Gestion de Las Comunicaciones y Operaciones
Gestion de Las Comunicaciones y Operaciones
Gestion de Las Comunicaciones y Operaciones
Se debiera asegurar que los controles de seguridad, definiciones del servicio y niveles
de entrega incluidos en el acuerdo de entrega del servicio de terceros se implementen,
operen y mantengan la seguridad a través del período de transición.
Los servicios, reportes y registros provistos por terceros debieran ser monitoreados y
revisados regularmente, y se debieran llevar a cabo auditorías regularmente.
La organización debiera mantener el control y la visibilidad general suficiente en todos
los aspectos de seguridad con relación a la información confidencial o crítica o los
medios de procesamiento de la información que la tercera persona ingresa, procesa o
maneja.
Respaldo o Back-Up
Controles de redes
Las redes debieran ser adecuadamente manejadas y controladas para poder proteger
la información en las redes, y mantener la seguridad de los sistemas y aplicaciones
utilizando la red, incluyendo la información en tránsito.
Gestión de medios
Intercambio de información
Acuerdos de intercambio
Los medios que contienen información debieran ser protegidos contra accesos no-
autorizados, mal uso o corrupción durante el transporte más allá de los límites físicos
de una organización.
Se debieran utilizar transportes o mensajerías confiables.
Mensajes electrónicos
Transacciones en-línea
Monitoreo
Registro de auditoría
Se debieran proteger los medios de registro y la información del registro para evitar la
alteración y el acceso no autorizado.
Se necesita proteger los registros del sistema, porque si la data puede ser modificada
o se puede borrar la data en ellos, su existencia puede crear un falso sentido de
seguridad.
Se debieran registrar las actividades del administrador del sistema y el operador del
sistema.
La hora en la cual ocurre un evento (éxito o falla);
Cuál cuenta y cuál operador o administrador está involucrado;
Cuáles procesos están involucrados.
Registro de fallas
Se debieran registrar las fallas reportadas por los usuarios o por los programas del
sistema relacionadas con los problemas con el procesamiento de la información o los
sistemas de comunicación.
Los registros de errores y fallas pueden tener un impacto en el desempeño del
sistema. Este registro debiera ser facilitado por el personal competente, y se debiera
determinar el nivel de registro requerido para los sistemas individuales mediante una
evaluación del riesgo.
Sincronización de relojes