¿Elaboras una normativa específica para el uso de dispositivos extraíbles (dispositivos autorizados, condiciones de uso, cómo accede a la información, configuraciones de seguridad, etc)?
¿Involucras a los usuarios en la protección de estos dispositivos y los datos que contienen?
¿Implementas alternativas para evitar la necesidad de utilizar dispositivos de almacenamiento externo (repositorios comunes, clouds autorizados, etc)
¿Mantienes un registro actualizado con usuarios, dispositivos y privilegios de acceso?
¿Aplicas medidas para el almacenamiento seguro de la información en el dispositivo extraíble (cifrado de datos, autentificación, cambio periódico de contraseñas, etc)?
¿Aplicas medidas para el almacenamiento seguro de la información de los dispositivos a los que se conecta (autentificación, bloque de dispositivos no autorizado, deshabilitar puertos USB, deshabilitar autoarranque desde USB, etc)?
¿Aplicas medidas para el almacenamiento seguro de la información en los documentos que se transfieren (control de accesos, cifrado, etc.)?
¿Conoces y aceptas la normativa corporativa vigente para el uso de dispositivos extraíbles en actividades de la empresa?
Borrado seguro y gestión de soportes
¿Realizas un seguimiento de los dispositivos que están en funcionamiento, las personas o departamentos responsables, la información contenida en ellos y su clasificación en función del grado de criticidad para la empresa?
¿Supervisas los dispositivos que almacenan información corporativa, en particular aquellos que se utilizan para realizar copias de seguridad, documentando cualquier operación realizada sobre los mismos: mantenimiento, reparación, sustitución, etc.?
¿Utilizas el proceso de triturado para destruir la información de los soportes no electrónicos (papel y soportes magnéticos)
¿Optas por el proceso de sobrescritura cuando quieres reutilizar un soporte todavía en buen estado?
¿Usas el proceso de des-magnetización o de destrucción física antes de desechar el soporte de almacenamiento?
¿Eliminas la información en teléfonos móviles, impresoras, G.P.S., etc. (memoria y tarjetas) antes de deshacernos de ellos?
¿Eliges una herramienta de borrado que permita la obtención de un documento que identifique claramente que el proceso de borrado se ha realizado, detallando cuándo y cómo ha sido realizado?
¿Utilizas un servicio de destrucción certificada para garantizar la destrucción de datos confidenciales opera cumplir un acuerdo con otra empresa o con la R.G.P.D. / L.O.P.D. ?
Antimalware
¿Analizas en detalle qué tipo de solución anitmalware es la más apropiada para tu empresa? ¿La contratas o la instalas?
¿Configuras correctamente todas las funcionalidades de tus herramientas de control malware?
¿Cada cuánto tiempo actualizas las herramientas de detección y control de malware que tienes instalada?
¿Elaboras procedimientos detallados de actuación antes infecciones para malware?
¿Sigues directrices básicas para prevenir las infecciones por malware?
Auditoría de sistemas
¿Tienes identificados los activos más relevantes que deben ser auditados?
¿Enfocas el proceso de auditoría desde un punto de vista de mejora continua o de consecución de niveles de madurez?
¿Realizas auditorías específicas para verificar el cumplimento de los requerimientos legales de la R.G.P.D. / L.O.P.D.?
¿Realizas auditorías forenses para determinar lo ocurrido tras un incidente de seguridad?
¿Has definido/revisado procedimientos detallados para auditar la seguridad de cada activo clave de tus sistemas de información?
¿Realizas auditorías de tus sistemas de información? ¿Cada cuánto tiempo?
¿Analizas los resultados de la auditoría en busca de debilidades a corregir?
