Guía de Implementación del Marco de Ciberseguridad 5.0

CN.3 Revisar regularmente los sistemas de información mediante pruebas de intrusión y evaluación de vulnerabilidades

Requisito CN.3Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades
ObjetivoConocer y mitigar las vulnerabilidades existentes en los sistemas de información de la organización de acuerdo a los requisitos de seguridad de la información establecidos en la política.
Controles

Nivel 1

  • CN.3-1: se realizan revisiones puntuales de los sistemas de información con recursos propios o con apoyo externo.

Nivel 2

  • CN.3-2: se realizan pruebas de intrusión (ethical hacking) de los sistemas críticos de la organización en forma periódica o como parte de un cambio significativo en ellos, con recursos propios o con apoyo externo.
  • CN.3-3: el resultado de las pruebas se comunica a las partes interesadas.

Nivel 3

  • CN.3-4: está establecido un procedimiento documentado para la revisión periódica interna de vulnerabilidades con alcance a los sistemas base y de aplicación.
  • CN.3-5: en los sistemas críticos se realizan los escaneos de vulnerabilidades con un periodo entre ellos de máximo 6 meses y pruebas de intrusión con un periodo entre ellas de máximo un año.
  • CN.3-6: se cuenta con el apoyo de revisiones externas de vulnerabilidades y hackeo ético.

Nivel 4

  • CN.3-7: los resultados de las revisiones internas y externas se utilizan para la mejora continua de la seguridad de los sistemas.
  • CN.3-8: se realizan actividades de control interno para verificar el cumplimiento con el procedimiento de revisión periódica de vulnerabilidades.
  • CN.3-9: el procedimiento de revisión de vulnerabilidades se encuentra incorporado en las actividades de seguridad de la información.
Guía de implementación

Se deben identificar los sistemas críticos a ser revisados periódicamente y se debe contar con procedimientos formales para la realización de las revisiones. Se debe definir al responsable de la gestión de las revisiones periódicas. Los procedimientos de revisión se deben incorporar al SGSI y deben actualizarse ante cualquier cambio que lo amerite.

Se deben realizar como mínimo pruebas de intrusión (ethical hacking) y evaluaciones de vulnerabilidades. Las mismas pueden llevarse a cabo con recursos propios de la organización o con apoyo externo.

Asimismo, deben confeccionarse informes y comunicar los resultados y planes de acción para las correcciones a las áreas funcionales necesarias, así como a la Dirección.

Instituciones de salud

Se debe considerar la revisión regular de los sistemas que sean críticos para la atención clínica (por ejemplo, HCE, LIS, RIS, PACS, equipos biomédicos, entre otros) y aquellos que afecten o puedan afectar a la infraestructura de HCEN o sus sistemas circundantes.

En el de caso de productos cerrados, se debe exigir al proveedor la presentación del informe con resultados de la ejecución del EH, junto con la evidencia de la resolución de los hallazgos o análisis de riesgo correspondiente.

Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Evidencia de la realización de pruebas de intrusión.
  • Plan de acción para las acciones correctivas.
Normativa asociadaNo aplica

Etiquetas