👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Específicamente, el criterio CC6.7.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a documentar cómo se transfiere o comparte información de la empresa a través de medios extraíbles (como USB, discos duros, etc.), estableciendo un proceso formal de solicitud, autorización y registro para asegurar que la transferencia y los dispositivos usados sean seguros.
¿Qué tengo que hacer? 🚀
Para comenzar, es importante identificar los dispositivos móviles y medios extraíbles que son utilizados en la empresa (memorias USB, discos duros externos, tarjetas de memoria, etc.).
Posteriormente, recomendamos identificar y comprender los casos reales donde se requiere transferir información a través de estos dispositivos móviles y medios extraíbles. De esta forma, será mucho más sencillo documentar el procedimiento que se debe realizar para garantizar una transferencia de información segura.
Ahora bien, para documentar el procedimiento, te sugerimos considerar los siguientes pasos:
Solicitud para realizar transferencias
Establecer que el interesado debe realizar una solicitud formal para llevar a cabo la transferencia es de suma importancia. Recomendamos que la solicitud cuente, por lo menos, con los siguientes datos:
Nombre del solicitante.
Información que se desea transferir y el dueño de dicha información.
Justificación de la necesidad.
Autorización de la solicitud
Una persona designada (como el dueño de la información o un líder de área) debe revisar la solicitud para asegurar que la justificación sea adecuada. Si se identifica alguna anomalía, la solicitud debe ser rechazada para evitar el uso indebido de la información.
Transferencia de la información
El procedimiento debe establecer cómo se debe realizar la transferencia de forma segura. Por ejemplo, puede especificar que un administrador de TI debe desbloquear temporalmente los puertos USB del equipo para permitir la transferencia y volver a bloquearlos inmediatamente después. Es recomendable que exista una supervisión de estas acciones.
Comunicación y registro
Debes establecer cómo se comunicarán y registrarán las transferencias autorizadas. Mantener un registro de todas las transferencias realizadas te permite tener una trazabilidad completa, lo cual es una evidencia clave para un auditor de SOC 2.
Si la información que desees transferir cuenta con datos personales, será muy importante que conozcas las regulaciones aplicables a tu empresa para asegurar que estás apegado a ellas, y que la información y los datos personales se encuentran protegidos adecuadamente 🔐.
Este procedimiento debe estar acorde a los lineamientos definidos en la “Política de Tratamiento de la Información”.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Asigna a responsables con el conocimiento y poder de decisión adecuados para la autorización de solicitudes de transferencia.
Mantén las transferencias de información por medios extraíbles a las mínimas indispensables. Si la justificación no es suficiente, no la autorices.
Permitir el uso de medios extraíbles puede ser complejo de monitorear, por lo que también recomendamos restringir su uso para funciones laborales al mínimo necesario.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.