ANEXO II Medidas de seguridad\4 Marco operacional [op]4 Marco operacional [op]\4.3 Explotación [op.exp]\4.3.2 Configuración de seguridad [op.exp.2]

4.3.2 Configuración de seguridad [op.exp.2]

dimensiones

todas

categoría

básica

media

alta

 

aplica

=

=

 

Se configurarán los equipos previamente a su entrada en operación, de forma que:

a)      Se retiren cuentas y contraseñas estándar.

b)      Se aplicará la regla de "mínima funcionalidad":

1.      El sistema debe proporcionar la funcionalidad requerida para que la organización alcance sus objetivos y ninguna otra funcionalidad,

2.      No proporcionará funciones gratuitas, ni de operación, ni de administración, ni de auditoría, reduciendo de esta forma su perímetro al mínimo imprescindible.

3.      Se eliminará o desactivará mediante el control de la configuración, aquellas funciones que no sean de interés, no sean necesarias, e incluso, aquellas que sean inadecuadas al fin que se persigue.

c)      Se aplicará la regla de "seguridad por defecto":

1.      Las medidas de seguridad serán respetuosas con el usuario y protegerán a éste, salvo que se exponga conscientemente a un riesgo.

2.      Para reducir la seguridad, el usuario tiene que realizar acciones conscientes.

3.      El uso natural, en los casos que el usuario no ha consultado el manual, será  un uso seguro.

 

principio