Guía de implementación del Marco de ciberseguridad 5.0

SC.14 Mantener la seguridad de la información durante su intercambio dentro o fuera de la organización

Requisito SC.14Mantener la seguridad de la información durante su intercambio dentro o fuera de la organización
ObjetivoMantener la seguridad de la información que se intercambia o transfiere dentro de la organización y con cualquier entidad externa a la misma. Establecer el marco en el cual se intercambiará información desde y con la organización.
Controles

Nivel 1

  • SC.14-1: se implementan controles criptográficos para proteger los datos en tránsito.

Nivel 2

  • SC.14-2: los datos en tránsito de todas las aplicaciones y sistemas se encuentran protegidos mediante un mismo conjunto reducido de tecnologías y prácticas criptográficas.

Nivel 3

  • SC.14-3: la organización cuenta con procedimientos documentados para la transferencia segura de información física y digital.
  • SC.14-4: los procedimientos para la transferencia de información establecen medidas de seguridad diferenciadas según el nivel de sensibilidad de los datos involucrados.
  • SC.14-5: se realizan acuerdos formales con terceras partes que establecen responsabilidades y medidas de seguridad para la transferencia de información.

Nivel 4

  • SC.14-6: se realizan revisiones periódicas sobre los controles criptográficos utilizados para asegurar la protección de los datos que son enviados y recibidos por los diferentes sistemas y aplicaciones.
Guía de implementación

Política y procedimiento para transferencia de información física y lógica
Deben establecerse una política, procedimiento y controles que cubran al menos aspectos como:

  • Procedimientos para transferencia de información a través de cualquier medio de comunicación, incluso teniendo en cuenta el traslado físico de la información.
  • Medidas de protección al transferir la información contra la intercepción, realización de copias o modificaciones no autorizadas.
  • Medidas de protección que deben definirse para lograr protección ante software malicioso.
  • En caso que corresponda, indicar el uso de criptografía.
  • A nivel de RRHH, se debe incluir en las políticas (y / o generar procedimientos) de sensibilización al personal que indiquen aspectos como evitar mantener conversaciones confidenciales en lugares públicos o mediante canales de comunicación inseguros como podría ser oficinas abiertas, transporte público, restoranes, lugares de reunión, etc.

Acuerdos de transferencia segura
A nivel de lo que es la transferencia física de la información, deben establecerse acuerdos de transferencia segura entre la organización y terceras partes que incluya al menos las diferentes responsabilidades durante la transferencia, características de los servicios de mensajería en caso que los hubiere, cómo sería el etiquetado según su clasificación, normas de empaquetado de la información previo a su transferencia, entre otros. 

Para la transferencia electrónica de información se debe tener presente el requisito “CA.3 Establecer controles criptográficos”.

Instituciones de salud No aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría 
  • Política y procedimientos para la transferencia de información tanto física como electrónica.
  • Detalle del uso de criptografía.
  • Muestras de acuerdos o cláusulas de los acuerdos con relación a la transferencia segura de la información. entre la organización y terceras partes.
  • Detalle de la configuración del correo electrónico.
  • Acuerdos o cláusulas contractuales con terceros que incluyan medidas de seguridad para la transferencia segura de datos.
  • Evidencia de revisiones periódicas sobre el uso de controles criptográficos.
Normativa asociada No aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay