L’objecte principal d'aquest bloc és proporcionar una descripció detallada i clara dels diferents controls a avaluar necessaris per assegurar que és compleixen els requisits de seguretat, incloent-hi la seguretat lògica, física, de personal i de l'arxiu.
Seguretat física
Es refereix als controls físics que teniu implantats. Les més bàsiques són: tenir mitjans de prevenció de foc, controls d’accés, etc...
o Què són les llistes d’accés?
Les llistes d'accés són registres que controlen quines persones estan autoritzades a accedir a certes àrees o recursos físics. S’haurien de revisar regularment per garantir que només el personal autoritzat mantingui accés, eliminant-ne aquells que ja no necessiten permisos.
o Que són considerades àrees clau?
Les àrees clau són zones crítiques dins d'una instal·lació que requereixen protecció especial, com sales de servidors, arxius confidencials o centres de control. Això ajuda a prevenir accessos no autoritzats i facilita la resposta ràpida davant incidents de seguretat
o Qui són el personal de seguretat o guàrdies?
El personal de seguretat o guàrdies són professionals encarregats de vigilar físicament les instal·lacions per prevenir intrusions, robatoris o incidents de seguretat.
o Quines són les mesures de seguretat física?
Les mesures de seguretat física tenen com a objectiu protegir dispositius d'emmagatzematge d'informació, com servidors i unitats de suport, contra accés no autoritzat o danys físics. Aquestes mesures poden incloure sales segures, sistemes d'accés restringit, càmeres de vigilància i controls ambientals com sensors de temperatura i foc.
o Què és un inventari d’actius?
Un inventari d’actius és un document que registra i detalla tots els actius d'una organització, que poden ser físics o digitals, amb l'objectiu d'ajudar en la gestió de la seguretat de la informació. Aquest inventari permet identificar, valorar i gestionar els riscos associats a aquests actius per protegir-los adequadament.
Seguretat lògica
Es refereix a controls tecnològics que teniu implantats per assegurar els equips (ordinadors, etc.) d'algun accés per part d'un tercer. Les més bàsiques són: tenir una contrasenya que tingui més de X caràcters, que s'hagi de canviar cada cert temps, que hagi de contenir caràcters especials, etc.
o Què és la seguretat lògica?
La seguretat lògica és un conjunt de mesures destinades a protegir els sistemes informàtics i les dades digitals contra diverses amenaces (accés no autoritzat, ús indegut, modificació o destrucció). Aquestes mesures inclouen l'ús de firewalls, anti-virus, contrasenyes segures i educació en seguretat. Les principals amenaces que combaten són el programari maliciós (malware), els atacs de denegació de servei (DDoS) i els atacs de força bruta per desxifrar contrasenyes.
o Què són els privilegis d’accés?
Els privilegis d'accés es refereixen als drets o permisos que es concedeixen a usuaris o sistemes per accedir a recursos específics dins d'una xarxa o sistema informàtic. Aquests privilegis determinen què pot fer un usuari o procés dins del sistema, com ara veure, modificar, esborrar, o executar certs fitxers o aplicacions.
o Què són les eines de monitoratge de seguretat?
Les eines de monitoratge de seguretat són sistemes que detecten i registren activitats inusuals o sospitoses en xarxes, servidors i dispositius. Inclouen sistemes de detecció d'intrusions (IDS), firewalls, registres d'auditories, i eines d'anàlisi de trànsit. Aquestes eines ajuden a identificar possibles amenaces i vulnerabilitats de seguretat en temps real.
o Procediments per a respondre a esdeveniments de seguretat i possibles intrusions
Els procediments per a respondre a esdeveniments de seguretat i intrusions inclouen protocols per detectar, contenir, erradicar i recuperar-se de les amenaces. Aquests inclouen la notificació als equips de resposta, aïllament de sistemes afectats, anàlisi de l'incident, i restauració de serveis. També es duen a terme investigacions posteriors per prevenir futurs incidents.
o Procés establert per a gestionar i aplicar pegats de seguretat
Un procés establert per a gestionar i aplicar pegats de seguretat és un conjunt de passos i pràctiques organitzades que asseguren que les actualitzacions i correccions de seguretat proporcionades pels fabricants de programari per solucionar vulnerabilitats, errors o problemes de seguretat en aplicacions, sistemes operatius o altres components del sistema, es gestionen i apliquen de manera sistemàtica, controlada i eficient en una organització.
o Què són les vulnerabilitats conegudes?
Les vulnerabilitats conegudes són falles o debilitats en sistemes o programari que poden ser explotades per atacants. Es realitza un seguiment mitjançant informes de seguretat i actualitzacions dels fabricants. Per mitigar-les, s'apliquen pegats, actualitzacions de programari i configuracions de seguretat reforçades.
o Pràctiques segures durant el desenvolupament de programari
El desenvolupament segur de codi implica seguir un conjunt de pràctiques que minimitzin riscos i vulnerabilitats. Primer, és fonamental fer validacions d'entrada per evitar atacs d'injecció. També cal assegurar-se que el codi gestioni de manera adequada les autentificacions i autoritzacions, evitant accessos no autoritzats. L'ús del xifrat de dades sensibles és imprescindible per garantir-ne la confidencialitat. A més, s'ha de realitzar una gestió segura d'errors que no reveli informació crítica. Finalment, el codi ha de ser regularment auditat i testejat per identificar i corregir vulnerabilitats abans que arribin a la producció.
o Proves de seguretat i anàlisi de vulnerabilitats
Les proves de seguretat i anàlisi de vulnerabilitats són avaluacions que identifiquen falles de seguretat en aplicacions desenvolupades internament. Aquestes proves inclouen escanejos de vulnerabilitats, tests d'intrusió, i revisió de codi per detectar errors. L'objectiu és corregir les debilitats abans que puguin ser explotades per atacants.
o Seguiment post-incident
El seguiment i anàlisi post-incident és clau per millorar les mesures de seguretat i la resposta a incidents futurs. Permet identificar la causa arrel del problema, assegurant que es prenguin accions concretes per evitar que es repeteixi. També ajuda a comprendre l'impacte real dels incidents, aportant lliçons valuoses per a tota l'organització. A més, aquest procés contribueix a reduir el temps de detecció, diagnòstic i mitigació, millorant l'eficàcia global davant possibles amenaces.
Seguretat del personal
Es refereix a controls relacionats amb el personal. Per exemple, procediments de baixa, formació, etc.
o Procediment per a la notificació de pèrdua o robatori de dispositius que puguin contenir informació confidencial
Un procediment per a la notificació de pèrdua o robatori és un conjunt de passos definits que s'han de seguir quan es descobreix que un dispositiu amb informació confidencial ha estat perdut o robat. L'objectiu és minimitzar els riscos associats a la pèrdua d'informació i garantir una resposta ràpida i efectiva.
o Permisos d'accés
Els permisos d'accés són els drets que es concedeixen als empleats per accedir a determinades àrees, sistemes o informació dins d'una organització. Això ajuda a prevenir accessos no autoritzats i a mantenir la seguretat de la informació.
o Procés final de l'ocupació
El procés al final de l'ocupació per a retirar accessos i privilegis és un conjunt de passos que s'apliquen quan un empleat deixa l'organització. Inclou la revocació immediata de tots els permisos d'accés a sistemes, àrees i informació sensible, així com la devolució de qualsevol equip i credencials.
o Responsabilitats de seguretat en abandonar l'organització
Les responsabilitats de seguretat en abandonar l'organització inclouen que els treballadors entenguin les seves obligacions fins i tot després de la finalització de la seva relació laboral, ajudant a protegir l'organització contra possibles riscos de seguretat.
Seguretat de l'arxiu
Es refereix a controls relacionats l’arxiu. Per exemple, controls d’accés, processos de seguretat.
o Existeixen polítiques clares sobre el maneig d'arxius confidencials?
Les polítiques sobre el maneig d'arxius confidencials són directrius que estableixen com s'ha de gestionar, emmagatzemar, compartir i destruir informació sensible. L'objectiu és protegir la informació contra accés no autoritzat i assegurar el compliment de les normatives de privacitat.
o Proves de recuperació per a assegurar-se que els arxius poden restaurar-se eficaçment
Les proves de recuperació són simulacions o tests que es realitzen per verificar que els arxius i sistemes poden ser restaurats eficaçment després d'un incident, com una pèrdua de dades o una fallada del sistema. Aquestes proves impliquen restaurar dades des de còpies de seguretat i assegurar-se que funcionen correctament.
o Existeixen nivells d'autorització clarament definits per a limitar l'accés segons els rols i les responsabilitats?
Els nivells d'autorització són classificacions que determinen qui pot accedir a informació o recursos segons els rols i les responsabilitats dins de l'organització. Aquests nivells asseguren que només el personal autoritzat pugui accedir a dades sensibles, minimitzant el risc d'exposició o ús inapropiat.
Consulta el qüestionari d'auditoria ER T-CAT
Et podria interessar:
- Auditoria: requisits de gestió documental i arxiu
- Auditoria: requisits operatius
- Per què una auditoria?
Per qualsevol consulta pots contactar amb el correu de suport a l'auditoria.