CN.3 Revisar regularmente los sistemas de información mediante pruebas de intrusión y evaluación de vulnerabilidades | Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Pasar al contenido principal

CN.3 Revisar regularmente los sistemas de información mediante pruebas de intrusión y evaluación de vulnerabilidades

Requisito CN.3	Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades
Objetivo	Conocer y mitigar las vulnerabilidades existentes en los sistemas de información de la organización de acuerdo a los requisitos de seguridad de la información establecidos en la política.
Controles	Nivel 1 CN.3-1: se realizan revisiones puntuales de los sistemas de información con recursos propios o con apoyo externo. Nivel 2 CN.3-2: se realizan pruebas de intrusión (ethical hacking) de los sistemas críticos de la organización en forma periódica o como parte de un cambio significativo en ellos, con recursos propios o con apoyo externo. CN.3-3: el resultado de las pruebas se comunica a las partes interesadas. Nivel 3 CN.3-4: está establecido un procedimiento documentado para la revisión periódica interna de vulnerabilidades con alcance a los sistemas base y de aplicación. CN.3-5: en los sistemas críticos se realizan los escaneos de vulnerabilidades con un periodo entre ellos de máximo 6 meses y pruebas de intrusión con un periodo entre ellas de máximo un año. CN.3-6: se cuenta con el apoyo de revisiones externas de vulnerabilidades y hackeo ético. Nivel 4 CN.3-7: los resultados de las revisiones internas y externas se utilizan para la mejora continua de la seguridad de los sistemas. CN.3-8: se realizan actividades de control interno para verificar el cumplimiento con el procedimiento de revisión periódica de vulnerabilidades. CN.3-9: el procedimiento de revisión de vulnerabilidades se encuentra incorporado en las actividades de seguridad de la información.
Guía de implementación	Se deben identificar los sistemas críticos a ser revisados periódicamente y se debe contar con procedimientos formales para la realización de las revisiones. Se debe definir al responsable de la gestión de las revisiones periódicas. Los procedimientos de revisión se deben incorporar al SGSI y deben actualizarse ante cualquier cambio que lo amerite. Se deben realizar como mínimo pruebas de intrusión (ethical hacking) y evaluaciones de vulnerabilidades. Las mismas pueden llevarse a cabo con recursos propios de la organización o con apoyo externo. Asimismo, deben confeccionarse informes y comunicar los resultados y planes de acción para las correcciones a las áreas funcionales necesarias, así como a la Dirección.
Instituciones de salud	Se debe considerar la revisión regular de los sistemas que sean críticos para la atención clínica (por ejemplo, HCE, LIS, RIS, PACS, equipos biomédicos, entre otros) y aquellos que afecten o puedan afectar a la infraestructura de HCEN o sus sistemas circundantes. En el de caso de productos cerrados, se debe exigir al proveedor la presentación del informe con resultados de la ejecución del EH, junto con la evidencia de la resolución de los hallazgos o análisis de riesgo correspondiente.
Instituciones Emisoras de Dinero Electrónico (IEDE)	No aplica
Guía de evidencia para auditoría	Evidencia de la realización de pruebas de intrusión. Plan de acción para las acciones correctivas.
Normativa asociada	No aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay