Guía de Implementación del Marco de Ciberseguridad 5.0

SO.8 Gestionar la instalación de software

Requisito SO.8Gestionar la instalación de software
ObjetivoGarantizar la integridad y seguridad de los sistemas.
Controles

Nivel 1

  • SO.8-1: están definidas las pautas para la instalación de software.
  • SO.8-2: las pautas de instalación de software fueron difundidas al personal.

Nivel 2

  • SO.8-3: la posibilidad de instalar software en los equipos queda restringida a los usuarios que se encuentran autorizados para ese fin.
  • SO.8-4: se asegura una estricta segregación entre las utilidades del sistema y el software de aplicaciones, limitando el acceso a las utilidades del sistema.

Nivel 3

  • SO.8-5: existen listas de software autorizados, las que son revisadas y aprobadas por el RSI.

Nivel 4

  • SO.8-6: se realizan actividades de control interno sobre el software instalado con el fin de determinar el cumplimiento de la lista de software autorizado.
  • SO.8-7: los resultados de estas revisiones son enviados al RSI y demás partes interesadas.
Guía de implementación

Procedimientos de instalación de software
Se recomienda definir procedimientos sobre la instalación de software y difundirlo a los usuarios y/o todo aquel interesado que se considere pertinente.

Dentro de los temas a abordar en los procedimientos se encuentran los siguientes:

  • Instalación de software en equipamiento de usuario final.
  • Definición de los responsables de realizar las actividades de instalación de software en producción.
  • Pruebas previas al pasaje a producción de aplicaciones o sistemas operativos.
  • Referencia a procedimientos de vuelta atrás.
  • Registro de las actualizaciones en producción.
  • Software permitido y restricciones:
    - Tipo de software que pueden instalar los usuarios.
    - Software base.
    - Software prohibido.
    - Software que requiere autorizaciones especiales.
  • Revisiones periódicas sobre el software instalado en producción y en equipos de usuario.

Gestión de licencias de software
Es recomendable contar con un procedimiento para la administración de las licencias de software (solicitud/autorización, adquisición, instalación) y realizar control y revisión de las licencias instaladas (incluyendo periodicidad y responsables).

Instalación de software por parte de los usuarios
Es recomendable que dentro de las políticas de seguridad de la organización se contemple qué privilegios se les asignará a los diferentes usuarios con relación a la posibilidad de instalar software en sus equipos.

Control de herramientas administrativas
Se debe asegurar una estricta segregación entre las herramientas administrativas del sistema y el software de aplicaciones, limitando el acceso a las herramientas administrativas del sistema únicamente a usuarios autorizados y que lo requieran para cumplimiento de sus funciones.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Procedimiento de instalación de software.
  • Procedimiento para la administración de las licencias de software.
  • Resultados de auditorías o revisiones internas sobre software instalado.
  • Listado de software instalado en los equipos dentro del período auditado.
  • Listado de software base permitido.
  • Listado de software especial y usuarios autorizados a su instalación.
  • Listado de herramientas administrativas del sistema y usuarios autorizados a su uso.
  • Requerimientos a nivel legal y normativo para la instalación y uso de las licencias de software.
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay