Precios
Prueba

Adquisición, desarrollo y mantenimiento

El ciclo de vida de la compra y el desarrollo de sistemas de red y de información debe estar asegurado en todas sus fases, desde la planificación, la implantación y el mantenimiento.

Adquisición, desarrollo y mantenimiento

El ciclo de vida de la compra y el desarrollo de sistemas de red y de información debe estar asegurado en todas sus fases, desde la planificación, la implantación y el mantenimiento.

Adquisición, desarrollo y mantenimiento

Debes garantizar la ciberseguridad de los sistemas de red y de información desde la adquisición y el desarrollo, la implantación, el funcionamiento, la eliminación progresiva y la eliminación de cada componente de los sistemas.

Requisitos

Tu organización debe documentar los procedimientos de ciberseguridad para:

  • La adquisición de sistemas o servicios de red e información a terceros,
  • El desarrollo y mantenimiento de sistemas de redes e información,
  • Eliminación de redes y sistemas de información,

Estos procedimientos deben basarse en la política de seguridad de los sistemas de información de tu organización y deben estar vinculados a su política de gestión de riesgos y a los procedimientos de gestión de proveedores.

También puedes considerar lo siguiente:

  • asegúrate de que el fabricante dispone de actualizaciones de seguridad durante la vida útil prevista del producto,
  • establecer, documentar, implantar y supervisar configuraciones, incluidos parches y actualizaciones para hardware, software, servicios y redes,
  • especificar y aplicar procedimientos para la gestión del cambio,
  • Asegúrate de que los cambios, reparaciones y mantenimiento de los sistemas de red e información siguen tus procedimientos de gestión de cambios,
  • realizar pruebas que van desde revisiones de la configuración hasta pruebas completas de la seguridad general de la red y de la información,
  • gestionar los riesgos derivados de la adquisición de servicios, sistemas o productos informáticos a proveedores y prestadores de servicios a lo largo de su ciclo de vida,
  • Establecer y aplicar requisitos claros para el desarrollo de software y sistemas seguros cuando se adquieran o desarrollen redes y sistemas de información. Estos requisitos deben abarcar todas las fases de desarrollo, por ejemplo mediante la Seguridad por Diseño,
  • separa los sistemas en redes o zonas en función de las necesidades empresariales y de la criticidad según tus evaluaciones de riesgos,
  • proteger la red y los sistemas de información de programas maliciosos o no autorizados, introduciendo medidas para detectar o impedir los programas maliciosos.

Documentación

Debes tratar tus procesos de gestión del ciclo de vida de los servicios, sistemas o productos informáticos adquiridos y desarrollados internamente a intervalos regulares planificados y después de incidentes importantes. Estas revisiones deben documentarse.

Gestión de vulnerabilidades

Debes establecer procedimientos de gestión de vulnerabilidades para descubrirlas y aplicar las medidas adecuadas para reducir la probabilidad de que sean explotadas en cualquier fase del ciclo de vida del sistema de información. Además, compartir información sobre vulnerabilidades también puede ayudar a otros a ser conscientes de los puntos débiles de sus propios sistemas.

Requisitos

Tu organización debe disponer de procedimientos sobre cómo gestionar las vulnerabilidades que puedan afectar a los sistemas de red y de información. Estos procedimientos deben permitirte recopilar información sobre vulnerabilidades técnicas, evaluar tu propia exposición a ellas y tomar las medidas adecuadas para gestionarlas.

Para gestionar las vulnerabilidades debes hacer lo siguiente:

  • estar al día de la información sobre vulnerabilidades procedente de diversas fuentes, como los CSIRT nacionales y los proveedores o prestadores de servicios,
  • implantar procedimientos de gestión de vulnerabilidades y documentar el razonamiento por el que no se opta por remediar las vulnerabilidades,
  • realizar escaneos de vulnerabilidad a intervalos regulares y después de cambios importantes o incidentes de seguridad, y documentar los resultados. En los entornos OT puede utilizarse en su lugar la monitorización pasiva y el análisis del tráfico, ya que los escaneos activos pueden causar interrupciones o tiempos de inactividad. Debes apoyar estos escaneos de vulnerabilidades con revisiones periódicas de la seguridad de las configuraciones del sistema,
  • alinear la gestión de vulnerabilidades con los procesos de gestión de cambios y tratamiento de incidentes,
  • garantizar que las vulnerabilidades críticas se abordan sin demoras innecesarias.

También puedes plantearte establecer una política de Divulgación Coordinada de Vulnerabilidades que cubra tus sistemas. Los incidentes significativos deben notificarse, y las vulnerabilidades que aún no sean accesibles al público deben compartirse con tu CSIRT nacional.

Documentación

Debes registrar las observaciones de tus exploraciones de vulnerabilidades, y documentar tus hallazgos y las medidas adoptadas. Debes supervisar tus fuentes de información sobre vulnerabilidades a intervalos planificados, y documentar las vulnerabilidades relevantes.

Prueba RGPD

Comprueba si conoces bien el RGPD.

  • Responderás a 13 preguntas sobre el RGPD.
  • Sólo te llevará 1-2 minutos.
  • Los expertos suelen responder correctamente a las 13 preguntas.
Prueba RGPD

Prueba gratuita

Nos pondremos en contacto contigo por correo electrónico lo antes posible.