👉¿Podemos indicar que esta actividad no aplica para la empresa?
R: Sí, siempre y cuando efectivamente la empresa no permita el uso de medios extraíbles en ninguno de sus procesos. Además, se deben tener los lineamientos pertinentes sobre la prohibición de su uso dentro de las políticas de la empresa. Es decir, que en algún lugar se especifique que el uso de estos medios está prohibido. Dentro del plan de acción de Hackmetrix recomendamos definirlo en la Política de Seguridad de la Información y/o en la Política de BYOD.
👉¿Qué debo hacer dentro de la plataforma si esta actividad no aplica para mi empresa?
R: Si no es necesario que realices este procedimiento, debes realizar los siguientes pasos para continuar con el flujo correcto de la plataforma:
Si estás implementando un SGSI para cumplimiento normativo, debes verificar que los controles asociados al uso de medios extraíbles dentro de tu Declaración de Aplicabilidad se encuentren en “no aplica” y cuenten con su debida justificación de exclusión.
Debes asegurar que no haya ningún tipo de lineamiento que indique que sí permiten el uso de medios extraíbles en algún otro documento. Recomendamos verificar sobre todo la Política de Seguridad de la Información, la Política de BYOD, la Política de Tecnología y Operaciones de TI y la Política de Tratamiento de la Información.
Una vez que tu Declaración de Aplicabilidad se encuentre alineada a esto, debes dejar dentro de la sección de comentarios de la actividad un poco de contexto del porqué no les aplica este procedimiento, solicitar la revisión por medio de la plataforma, y con esto el equipo de revisores podrá aprobar la actividad para que puedas continuar.
Una vez aprobada la actividad por parte del equipo Hackmetrix, recomendamos subir la Declaración de Aplicabilidad como documento final.