Última modificación: 19 de marzo de 2025
Política nº 4204 Procedimiento de auditoría
Visión general
Las auditorías de seguridad planificadas y aleatorias son importantes para mitigar el riesgo y evaluar la preparación del PCSD ante un incidente de seguridad. El equipo InfoSec realizará auditorías periódicas de los dispositivos conectados a la red del PCSD.
Propósito
El propósito de este procedimiento es asegurar que todos los dispositivos están configurados de acuerdo con la política de seguridad del PCSD. Todos los dispositivos conectados a la red del PCSD están sujetos a auditoría en cualquier momento. Las auditorías pueden llevarse a cabo para:
- Garantizar la integridad, confidencialidad y disponibilidad de la información y los recursos
- Garantizar la conformidad con la política de seguridad del PCSD.
Alcance
Este procedimiento cubre todos los dispositivos poseídos u operados por PCSD. Este procedimiento también cubre cualquier dispositivo presente en la red de PCSD, incluyendo los dispositivos que pueden no ser poseídos u operados por PCSD.
Procedimiento
Por la presente, el PCSD otorga su consentimiento para permitir que el equipo de InfoSec o un auditor externo acceda a sus dispositivos en la medida necesaria, dentro de un alcance predeterminado, que será redactado y aprobado por el equipo de InfoSec. Esto permitirá al auditor realizar auditorías programadas y aleatorias de cualquiera/todos los dispositivos del PCSD.
Preocupaciones específicas
- Los dispositivos PCSD pueden soportar funciones empresariales críticas y almacenar información sensible.
- Una configuración incorrecta de los dispositivos podría provocar la pérdida de confidencialidad, disponibilidad o integridad de estos sistemas.
Directrices
Al desplegar los dispositivos se utilizarán plantillas de configuración aprobadas y normalizadas:
- Se instalarán y actualizarán los agentes de seguridad del host, como los antivirus.
- Realice escaneos de red para verificar que sólo están en uso los puertos de red y recursos compartidos de red necesarios.
- Verificar la pertenencia a un grupo administrativo.
- Realizar líneas de base cuando se implanten los sistemas y cuando se produzcan cambios significativos en ellos.
- Los cambios en las plantillas de configuración se coordinarán con los miembros de TI apropiados.
- Debe seguir todos los demás procedimientos aplicables a los dispositivos desplegados.
Responsabilidad
- El Equipo InfoSec o un auditor externo llevarán a cabo auditorías de todos los dispositivos propiedad de PCSD o gestionados por éste.
- Se anima a los propietarios de dispositivos a auditar sus propios dispositivos según sea necesario; sin embargo, esto no permite a un propietario de dispositivo realizar una auditoría de la red PCSD o en cualquier dispositivo que no sea propiedad del empleado.
Conclusiones pertinentes
- Todos los hallazgos relevantes descubiertos como resultado de una auditoría se enumerarán en el sistema de seguimiento del PCSD para garantizar una pronta resolución y/o controles mitigadores apropiados.
Propiedad del informe de auditoría
- Todos los resultados y hallazgos generados por el Equipo InfoSec o un auditor externo deben ser proporcionados a la dirección apropiada del PCSD en el plazo de una semana desde la finalización del proyecto.
- Este informe pasará a ser propiedad del PCSD y se considerará confidencial.
Último estado de actualización:
Actualizado en enero de 2015
Políticas y procedimientos relacionados
- 4204 Uso de la tecnología
- 4204 Uso aceptable
- 4204 Auditoría
- 4204 Escritorio limpio
- 4204 Plan de recuperación en caso de catástrofe
- 4204 Correo electrónico
- 4204 Formación para la concienciación sobre seguridad de los empleados
- Cifrado 4204
- 4204 Contraseña
- 4204 Acceso remoto
- 4204 Seguridad de routers y conmutadores
- 4204 Seguridad para puestos de trabajo sensibles
- 4204 Plan de respuesta de seguridad
- 4204 Seguridad del servidor
- 4204 Instalación del software
- 4204 Seguridad de los servicios del sitio web
- 4204 Comunicación de dispositivos inalámbricos
- 4204 Comunicación de infraestructuras inalámbricas