Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Aplicar los cambios en sistemas de prueba y de manera gradual, aplicar medidas de backup
Métricas asociadas
Evite quedarse tan atrás en la rutina de actualización de versiones que sus sistemas queden fuera
de soporte por el fabricante.
Pruebe y aplique los parches críticos, o tome otras medidas de protección, tan rápida y
extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y
que estén siendo explotadas fuera activamente.
Métricas asociadas
Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los
sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas,
tales como portátiles fuera de la empresa o almacenados-).
Maximizar la efectividad del proceso de auditoría de los SI y minimizar las intromisiones a éste
proceso.
Durante las auditorías de los sistemas de información debieran existir controles para salvaguardar
los sistemas operacionales y herramientas de auditoría.
Limitar las verificaciones (p.ej. a un acceso de "sólo lectura" en software y datos de producción)
y/o tomar las medidas necesarias a efectos de aislar y contrarrestar los efectos de modificaciones
realizadas al finalizar la auditoría (eliminar archivos transitorios, entidades ficticias y datos
incorporados en archivos maestros; revertir transacciones; revocar privilegios otorgados)
Identificar claramente los recursos TI para llevar a cabo las verificaciones y puestos a disposición
de los auditores (Sistemas de información, Bases de datos, hardware, software de auditoría,
dispositivos magnéticos, personal, conexiones a red).
Métricas asociadas
Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su estado
(cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido resueltos
y cerrados, respecto al total de abiertos en el mismo periodo.
Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por
la dirección al final de las auditorías.