Controles de riesgo TIC |
|
Política de gestión del riesgo de TIC |
Formalización y aprobación de política. Sistema de gestión de riesgos TIC |
Marco de gestión y supervisión de la organización |
Roles, responsabilidades, recursos y auditorías internas. |
Cobertura y resultados de auditoría interna |
Ejecución periódica de auditorías y seguimiento de resultados |
Disponibilidad y continuidad de las TIC |
Identificación de procesos y sistemas críticos. Plan de continuidad del negocio. Procedimiento de gestión de incidentes. Gestión de la capacidad |
Seguridad de las TIC |
Sistema de gestión de seguridad. Gestión de vulnerabilidades técnicas. Inventario de activos y servicios internos y externos. Concienciación y formación. Control de acceso. Controles de red. Auditorías independientes de seguridad |
Gestión del Cambio |
Procesos documentados. Segregación de tareas. Entornos de pruebas realistas. Gestión del ciclo de vida de los sistemas. Control de acceso al código fuente. Auditorías de seguridad de sistemas y aplicaciones. Prevención de fuga de información |
Integridad de los datos |
Funciones y responsabilidades. Modelo de datos. Autorización de uso de aplicaciones. Gestión de excepciones de integridad |
Externalización de las TIC |
Estrategia. Evaluación de impacto. Seguimiento del riesgo y del nivel de servicio. Recursos de gestión del servicio |