Precios
Prueba

Seguridad de los Recursos Humanos, Políticas de Control de Acceso y Gestión de Activos

Es un requisito mínimo de la NIS2 que las organizaciones protejan sus redes y sistemas de información estableciendo medidas dentro de la seguridad de sus recursos humanos, políticas de control de acceso y gestión de activos.

Seguridad de los Recursos Humanos, Políticas de Control de Acceso y Gestión de Activos

Es un requisito mínimo de la NIS2 que las organizaciones protejan sus redes y sistemas de información estableciendo medidas dentro de la seguridad de sus recursos humanos, políticas de control de acceso y gestión de activos.

Recursos Humanos Seguridad

Tu organización debe asegurarse de que los empleados, socios y proveedores comprenden y se comprometen con sus responsabilidades en materia de seguridad, de acuerdo con la política de seguridad de los sistemas de información de la organización.

Requisitos

Tu organización debe asegurarse de que los empleados, proveedores y prestadores de servicios son conscientes de sus responsabilidades en la protección de las redes y sistemas de información de tu organización y las cumplen.

Puedes establecer procedimientos para garantizar que

  • todos los empleados, proveedores directos y proveedores de servicios conozcan y sigan tus prácticas estándar de ciberhigiene,
  • todos los usuarios con acceso administrativo o privilegiado comprenden y actúan de acuerdo con sus funciones, responsabilidades y autorización,
  • los miembros de la dirección comprenden y actúan de acuerdo con su función y responsabilidades en materia de seguridad de las redes y los sistemas de información

Estas responsabilidades de seguridad pueden incluirse en los contratos y acuerdos laborales.

Puedes realizar comprobaciones de antecedentes de los nuevos empleados y de los proveedores directos y consultores, si consideras que así lo requiere tu evaluación de riesgos de su función, responsabilidades y su acceso a la red y a los sistemas de información.

Si crees que la comprobación de antecedentes es relevante, entonces deberías hacerlo:

  • definir qué funciones y responsabilidades requieren una comprobación de antecedentes,
  • garantizar que los controles se realizan de acuerdo con las leyes y las normas éticas,
  • completar las comprobaciones antes de que las personas asuman el papel o las responsabilidades en cuestión.

También debes asegurarte de que se definen, comunican y comprenden claramente las responsabilidades de seguridad que siguen siendo válidas después de que un empleado se vaya o cambie de función. También debes definir y comunicar las normas que se aplican en caso de infracción de las políticas o procedimientos de seguridad.

Documentación

Los acuerdos de empleo de tu organización pueden establecer que los empleados deben completar la formación necesaria en seguridad de redes y sistemas de información, y que son conscientes de sus responsabilidades para seguir las políticas y procedimientos de la organización.

Tu documentación puede incluir políticas y procedimientos escritos para actividades como la comprobación de antecedentes y las entrevistas de salida. Estas políticas y procedimientos deben revisarse a intervalos planificados.

Políticas de control de acceso

Debes establecer políticas de control de acceso para proteger los activos físicos y digitales contra la pérdida de confidencialidad, integridad y disponibilidad, impidiendo el acceso no autorizado.

Requisitos

Tu organización debe establecer una política de control de acceso para conceder, modificar y suprimir los derechos de acceso a las redes y sistemas de información, que debe estar en consonancia con la política de seguridad del sistema de información.

La política debe identificar y evaluar los riesgos relacionados con el control de acceso tanto lógico como físico, abarcando el acceso tanto de personas como de tratamientos, por ejemplo, cuando un sistema externo está conectado a uno interno.

La política debe incluir procedimientos para gestionar los derechos de acceso, incluidos los derechos privilegiados, y éstos deben cubrir:

  • métodos para identificar y evaluar la necesidad de acceso de empleados, proveedores y prestadores de servicios, incluidos tanto los usuarios normales como los que tienen derechos administrativos,
  • métodos para garantizar que los derechos de acceso se conceden, modifican o eliminan según sea necesario.

Tu organización debe restringir y controlar el uso de los sistemas de administración de TI y de los sistemas que pueden cambiar las configuraciones de seguridad. Tu política de control de acceso puede abarcar el acceso tanto de empleados como de partes externas, como proveedores.

Debes gestionar y documentar las identidades de todos los usuarios y sistemas con acceso a la información y a los activos relacionados, asegurándote de que queda claro quién o qué tiene acceso a las redes y sistemas y por qué. Este proceso debe tratar el ciclo de vida completo de las identidades, incluyendo su creación, modificación, revisión periódica y eventual eliminación. Para ello, deben aplicarse procedimientos y tecnologías de autenticación seguros, en consonancia con la política de control de acceso.

Documentación

Tu documentación sobre los controles de acceso puede incluir políticas y procedimientos escritos para conceder, modificar y eliminar el acceso a las instalaciones y sistemas de información de tu organización. Estas políticas y procedimientos deben revisarse a intervalos regulares.

Gestión de activos

La gestión de activos permite a tu organización saber qué activos deben protegerse y qué nivel de protección es adecuado para cada uno, y es un requisito de la NIS2.

Requisitos

Tu organización debe definir la gestión de los activos que puedan afectar a la seguridad de la red y de la información. Por tanto, debes establecer procedimientos que abarquen la gestión de todos los activos, incluidos los sistemas de red y de información, los componentes relacionados y las dependencias críticas con tus socios. Debe definirse un nivel adecuado de protección para cada activo.

La organización:

  • debe establecer un procedimiento para fijar los niveles de clasificación de los activos, de modo que los niveles de protección reflejen la sensibilidad, criticidad, riesgo y valor empresarial de cada activo,
  • deben preparar y comunicar instrucciones para el manejo de los activos a lo largo de su ciclo de vida, y en consonancia con la política de seguridad del sistema de información.
  • puede elaborar y mantener un inventario de los sistemas de red e información y de los activos relacionados. Debes asegurarte de que el inventario de activos se mantiene completo, preciso y fiable. Los cambios en el inventario deben documentarse e incluirse en los procesos de gestión de cambios.
  • debe exigir que todo el personal y los colaboradores externos devuelvan o borren definitivamente los activos que se les hayan entregado en cuanto finalice su empleo o contrato.

Documentación

Tu documentación de cumplimiento puede incluir procedimientos escritos para el manejo de activos y registros de cómo se comunican a los empleados pertinentes. Estos procedimientos deben revisarse a intervalos regulares.

Prueba RGPD

Comprueba si conoces bien el RGPD.

  • Responderás a 13 preguntas sobre el RGPD.
  • Sólo te llevará 1-2 minutos.
  • Los expertos suelen responder correctamente a las 13 preguntas.
Prueba RGPD

Prueba gratuita

Nos pondremos en contacto contigo por correo electrónico lo antes posible.