Seguridad de los datos (PR.SD)
La información y registros (datos) se gestionan en función de la estrategia de riesgo de la organización para proteger la confidencialidad, integridad y disponibilidad de la información.
| Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
PR.SD-1. Los datos en reposo (inactivos) se encuentran protegidos. | Se identifican los datos históricos y respaldos que deben ser protegidos mediante mecanismos seguros. Se establecen al menos mecanismos de control de acceso lógico y físicos. | Los respaldos y/o datos históricos offline se almacenan en forma cifrada. | Se define una política de uso de controles criptográficos para respaldos y datos históricos. Se determinan los responsables de la generación de las claves que abarca todo su ciclo de vida. | Se realizan revisiones periódicas sobre los respaldos y datos históricos para garantizar que se encuentran protegidos según lo determinado en la política. Los resultados de estas revisiones son registrados e informados al RSI. |
PR.SD-2. Los datos en tránsito se encuentran protegidos. | Se implementa algún control criptográfico para asegurar la protección de los datos en tránsito. | Los datos en tránsito de todas las aplicaciones y sistemas se encuentran protegidos mediante un mismo conjunto reducido de tecnologías y prácticas criptográficas. | Se define una política de uso de controles criptográficos que determina los lineamientos de protección necesaria de la información en tránsito. Se determinan los responsables de la generación de las claves que abarca todo su ciclo de vida. | Se realizan revisiones periódicas sobre los controles criptográficos utilizados para asegurar la protección de los datos que son enviados y recibidos por los diferentes sistemas y aplicaciones. Los resultados de estas revisiones son registrados e informados al RSI. |
PR.SD-3. Los activos se gestionan formalmente a lo largo de la eliminación, las transferencias y disposición. | Se definen pautas para la disposición final y borrado seguro de medios de almacenamiento. El personal está informado de la importancia de la eliminación de medios de almacenamientos que no se utilizarán más, para preservar la confidencialidad de la información contenida en ellos. | Se definen puntos de disposición de los medios. La disposición y/o borrado seguro de medios de almacenamiento se lleva a cabo mediante actividades coordinadas. | Se define una política de destrucción de la información y existe un procedimiento documentado alineado con la política. | Se realizan actividades de control interno sobre los procedimientos de eliminación y de los lugares de disposición de medios. Se informan los resultados al RSI y demás partes interesadas. En caso de desvíos se toman las acciones correctivas correspondientes. |
PR.SD-4. Se mantiene una adecuada capacidad para asegurar la disponibilidad. | La capacidad actual instalada para la prestación de los servicios críticos es suficiente.
| Se toman en cuenta las necesidades de capacidad al momento de dimensionar los servicios críticos que se hayan identificado, de acuerdo a las necesidades actuales del negocio. Se realizan mediciones objetivas para detectar problemas de capacidad. | Se planifica y define el proceso de gestión de la capacidad actual. Se identifica al responsable del proceso de gestión de la capacidad, sus roles y responsabilidades.
| Se cuenta con un plan de capacidad formal. Se define un proceso de estimación de la capacidad que acompaña al plan. La información se utiliza para generar pronósticos. El plan se revisa a intervalos regulares. Se proponen acciones para la mejora continua de la gestión de la capacidad. |
PR.SD-5. Se implementan medidas de protección contra fuga de datos | Se firman acuerdos de no divulgación para los nuevos proveedores de servicios y para los nuevos ingresos de personal. | Se extiende la firma de acuerdos de no divulgación progresivamente a toda la organización. | Los acuerdos contractuales con el personal y proveedores reflejan las responsabilidades de seguridad de la información según el rol que ocupen en la organización. Existe un procedimiento documentado para la desvinculación del personal que incorpora la revocación de accesos físicos y lógicos. Se establecen las responsabilidades y acuerdos de no divulgación indicando el tiempo por el cual continuarán siendo válidos estos aspectos. Se implementan sistemas DLP para controlar los datos, según los objetivos del negocio y normativa actual. | Se revisan los contratos y procedimientos de desvinculación de forma periódica para verificar el cumplimiento. Se registra el resultado de las revisiones y se utilizan para la mejora de los procesos y procedimientos, así como para la mejora continua de acuerdos y contratos. Se registran y revisan los desvíos e incumplimientos con los acuerdos de no divulgación y otras obligaciones contractuales relacionadas a seguridad de la información. El resultado de las revisiones se comunica al RSI y demás partes interesadas. |
PR.SD-6. Se realizan chequeos de integridad para verificar software, firmware e integridad de la información. | Se definen pautas para la instalación de software. Los equipos del personal cuentan con protección antivirus. Se realizan tareas de concientización sobre prevención ante software malicioso. | La posibilidad de instalar software en los equipos queda restringida a los usuarios que se encuentran autorizados para ese fin. Se define un procedimiento y los responsables para la instalación de software en producción. Los servidores que ofician de distribuidores de archivos (por ejemplo, servidores de archivos o correo electrónico), cuentan con una solución antivirus. | Se trabaja en la elaboración de listas de software autorizado y prohibido. Se cuenta con una solución antivirus centralizada y existe un responsable de ella. Se define una política de protección contra software malicioso. Se cuenta con algún mecanismo de control de acceso a sitios Web maliciosos y/o no autorizados. | Se cuenta con listas de software autorizado y/o prohibido, revisadas por el RSI. Todos los servidores cuentan con algún tipo de protección o detección de malware. Se realizan actividades de control interno sobre la solución antivirus y sobre el software instalado con el fin de determinar el cumplimiento con las políticas y procedimientos. Los resultados de estas revisiones son enviados al RSI y demás partes interesadas. En caso de desvíos se determinan las acciones correctivas. |
PR.SD-7. Los entornos de desarrollo y pruebas están separados del entorno de producción | El entorno de producción se encuentra separado del resto de los entornos y su uso es exclusivo para las aplicaciones que dan soporte a los servicios críticos que brinda la organización. | Se cuenta con plataformas adecuadas e independientes que soportan el ciclo de vida de desarrollo de los sistemas. Se implementan controles para el pasaje entre los ambientes. | Se define una política de separación de entornos y un procedimiento documentado para su gestión. Se definen responsables para la gestión de los ambientes existentes, y para los pasajes a producción. Durante la realización de las pruebas se registra la información del entorno (características, información de los datos de prueba, etc.) y esta información es conservada para asegurar la calidad de los resultados de las pruebas y lograr replicar a futuro las condiciones en las que se efectúan. | Los responsables de la gestión de entornos participan desde el inicio en los proyectos. Se toman los recaudos necesarios para el manejo de información según su clasificación durante las pruebas. Se realizan auditorías de cumplimiento y control interno de la política de separación de entornos y procedimientos relacionados. Se registran los resultados y se toman acciones correctivas en casos de desvíos. |
PR.SD-8. Se utilizan mecanismos de comprobación de la integridad para verificar la integridad del hardware. | Ver DE.MC-1 (nivel 1) | Ver DE.MC-1 (nivel 2) | Ver DE.MC-1 (nivel 3) | Ver DE.MC-1 (nivel 4) |