Guía de Implementación del Marco de Ciberseguridad 5.0

SC.13 Debe existir segregación a nivel de servicios de información

Requisito SC.13Debe existir segregación a nivel de servicios de información
ObjetivoAsegurar la capacidad para gestionar de manera segura los servicios de red y definir acuerdos de interconexión formalmente autorizados.
Controles

Nivel 1

  • SC.13-1: la red se encuentra segmentada al menos en redes con contacto directo con redes externas (por ejemplo, Internet) y redes privadas de la organización.
  • SC.13-2: están identificados y documentados los principales servicios de red utilizados por la organización.
  • SC.13-3: se mantiene un inventario actualizado de las interconexiones con otras entidades.

Nivel 2

  • SC.13-4: se segmenta la red en función de las necesidades de la organización.
  • SC.13-5: se genera una postura de manejo de tráfico por defecto entre segmentos.
  • SC.13-6: las conexiones con otras entidades están formalmente autorizadas mediante acuerdos de seguridad de interconexión que describen interfaz, requisitos de seguridad y datos intercambiados.
  • SC.13-7: los proveedores de servicios de red cuentan con acuerdos de nivel de servicio (SLA) y cláusulas de seguridad.

Nivel 3

  • SC.13-8: esta definida una política formal de seguridad de las comunicaciones.
  • SC.13-9: se cuenta con un diagrama de red actualizado que refleja la segregación vigente y las interconexiones externas.
  • SC.13-10: se conoce y se analiza el tráfico en los diferentes segmentos de la red.
  • SC.13-11: las comunicaciones entrantes y salientes entre los diferentes segmentos son protegidas.

Nivel 4

  • SC.13-12: se cuenta con un proceso de control interno que verifica el cumplimiento de la segregación definida y de los acuerdos de interconexión.
  • SC.13-13: se revisan periódicamente los SLA, contratos y condiciones técnicas de los proveedores de red y conectividad.
Guía de implementación

Política de seguridad de las comunicaciones 
Definir una política de seguridad de las comunicaciones donde se contemplen al menos los siguientes puntos:

  • Objetivos y alcance de las comunicaciones (internas/externas, remotas e inalámbricas).
  • Requisitos mínimos para protección del canal (p. ej., TLS/HTTPS, SSH, IPsec) y autenticación.
  • Criterios para interconexiones externas (deben estar autorizadas y sujetas a acuerdos de seguridad).
  • Lineamientos para gestión de incidentes de comunicaciones y conservación de registros (logs).
  • Roles y responsabilidades (quién aprueba interconexiones, quién opera, quién revisa).

Diagrama de red
Se debe contar con diagrama/s de red actualizado/s.

Autorización y control de interconexiones
Formalizar cada conexión externa mediante un acuerdo de seguridad de interconexión que detalle: propósito, datos, cifrado/autenticación, filtrado, puntos de terminación, responsabilidades operativas y de incidentes, y contactos. Mantener inventario y expiraciones/renovaciones.

Protecciones entre segmentos
Implementar filtrado de tráfico en perímetros internos y externos, inspección de estado, listas de control por dirección/puerto/aplicación, y—cuando aplique—proxying y egress filtering. Documentar reglas, cambios y responsables.

Relación con proveedores
Incluir en los contratos con proveedores SLAs y cláusulas de seguridad (soporte, tiempos de atención, gestión de incidentes, pruebas de conectividad, ventanas de mantenimiento, auditoría razonable). Realizar revisiones periódicas y conservar evidencias.

Para el intercambio seguro de información entre organismos Agesic disponibiliza la Plataforma de Interoperabilidad (PDI) de la Plataforma de Gobierno Electrónico (PGE).  
 

Instituciones de saludSe debe evaluar la necesidad de utilizar segregación para los diferentes servicios, por ejemplo: laboratorio clínico, imagen médica, CTI, entre otros. Se debe considerar especialmente la segregación de la red que contenga componentes que gestionen información y/o intervengan en la prestación de servicios de salud.
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Política de seguridad de las comunicaciones
  • Procedimiento para la segregación de las redes
  • Diagrama de red detallado indicando la segregación definida (en caso de existir)
  • Inventario de servicios de red e interconexiones con metadatos y registro de autorizaciones formales que incluyan los requisitos de cada conexión
  • Rol o función de administrador de seguridad con descripción de tareas
  • Personal asignado a la administración de la red, monitoreo y revisión
  • Lista de proveedores de servicios de red
  • Acuerdos de seguridad de interconexión y sus renovaciones
  • Contratos y SLA de proveedores con registro de revisiones periódicas
  • Registro de auditorías efectuadas a proveedores
  • Registro de revisiones periódicas de contratos y SLA (si no se incluye directamente en el ítem de contratos)
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay