Guía de implementación

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

CA 3 Establecer controles criptográficos.

ObjetivoProteger la confidencialidad, autenticidad e integridad de la información digital.
AlcanceCualquier organización
Referencia ISO 27001A.10.1.1, A.10.1.2
Guía de implementación

La organización debe evaluar la oportunidad de utilizar controles criptográficos, por ejemplo, para proteger: la transmisión de información o su resguardo; acceso a las redes o sistemas, a los datos y servicios de información.
Es recomendable:

  • Definir una política sobre el uso de controles criptográficos.
  • Determinar en qué casos se utilizarán dichos controles.
  • Definir responsables de implementar la política y los controles.
  • Determinar los responsables de la generación y gestión de las claves durante su ciclo de vida. 

Ejemplos de controles criptográficos:

  • Cifrado de discos duros o dispositivos móviles.
  • Cifrado de respaldos.
  • Cifrado de mensajes de correo electrónico (por ejemplo, usando claves PGP).
  • Comunicación por medios de canales seguros (por ejemplo, HTTPS, TLS).
  • Establecimiento de VPN para acceso remoto.
Administración Central-
Instituciones de saludA nivel de XDS, se puede utilizar el campo HASH, (Hash de los elementos del documento) para que, al recibir el documento se verifique la integridad. 
Todos los sistemas Web de las instituciones que intercambien o puedan intercambiar información de salud deberán utilizar protocolo HTTPS.
Los respaldos de los sistemas que procesen información relacionada con la salud deben estar cifrados. 
Guía de evidencia para auditoría
  • Política y procedimientos para el uso de criptografía y control criptográfico.
  • Registro de revisión y actualización de estos protocolos.
  • Listado de sistemas desarrollados por la organización y aquellos que usan firma electrónica avanzada.
  • Listado de sistemas que soportan uso de dispositivos criptográficos. 
  • Mecanismos de validación de firmas y de certificados electrónicos.
  • Soluciones utilizadas para la firma de transacciones. 
Normativa asociadaN/A

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay