Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Propósito
Asegurar la integridad de los sistemas operativos y evitar la explotación de vulnerabilidades técnicas.
Implementación
Procedimiento
1. Objetivo:
Este procedimiento tiene como objetivo establecer un marco para gestionar las Instalación de
software en sistemas operativos de manera eficaz, con el fin de garantizar la integridad,
confidencialidad y disponibilidad de la información de ATPHONE.
2. Alcance
Este procedimiento se aplica a todos los sistemas operativos críticos para la organización
3. Responsabilidades
El Responsable de Seguridad de la Información (RSI) es responsable de supervisar y coordinar la
ejecución de este procedimiento.
Jefe de TIC es responsables de aplicar las políticas y estándares de instalación.
4. Políticas
Para gestionar de forma segura los cambios y la instalación de software en los sistemas operativos
se aplican las siguientes políticas:
a) realizar las actualizaciones del software operativo solo por parte de administradores
capacitados con la autorización de gestión apropiada;
b) asegurar que solo se instale código ejecutable aprobado y ningún código de desarrollo o
compiladores en los sistemas operativos;
c) solo instalar y actualizar el software después de pruebas extensas y exitosas;
d) actualizar todas las bibliotecas de fuentes de programas correspondientes;
e) usar un sistema de control de configuración para mantener el control de todo el software
operativo, así como la documentación del sistema;
f) definir una estrategia de reversión antes de que se implementen los cambios;
g) mantener un registro de auditoría de todas las actualizaciones del software operativo;
h) archivar versiones antiguas del software, junto con toda la información y parámetros
requeridos, procedimientos, detalles de configuración y software de soporte como
medida de contingencia, y durante el tiempo que se requiera que el software lea o
procese los datos archivados.
Cualquier decisión de actualizar a una nueva versión debería tener en cuenta los requisitos del
negocio para el cambio y la seguridad de la versión (por ejemplo, la introducción de una nueva
funcionalidad de seguridad de la información o el número y la gravedad de las vulnerabilidades de
seguridad de la información que afectan a la versión actual). Los parches del software se deberían
aplicar cuando pueden ayudar a eliminar o reducir las vulnerabilidades de seguridad de la
información .
El software informático puede basarse en software y paquetes suministrados externamente (por
ejemplo, programas de software que utilizan módulos alojados en sitios externos), que se
deberían monitorear y controlar para evitar cambios no autorizados, ya que pueden introducir
vulnerabilidades de seguridad de la información.
El software suministrado por el proveedor que se utiliza en los sistemas operativos se debería
mantener en un nivel respaldado por el proveedor. Con el tiempo, los proveedores de software
dejarán de dar soporte a las versiones anteriores de software. La organización debería considerar
los riesgos de confiar en un software sin soporte. El software de código abierto utilizado en los
sistemas operativos se debería mantener hasta la última versión adecuada del software. Con el
tiempo, el código fuente abierto puede dejar de mantenerse, pero sigue estando disponible en un
repositorio de software de código abierto. La organización también debería considerar los riesgos
de confiar en software de código abierto sin mantenimiento cuando se utiliza en sistemas
operativos.
La organización debería definir y hacer cumplir reglas estrictas sobre qué tipos de software
pueden instalar los usuarios.
Estos privilegios se deberían otorgar en función de los roles de los usuarios en cuestión.
No se debe instalar software de origen desconocido, ya que esto puede representar un riesgo
para la seguridad del sistema.
Se debe verificar los requisitos del sistema antes de instalar un programa para asegurarte de que
sea compatible con tu sistema operativo y hardware.
5. Desarrollo