Guía de Implementación del Marco de Ciberseguridad 5.0

GA.4 Gestionar los medios de almacenamiento externos

Requisito GA.4Gestionar los medios de almacenamiento externos
ObjetivoProteger a la organización contra el acceso no autorizado a la información contenida en medios de almacenamientos externos, que son usados como repositorios o transporte de la información y así no permitir la divulgación, modificación u eliminación imprudencial o intencional de la información. 
Controles

Nivel 1

  • GA.4-1: se realiza difusión sobre la importancia de la protección y uso seguro de los medios extraíbles.

Nivel 2

  • GA.4-2: están identificados y documentados los tipos de medios de almacenamiento externos permitidos para su uso dentro de la organización.
  • GA.4-3: se encuentran elaboradas y difundidas las pautas para el uso seguro de los medios de almacenamiento externos.
  • GA.4-4: los medios de almacenamiento externo se encuentran inventariados y clasificados según la clasificación de su información y sus características.

Nivel 3

  • GA.4-5: están definidas acciones específicas en caso de hurto, pérdida o daño del medio, y se difunde el procedimiento a todos los interesados.
  • GA.4-6: se encuentra establecida formalmente la política y el procedimiento de gestión de medios de almacenamiento externos.

Nivel 4

  • GA.4-7: se realizan revisiones de control interno sobre el cumplimiento de las pautas de uso de medios extraíbles, de la política y el procedimiento.
  • GA.4-8: los resultados de las revisiones son utilizados para la mejora de la política y el procedimiento, se comunican al RSI y demás partes interesadas.
Guía de implementación

Para la implementación de este requisito se deben contemplar medios físicos (por ejemplo: pendrive, disco externo, cintas) y almacenamiento en la nube (por ejemplo: Dropbox, Google Drive).

Procedimiento para el manejo de medios de almacenamiento externos
Se debe desarrollar un procedimiento para el manejo de medios de almacenamiento externo, tanto en las instalaciones de la organización como fuera de ella (Ver Requisito GA.3), que incluya las responsabilidades para su adecuado uso y protección. Este procedimiento debe difundirse entre el personal de la organización para su conocimiento y aplicación.

Inventario de medios de almacenamiento externos
Es necesario contar con un inventario de medios autorizados y definir procedimientos para su gestión que cubran como mínimo la solicitud, entrega, devolución y transporte de los medios de almacenamiento fuera de la organización. 
Se debe contar con procedimientos que indiquen cómo actuar ante casos de hurto, pérdida o daño del medio y difundirlos al personal.

Controles en medios de almacenamiento externos
Se deben establecer controles para bloquear el uso de dispositivos o medios de almacenamiento externos en las estaciones de trabajo, laptops y servidores a nivel físico de los puertos de los equipos y transferencias vía bluetooth que no sean necesarios, incorporando el principio de menor privilegio.

Medidas de protección
Si existen medios en reposo con información sensible, junto a otro tipo de información, el dispositivo debe ser considerado como contenedor de información sensible (por ejemplo, información de salud) y, por tanto, deberá ser considerado con las mismas medidas que la organización haya establecido para ese tipo de información, debiendo cumplir mínimamente con pautas de cifrado de la información.

Instituciones de salud

Se debe contemplar la definición de controles tendientes a mitigar el riesgo del almacenamiento de información sensible en diversos tipos de equipamiento. En los casos, por ejemplo, de posibles envíos a reparación tanto de equipamiento médico como de equipamiento tradicional de oficina que contenga o pueda contener medios de almacenamiento, es necesario contar con medidas de control que impidan el acceso no autorizado a información sensible de salud.

Se debe contar con una política para la gestión de la información que se encuentra almacenada dentro de los dispositivos biomédicos.

Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Pautas para el manejo de medios de almacenamiento.
  • Listado de medios de almacenamiento externos utilizados por la organización.
  • Inventario de los activos de la organización con identificación de los medios de almacenamiento.
  • Política para la gestión de los medios de almacenamiento externos.
  • Procedimiento para la gestión de los medios de almacenamiento externos.
  • Evidencia de solicitudes, entrega o devolución de medios para el período auditado.
  • Evidencia de autorizaciones para transportar medios fuera de la organización.
  • Evidencias de medios de almacenamiento debidamente etiquetados.
  • Evidencia del mecanismo de encriptación de los medios.
  • Casos documentados de pérdidas, robos o incidentes y acciones tomadas.
  • Informes de revisión interna sobre cumplimiento del procedimiento.
  • Comunicaciones internas o registros de difusión a usuarios.
  • Evidencia de mecanismos de protección como cifrado y autenticación MFA.
Normativa asociadaLey N° 18.331: Protección de datos personales, acción de habeas data.

Etiquetas