticipa condiciones de riesgo. 

  1. Procedimiento formal vigente que describa las actividades de monitoreo, el uso de herramientas automatizadas y los responsables involucrados, utilizado como base operativa por el área técnica. 

  1. Configuraciones del sistema, listas de alertas, registros históricos o capturas de eventos que evidencien que los cambios de entorno (temperatura, humedad, energía, etc.) generan alertas para los activos clave de la organización. 

  1. Diagrama de arquitectura, reportes de correlación, capturas de plataformas de monitoreo unificado o configuraciones de integración que evidencien que se cruzan datos de diversas fuentes para generar alertas tanto reactivas como preventivas. 

  1. Informes de control interno, listas de verificación, cronogramas de auditoría o hallazgos registrados que evidencien que se verifica el cumplimiento de los procedimientos de monitoreo definidos para el centro de procesamiento de datos. 

 

Requisito SF.4 - Seguridad del equipamiento 

  1. Inventario de dispositivos con barreras, fotografías de cerraduras o tapas de seguridad, planillas de control físico o registros de instalación de sensores que evidencien que los equipos con información sensible están protegidos contra manipulaciones no autorizadas. 

  1. Actas de recepción, registros firmados, fotografías de embalajes o listas de verificación de inspección que evidencien que se revisa el estado de los empaques y se documentan daños o alteraciones al recibir equipamiento nuevo. 

  1. Capturas de BIOS, listados de configuración, informes técnicos o fotografías de conectores bloqueados que permitan verificar que los puertos no necesarios (USB, serie, etc.) están deshabilitados en los dispositivos del centro de procesamiento de datos. 

  1. Fotografías de sellos aplicados, inventario de cintas con su código correspondiente, instructivos internos o actas de control que evidencien la implementación de mecanismos que permitan detectar accesos físicos no autorizados. 

  1. Configuraciones del sistema operativo, políticas de grupo, capturas de pantalla o informes técnicos que evidencien que los dispositivos están configurados para bloquearse automáticamente tras 15 minutos sin uso. 

  1. Configuraciones de seguridad, scripts aplicados, informes de cumplimiento o parámetros técnicos que permitan comprobar que los sistemas están programados para cerrar la sesión después de 30 minutos de inactividad. 

  1. Documento aprobado por la dirección y/o el CSI, políticas internas difundidas, anexos normativos o registros de capacitación que evidencien que existe una política con lineamientos sobre protección física, manipulación y operación segura del equipamiento. 

  1. Procedimiento formal vigente, flujos de notificación, plantillas de registro o informes de aplicación que evidencien cómo se responde a eventos de manipulación, incluyendo evaluación de integridad y acciones inmediatas. 

  1. Documento operativo aprobado, manual técnico, instructivo de seguridad o políticas específicas que describan configuraciones preventivas y las acciones esperadas ante eventos como dejar un equipo desatendido. 

  1. Informes de auditoría interna, listas de verificación aplicadas, cronogramas ejecutados o hallazgos documentados que permitan constatar que se revisa periódicamente el cumplimiento de los procedimientos de seguridad del equipamiento. 

  1. Actas de revisiones periódicas, versiones actualizadas de procedimientos, análisis de incidentes o registros de ajustes implementados que evidencien que se realiza una revisión formal de las medidas de seguridad y se incorporan mejoras. 

 

Requisito SF.5 - Establecer el mantenimiento de los componentes críticos. 

  1. Cronogramas de mantenimiento, tickets de trabajo, órdenes de servicio o procedimientos internos que permitan verificar que el área de tecnología realiza mantenimiento sobre los activos del centro de procesamiento de datos. 

  1. Formularios, tickets de autorización, actas de aprobación o registros de usuarios habilitados que evidencien que los accesos remotos a activos informáticos con fines de mantenimiento son aprobados formalmente. 

  1. Planes técnicos, cronogramas de intervención, instructivos operativos o fichas de mantenimiento que muestren que existen planes definidos para dependencias o componentes críticos del centro de procesamiento de datos.  

  1. Documentos de planificación anual, calendarios operativos, actas de revisión o cronogramas aprobados que evidencien que se ha definido un plan de mantenimiento a nivel anual. 

  1. Tickets, listas de usuarios autorizados, registros de ingreso o configuraciones de control de acceso que permitan verificar que el acceso para tareas de mantenimiento se gestiona y limita a personal autorizado. 

  1. Registros de aprobación, planillas firmadas, correos institucionales o tickets donde conste que el RSI gestiona y aprueba los accesos remotos en el marco del plan anual de mantenimiento. 

  1. Procedimiento aprobado, diagramas de flujo operativos, instructivos técnicos o modelos de órdenes de trabajo que evidencien que las tareas de mantenimiento siguen criterios formales de planificación, coordinación con las áreas operativas, validación de funcionamiento y comunicación de resultados. 

  1. Documento de política aprobado institucionalmente, que establezca criterios de mantenimiento para los equipos de la organización. 

  1. Informes de control interno, listas de verificación, cronogramas de auditoría o hallazgos registrados que evidencien que se verifica el cumplimiento de los procedimientos de mantenimiento definidos para el equipamiento. 

  1. Informes posteriores a la intervención, registros de incidentes durante mantenimiento, planillas de acciones correctivas o versiones actualizadas de procedimientos que evidencien que, tras desvíos o fallos, se analizan causas, se ajustan procesos y se incorporan aprendizajes. 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Políticas de Ciberseguridad Ciberseguridad Seguro te conectás Herramientas para organismos Política Digital del Uruguay