CERTIFICACIÓN ANEXO 30
Certificación de Controles volumétricos
El Anexo 30 es una normativa específica emitida por el Servicio de Administración Tributaria (SAT) en México. Está dirigido a empresas que operan en el país y establece los requisitos y obligaciones en materia de sistemas de seguridad informática para la protección y resguardo de la información fiscal.
En términos de seguridad informática, el Anexo 30 tiene como objetivo garantizar la integridad, disponibilidad y confidencialidad de la información fiscal de los contribuyentes.
En resumen, el Anexo 30 establece una serie de normas y obligaciones que buscan garantizar la protección de la información fiscal de los contribuyentes en México, asegurando que las empresas implementen y mantengan sistemas de seguridad informática robustos y confiables. Es fundamental para cualquier empresa que opere en México y maneje información fiscal estar al tanto de estos requisitos y asegurarse de cumplirlos adecuadamente.
1.- Requerimientos de seguridad.
l. El programa informático para llevar controles volumétricos debe contar con documentación técnica, que debe incluir:
a) Arquitectura.
b) Flujo de Datos.
c) Modelo y Diccionario de Datos.
d) Diagrama de implementación.
e) Manuales de usuarios.
f) Roles de usuarios.
– Estrategia: Crear un cerco robusto alrededor de nuestros activos digitales.
Explicación:
- Firewall: Es como tener un guardia de seguridad en la entrada de nuestra empresa digital. Filtra y bloquea amenazas externas, permitiendo que sólo el tráfico legítimo entre y salga.
- Antivirus: Actúa como un sistema de alarma avanzado dentro de nuestros dispositivos, detectando y neutralizando amenazas en tiempo real.
2.- Documentación del programa informático.
– Estrategia: Realizar chequeos regulares para asegurarnos de que todo marcha bien.
Explicación:
- Wazuh SIEM: Es como un inspector que regularmente verifica el estado de seguridad de nuestros sistemas, detectando posibles vulnerabilidades y asegurándose de que las defensas estén en su lugar.
3.- Control de acceso.
II. Se deberá contar con procedimientos formales para restringir y controlar la asignación y uso de los privilegios de acceso al programa informático.
– Estrategia: Garantizar que sólo las personas adecuadas accedan a nuestros sistemas.
Explicación:
- Con un Firewall es posible asignar de una manera muy detallada los privilegios o accesos.
– Microsoft Active Directory: Es como un sistema de credenciales digital. Define quién es quién en nuestra organización y qué permisos tiene cada uno, garantizando que sólo el personal autorizado tenga acceso a recursos específicos.
4.- Revisión periódica.
lll. El programa informático debe contar con control de acceso, de acuerdo a las políticas y procedimientos de control de accesos definidas por el contribuyente.
– Estrategia: Salvaguardar y respaldar nuestra documentación esencial.
Explicación:
- FortiAnalyzer: Es como tener una caja fuerte digital. Asegura todos los logs de conexiones de red que puedan ser almacenados por años.
5.- Procedimientos formales.
IV. Se debe realizar periódicamente (por lo menos cada 6 meses) una revisión y depuración de los usuarios y privilegios de acceso existentes en el programa informático y activos tecnológicos asociados, para corroborar que sigan vigentes.
– Estrategia: Establecer normas claras sobre quién puede hacer qué.
Explicación:
- Fortinet FortiAuthenticator: Es nuestro sistema de verificación de identidad. Asegura que quienes intentan acceder a nuestros sistemas sean realmente quienes dicen ser.
6.- Procedimientos formales de contraseña.
V. Establecer y aplicar procedimientos formales de generación, asignación y gestión de contraseñas para el acceso al programa informático, que incluyan como mínimo:
– Estrategia: Establecer políticas robustas de contraseñas para proteger el acceso.
Explicación:
- Microsoft Active Directory: Además de gestionar usuarios, nos permite establecer reglas de contraseñas, garantizando que estas sean lo suficientemente complejas para resistir intentos de hacking.
7.- Expiración de sesiones.
V.I El programa informático debe contar con sesiones que expiren después de 10 minutos como máximo de inactividad.
– Estrategia: Evitar accesos no autorizados por inactividad.
Explicación:
- Mediante una GPO Microsoft Active Directory es Similar a un sistema que cierra automáticamente las puertas después de un tiempo, asegurando que, si alguien olvida cerrar sesión, el sistema lo haga por él.
8.- Bitácoras.
– Estrategia: Registrar toda actividad relevante para revisión y auditoría.
Explicación:
– Fortinet FortiAnalyzer: Actúa como una cámara de seguridad digital, registrando toda la actividad en nuestros sistemas. Si algo sale mal, sabremos qué, cuándo y cómo sucedió.
9.- Proceso de control de cambios.
– Estrategia: Asegurar que cualquier cambio en los sistemas sea rastreable y reversible.
Explicación:
– Veeam Backup & Replication: Antes de cualquier cambio, crea una copia de seguridad. Si el cambio provoca problemas, podemos “retroceder en el tiempo” y restaurar la versión anterior.
10.- Ambientes separados.
– Estrategia: Segregación de ambientes para evitar interferencias y riesgos.
Explicación:
– Con un Firewall y Virtualización: Se pueden crear “habitaciones” digitales separadas para desarrollo, pruebas y producción, garantizando que no interfieran entre sí y protegiendo el ambiente de producción.
11.- Registro documental.
– Estrategia: Asegurar la titularidad y derechos sobre nuestros sistemas.
Explicación:
– Con Sophos XDR y Sophos EMAIL con los módulos de DLP puedes registrar accesos a todos los documentos que prueban nuestra, como una bitácora que guarda nuestros títulos de propiedad.
12.- MFA Identificador único.
– Estrategia: Verificar la autenticidad e integridad de nuestros sistemas.
Explicación:
– Fortinet FortiToken: Funciona como una firma digital, asegurando que el software que usamos es el original y no ha sido alterado.
13.- Línea base de seguridad.
– Estrategia: Establecer un estándar mínimo de seguridad en todos los dispositivos.
Explicación:
– Utilizando un Framework de ciberseguridad como CIS Controls nos aseguramos de que todos nuestros dispositivos, infraestructura, equipos y usuarios cumplan con un nivel básico de seguridad.
14.- Cifrado.
– Estrategia: Proteger la información, incluso si cae en manos equivocadas. El Crifrado Convierte nuestra información en un lenguaje secreto que sólo nosotros podemos entender, evitando que, en caso de ser interceptada, pueda ser leída.
Explicación:
– Sophos Encryption: Refuerza el cifrado, asegurando que sólo los autorizados puedan descifrar y acceder a la información.
15.- Respaldos.
– Estrategia: Tener copias de seguridad de toda nuestra información vital.
Explicación:
– Veeam Backup & Replication: Es como tener un seguro contra desastres. Si algo sucede, podemos restaurar nuestra información y volver a operar rápidamente.
