CCM CSA

CSA CCM

CSA (Cloud Security Alliance)

Es un grupo de especialistas y experimentados en el rea de servicios en la nube (red) que se renen para definir las mejores prcticas sobre seguridad para los servicios.

CCM (Cloud Controls Matrix)

Es una matriz diseada para brindar guias y lineamientos a las personas y empresas sobre la prestacin de servicios en la nube, la seguridad en ellos y los posibles riesgos a encontrar durante la creacin, venta/renta o prestacin de un servicio.

CCM En la industriaEn la actualidad los servicios en la nube son cada vez ms comunes y necesarios para el sector econmico de la sociedad y para el uso personal de muchas personas.

Debido al crecimiento de la popularidad y el uso de los servicios en linea se siguen creando muchos ms con el tiempo y ms gente se agrega a la creciente demanda, pero no solo eso, tambien crece el inters de los que intentan obtener informacin y beneficios a travs datos de otras personas; Conociendo que la informacin almacenada o manejada por los servicios en linea suele ser de suma importancia, es importante que los servicios existentes y los que sern creados cuenten con una infraestructura, reglas y seguridad que brinde a los usuarios calma y an ms importante, proteja los datos almacenados en ellos.

Esta matrz contiene recomendaciones, lineamientos y guias que puede seguir una persona o empresa creadora de un servicio en linea para ayudarlo a tomar en cuenta la mayor cantidad de precauciones y as brinde un mejor servicio adems de ms seguro.

Dominios de control

Seguridad de Aplicacin e Interface (Application and interface security)

Contiene recomendaciones bsicas de construccin, estructura y soluciones de seguridad que debera contener la aplicacin o las interfaces de acceso a la misma, ya sea de acceso generado por la misma aplicacin al sistema interno y bases de datos o del usuario haca la aplicacin.

Objetivos de controlAIS-01 - Seguridad en la aplicacin

Menciona que las aplicaciones y sus interfaces (APIs) deben ser diseadas, creadas y lanzadas de acuerdo a especificaciones de algn estndar aceptado por la industria y de acuerdo a leyes o estattos aplicables.

Relevancia en la arquitectura:

Aplica a redes debido a que es el medio por el cual se transmiten los datos y se debe elegir bien como y por que medio se transmitirn.

Computo para planear como se procesan y tratan los datos.

Almacenamiento y datos ya que debe planearse como se almacenarn los datos y su seguridad, adems de que menciona la planeacin para el manejo de datos y las vas de comunicacin.

Aplicacin, como ya se dijo, menciona algunos lineamientos sobre las aplicaciones y sus interfaces de comunicacin.

Aplica para modelos: SaaS PaaS e IaaS

Tiene relacin con COBIT E HIPAA

AIS-03 - Integridad de los datos

Menciona que todo manejo de datos debe realizarse por medio de interfaces y bases de datos para evitar la corrupcin y/o perdida de informacin, as como el uso incorrecto.

Relevancia en la arquitectura.

Red: Menciona como deben transmitirse los datos y como debe planearse su transmisin por los posibles medios.

Cmputo: nos dice como deben manejarse los datos.

Almacenamiento: Nos indica los medios de almacenamiento de datos recomendables.

Aplicacin: Indica la forma de recepcin de datos, su procesamiento y su posterior almacenamiento.

Datos: Indica una situacin importante a tomar en cuenta que es la integridad de los datos y su importancia.

Aplica para modelos: SaaS, PaaS e IaaS

Tiene relacin con HIPAA

Conformidad y garanta de auditora (Audit assurance and compliance)

Este dominio promueve la planeacin de auditoras peridicas adems de procesos y documentacin de control sobre procesos de la organizacin y del servicio a prestar, crear inventarios y detectar obligaciones que puedan derivarse de la informacin a tratar.

Objetivos de controlAAC-01 - Planeacin de auditora

Deben ser diseadas auditoras y actividades de control basadas en el acceso a los datos, la duplicidad de los mismos para reducir los riesgos. Adems de esto las actividades de auditora deben ser planeadas y acordadas previamente por los stakeholders.


Fsico: Una parte importante de la planeacin de un servicio es su infraestructura, la seguridad en ella y su acceso.

Aplica a redes debido a que es el medio por el cual se transmiten los datos y se deben realizar auditoras sobre la transmisin de los datos y su funcionamiento.

Computo para planear como se procesan y tratan los datos.

Almacenamiento y datos ya que debe planearse como se almacenarn los datos y su seguridad, adems de que menciona la planeacin para el manejo de datos y las vas de comunicacin.

Aplicacin, como ya se dijo, menciona algunos lineamientos sobre las aplicaciones y sus interfaces de comunicacin.



AAC-02 - Auditorias independientes

Deben realizarse auditoras y revisiones independientes al menos una vez al ao o en intervalos planeados para comprobar que la organizacin cumpla con las polticas y procedimientos establecidos.

Relevancia en la arquitectura. Fsica. Red Cmputo Almacenamiento. Aplicacin. Datos.

Se realizan auditorias a todo nivel, ya que existen procedimientos y polticas en cada una de las etapas que necesitan ser controladas y verificadas



Administracin de la continuidad del negocio y residencia (resistencia) operacional

(Business continuity management and operational resilence)

Este dominio nos habla sobre la creacin de planeas de continuidad de negocio as como de resistencia ante amenazas fsicas y lgicas.

Adems de los planes, menciona la revisin de los mismos, su mejora contina y la divulgacin haca los involucrados para su efectiva implementacin en caso de ser necesario.

Objetivos de controlBCR-02 - Prueba de la continuidad del negocio

Dicta que los planes de continuidad as como los planeas de repuesta ante incidentes de seguridad deben ser revisados y probados entre intervalos planeados o ante cambios organizacionales o ambientales significantes. Los planes deben incluir a los clientes afectados y otras relaciones de negocios que representen dependencia crtica en la cadena de proveedores.


Fsica: dado que los planes de continuidad residen mucho en la cuestin fsica, forma parte importante de la arquitectura en esta seccin.

De red: Debido a que los servicios en internet requieren de acceso a la red, se incluye esta parte de la arquitectura dado que es un elemento crtico en la cadena de proveedores siendo el servicio ms importante para el negocio.



BCR-06 - Locacin del equipo.

Este objetivo marca la importancia de la locacin del equipo de la empresa, ya que, para evitar riesgos, es importante mantener la localizacin de los equipos lejos de locaciones de alto riesgo y exista redundancia de equipos y datos a una distancia considerable.

Relevancia en la arquitectura. Fsica: Dado que habla de la localizacin de los equipos, forma parte de la seccin fsica dentro de la arquitectura.



Control del cambio y administracin de la configuracin

(Change control and configuration management)

Se habla sobre generar polticas, procesos y procedimientos de control en caso de adquisiciones, desarrollo, ventas o algn cambio en los activos de la empresa.

Objetivos de controlCCC-01 - Nuevo desarrollo o adquisicin

Se deben establecer polticas y procedimientos para asegurar que el desarrollo y/o adquisicin de nuevos datos, aplicaciones, infraestructura, componentes, sistemas, corporaciones o cualquier instalacin haya sido revisada y aprobada por el encargado de negocio de la empresa o algn otro rol similar.

Relevancia en la arquitectura: Fsica. Red Cmputo Almacenamiento. Aplicacin. Datos.

Dado que se habla de activos o cambios de cualquier seccin de la arquitectura, interviene en todas las reas.


Tiene relacin con COBIT

CCC-04 -Instalacin de software sin autorizacin.

Este objetivo indica que se deben implementar polticas, procesos de negocio y medidas tcnicas para restringir y evitar la instalacin de software no autorizado en equipos de la empresa, incluyendo los que estn en del cliente/usuario.


Redes: Se busca cuidar que no se use software no autorizado dentro de la red y afecte a otros equipos o se use de manera indebida.

Cmputo: Debido a que se habla de aplicaciones, entra dentro del rea de cmputo.

Almacenamiento: Al ser un programa que reside en los equipos, interviene con el almacenamiento.

Aplicacin: Se cuida que las aplicaciones existentes en los equipos solo sean las autorizadas.


Seguridad de los datos y la administracin del ciclo de vida de la informacin

(Data security and Information lifecycle management)

Se habla sobre el manejo y uso de los datos durante su interaccin con la empresa y hasta llegar al cliente, su trato en caso de mantenerse dentro de la empresa y los mtodos de seguridad que se necesita para todo el ciclo de vida de dichos datos.

Objetivos de controlDSI-03 - Transacciones de comercio electrnico

Los datos relacionados a una transaccin de comercio electrnico deben ser etiquetados apropiadamente y protegidos de actividad fraudulenta, modificacin o lectura por parte de alguien distinto a el o los destinatarios.

Relevancia en la arquitectura: Red: Se habla del tratamiento de los datos durante su transaccin, lo que involucra la infraestructura de red y su configuracin. Datos: La proteccin de los datos es lo que se busca principalmente con este objetivo dada su relevancia, vulnerabilidad y alto inters por parte de intrusos.



DSI-05 -Fuga de informacin

Indica que deben existir mecanismos de seguridad que impidan o prevengan la existencia de fugas de datos.


Cmputo: La seguridad debe ser aplicada inclusive en el tratamiento de los datos, ya que dentro de este proceso pueden existir vulnerabilidades.

Almacenamiento: Al ser la locacin de los datos es uno de los puntos de mayor importancia para la seguridad.

Aplicacin: Las aplicaciones pueden representar puntos de riesgo debido a fallas que permitan la filtracin de datos as como el acceso, por lo que se vuelve un punto importante dentro de este objetivo.

Datos: Es la materia prima de muchos servicios, y aunque no lo sea, los datos que manejan la mayora de ellos es de suma importancia por lo que deben cuidarse.



DSI-08 -Desecho (Borrado) Seguro

Se deben definir polticas y procedimientos para el borrado seguro y completo de los datos de todo medio de almacenamiento asegurandose de que los datos no podrn ser recuperados por ningn medio forense computacional.


Cmputo: Se busca desarrollar procesos de borrado que faciliten la tarea pero que tambin no sean reversibles.

Almacenamiento: Incumbe el almacenamiento ya que se debe buscar el borrado de los datos completamente pero sin afectar otros datos cercanos.

Aplicacin: Se desarrollan y/o utilizan herramientas para facilitar la tarea o para realizarla de manera ms metdica.

Datos: Los datos son el objetivo a eliminar.


Tiene relacin con HIPAA y COBIT

Seguridad del centro de datos (Datacenter security)

Describe las medidas de seguridad recomendadas para el acceso a los equipos que manejan y contienen la informacin, adems de reas crticas, ya sea fsico o a distancia.

Objetivos de controlDCS-04 - Autorizacin para instalaciones (zonas) externas.

Se debe solicitar y obtener autorizacin previa a cualquier movimiento de lugar o transferencia equipo, software o datos a instalaciones externas.

Relevancia en la arquitectura: Fsico: Involucra el manejo de equipo fsico y de ubicaciones. Almacenamiento: Dado que se busca cuidar son los equipos ya que contienen (almacenan) informacin importante. Datos: La proteccin de los datos es lo que se busca principalmente con este objetivo dada su relevancia, vulnerabilidad y alto inters por parte de intrusos.



DCS-05 -Equipo fuera de las instalaciones.

Se deben crear polticas y procesos para el uso y correcto desecho del equipo que se encuentra y usa fuera de las instalaciones.


Fsico: Se habla de locaciones y equipo (fsico).

Red: Dado que el acceso a los equipos o su uso puede ser por medio de la red o pueden hacer uso de la red, se deben preparar polticas sobre como se administrar dicho y como o cual debe ser el uso y como se debe realizar su desecho.

Cmputo: Dado que los equipos pueden procesar informacin o accesar a recursos de la empresa es necesario cuidar que programas se instalan en ellos y quien o como los usa.

Almacenamiento: Al ser equipo externo se genera un mayor riesgo y es de mayor importancia tomar en cuenta la seguridad en el y el uso que se les dar.

Aplicacin: Puede hacerse uso de herramientas de software para cuidar, proteger y monitorear el equipo a distancia.

Datos: Se debe cuidar a que datos tienen acceso los equipos y quien los utilizar dado que al ser equipo externo es en ocasiones ms vulnerable a ataques.



DCS-07 -Autorizacin de rea segura

El ingreso y salida del rea segura de las instalaciones debe ser limitado y monitoreado por mecanismos de control de acceso para asegurar que solo el personal autorizado ingrese a dicha rea.


Fsico: Se habla sobre el cuidado del rea segura, que es una locacin dentro de las instalaciones fsicas.

Red: Debido a que en el rea segura se encuentran los equipos que manejan el servicio y los equipos de conexin hacia la red, se debe planear la seguridad para cuidar ambos puntos crticos.

Cmputo: Dado que los equipos que prestan los servicios a los clientes se encuentran en el rea segura es importante protegerlos y evitar que se realicen cambios no autorizados o perdida de datos.

Almacenamiento: En el rea segura se encuentran los equipos de informacin ms sensible y deben ser cuidados.

Aplicacin: Puede hacerse uso de herramientas de software para cuidar, proteger y monitorear el rea segura.

Datos: Se debe cuidar quien tiene acceso a los datos.



Administracin de llaves y encriptacin (Encryption and key management)

Habla sobre la administracin y uso de llaves (comunmente contraseas) y el uso de encriptacin para la transmisin y almacenamiento de datos.

Objetivos de controlEKM-01 - Derecho (Autorizacin).

Todas las autorizaciones deben ser otorgadas a identidades de entidades involucradas (en lo que se le da acceso). Adems deben ser administradas por un sistema de administracin de identidades. Todo acceso, o llave debe tener dueo(s) identificables y deben existir polticas para el uso de accesos.


-

EKM-03 -Proteccin de datos sensibles

Habla sobre la creacin de polticas y procesos/procedimientos para el uso de protocolos de encriptacin para la proteccin de datos sensibles almacenados en los servidores y la transmisin de datos, adems de realizarlo cumpliendo normas legales, estatutos y obligaciones.


Red: Se debe planear la red para que soporte el trfico encriptado, adems de pensar en que etapa de la transmisin de los datos se aplicara la transmisin y que tipo de protocolo se utilizar.

Cmputo: La encriptacin afecta el modo en que se manejan y procesan los datos por lo que afecta la planeacin de esta rea de arquitectura.

Almacenamiento: Se debe planear como se almacenar la informacin y en caso de ser de tipo sensible se recomienda y en la mayora de los casos se tiene la obligacin legal de encriptar dichos datos.

Aplicacin: Puede hacerse uso de herramientas de software para la encriptacin y desencriptacin de los datos.

Datos: Son el valor a proteger y a los cuales se aplican estas normas de seguridad.


Tiene relacin con COBIT e HIPAA

Gobierno y gestin de riesgos (Governance and risk management)

Indica recomendaciones para incentivar y lograr el cumplimiento de las polticas de seguridad as como del manejo de riesgos, recomienda crear responsables que revisen el cumplimiento de las reglas, revisiones peridicas y actualizacin de las polticas y recomienda crear consecuencias (castigos) que los empleados conozcan para aplicar en caso de no acatar los planes de seguridad y manejo de riesgos.

Objetivos de controlGRM-03 - Supervisin de la gestin.

Los administradores son los encargados de mantener conciencia de y el cumplimiento de las polticas de seguridad, procedimientos y estndares que estn relacionados con su rea de responsabilidad.


-



GRM-07 -Aplicacin de las polticas

Una poltica formal de sanciones o disciplinaria debe ser establecida, para los empleados que hayan violado polticas de seguridad y/o procedimientos. Los empleados deben estar conscientes de la existencia de la poltica y las posibles acciones a tomar en caso de haber realizado alguna violacin.


-



GRM-08 -Autorizacin de rea segura

Los resultados de la gestin de riesgos debern contener o derivar en actualizaciones a las polticas de seguridad, procesos, estndares y controles para mantenerlos actuales y funcionales.


Fsico.

Red.

Cmputo.

Almacenamiento.

Aplicacin.

Datos.

La gestin de riesgos incluye todas las reas de la arquitectura dado que existen posibles riesgos en cada una de ellas que deben ser administrados y controlados.



Recursos humanos (Human resources)

Menciona recomendaciones sobre la administracin de colaboradores, como son precauciones en momento de contratacin, empleo de personal externo, entrenamiento, y conocimiento sobre las polticas de la empresa por parte de los empleados.

Objetivos de controlHRS-02 - Investigacin de antecedentes.

En conformidad con leyes y estatutos legales, adems de reglas ticas y limitantes contractuales, todos los empleados potenciales, contratistas y terceros deben ser investigados de acuerdo al tipo y cantidad de informacin a la cual tendrn acceso, las necesidades del negocio y la cantidad de riesgo aceptable.


Datos: Debido que se busca cuidar los datos, se debe investigar a la personas de acuerdo a la sensibilidad e importancia de los datos que tendrn bajo su cargo.



HRS-04 -Terminacin de empleo

Indica que los roles y responsabilidades para realizar una terminacin o cambio de empleo deben ser asignados, documentados y comunicados.


-



HRS-12 -Espacio de trabajo

Indica que deben ser establecidas polticas y procedimientos para implementar que los espacios de trabajo no deben tener informacin sensible, documentos importantes o informacin de los clientes a plena vista o en lugares de fcil acceso, adems de asegurarse de que las sesiones de usuario en los equipos sean desactivadas o cerradas despus de un tiempo de inactividad.


Fsico: Se habla del rea de trabajo de los empleados.

Datos: Se busca cuidar los datos creando polticas que eviten el acceso no deseado a los mismos.


Tiene relacin con -

Gestin del acceso y la identidad (identity and access management)

Brinda recomendaciones sobre el manejo de identidades (cuentas de acceso o accesos) en lugares importantes, sensibles y de riesgo en la organizacin adems de controles de acceso, polticas y procedimientos para renovacin recuperacin y asignacin de accesos.

Objetivos de controlIAM-03 - Diagnostico/configuracin de puntos de acceso.

El acceso a los usuarios hacia puertos de diagnostico o configuracin deben ser limitados a individuos autorizados y aplicaciones (autorizadas).


Fsico: Se debe restringir el acceso a dichos puertos dado que su mal uso puede conllevar varios problemas.

Aplicacin: Solo ciertas aplicaciones tendrn acceso y permisos de entrada a los puertos, son herramientas que auxilian al encargado con sus tareas.



IAM-04 -Polticas y procedimientos

Indica que se deben establecer polticas y procedimientos para almacenar y administrar la informacin de identidad de cada persona que tiene acceso a la infraestructura de TI y para establecer su nivel de acceso. Tambin pueden crearse polticas para el acceso o uso de recursos de red de acuerdo a identidades de usuario.


-

Aplica para modelos: -

Tiene relacin con -

IAM-13 -Acceso a programas de utilidad

Menciona que cualquier programa capaz de anular cualquier sistema, objeto, red, entorno virtual y controles de aplicacin debe ser restringido.


Red: Es importante cuidar la integridad de la red dado que es una herramienta indispensable para la empresa.

Cmputo: Los sistemas que mantienen a la empresa, ya sea administrativamente u operativamente deben mantenerse funcionando para el correcto desempeo de la organizacin.

Almacenamiento: Los datos se deben proteger as como entregar de acuerdo al servicio por lo que toda la organizacin debe funcionar en perfectas condiciones.

Aplicacin: El acceso de aplicaciones terceras debe ser restringido as como cuidar que las propias y permitidas deben funcionar correctamente.

Datos: Se busca que los datos estn protegidos pero que tambin estn disponibles.



Infraestructura y seguridad de virtualizacin (Infrastructure and virtualization security)

Menciona algunas recomendaciones sobre la administracin de entornos virtuales, ya se internos, externos y de servicio para el usuario, ya sea como cliente de una aplicacin o con acceso al sistema completo. Dentro de la administracin tambien da relevancia la configuracin de los equipos y su cuidado durante su ciclo de vida completo.

Objetivos de control

IVS-03 - Sincronizacin de reloj.

Indica que se debe acordar una fuente de reloj confiable externa a la organizacin que usarn los sistemas y en especial los encargados de procesamiento e informacin sensible para facilitar el rastreo de actividades y la reconstruccin de lineas de tiempo.


Red: Debido a que la fuente de reloj debe ser externa y confiable, tambin lo debe ser el acceso a esa fuente de reloj.

Cmputo: El reloj afecta algunas tareas programadas y la fiabilidad de los registros.

Aplicacin: Algunas aplicaciones dependen del reloj, por lo cual es importante la correcta sincronizacin.



IVS-08 -Ambientes de produccin y no produccin.

Recuerda que el ambiente de produccin debe permanecer separado del ambiente de no produccin para evitar el acceso indeseado, cambios y perdida de los activos (informacin, datos y planes), de la empresa.


Fsico.

Red.

Cmputo.

Almacenamiento.

Aplicacin.

Datos.

Aplica en todas las reas de la arquitectura debido a que ambos ambientes poseen todas o la mayora de las reas mencionadas.

Aplica para modelos: SaaS, PaaS e IaaS.


IVS-10 -Espacio de trabajo

Indica que se deben utilizar canales de comunicacin seguros y encriptados en el caso de migracin de servidores fsicos, aplicaciones o datos a servidores virtualizados y de ser posible utilizar una red distinta a la red de produccin.


-


Tiene relacin con -

Interoperatibilidad/Interoperabilidad y portabilidad (Interoperability and portability)

Habla sobre lo que se recomienda a un prestador de servicios para lograr una potabilidad mayor, adems de una interoperabilidad dado que busca que el proveedor brinde al usuario acceso a los datos de una manera segura y confiable.

Objetivos de controlIPY-01 - IPAs (API)s.

Recomienda que el proveedor utilice APIs abiertas y publicadas para apuntar hacia el soporte de interoperabilidad entre componentes ms amplio posible y para facilitar la migracin de aplicaciones.


-


Tiene relacin con -

IPY-04 -Protocolos de red estandarizados.

El proveedor debe utilizar protocolos estandarizados de red seguros para la importacin y exportacin de datos y la administracin del servicio, adems de eso se debe proveer al usuario de un documento que le permita conocer los estndares relevantes de potabilidad que intervienen.


-

Aplica para modelos: -.

Tiene relacin con -.

Seguridad mvil (Mobile security)

Menciona recomendaciones como son la creacin de polticas sobre el uso de los dispositivos mviles en la empresa, seguridad en dichos dispositivos y la regulacin de aplicaciones permitidas para accesar a los recursos de la empresa.

Objetivos de controlMOS-02 - Tiendas de aplicaciones.

La empresa debe tener documentadas y comunicar cuales son las tiendas de aplicaciones que han sido aceptadas para permitir el acceso de los dispositivos o para contener informacin de la empresa o programas en el dispositivo.


-



MOS-07 -Compatibilidad.

Indica que la empresa debe tener un proceso de validacin de aplicaciones documentado para encontrar problemas de compatibilidad en cada dispositivo, sistema operativo, y aplicacin.


-


Tiene relacin con -

MOS-20 -Usuarios

La poltica Trae tu propio dispositivo debe aclarar a que sistemas y servidores tienen acceso los dispositivos que se encuentran dentro de este programa.


-


Tiene relacin con -

Gestin de incidentes de seguridad, Descubrimiento electrnico y actividades forenses en la nube

(Security incident management, e-Discovery and Cloud forensics)

Se presentan recomendaciones sobre la gestin de incidentes de seguridad, previsin de actividades para la respuesta ante incidentes y se mencionan en caso de ser necesario, actividades de recabacin de pruebas y actividades forense ms que nada para cuestiones legales para los que se recomienda existan polticas y procesos.

Objetivos de controlSEF-02 - Gestin de incidentes.

Indica que se deben establecer polticas y procedimientos, adems medios tcnicos para valorar y gestionar eventos relacionados con la seguridad para lograr una respuesta en el tiempo necesario.


Fsico.

Red.

Cmputo.

Almacenamiento.

Aplicacin.

Datos:

Aplica a todos dado que pueden existir incidentes de seguridad en cada uno de estas reas o pudieran verse afectadas por l.



SEF-05 -Mtricas de respuesta de incidentes.

Menciona que se deben implementar mecanismos para monitorear y cuantificar los tipos, volmenes y costos de incidentes en seguridad de la informacin.


Fsico.

Red.

Cmputo.

Almacenamiento.

Aplicacin.

Datos.

Aplica a todas dado que pueden existir incidentes de seguridad en cada uno de estas reas y pudieran afectar la seguridad de la informacin.



Gestin de la cadena de proveedores, transparencia y responsabilidad/rendicin de cuentas.

(Supply chain management, transparency and accountability)

Se debe conocer y gestionar los proveedores as como se debe dar a conocer al cliente las responsabilidades de cada uno en la relacin.

Se deben conocer todos los proveedores y conocer las garantas y tiempos de respuesta de servicio y en caso de fallas para integrarlo como posible tiempo de respuesta al ser uno proveedor tambien.

Objetivos de controlSTA-02 - Reporte de incidentes.

Dicta que el proveedor debe brindar informacin sobre cualquier incidente de seguridad a todos los clientes y proveedores afectados a travs de medios electronicos.


-



STA-04 -Valoraciones internas del proveedor.

El proveedor debe realizar valoraciones internas anuales sobre la efectividad y funcionamiento de sus polticas, procesos/procedimientos, mtricas y medidas.


-


Tiene relacin con -

STA-06 -Revisiones de gobierno de la cadena de suministro

Los proveedores deben conocer/revisar la gestin de riesgos y los procesos de gobierno de sus socios para asegurarse que sean consistentes y alineados a lo planeado, esto ayuda con la gestin de riesgos heredados desde otros miembros de la cadena de suministro .


-


Tiene relacin con -

Gestin de amenazas y vulnerabilidad (Thread and vulnerability management)

Se brindan recomendaciones a tomar en cuenta con relacin a la seguridad de la infraestructura de TI, de red y equipos que hacen uso de dicha infraestructura, ya sean parte de la propiedad de la organizacin o no.

Se plantean algunos consejos para la deteccin de vulnerabilidad, ejecucin de software indeseado y gestin de equipos y su mantenimiento.

Objetivos de controlTVM-01 - Gestin de incidentes.

Se deben crear polticas, procesos y utilizar herramientas para evitar la ejecucin de software malintencionado en equipo propiedad de la empresa o en equipos del usuario administrados por la organizacin, la infraestructura de TI, la red o los componentes del sistema.


Red: Se debe proteger la red evitando posibles infecciones.

Cmputo: Se evita la ejecucin de programas indeseados.

Almacenamiento: Se protegen equipos para que no exista el software malintencionado en ellos.

Aplicacin: Se debe de controlar las aplicaciones que se instalan y/o ejecutan en los equipos, adems que se pueden emplear herramientas como antivirus y dems.



TVM-03 -Cdigo mvil.

Recomienda que se creen polticas y procedimientos para prevenir la ejecucin de cdigo mvil el cual se transmite entre dispositivos por medio de redes de confianza o desconocidas y se ejecuta en el equipo local sin requerir una instalacin o ejecucin explicita del equipo que lo recibe.


Red: Se debe cuidar el acceso de dichas aplicaciones dado que son el medio ms buscado para la divulgacin este tipo de ataques.

Cmputo: Los equipos infectados pueden causar daos a la empresa o a el mismo, por lo cual es mejor evitar su ejecucin.

Aplicacin: Se debe evitar la instalacin de aplicaciones maliciosas para proteger los equipos y la informacin de la organizacin y sus clientes. Tambin se puede hacer uso de aplicaciones de seguridad para facilitar la tarea de supervisin.

Datos: Los datos se vuelven muy vulnerables en estos ataques, no solo de la organizacin sino tambin los de los clientes.


Tiene relacin con -

CCM CSA

Documents

Transcript of CCM CSA