Saltar al contenido Ir al menú de traducción
Search Icon

Última modificación: 19 de marzo de 2025

Política nº 4204 Procedimiento de auditoría

Visión general

Las auditorías de seguridad planificadas y aleatorias son importantes para mitigar el riesgo y evaluar la preparación del PCSD ante un incidente de seguridad. El equipo InfoSec realizará auditorías periódicas de los dispositivos conectados a la red del PCSD.

Propósito

El propósito de este procedimiento es asegurar que todos los dispositivos están configurados de acuerdo con la política de seguridad del PCSD. Todos los dispositivos conectados a la red del PCSD están sujetos a auditoría en cualquier momento. Las auditorías pueden llevarse a cabo para:

  • Garantizar la integridad, confidencialidad y disponibilidad de la información y los recursos
  • Garantizar la conformidad con la política de seguridad del PCSD.

Alcance

Este procedimiento cubre todos los dispositivos poseídos u operados por PCSD. Este procedimiento también cubre cualquier dispositivo presente en la red de PCSD, incluyendo los dispositivos que pueden no ser poseídos u operados por PCSD.

Procedimiento

Por la presente, el PCSD otorga su consentimiento para permitir que el equipo de InfoSec o un auditor externo acceda a sus dispositivos en la medida necesaria, dentro de un alcance predeterminado, que será redactado y aprobado por el equipo de InfoSec. Esto permitirá al auditor realizar auditorías programadas y aleatorias de cualquiera/todos los dispositivos del PCSD.

Preocupaciones específicas

  • Los dispositivos PCSD pueden soportar funciones empresariales críticas y almacenar información sensible.
  • Una configuración incorrecta de los dispositivos podría provocar la pérdida de confidencialidad, disponibilidad o integridad de estos sistemas.

Directrices

Al desplegar los dispositivos se utilizarán plantillas de configuración aprobadas y normalizadas:

  • Se instalarán y actualizarán los agentes de seguridad del host, como los antivirus.
  • Realice escaneos de red para verificar que sólo están en uso los puertos de red y recursos compartidos de red necesarios.
  • Verificar la pertenencia a un grupo administrativo.
  • Realizar líneas de base cuando se implanten los sistemas y cuando se produzcan cambios significativos en ellos.
  • Los cambios en las plantillas de configuración se coordinarán con los miembros de TI apropiados.
  • Debe seguir todos los demás procedimientos aplicables a los dispositivos desplegados.

Responsabilidad

  • El Equipo InfoSec o un auditor externo llevarán a cabo auditorías de todos los dispositivos propiedad de PCSD o gestionados por éste.
  • Se anima a los propietarios de dispositivos a auditar sus propios dispositivos según sea necesario; sin embargo, esto no permite a un propietario de dispositivo realizar una auditoría de la red PCSD o en cualquier dispositivo que no sea propiedad del empleado.

Conclusiones pertinentes

  • Todos los hallazgos relevantes descubiertos como resultado de una auditoría se enumerarán en el sistema de seguimiento del PCSD para garantizar una pronta resolución y/o controles mitigadores apropiados.

Propiedad del informe de auditoría

  • Todos los resultados y hallazgos generados por el Equipo InfoSec o un auditor externo deben ser proporcionados a la dirección apropiada del PCSD en el plazo de una semana desde la finalización del proyecto.
  • Este informe pasará a ser propiedad del PCSD y se considerará confidencial.

Último estado de actualización:

Actualizado en enero de 2015

Políticas y procedimientos relacionados

es_MXEspañol de México