8.

19 Instalación de software en sistemas operativos

Control
Se deberían implementar procedimientos y medidas para gestionar de forma segura la instalación de
software en los sistemas operativos.

Propósito
Asegurar la integridad de los sistemas operativos y evitar la explotación de vulnerabilidades técnicas.

Implementación

Procedimiento

1. Objetivo:
Este procedimiento tiene como objetivo establecer un marco para gestionar las Instalación de
software en sistemas operativos de manera eficaz, con el fin de garantizar la integridad,
confidencialidad y disponibilidad de la información de ATPHONE.

2. Alcance
Este procedimiento se aplica a todos los sistemas operativos críticos para la organización

3. Responsabilidades
El Responsable de Seguridad de la Información (RSI) es responsable de supervisar y coordinar la
ejecución de este procedimiento.
Jefe de TIC es responsables de aplicar las políticas y estándares de instalación.

4. Políticas

Para gestionar de forma segura los cambios y la instalación de software en los sistemas operativos
se aplican las siguientes políticas:

a) realizar las actualizaciones del software operativo solo por parte de administradores
capacitados con la autorización de gestión apropiada;
b) asegurar que solo se instale código ejecutable aprobado y ningún código de desarrollo o
compiladores en los sistemas operativos;
c) solo instalar y actualizar el software después de pruebas extensas y exitosas;
d) actualizar todas las bibliotecas de fuentes de programas correspondientes;
e) usar un sistema de control de configuración para mantener el control de todo el software
operativo, así como la documentación del sistema;
f) definir una estrategia de reversión antes de que se implementen los cambios;
g) mantener un registro de auditoría de todas las actualizaciones del software operativo;
h) archivar versiones antiguas del software, junto con toda la información y parámetros
requeridos, procedimientos, detalles de configuración y software de soporte como
medida de contingencia, y durante el tiempo que se requiera que el software lea o
procese los datos archivados.

Cualquier decisión de actualizar a una nueva versión debería tener en cuenta los requisitos del
negocio para el cambio y la seguridad de la versión (por ejemplo, la introducción de una nueva
funcionalidad de seguridad de la información o el número y la gravedad de las vulnerabilidades de
seguridad de la información que afectan a la versión actual). Los parches del software se deberían
aplicar cuando pueden ayudar a eliminar o reducir las vulnerabilidades de seguridad de la
información .
 El software informático puede basarse en software y paquetes suministrados externamente (por
ejemplo, programas de software que utilizan módulos alojados en sitios externos), que se
deberían monitorear y controlar para evitar cambios no autorizados, ya que pueden introducir
vulnerabilidades de seguridad de la información.

El software suministrado por el proveedor que se utiliza en los sistemas operativos se debería
mantener en un nivel respaldado por el proveedor. Con el tiempo, los proveedores de software
dejarán de dar soporte a las versiones anteriores de software. La organización debería considerar
los riesgos de confiar en un software sin soporte. El software de código abierto utilizado en los
sistemas operativos se debería mantener hasta la última versión adecuada del software. Con el
tiempo, el código fuente abierto puede dejar de mantenerse, pero sigue estando disponible en un
repositorio de software de código abierto. La organización también debería considerar los riesgos
de confiar en software de código abierto sin mantenimiento cuando se utiliza en sistemas
operativos.

Cuando los proveedores estén involucrados en la instalación o actualización del software, el

acceso físico o lógico solo debería otorgarse cuando sea necesario y con la debida autorización. Se
debería monitorear las actividades del proveedor .

La organización debería definir y hacer cumplir reglas estrictas sobre qué tipos de software
pueden instalar los usuarios.

El principio de privilegio mínimo se debería aplicar a la instalación de software en sistemas

operativos. La organización debería identificar qué tipos de instalaciones de software están
permitidas (por ejemplo, actualizaciones y parches de seguridad para el software existente) y qué
tipos de instalaciones están prohibidas (por ejemplo, software que es solo para uso personal y
software cuyo historial con respecto a ser potencialmente malicioso es desconocido o
sospechoso).

Estos privilegios se deberían otorgar en función de los roles de los usuarios en cuestión.

Se debe descargar software de fuentes confiables

No se debe instalar software de origen desconocido, ya que esto puede representar un riesgo
para la seguridad del sistema.

Se debe verificar los requisitos del sistema antes de instalar un programa para asegurarte de que
sea compatible con tu sistema operativo y hardware.

5. Desarrollo

No Actividad Descripción Responsable Documento

Asociado
1
2
3 Descargar el Se abre el navegador web y se dirige al
software sitio web oficial del software que se
(Cuando aplique) desea instalar.
Se busca una sección de descargas o
descarga directa del software y se da
clic en el enlace de descarga y se
espera a que se complete la descarga
 del archivo de instalación.

4 Ejecutar el Se busca el archivo de instalación

archivo de descargado, que generalmente se
instalación: encuentra en la carpeta de descargas de
tu sistema.
Se da doble clic en el archivo de
instalación para ejecutarlo. En algunos
casos, es posible que se necesite hacer
clic derecho y seleccionar "Ejecutar
como administrador" (en Windows) para
tener los permisos necesarios.
5 Seguir las La mayoría de los programas de
instrucciones de instalación guían a través de un
instalación asistente de instalación, se debe leer y
seguir las instrucciones en pantalla.
He incluso se debe aceptar los términos
de la licencia de software antes de
continuar.
6 Seleccionar Algunos programas permiten
opciones de personalizar la instalación seleccionando
instalación (si es componentes específicos o la ubicación
necesario): de instalación. Se elige las opciones que
mejor se adapten a las necesidades.

7 Esperar a que El proceso de instalación llevará algún

termine la tiempo. Durante este proceso, el
instalación: software se copiará en el sistema y se
configurarán los archivos necesarios.

Finalizar la Una vez que la instalación esté

instalación: completa, es posible que pida reiniciar la
computadora. Si es así, reinicia tu
sistema.

Comprobar la Después de reiniciar, se busca el icono

instalación: del software en el escritorio o menú de
inicio. Se da clic en él para asegurarse
de que se haya instalado correctamente.

Actualizar el Es importante mantener el software

software actualizado para obtener las últimas
(opcional): correcciones y características. Se
consulta la documentación del software
para aprender cómo actualizarlo, o se
configura actualizaciones automáticas si
está disponible.

Configurar y usar Se abre el software y se sigue cualquier

el software: configuración inicial que se requiera. Se
consulta la documentación o ayuda del
software para aprender cómo utilizarlo.