Guía de Implementación del Marco de Ciberseguridad 5.0

GA.3 Pautar el uso aceptable de los activos

Requisito GA.3Pautar el uso aceptable de los activos
ObjetivoGarantizar que el personal, proveedores e interesados de la organización conozcan las reglas y tomen los recaudos necesarios para proteger los activos de la información de la organización.
Controles

Nivel 1

  • GA.3-1: existen pautas del uso aceptable de los activos de la información.
  • GA.3-2: toda persona que acceda a activos de información debe aceptar formalmente, previo al acceso, las condiciones de uso establecidas por la organización.

Nivel 2

  • GA.3-3: se debe restringir el almacenamiento de información sensible en activos que no cuenten con controles adecuados; en caso de ser necesario, se deben aplicar mecanismos de protección como cifrado o control de acceso con MFA.
  • GA.3-4: se aplican restricciones técnicas o administrativas que limitan acciones no autorizadas sobre los activos, como la instalación de software no autorizado o el cambio de configuraciones críticas.

Nivel 3

  • GA.3-5: está definida formalmente la política sobre el uso adecuado de los activos de la información de la organización.
  • GA.3-6: la política de uso adecuado de los activos es difundida a todo el personal, proveedores y terceros que utilicen activos de información.
  • GA.3-7: se realiza un control periódico de los activos que contienen o procesan información sensible.
  • GA.3-8: existe un plan de respuesta en caso de pérdida o robo de los activos de información.

Nivel 4

  • GA.3-9: las medidas de protección implementadas en los activos informáticos se monitorean de forma proactiva 7x24.
  • GA.3-10: se realizan evaluaciones periódicas para verificar que el uso de los activos se ajusta a las condiciones establecidas en la política.
Guía de implementación

Se debe definir una política donde se detalle el uso aceptable de los activos, el uso prohibido, responsabilidades, cuando se debe devolver, entre otros.
Se recomienda pautar las reglas de uso de activos como: correo electrónico, aplicaciones, equipos, recursos de comunicación, uso de Internet, uso de redes sociales, etc. y establecer los controles que realiza la organización y las responsabilidades de los usuarios.

Es necesario formar e informar al personal en esta materia, para lograr la adecuada protección física y lógica de los activos.

Instituciones de saludEn el caso de las instituciones de salud, las pautas de uso aceptable de activos deben incluir al equipamiento médico.
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Política de uso aceptable de activos (genérica o específica para algún tipo de activo).
  • Evidencia de difusión de la política de uso aceptable de activos.
  • Descripción de los mecanismos de control implementados.
  • Registros de capacitaciones realizadas, incluyendo temario, fecha, participantes y evaluaciones.
  • Evidencia de controles periódicos, como informes de monitoreo, o auditorías internas que verifiquen el cumplimiento de las condiciones de uso.
  • Plan de respuesta ante pérdida o uso indebido, con evidencia de pruebas o simulacros.
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay