👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 11 del Marco COSO y el criterio CC6.6.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir los controles de seguridad que se deben aplicar en cada una de las capas de la infraestructura tecnológica utilizada por tu empresa, desde la red hasta el sistema operativo y las aplicaciones.
💡 El modelo de seguridad por capas, o "defensa en profundidad", tiene como objetivo crear múltiples barreras de seguridad. Si un control en una capa falla, existen otros controles en las capas subsecuentes para detener o detectar una amenaza.
¿Qué tengo que hacer? 🚀
Para documentar esta política debes establecer las medidas de seguridad que tienes implementadas (o que implementarás) en cada una de las capas de tu infraestructura. Las capas que consideramos dentro del template son las siguientes:
Capa del sistema operativo
Dependiendo de los sistemas operativos que utilices (Windows, MacOS, Linux), las configuraciones de seguridad pueden variar, pero algunas de las medidas más recomendables son:
Actualización y parcheo: Mantener los sistemas operativos siempre actualizados con los últimos parches de seguridad recomendados por el proveedor.
Mínimo privilegio: Restringir el número de cuentas de usuario con privilegios de administrador al mínimo indispensable.
Hardening: Aplicar las guías de configuración segura ("hardening") recomendadas para cada sistema operativo para deshabilitar servicios y puertos innecesarios.
Capa de la red
Aquí se deben implementar métodos y protocolos que protejan la información en todos los canales de comunicación y servicios de red.
Medidas clave:
Instalación y configuración de Firewalls y Web Application Firewalls (WAF) para filtrar el tráfico malicioso.
Control de acceso a la red, implementando una adecuada segregación de redes (por ejemplo, separar la red de producción de la red corporativa).
Uso de VPNs para todo acceso remoto a las redes internas.
Capa de las aplicaciones
Al identificar las herramientas donde se almacena y procesa la información, podemos definir el uso y la configuración adecuada para garantizar su seguridad.
Medidas clave:
Autenticación robusta: Exigir la identificación por medio de un usuario y contraseña, y habilitar la autenticación multifactor (MFA) en todas las aplicaciones que lo soporten.
Gestión de Sesiones: Configurar tiempos de espera por inactividad (timeouts) para cerrar sesiones automáticamente.
Además de estas medidas, será importante añadir todas aquellas configuraciones que consideres pertinentes.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Puedes considerar incluso más capas de tu infraestructura (como la capa de Base de Datos o la capa Física) y definir los lineamientos pertinentes para protegerlas.
Recuerda que todos los lineamientos definidos en esta política deben ser consistentes con lo establecido en tu “Política de Seguridad de la Información” y “Política de Tecnología y Operaciones de TI”.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.