Guía de Implementación del Marco de Ciberseguridad 5.0

OR.6 Establecer controles para proteger la información a la que se accede de forma remota

Requisito OR.6Establecer controles para proteger la información a la que se accede de forma remota
ObjetivoGarantizar la seguridad de la información cuando se accede de forma remota a los sistemas de información de la organización tanto por personal interno como externo. 
Controles

Nivel 1

  • OR.6-1: están definidos requisitos de seguridad mínimos para los dispositivos que se utilicen para acceder remotamente a los activos de la organización.

Nivel 2

  • OR.6-2: se registra cada conexión remota como mínimo: hora, fecha, usuario, activo, etc.
  • OR.6-3: se otorga el acceso remoto con base en una lista blanca de todos los recursos disponibles.
  • OR.6-4: se implementa el múltiple factor de autenticación para el acceso remoto.
  • OR.6-5: se requiere la aprobación explícita del responsable del activo antes de habilitar el acceso remoto.

Nivel 3

  • OR.6-6: existe un procedimiento documentado de solicitud de acceso remoto.
  • OR.6-7: existe un responsable para la asignación de permisos de acceso remoto.
  • OR.6-8: esta definida una política de control de acceso remoto.
  • OR.6-9: los proveedores tienen permisos de acceso remoto que caducan luego de realizada la actividad (o de una fecha establecida) para la cual se les otorgó el acceso.
  • OR.6-10: al menos en forma administrativa se centraliza el acceso remoto.

Nivel 4

  • OR.6-11: se realizan revisiones periódicas de los usuarios con acceso remoto.
  • OR.6-12: el resultado de las revisiones retroalimenta la gestión del acceso remoto y proporciona información para la toma de decisiones de mejora continua.
  • OR.6-13: se realizan actividades de control interno para verificar el cumplimiento de los procedimientos establecidos.
Guía de implementación

Política y procedimiento de acceso remoto
Se debe definir una política de acceso remoto donde se establezcan los requisitos necesarios de seguridad de las comunicaciones definiendo los motivos para el acceso remoto y el tipo de información a la que se accederá teniendo en cuenta su clasificación. Se debe contar con un procedimiento asociado a la política que indique al menos cómo es el procedimiento para la solicitud del acceso remoto.

Mecanismos de autenticación y comunicaciones
Los mecanismos de autenticación seguros son los métodos y procesos que se utilizan para verificar la identidad de un usuario, dispositivo o sistema de una manera fiable y resistente a los ataques. El objetivo principal es garantizar que solo las entidades autorizadas puedan acceder a datos, sistemas o recursos protegidos. Por ejemplo: múltiples factores de autenticación, contraseña de un solo uso, autenticación biométrica, entre otros.

Se deben utilizar comunicaciones y mecanismos de autenticación seguros.

Medidas de seguridad para el acceso remoto
Se debe definir desde qué equipos se podrá acceder remotamente y qué medidas de seguridad deben tener dichos equipos, por ejemplo, protección contra software malicioso, últimos parches de actualización del sistema operativo, etc. 
Se debe evaluar la posibilidad de implementar el doble factor de autenticación para realizar conexiones remotas.
Se debe contar con una lista blanca de todos los recursos disponibles accesibles de forma remota.

Usuarios autorizados a acceder de forma remota
Se debe determinar qué usuarios pueden acceder y autorizarlos; en qué momento, por cuanto tiempo y a qué recursos. Los usuarios deben ser nominados, evitando el uso de cuentas genéricas.

Revisión periódica de los accesos remotos
También se debe definir un procedimiento de revisión periódica de las cuentas de usuario con privilegios de acceso remoto y validar la necesidad de mantener dichos accesos.

Mecanismos de seguridad para el acceso remoto
Se deberán utilizar mecanismos seguros para el acceso remoto, cómo por ejemplo MFA, que garanticen la privacidad, confidencialidad e integridad de la información.
El acceso remoto debe contar con mecanismos de activación y desactivación para realizar las tareas que sean necesarias con un plazo establecido. En aquellos casos para los que no sea posible contar con un plazo establecido, se deberá justificar el uso continuo de conexiones remotas.
 

Instituciones de saludControles relacionados a proveedores de equipamiento médico
Se debe contar con controles tendientes a mitigar el riesgo relacionado al acceso remoto de los proveedores de equipamiento médico que requieren acceder por temas de mantenimiento. 
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Política de acceso remoto.
  • Mecanismos de autenticación para la conexión remota documentados en la política.
  • Procedimiento de altas, bajas y modificaciones de acceso remoto.
  • Procedimiento de revisión de usuarios con acceso remoto.
  • Listado de servidores críticos que permiten acceso remoto.
  • Listado con la identificación de los usuarios habilitados para acceder remotamente a sistemas críticos.
  • Registros de revisiones de acceso remoto.
  • Registros de conexión remota.
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay