Controles | Nivel 1 - GA.3-1: existen pautas del uso aceptable de los activos de la información.
- GA.3-2: toda persona que acceda a activos de información debe aceptar formalmente, previo al acceso, las condiciones de uso establecidas por la organización.
Nivel 2 - GA.3-3: se debe restringir el almacenamiento de información sensible en activos que no cuenten con controles adecuados; en caso de ser necesario, se deben aplicar mecanismos de protección como cifrado o control de acceso con MFA.
- GA.3-4: se aplican restricciones técnicas o administrativas que limitan acciones no autorizadas sobre los activos, como la instalación de software no autorizado o el cambio de configuraciones críticas.
Nivel 3 - GA.3-5: está definida formalmente la política sobre el uso adecuado de los activos de la información de la organización.
- GA.3-6: la política de uso adecuado de los activos es difundida a todo el personal, proveedores y terceros que utilicen activos de información.
- GA.3-7: se realiza un control periódico de los activos que contienen o procesan información sensible.
- GA.3-8: existe un plan de respuesta en caso de pérdida o robo de los activos de información.
Nivel 4 - GA.3-9: las medidas de protección implementadas en los activos informáticos se monitorean de forma proactiva 7x24.
- GA.3-10: se realizan evaluaciones periódicas para verificar que el uso de los activos se ajusta a las condiciones establecidas en la política.
|
Guía de implementación | Se debe definir una política donde se detalle el uso aceptable de los activos, el uso prohibido, responsabilidades, cuando se debe devolver, entre otros. Se recomienda pautar las reglas de uso de activos como: correo electrónico, aplicaciones, equipos, recursos de comunicación, uso de Internet, uso de redes sociales, etc. y establecer los controles que realiza la organización y las responsabilidades de los usuarios. Es necesario formar e informar al personal en esta materia, para lograr la adecuada protección física y lógica de los activos. |
Guía de evidencia para auditoría | - Política de uso aceptable de activos (genérica o específica para algún tipo de activo).
- Evidencia de difusión de la política de uso aceptable de activos.
- Descripción de los mecanismos de control implementados.
- Registros de capacitaciones realizadas, incluyendo temario, fecha, participantes y evaluaciones.
- Evidencia de controles periódicos, como informes de monitoreo, o auditorías internas que verifiquen el cumplimiento de las condiciones de uso.
- Plan de respuesta ante pérdida o uso indebido, con evidencia de pruebas o simulacros.
|