CERTIFICACIÓN C-TPAT
Criterios mínimos de Ciberseguridad
CAPACITACIÓN
Capacitación y entrenamiento al personal de su empresa en criterios de ciberseguridad.
GUÍA DE IMPLEMENTACIÓN
Nuestros asesores te ayudarán a prepararte para las visitas de CBP.
Capacitación, entrenamiento y concientización en C-TPAT
4.1 Los miembros de CTPAT deben tener políticas y/o procedimientos completos de seguridad cibernética por escrito para proteger los sistemas de tecnología de la información (TI). La política de TI escrita, como mínimo, debe cubrir todos los criterios individuales de ciberseguridad.
4.2 Para defender los sistemas de tecnología de la información (TI) contra amenazas comunes de ciberseguridad, una empresa debe instalar suficiente protección de software/hardware contra malware (virus, spyware, gusanos, troyanos, etc.) e intrusiones internas/externas (cortafuegos) en los sistemas informáticos de los miembros.
4.3 Los miembros de CTPAT que usan sistemas de red deben probar periódicamente la seguridad de su infraestructura de TI. Si se encuentran vulnerabilidades, se deben implementar acciones correctivas tan pronto como sea posible.
4.4 Las políticas de seguridad cibernética deben abordar cómo un miembro comparte información sobre amenazas de seguridad cibernética con el gobierno y otros socios comerciales.
4.5 Se sugiere un sistema para identificar el acceso no autorizado a sistemas/datos de TI o el abuso de políticas y procedimientos, incluido el acceso indebido a sistemas internos o sitios web externos y la manipulación o alteración de datos comerciales por parte de empleados o contratistas.
4.6 Las políticas y procedimientos de seguridad cibernética deben revisarse anualmente, o con mayor frecuencia, según lo dicten el riesgo o las circunstancias.
4.7 El acceso de los usuarios debe estar restringido según la descripción del trabajo o las tareas asignadas.
- El acceso autorizado debe revisarse periódicamente para garantizar que el acceso a los sistemas confidenciales se base en los requisitos del trabajo.
- El acceso a la computadora y la red debe eliminarse al momento de la separación del empleado.
4.8 Las personas con acceso a los sistemas de tecnología de la información (TI) deben usar cuentas asignadas individualmente.
- El acceso a los sistemas de TI debe protegerse contra la infiltración mediante el uso de contraseñas seguras, frases de contraseña u otras formas de autenticación, y el acceso de los usuarios a los sistemas de TI debe estar protegido.
- Las contraseñas y/o frases de contraseña deben cambiarse lo antes posible si hay evidencia de compromiso o si existe una sospecha razonable de compromiso.
4.9 Los miembros que permiten a sus usuarios conectarse de forma remota a una red deben emplear tecnologías seguras, como redes privadas virtuales (VPN), para permitir que los empleados accedan a la intranet de la empresa de forma segura cuando se encuentran fuera de la oficina.
- Los miembros también deben tener procedimientos diseñados para evitar el acceso remoto de usuarios no autorizados.