Análisis de brecha

7. ANÁLISIS DE BRECHA

El diagnóstico se realiza por medio de listas de chequeo con el conocimiento de

las entrevistas realizadas al administrador del Área y las visitas realizadas a la
organización, para lo cual se diseña un formato con preguntas que permitan
verificar el estado actual de los controles que aplican con relación al estándar
ISO/IEC 27002:2005. Esto se complementa con revisión documental de los
procedimientos, reglamento y políticas de uso, manual de funciones y
competencias laborales, formatos, hoja de vida de los servidores y verificación
visual. Una vez relevada la información, se procede a analizar los controles y
asignar un valor de acuerdo con su nivel de madurez, utilizando para este
propósito la escala definida por el estándar COBIT.

La siguiente tabla muestra un fragmento del formato que se debe diseñar para la
verificación de controles existentes para cada uno de los activos informáticos de la
organización.

7.1 Listas de chequeo o verificación

Se puede estructurar listas de verificación o chequeo basadas en el Estándar

EIA/TIA 568a, TIA 942 para Centros de Datos y el RETIE (Reglamento Técnico de
Instalaciones Eléctricas) utilizadas para identificar las vulnerabilidades de los
activos de información ubicados en las instalaciones del Área informática.

Lista de verificación para la sala de servidores. En la tabla se muestran los

resultados de la lista de chequeo aplicada a la sala de servidores:
 SALA DE SERVIDORES
ELEMENTO CON LOS QUE DEBE CONTAR SI NO
Altura de 2,50 metros en el cuarto de servidores se
cumple. X
Ubicado lejos de fuentes electromagnéticas (Antenas,
máquinas eléctricas, radar, iluminación, microondas,
aparatos electrónicos). X
Esta cerca de Fuentes de inundación. X
Tamaño de las puertas (sencilla 0,91 m, doble 2 m). X
Las puertas tienen retardante para el fuego. X
Iluminación adecuada. X
Polvo en el medio ambiente. X
Cuenta con un equipo contra incendios al entrar a la
sala. X
La sala es resistente al fuego. X
Normas comunes de conservación y limpieza. X
Se utilizan paneles de obturación para los cables. X
Existe cableado bajo el piso elevado que no se utiliza
y puede eliminarse. X
Cuenta con aisladores (Ejemplo espuma) los racks. X
Cuenta con un sistema de marquillas en los equipo
dentro del cuarto. X
Equipos de respaldo para todos los elementos que
interviene en el funcionamiento. X
Accesibilidad para el suministro de equipos. X
SEGURIDAD EN EL AREA SI NO
Al Ingresar a la sala de servidores tiene un sistema de
seguridad que le permita saber quién ingreso. X
Cuenta con un sistema de seguridad de cámara de
vigilancia. X
Tiene sistema de alarma contra incendios. X
Tienen el sistema de alarmas de control de
temperatura y humedad. X
AIRE ACONDICIONADO SI NO
Ventiladores en la parte superior de los racks de los
servidores. X
Existen fugas en el piso elevado o en el sistema de
suministro de aire. X
Los puntos de referencia de los aires acondicionados
son apropiados. X
Climatización para la sala de servidores y UPS. X
Controles de temperatura. X
Cuenta con deshumidificación y ventilación. X
La configuración del sistema de retorno de aire es
apropiada. X
Tuberías de suministro y retorno invertidas. X
Válvulas defectuosas. X
Hay sistemas de enfriamiento que no fueron puestos
en marcha. X
 Para los cálculos totales, se determina el promedio de valores asignados a cada
control para obtener la calificación del objetivo de control al cual pertenecen, los
cuales a su vez se promedian para calcular el nivel de madurez de cada dominio.

En la siguiente tabla se muestra un ejemplo de los resultados:

% NM % NM
No. Nivel de
ID Objetivo de Dominio y
Ctrls Madurez
Control Ctrls
Política de seguridad de la
2
información
A5 Dirigir y dar soporte a la gestión de la 20
seguridad de la información de acuerdo
con los requisitos institucionales, leyes y
reglamentos pertinentes.
A.5.1.1 Documento de
política de seguridad de 1 Inicial 20
información Política de seguridad de
20
A.5.1.2 Revisión de la la información
política de seguridad de la 1 Inicial 20
información
Seguridad física y medioambiental 13
Prevenir el acceso físico no autorizado,
A9 50.00
daño e interferencia en las instalaciones
y activos de información.
A.9.1.1 Perímetro de
1 Repetible 40
seguridad física.
A.9.1.2 Controles físicos de
1 Definido 60
entrada.
A.9.1.3 Seguridad de
oficinas, despachos y 1 Repetible 40
recursos. Áreas seguras 40
A.9.1.4 Protección contra
amenazas externas y del 1 Inicial 20
entorno.
A.9.1.5 El trabajo en áreas
1 Repetible 40
seguras.
A.9.1.6 Áreas aisladas de
1 No Aplica N/A
carga y descarga.
A.9.2.1 Instalación y
Seguridad del equipo 60 1 Repetible 40
protección de equipos.
A.9.2.2 Suministro eléctrico. 1 Gestionado 80
A.9.2.3 Seguridad del
1 Repetible 40
cableado.
A.9.2.4 Mantenimiento de
1 Definido 60
equipos.
A.9.2.5 Seguridad de
equipos fuera de los locales 1 Definido 60
de la Organización.
A.9.2.6 Seguridad en la
reutilización o eliminación 1 Gestionado 80
de equipos.
A.9.2.7 Traslado de activos. 1 Definido 60
Control de acceso (lógico) 8
A11 Controlar el acceso lógico a los activos 29.17
de información
A.11.1.1 Política de control
Requerimientos 0 1 Inexistente 0
de accesos.
A.11.2.1 Registro de
1 Inexistente 0
usuario.
A.11.2.2 Gestión de
1 Definido 60
privilegios.
Gestión de acceso de
A.11.2.3 Gestión de 25
usuarios 1 Repetible 40
contraseñas de usuario.
A.11.2.4 Revisión de los
derechos de acceso de los 1 Inexistente 0
usuarios.
A.11.3.1 Uso de
1 Inexistente 0
contraseña.
A.11.3.2 Equipo informático
Responsabilidades de 1 Definido 60
de usuario desatendido. 20
usuarios
A.11.3.3 Políticas para
escritorios y monitores sin 1 Inexistente 0
información.
Gestión de incidentes de seguridad
5
de información
A13 Asegurar que los eventos y debilidades 36.67
de seguridad de información sean
comunicados de manera tal que,
permita una acción correctiva oportuna.
A.13.1.1 Comunicación de Comunicación de
1 Definido 60
eventos en seguridad. eventos y debilidades
60
A.13.1.2 Comunicación de en la seguridad de la
1 Definido 60
debilidades en seguridad. información
A.13.2.1 Identificación de
responsabilidades y 1 Inexistente 0
procedimientos. Gestión de incidentes y
A.13.2.2 Evaluación de mejoras en la seguridad 13.33
1 Inicial 20
incidentes en seguridad. de información
A.13.2.3 Recogida de
1 Inicial 20
pruebas.
Tabla X. Formato Análisis de Brecha
Como resultado del promedio de los valores obtenidos para los 11 dominios, se
concluye que frente a los controles de la norma, el Área de Informática y
Telecomunicaciones se encuentra en un nivel de madurez Repetible, lo que
significa que se han adelantado actividades para la implementación de controles y
buenas prácticas, que en su mayoría siguen un patrón regular, pero que no en
todos los casos se han formalizado, ni existe comunicación formal y por lo tanto su
ejecución depende de cada persona. Asimismo, no es posible detectar
adecuadamente las desviaciones de la aplicación de los mismos ni gestionar su
eficacia.

Desde esta perspectiva, es necesario formalizar aquellos procedimientos que lo

requieran, definir los faltantes, implementar los controles tecnológicos que se
identifiquen como necesarios y establecer mecanismos que permitan llevar a cabo
actividades de gestión sistemáticas enfocadas a la mejora de la seguridad de la
información del Área Informática.

Este proceso de diagnóstico junto con el análisis y evaluación de riesgos

realizados anteriormente, hace posible la definición de nuevos controles para cada
uno de los activos de información que lo requieran según su nivel de riesgo.

Como se ha trabajado con el servidor 1, a continuación se indican los controles

necesarios para este activo y se determina el riesgo residual esperado después de
la implementación de dichos controles:
Activo TI Servidor 1 Tipo Hardware / equipos
Administrador Administrador de Sistemas Degradación 100%
Impacto 8 Desastroso Ubicación Área Informática

Riesgo Residual
Riesgo Actual Esperado
Exposición /
Tipo ID Amenaza 3.91 Intolerable Control recomendado 2.61 Tolerable
Vulnerabilidad
Frecuencia Frecuencia
R NR R' NR'
(F) (F')

9.1.4 - Se debería designar y

No existe sistema de aplicar medidas de protección
alarma contra incendios. Muy física contra incendio,
N1 Fuego 2 16 4 Extremo Raro 1 3 2 Tolerable
Un solo extintor de baja inundación, terremoto, explosión,
Desastres naturales

solkaflam (Clase C). malestar civil y otras formas de

desastre natural o humano.

9.1.4 - Se debería designar y

aplicar medidas de protección
física contra incendio,
N2 Daños por agua Raro 1 8 3 Intolerable Raro 1 3 2 Tolerable
inundación, terremoto, explosión,
malestar civil y otras formas de
desastre natural o humano.

9.1.4 - Se debería designar y

El área de Informática
se encuentra en zona
Muy
N* Desastres naturales media de riesgo de
baja
desastre natural de
origen volcánico.
aplicar medidas de protección
física contra incendio,
2 16 4 Extremo Raro 1 3 2 Tolerable
inundación, terremoto, explosión,
malestar civil y otras formas de
desastre natural o humano.
 9.1.4 - Se debería designar y
aplicar medidas de protección
física contra incendio,
inundación, terremoto, explosión,
malestar civil y otras formas de
desastre natural o humano.
De origen industrial

9.2.3 - Se debería proteger el

No existe sistema de
cableado de energía y de
alarma contra incendios. Muy
I1 Fuego 2 16 4 Extremo telecomunicaciones que Raro 1 3 2 Tolerable
Un solo extintor de baja
transporten datos o soporten
solkaflam (Clase C).
servicios de información contra
posibles interceptaciones o
daños.
9.2.4 - Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
9.1.4 - Se debería designar y
aplicar medidas de protección
física contra incendio,
I2 Daños por agua Raro 1 8 3 Intolerable inundación, terremoto, explosión, Raro 1 3 2 Tolerable
malestar civil y otras formas de
desastre natural o humano.
 No se utilizan paneles
de obturación para el
cableado.
No existe sistema de
alarma de control de
temperatura y humedad.
Sistema de aire
acondicionado está
fuera de servicio.
La configuración del
sistema de retorno del
aire acondicionado no
es apropiado. No
existen planos,
esquemas, avisos que
indiquen que hay una
fuente de energía y
señales de estas
I* Desastres industriales mismas. Media
El sistema eléctrico no
cuenta con protección
contra electrocución por
contacto directo o
indirecto en las áreas de
trabajo. No
cuentan con un sistema
de protección contra
rayos.
No están por separado
los circuitos de la red
regulada y normal.
El sistema eléctrico no
cuenta con un proceso
de certificación de los
productos que se utilizan
y también de la red
eléctrica.
9.1.4 Se debería designar y
aplicar medidas de protección
física contra incendio,
inundación, terremoto, explosión,
malestar civil y otras formas de
desastre natural o humano.
9.2.3 Se debería proteger el
cableado de energía y de
telecomunicaciones que
transporten datos o soporten
servicios de información contra
posibles interceptaciones o
Muy
4 32 4 Extremo daños. 2 6 2 Tolerable
baja
9.2.4 Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
13.1.2 Todos los empleados,
contratistas y terceros que son
usuarios de los sistemas y
servicios de información deberían
anotar y comunicar cualquier
debilidad observada o
sospechada en la seguridad de
los mismos.

En la sala de servidores
no se realiza una
I3 Contaminación mecánica limpieza periódica en Baja
cuanto a contaminación
por polvo y/o suciedad.
Contaminación Los racks no cuentan Muy
I4
electromagnética con aisladores. baja
En la sala de servidores
no se realiza una
Avería de origen físico o
I5 limpieza periódica en Baja
lógico
cuanto a contaminación
por polvo y/o suciedad.
9.2.4 - Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
13.2.1 - Todos los empleados,
contratistas y terceros que son
usuarios de los sistemas y
servicios de información deberían Muy
3 24 4 Extremo anotar y comunicar cualquier 2 6 2 Tolerable
baja
debilidad observada o
sospechada en la seguridad de
los mismos.
9.2.1 - El equipo debería situarse
y protegerse para reducir el
riesgo de materialización de las
amenazas del entorno, así como
las oportunidades de acceso no
2 16 4 Extremo Raro 1 3 2 Tolerable
autorizado.
9.2.4 - Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
9.2.1 - El equipo debería situarse
y protegerse para reducir el
riesgo de materialización de las
amenazas del entorno, así como
las oportunidades de acceso no Muy
3 24 4 Extremo 2 6 2 Tolerable
autorizado. baja
9.2.4 - Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
 Funcionamiento no
confiable de las UPS´s.
No se utilizan paneles
de obturación para el
cableado.
No existen planos,
esquemas, avisos que
indiquen que hay una
fuente de energía y
señales de estas
mismas.
El sistema eléctrico no
cuenta con protección
contra electrocución por
Corte del suministro Muy
I6 contacto directo o
eléctrico baja
indirecto en las áreas de
trabajo. No
cuentan con un sistema
de protección contra
rayos.
No están por separado
los circuitos de la red
regulada y normal.
El sistema eléctrico no
cuenta con un proceso
de certificación de los
productos que se utilizan
y también de la red
eléctrica.
No existe sistema de
alarma de control de
temperatura y humedad.
Aire acondicionado fuera
Condiciones inadecuadas
I7 de servicio. La Baja
de temperatura o humedad
configuración del
sistema de retorno de
aire acondicionado no
es apropiado.
9.2.3 - Se debería proteger el
cableado de energía y de
telecomunicaciones que
transporten datos o soporten
servicios de información contra
posibles interceptaciones o
daños.
9.2.4 - Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
13.1.2 - Todos los empleados,
contratistas y terceros que son
usuarios de los sistemas y
2 16 4 Extremo servicios de información deberían Raro 1 3 2 Tolerable
anotar y comunicar cualquier
debilidad observada o
sospechada en la seguridad de
los mismos.
9.2.4 - Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
13.1.2 - Todos los empleados,
contratistas y terceros que son Muy
3 24 4 Extremo 2 6 2 Tolerable
usuarios de los sistemas y baja
servicios de información deberían
anotar y comunicar cualquier
debilidad observada o
sospechada en la seguridad de
los mismos.
 9.2.1 El equipo debería situarse y
protegerse para reducir el riesgo
de materialización de las
amenazas del entorno, así como
Emanaciones Los racks no cuentan las oportunidades de acceso no Muy
I11 Baja 3 24 4 Extremo 2 6 2 Tolerable
electromagnéticas con aisladores. autorizado. baja
9.2.4 Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
5.1.1 La Dirección debería
aprobar y publicar un documento
de la política de seguridad de la
información y comunicar la
política a todos los empleados y
las partes externas relevantes.
8.1.1 Se deberían definir y
documentar los roles y
responsabilidades de la
seguridad de los empleados,
contratistas y terceros en
Falta de conocimiento Muy concordancia con la política de
E

E2 Errores del administrador 2 16 4 Extremo Raro 1 3 2 Tolerable

del administrador. baja seguridad de la información de la
organización.
8.2.2 Todos los empleados de la
organización y donde sea
relevante, contratistas y usuarios
de terceros deberían recibir
entrenamiento apropiado del
conocimiento y actualizaciones
regulares en políticas y
procedimientos organizacionales
como sean relevantes para la
función de su trabajo.

No existe hoja de vida
Errores de
del servidor 1.
E23 mantenimiento/actualización Baja
Falta de conocimiento
de equipos
del administrador.
Falta de recursos
Caídas del sistema por necesarios.
E24 Baja
agotamiento de recursos Falta de planes de
continuidad del negocio
8.2.2 Todos los empleados de la
organización y donde sea
relevante, contratistas y usuarios
de terceros deberían recibir
entrenamiento apropiado del
conocimiento y actualizaciones
regulares en políticas y
procedimientos organizacionales
como sean relevantes para la
Muy
3 24 4 Extremo función de su trabajo. 2 16 4 Extremo
baja
9.2.4 - Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
12.5.1 Se debería controlar la
implantación de cambios
mediante la aplicación de
procedimientos formales de
control de cambios.
9.2.4 - Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
14.1.3 -Se deberían desarrollar e
implantar planes de
mantenimiento o recuperación de Muy
3 24 4 Extremo 2 16 4 Extremo
las operaciones del negocio para baja
asegurar la disponibilidad de la
información en el grado y en las
escalas de tiempo requeridos,
tras la interrupción o fallo de los
procesos críticos de negocio.
 8.2.3 - Debería existir un proceso
formal disciplinario para empleados
que produzcan brechas en la
seguridad.
9.1.1 - Los perímetros de seguridad
(como paredes, tarjetas de control
de entrada a puertas o un puesto
manual de recepción) deberían
utilizarse para proteger las áreas
que contengan información y
recursos para su procesamiento.
9.1.2 - Las áreas de seguridad
deberían estar protegidas por
controles de entrada adecuados
que garanticen el acceso
únicamente al personal autorizado.
9.2.7 - No deberían sacarse
equipos, información o software
fuera del local sin una autorización.
10.10.2 - Se deberían establecer
Muy procedimientos para el uso del
E25 Perdida de equipos 2 16 4 Extremo Raro 1 8 3 Intolerable
baja monitoreo de las instalación de
procesamiento de información y
revisar regularmente los resultados
de las actividades de monitoreo.
10.10.4 - Se deberían registrar las
actividades del administrador y de
los operadores del sistema.
11.1.1 - Se debería establecer,
documentar y revisar una política
de control de accesos en base a las
necesidades de seguridad y de
negocio de la Organización.

Como medida de control
de acceso a la sala de
servidores en la puerta
no se cuenta con un
control biométrico, sino
Abuso de privilegios de
A6 con una cerradura de Baja
acceso
llave la cual no garantiza
un control de quienes
tienen los privilegios de
entrar al sitio, ni manera
de identificarlos
Para ingresar a la sala
de servidores
primeramente se debe
Ataques intencionados
pasar por la oficina del
Administrador de
Sistemas, y luego por la
A7 Uso no previsto oficina del Administrador Baja
de Red cuyos controles
de ingreso son
únicamente puertas de
madera con ventanas de
vidrio esmerilado, donde
cada puerta cuenta con
una sola chapa de
seguridad y la llave
principal la manejan los
dos administradores y
todos sus monitores a
cargo.
Vigilancia compartida
con otras dependencias.
A11 Acceso no autorizado Pruebas Logicas: Baja
Escaneo de puertos con
NMAP, Identificacion de
sistema operativo con
ZENMAP y XPROBE,
Identificacion de
vulnerabilidades en los
puertos abiertos con
NETCAT
8.2.3 - Debería existir un proceso
formal disciplinario para
empleados que produzcan
brechas en la seguridad.
11.1.1 - Se debería establecer,
documentar y revisar una política
de control de accesos en base a
las necesidades de seguridad y
3 24 4 Extremo Raro 1 8 3 Intolerable
de negocio de la Organización.
11.2.2 - Se debería restringir y
controlar la asignación y uso de
los privilegios.
9.1.1 - Los perímetros de
seguridad (como paredes,
tarjetas de control de entrada a
puertas o un puesto manual de
3 24 4 Extremo Raro 1 8 3 Intolerable
recepción) deberían utilizarse
para proteger las áreas que
contengan información y
recursos para su procesamiento.
9.1.2 - Las áreas de seguridad
deberían estar protegidas por
controles de entrada adecuados
que garanticen el acceso
únicamente al personal
autorizado.
10.10.2 - Se deberían establecer
procedimientos para el uso del
monitoreo de las instalación de
procesamiento de información y
revisar regularmente los
3 24 4 Extremo Raro 1 8 3 Intolerable
resultados de las actividades de
monitoreo. 11.1.1 - Se debería
establecer, documentar y revisar
una política de control de
accesos en base a las
necesidades de seguridad y de
negocio de la Organización.
A23 Manipulación de equipos Baja 3 24 4 Extremo Raro 1 8 3 Intolerable

9.2.4 - Se deberían mantener

Falta de recursos
necesarios.
A24 Denegación de servicio Baja
Falta de planes de
continuidad del negocio
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
14.1.3 - Se deberían desarrollar e
implantar planes de
Muy
3 24 4 Extremo mantenimiento o recuperación de 2 16 4 Extremo
baja
las operaciones del negocio para
asegurar la disponibilidad de la
información en el grado y en las
escalas de tiempos requeridos,
tras la interrupción o fallo de los
procesos críticos de negocio.

Como medida de control
de acceso a la sala de
servidores en la puerta
no se cuenta con un
control biométrico, sino
con una cerradura de
llave la cual no garantiza
un control de quienes
tienen los privilegios de
entrar al sitio, ni manera
de identificarlos
Para ingresar a la sala
de servidores
primeramente se debe
pasar por la oficina del
Administrador de Muy
A25 Robo
Sistemas, y luego por la baja
oficina del Administrador
de Red cuyos controles
de ingreso son
únicamente puertas de
madera con ventanas de
vidrio esmerilado, donde
cada puerta cuenta con
una sola chapa de
seguridad y la llave
principal la manejan los
dos administradores y
todos sus monitores a
cargo.
Vigilancia compartida
con otras dependencias.
6.1.6 - Se deberían mantener los
contactos apropiados con las
autoridades pertinentes.
6.2.1 - Se deberían identificar los
riesgos a la información y a las
instalaciones del procesamiento que
impliquen a terceros y se deberían
implementar controles apropiados
antes de conceder el acceso.
8.2.3 - Debería existir un proceso
formal disciplinario para empleados
que produzcan brechas en la
seguridad.
8.3.3 - Se deberían retirar los
derechos de acceso para todos los
empleados, contratistas o usuarios a
la información y a las instalaciones del
procesamiento a la finalización del
empleo, contrato o acuerdo, o ser
revisada en caso de cambio.
9.1.1 - Los perímetros de seguridad
deberían utilizarse para proteger las
áreas que contengan información y
recursos para su procesamiento.
9.1.2 - Las áreas de seguridad
deberían estar protegidas por
2 16 4 Extremo Raro 1 8 3 Intolerable
controles de entrada adecuados que
garanticen el acceso únicamente al
personal autorizado.
9.2.7 - No deberían sacarse equipos
fuera de las instalaciones sin una
autorización.
10.10.2 - Se deberían establecer
procedimientos para el uso del
monitoreo de las instalación de
procesamiento de información.
10.10.4 - Se deberían registrar las
actividades del administrador y de los
operadores del sistema.
11.1.1 - Se debería establecer,
documentar y revisar una política de
control de accesos en base a las
necesidades de seguridad

Por su ubicación la
organización puede
A26 Ataque destructivo sufrir afectación en los Baja
activos del Área
Informática.
6.1.6 - Se deberían mantener los
contactos apropiados con las
autoridades pertinentes. 9.1.1
- Los perímetros de seguridad
(como paredes, tarjetas de
control de entrada a puertas o un
puesto manual de recepción)
deberían utilizarse para proteger
las áreas que contengan
información y recursos para su
procesamiento.
9.1.4 - Se debería designar y
aplicar medidas de protección Muy
3 24 4 Extremo 2 16 4 Extremo
física contra incendio, baja
inundación, terremoto, explosión,
malestar civil y otras formas de
desastre natural o humano.
14.1.3 - Se deberían desarrollar e
implantar planes de
mantenimiento o recuperación de
las operaciones del negocio para
asegurar la disponibilidad de la
información en el grado y en las
escalas de tiempos requeridos,
tras la interrupción o fallo de los
procesos críticos de negocio.

Al resultado de esta fase se le conoce como “Informe de análisis de riesgos”, que establece el modo de tratamiento y los
controles necesarios para cada uno de los activos de información. Con este informe se elabora el “Plan de Tratamiento
de Riesgos”.
Conocimiento de la organización y su contexto
1. ¿La organización determina los fines del SGSI?
Sí No
Usted debe determinar el propósito del SGSI (por ejemplo: garantizar el cumplimiento de
las obligaciones legales, mejorar la capacidad operativa, mejorar la seguridad del
producto/servicio, etc..)
2. ¿La organización determina las cuestiones internas y externas que son pertinentes para la
finalidad de SGSI?
Sí No
Es necesario definir cuales son las cuestiones internas y externas que influyen en el
propósito del negocio y son relevantes para la seguridad de la información (por ejemplo:
cultura interna, recursos disponibles, cuota de mercado, perfil del cliente, la disponibilidad
de proveedores, etc..)
3. ¿Determina la organización cómo las cuestiones internas y externas podrían influenciar
en la capacidad del SGSI para conseguir los resultados previstos?
Sí No
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
4. ¿La organización determina las partes interesadas?
Sí No
La organización debe definir qué partes interesadas son relevantes para el sistema de
gestión de seguridad de información (SGSI) (por ejemplo: clientes críticos y proveedores,
empleados, agencias gubernamentales, etc..)

Haga clic aquí para ver un ejemplo procedimiento para la identificación de requisitos.
5. ¿Existe la lista de todos los requisitos de las partes interesadas?
Sí No
Los requisitos son necesidades y expectativas que pueden ser evaluadas de forma
cualitativa o cuantitativa, y necesitan ser documentados para las partes interesadas que se
han definido como relevantes en el SGSI.

Haga clic aquí para ver un ejemplo lista de requisitos legales, normativos, contractuales y
de otra índole.
4.3 Determinar el alcance del SGSI
6. ¿El alcance está documentado con los límites claramente definidos?
Sí No
Tienes que definir el alcance del SGSI, considerando cuestiones internas y externas, los
requisitos, las partes interesadas pertinentes e interfaces y las dependencias entre las
actividades realizadas por la organización y las realizadas por otras organizaciones.

Haga clic aquí para ver un ejemplo documento sobre el alcance del SGSI.
4.4 SISTEMAS DE GESTION DE INFORMACION DE SEGURIDAD
7. ¿Han establecido, documentado, implementado, mantenido y mejorado continuamente
un sistema de gestión de seguridad de información según los requisitos de la norma ISO
27001?
 Sí No
Debe establecer, documentar, implementar, mantener y mejorar continuamente un sistema
de gestión de seguridad de información según los requisitos de la norma ISO 27001.
5.0 Liderazgo
5.0 Liderazgo 5.1 Liderazgo y compromiso
8. ¿Los objetivos generales del SGSI son compatibles con la dirección estratégica?
Sí No
Para ser más valioso, un SGSI debe apoyar el logro de los objetivos de negocio, y para
asegurar mejor esto, los objetivos propuestos deben estar alineados con la dirección
estratégica.
9. ¿La dirección garantiza los recursos necesarios para el SGSI cuando sea necesario?
Sí No
Un SGSI sin recursos en el momento adecuado no puede lograr sus objetivos, la dirección
tiene que asegurar que estos recursos están disponibles cuando sea necesario.
10. ¿La dirección asegura que el SGSI logra sus resultados previstos?
Sí No
Un SGSI que no puede ofrecer los resultados esperados es un fracaso, aunque opere según
lo planeado y utilizando menos recursos de los esperado. Para evitar esto, la dirección debe
asegurar que el 'SGSI ha conseguido los resultados propuestos.
5.2 Política
11. ¿Existe una política de seguridad de la información con objetivos definidos o un marco
para el establecimiento de objetivos?
Sí No
La alta dirección debe definir la política de seguridad de la información dentro del alcance
del SGSI. La política necesita ser apropiada a sus actividades, incluir un compromiso de
mejora continua y proporcionar objetivos o un marco para su establecimiento.

Haga clic aquí para ver un ejemplo politica del SGSI.

12. ¿La política de seguridad de información está documentada y es comunicada dentro de
la empresa y a otras partes interesadas?
Sí No
La política debe ser documentada, comunicada a los empleados y estar a disposiciónde
otras partes interesadas.
5.3 Roles, responsabilidades y autoridades en la organización
13. ¿Están asignadas y comunicadas los roles, responsabilidades y autoridades para la
seguridad de la información?
Sí No
La responsabilidad y autoridad debe ser asignarda por la alta dirección para organizar las
actividades de seguridad de la información, para asegurar que el SGSI es conforme a ISO
27001:2013 y que existe un reporte del rendimiento del SGSI a la alta dirección.
6.0 Planificación
6.0 Planificación 6.1 Acciones para tratar riesgos y oportunidades 6.1.1 Generalidades
14. ¿Las cuestiones internas y externas, así como los requisitos de las parte sinteresadas,
son consideradas al abordar los riesgos y las oportunidades?
Sí No
Las cuestiones y requisitos considerados como relevantes para las partes interesadas se
tienen que tener en cuenta en la planificación del SGSI, para asegurar su alineamiento con
los propósitos de negocio y el logro de sus objetivos.
6.1.2 Valoración de riesgos de seguridad de la información
15. ¿Hay un proceso documentado para identificar los riesgos de seguridad de la
información, incluyendo los criterios de aceptación del riesgo y criterios de evaluación del
riesgo?
Sí No
Debe existir un proceso que establece y mantiene los criterios de riesgo, así como
identifica, analiza y evalúa los riesgos de seguridad de la información.

Haga clic aquí para ver un ejemplo metodología de evaluación y tratamiento de riesgo.
6.1.3 Tratamiento de riesgos de la seguridad de la información
16. ¿Está documentado el proceso de tratamiento del riesgo, incluyendo la sopciones de
tratamiento del riesgo y cómo crear una declaración de aplicabilidad?
Sí No
Tiene que haber un proceso para tratar los riesgos de seguridad de la información teniendo
en cuenta los resultados de la evaluación de riesgo y para crear documentos específicos
como la declaración de aplicabilidad.

Haga clic aquí para ver un ejemplo metodología de evaluacion y tratamiento de riesgo, Plan
de tratamiento del riesgo y Declaración de aplicabilidad.
6.2 Objetivos de seguridad de la información y planes para lograrlos
17. ¿Los objetivos de seguridad de la información son establecidos en las funciones
relevantes de la organización, medido en su práctica y coherente con la política de
seguridad de la información?
Sí No
Aclarar a los actores más importantes involucrados en la protección de la información qué
se espera de ellos, y cómo serán evaluados. Los objetivos de seguridad de la información
deben ser establecidos en las funciones relevantes de la organización, medibles y
consistentes con la Política de seguridad de la información.
18. ¿Existe un plan, o conjunto de planes, para lograr los objetivos de seguridad de la
información incluyendo responsabilidades, método de evaluación y tiempos para el plan?
Sí No
Tienen que existir planes para asegurar la disponibilidad de recursos para conseguir los
objetivos, incluyendo responsabilidades, método de evaluación y tiempos para el plan.

Pulsa aquí para ver un ejemplo Plan de Tratamiento de Riesgos.

7.0 Soporte
7.0 Soporte 7.1 Recursos
19. ¿Se proporcionan los recursos adecuados para todos los elementos del SGSI?
 Sí No
Los recursos (Por ejemplo, equipos, instalaciones, dinero, etc.) deben estar disponible para
el establecimiento, implementación, operación y mejora continua del SGSI.
7.2 Competencia
20. ¿Es evaluada la competencia, y la capacitación donde sea necesario, para el personal
que realiza tareas que puedan afectar a la seguridad de la información? ¿Los registros de
competencias son mantenidos?
Sí No
La competencia es evaluada, y la capacitación, para el personal que realiza tareas que
puedan afectar a la seguridad de la información.

Haga clic aquí para ver un ejemplo Plan de capacitación y concienciación.

7.3 Concienciación
21. ¿El personal es consciente de la política de seguridad de la información, de su papel y
las consecuencias de no cumplir con las normas?
Sí No
Se debe promover el conocimiento de la política de seguridad de lainformación, los
procedimientos, riesgos, roles, responsabilidades, autoridades y consecuencias del
incumplimiento de los procedimientos especificados.

Haga clic aquí para ver un ejemplo Plan de capacitación y concienciación.

7.4 Comunicación
22. ¿Hay un proceso de comunicación relacionado con la seguridad de lainformación,
incluyendo las responsabilidades, qué se comunica, a quién y cuándo?
Sí No
Debe existir un proceso de comunucación interno y externo en la empresa. También tiene
que incluir la sistemática en caso de que se tenga que comunicar problemas de seguridad de
la información fuera de la empresa.
7.5 Información documentada (7.5.1 General; 7.5.2 Creación y actualización; 7.5.3 Control
de información documentada)
23. ¿La documentación del SGSI incluye la política de seguridad de la información,
objetivos, el alcance del SGSI, los principales elementos y su interacción, documentos y
registros de la norma ISO 27001 y aquellos identificados por la empresa?
Sí No
La documentación del SGSI debe incluir la política de seguridad de la información,
objetivos, el alcance del SGSI, los principales elementos y su interacción, documentos y
registros de la norma ISO 27001 y aquellos identificados por la empresa.
24. ¿Se asegura que existe un manejo de documentos y registros, incluyendo quién revisa y
aprueba los documentos, cómo y dónde se publican, almacenan y protegen?
Sí No
Debe existir un procedimiento para el control de los documentos que especifique la
aprobación, revisión y actualización, identificación, la disponibilidad de la versión
correspondiente, legibilidad del documento, control de documentos externos y la
prevención de uso de documentos obsoletos.
Haga clic aquí para ver un ejemplo procedimiento para el control de documentos y
registros.
25. ¿Es controlada la información documentada de origen externo?
Sí No
La información documentada externa manejada por la organización debe ser controlada y
protegida de la misma manera que la interna.
8.0 Operación
8.0 Operación 8.1 Planificación y control operacional
26. ¿La organización tiene la información documentada necesaria para estar segura de que
sus procesos se llevan a cabo según lo planeado?
Sí No
La información documentada debe mantenerse para tener constancia de que los procesos se
han llevado a cabo como estaba previsto (por ejemplo, procedimientos de control
operacional, criterios de funcionamiento, etc..)

Haga clic aquí para ver un ejemplo Procedimientos operativos para las tic.
27. ¿Se controlan los cambios planificados? ¿Las consecuencias de cambios no planificados
son revisados para identificar acciones de mitigación?
Sí No
Para minimizar los riesgos de seguridad de la información, los cambios deben ser
controlados.
28. ¿Los procesos tercerizados son identificados y controlados?
Sí No
Los procesos subcontratados deben manejar la seguridad de la información de la misma
forma que la propia organización.
8.2 Apreciación de los riesgos de seguridad de información
29. ¿Los riesgos, sus propietarios, la probabilidad, las consecuencias y el nivel de riesgo
son identificado? ¿Estos resultados se encuentran documentados?
Sí No
Se debe realizar una evaluación de la seguridad y las evidencias deben ser registradas.

Haga clic aquí para ver un ejemplo cuadro y catalogo de evaluación de riesgo y cuadro de
tratamiento de riesgo.
8.3 Tratamiento de los riesgos de seguridad de información
30. ¿Existe un plan de tratamiento del riesgo, aprobado por los propietarios de riesgo?
Sí No
Tienen que existir planes para lograr los objetivos y metas y éstos deben incluir
responsabilidades, método de evaluación y los medios & plazos para el plan.

Haga clic aquí para ver un ejemplo de Plan de tratamiento del riesgo.
31. ¿Hay una lista documentada con todos los controles necesarios, con el estado aplicación
y justificación?
 Sí No
Es necesario establecer acciones para tratar los riesgos considerados como no aceptables.
Estas acciones necesitan ser implementadas, y revisado y controlado periódicamente
siempre que sea posible.

Haga clic aquí para ver un ejemplo de cuadro de tratamiento del riesgo y Declaración de
aplicabilidad.
9.0 Evaluación del desempeño
9.0 Evaluación del desempeño 9.1 Seguimiento, medición, análisis y evaluación
32. ¿Está definido qué tiene que ser medido, a través de qué método, quien es responsable,
y quien analizará y evaluará los resultados?
Sí No
Debe existir un proceso para monitorear y medir regularmente las características clave que
puedan tener impacto sobre la seguridad de la información,incluyendo información de
controles operacionales.
33. ¿Los resultados de medición son documentados, analizados y evaluados por personas
responsables?
Sí No
Los resultados de medición deben ser documentados, analizados y evaluados por personas
responsables.
9.2 Auditoría Interna
34. ¿Existe un programa de auditoría que define las fechas, responsabilidades, reportes,
criterios de auditoría y alcance?
Sí No
Los procedimientos de auditoría deben abordar las responsabilidades de auditoría,
informes, criterios, frecuencia, alcance y los métodos. Los procedimientos deben incluir
criterios para la selección de auditores para mantener la imparcialidad y la objetividad.

Haga clic aquí para ver un ejemplo de programa de auditoría Programa anual de auditoria
interna y Procedimiento de auditoría interna.
35. ¿Las auditorías internas son realizadas según un programa de auditoría, los resultados
se informan a través de un informe de auditoría interna y se levantan o identifican acciones
correctivas?
Sí No
Deben existir procedimientos de auditoría para evaluar el SGSI contra los arreglos previstos
(incluyendo la adecuada implementación y mantenimiento) a intervalos planificados y los
resultados deben ser comunicados a la dirección.

Haga clic aquí para ver un ejemplo Informe de auditoría interna.

9.3 Revisión por la dirección
36. ¿La Revisión por dirección se realizada regularmente, y se documentan los resultados
en actas de reunión?
Sí No
La dirección debe revisar el SGSI a intervalos previstos para garantizar la idoneidad,
suficiencia y efectividad y evaluar oportunidades de mejoras. Deben mantenerse registros
de la revisión.

Haga clic aquí para ver un ejemplo Minutas de revision por parte de la direccion.
37. ¿La dirección decide sobre todas las cuestiones cruciales importantes para el éxito del
SGSI?
Sí No
Los resultados de la revisión por dirección deben incluir las decisiones y acciones
relacionadas con posibles cambios de la política de seguridad de la información, objetivos,
y otros elementos del SGSI con el fin de mejorar continuamente el SGSI.

Haga clic aquí para ver un ejemplo de Minutas de revision por parte de la direccion.
10.0 Mejora
10.0 Mejora 10.1 No conformidad y acciones correctivas
38. ¿La organización reacciona a cada no conformidad?
Sí No
Debe existir un procedimiento para tratar las no conformidades, incluyendo la adopción de
medidas correctivas.

Haga clic aquí para ver el ejemplo Procedimiento para acciones correctivas y preventivas.
39. ¿La organización considera la eliminación de la causa de la no conformidad y,en su
caso, toma medidas correctivas?
Sí No
El procedimiento debe incluir la identificación, investigación y determinación de causas y
acciones para prevenir la recurrencia. Estas acciones deben ser adecuadas a la magnitud de
la no conformidad.

Haga clic aquí para ver ejemplo Procedimiento para acciones correctivas y preventivas.
40. ¿Se registran todas las no conformidades, junto con las acciones correctivas?
Sí No
Los registros deben mantenerse, y la evaluación de la efectividad de las acciones
correctivas. Deben hacerse los cambios necesarios en la documentación del SGSI.

Haga clic aquí para ver ejemplo Procedimiento para acciones correctivas y preventivas.
10.2 Mejora continua
41. ¿El SGSI se ajusta continuamente para mantener su idoneidad, adecuación y eficacia?
Sí No
Los riesgos y los requerimientos del negocio cambian con el tiempo, así que el SGSI debe
ajustarse para reflejar estas nuevas condiciones para mantener o aumentar su valor en la
organización.
REQUISITOS DE PREPARACIÓN:
0.00
%
Anexo A. (Nota: Deben ser implementados sólo los controles marcados como aplicable
en la Declaración de Aplicabilidad.)
A.5 Políticas de seguridad
A.5 Políticas de seguridad
42. ¿Existen políticas publicadas, aprobadas por la dirección, para apoyar la seguridad de la
información?
Sí No
La dirección definirá las políticas de seguridad de la información dentro del alcance del
SGSI. Las políticas deben ser apropiadas para apoyar la seguridad de la información y los
requerimientos del negocio.

Haga clic aquí para ver un ejemplo Política de traer su propio dispositivo(BYOD),
Dispositivo móvil y teletrabajo política, Política de uso aceptable, Política clasificación de
la información, Política de Control de acceso, Politica de contraseñas, Política de escritorio
limpio, Política de eliminación y destrucción, Política de gestión del cambio, Política de
copia de seguridad, Política de transferencia de información, Política de desarrollo seguro,
Política de seguridad del proveedor.
43. ¿Las políticas de seguridad de la información son revisadas y actualizadas?
Sí No
Las políticas de seguridad de información deben revisarse a intervalos planificados para
asegurar la idoneidad, adecuación y eficacia.
A.6 Organización de la seguridad
A.6 Organización de la seguridad
44. ¿Están definidas todas las responsabilidades de seguridad de la información?
Sí No
Se asignará la responsabilidad de organizar las tareas relacionadas con la seguridad de la
información, para asegurar que se llevan a cabo las actividades de implantación y operación
del SGSI.
45. ¿Los deberes y las responsabilidades son correctamente segregadas teniendo en cuenta
las situaciones de conflicto de intereses?
Sí No
Separar las actividades críticas en dos o mas pasos o entre dos o mas personas,
puede minimizar la probabilidad de que un incidente ocurra.
46. ¿Existen definidas contactos con las autoridades competentes?
Sí No
Los contactos con las autoridades deben ser claramente definidas.
47. ¿Existen definidos contactos con grupos de interés especial o asociaciones
profesionales?
Sí No
Deben ser claramente definidos los contactos con las autoridades.
48. ¿Los proyectos consideran aspectos relacionados con la seguridad de la informacion?
 Sí No
Deben ser definidas reglas de seguridad de la información para proteger la información
49. ¿Existen definidas reglas para el manejo seguro de los dispositivos móviles?
Sí No
La dirección deberá definir políticas para dispositivos móviles dentro del alcance del SGSI.
Las políticas deben ser apropiadas para el soporte de la seguridad de la información y los
requerimientos del negocio.

Haga clic aquí para ver un ejemplo traer su propio dispositivo (BYOD) política, Politica
dispositivo móvil y teletrabajo, Política de uso aceptable.
50. ¿Existen reglas que definen cómo está protegida la información de la organización
teniendo en cuenta el teletrabajo?
Sí No
La dirección deberá definir políticas para teletrabajo dentro del alcance del SGSI. Las
políticas deben ser apropiadas para el soporte de la seguridad de la información y los
requerimientos del negocio.

Haga clic aquí para ver un ejemplo Politica trae tu propio dispositivo (BYOD), Política
sobre dispositivo móvil y teletrabajo, Política de uso aceptable de activos.
A.7 Seguridad relativa a los recursos humanos
A.7 Seguridad relativa a los recursos humanos
51. ¿La organización realiza verificaciones de antecedentes de los candidatos para el
empleo o para los contratistas?
Sí No
Se realizarán revisiones de antecedentes, según las leyes nacionales que apliquen y los
requerimientos del negocio, para evitar la exposición de la información a riesgos
innecesarios.
52. ¿Existen acuerdos con los empleados y contratistas donde se especifiquen las
responsabilidades de seguridad de información?
Sí No
Antes de acceder a la información, los empleados y contratistas deberán ser conscientes de
sus responsabilidades relacionadas con la seguridad de información y de su compromiso de
cumplimiento.

Haga clic aquí para ver un ejemplo Declaración de confidencialidad, Declaración de

aceptación de los documentos del SGSI.
53. ¿La dirección requiere activamente que todos los empleados y contratistas cumplan con
las reglas de seguridad de la información?
Sí No
La dirección debe publicar la política de seguridad de la información, definir
responsabilidades, autoridades y roles y promover el conocimiento de seguridad de
información a empleados y contratistas.
54. ¿Los empleados y contratistas asisten a entrenamientos para realizar mejor sus tareas de
seguridad, y existen programas de sensibilización?
Sí No
Los empleados y contratistas deben ser entrenados en las competencias requeridas para
cumplir sus deberes de seguridad y estar al tanto de las cuestiones de seguridad pertinentes
a la organización.
55. ¿La organización tiene un proceso disciplinario?
Sí No
Se debe establecer un proceso disciplinario, para asegurar una sistemática de penalizaciones
contra empleados y contratistas que hayan cometido un fallo o un incumplimiento
relacionado con la seguridad.
56. ¿Existen acuerdos que cubren las responsabilidades de seguridad de información que
siguen siendo válidas después de la terminación del empleo?
Sí No
La organización debe definir las obligaciones de seguridad de la información que deben ser
cumplidos después de la terminación del empleo y concienciar a los empleados y
contratistas de estas responsabilidades.
A.8 Gestión de activos
A.8 Gestión de activos
57. ¿Existe un inventario de activos?
Sí No
Existe un inventario de activos para identificar y organizar los activos de información.

Haga clic aquí para ver un ejemplo Inventario de activos.

58. ¿Todos los activos en el inventario de activos tienen un dueño designado?
Sí No
Para asegurar el adecuado manejo y protección de un activo, se le debe asignar un
propietario.

Haga clic aquí para ver un ejemplo Inventario de activos, Política de uso aceptable.
59. ¿Existen definidas reglas para el manejo de activos y de información?
Sí No
Para asegurar el manejo adecuado y la protección de un activo, deben ser definidas un
grupo de reglas.

Haga clic aquí para ver un ejemplo Política de uso aceptable.

60. ¿Los activos de la organización son devueltos cuando los empleados y contratistas
finalizan su contrato?
Sí No
Para asegurar el manejo adecuado y la protección de un activo, deben ser definidas un
conjunto de reglas.

Haga clic aquí para ver un ejemplo Política de uso aceptable.

61. ¿Están definidos los criterios para clasificar la información?
Sí No
La existencia de criterios de clasificación asegura que toda la información deberá recibir un
nivel de protección según el valor que posee para la organización.

Haga clic aquí para ver un ejemplo Politica clasificación de la información.

62. ¿Existen procedimientos que definen cómo etiquetar y manejar información
clasificada?
Sí No
La existencia de etiquetado y manejo asegura que toda la información clasificada deberá
recibir un tratamiento de acuerdo a su nivel de clasificación.

Haga clic aquí para ver un ejemplo Politica de clasificación de la información.

63. ¿Existen procedimientos que definen cómo manejar activos?
Sí No
Con la existencia de procedimientos de manejo de activos se asegura que todos los activos
deberán recibir un tratamiento de acuerdo a la información clasificada que manejan.

Haga clic aquí para ver un ejemplo Politica de clasificación de la información.

64. ¿Existen procedimientos que definen cómo manejar medios extraíbles en consonancia
con las reglas de clasificación?
Sí No
La existencia de procedimientos de manejo de medios extraíbles asegura que todos los
medios extraíbles deberán recibir un tratamiento de acuerdo a la información clasificada
que manejan.

Haga clic aquí para ver un ejemplo Politica de clasificación de la información.

65. ¿Existen procedimientos formales para la eliminación de medios?
Sí No
Debe haber procedimientos formales para asegurar que los medios que ya no se
necesitaban, no pueden ser reutilizados y que la información contenida en él serán destruida
o hecha inaccesible.

Haga clic aquí para ver un ejemplo Politica de eliminación y destrucción, Procedimientos
operativos para la información y la tecnología de comunicación.
66. ¿Son protegidos los medios que contienen información sensible durante el transporte?
Sí No
La existencia de procedimientos de manejo de medios extraíbles asegura que todos los
medios extraíbles deberán recibir un tratamiento de acuerdo a la información clasificada
que manejan.

Haga clic aquí para ver un ejemplo Política de clasificación de la información.

A.9 Control de acceso
A.9 Control de acceso
67. ¿Existe una política de control de acceso?
Sí No
La direccion deberá definir una política de Control de acceso dentro del alcance delSGSI.
La política necesita ser apropiada para apoyar la seguridad de lainformación y los
requerimientos del negocio.

Haga clic aquí para ver un ejemplo Política de Control de acceso.

68. ¿Los usuarios tienen acceso sólo a los recursos que se les permite?
Sí No
El usuario tendrá acceso sólo a las redes y los servicios para los que está autorizado
específicamente.

Haga clic aquí para ver un ejemplo Política de Control de acceso.

69. ¿Los derechos de acceso son proporcionados mediante un proceso de registro formal?
Sí No
Debe existir un proceso formal para la creación / exclusión de cuentas de usuario y la
asignación de derechos de acceso.

Haga clic aquí para ver un ejemplo Política de Control de acceso, Politica de contraseñas.
70. ¿Existe un sistema de control de acceso formal para el inicio de sesión en sistemas de
información?
Sí No
Debe existir un proceso formal para conceder o denegar el acceso de usuario para todos los
tipos de usuarios para todos los sistemas y servicios.

Haga clic aquí para ver un ejemplo Política de Control de acceso, Politica de contraseñas.
71. ¿Los derechos de acceso privilegiado son manejados con especial cuidado?
Sí No
Debe existir un proceso formal para conceder o denegar el acceso de usuario con derechos
de privilegios especiales.

Haga clic aquí para ver un ejemplo Política de control de acceso.

72. ¿Las contraseñas, y otra información de autenticación secreta, es proporcionada de
forma segura?
Sí No
Toda información relacionada con la autenticación de usuarios dispondrá de una manera
que sólo el usuario conocerá la informacion de autenticación.

Haga clic aquí para ver un ejemplo Política de Control de acceso, Politica de contraseñas.
73. ¿Los propietarios de activos comprueban periódicamente todos los derechos de acceso
privilegiado?
Sí No
Debe existir un proceso formal que periodicamente verifique los privilegios de acceso de
usuario.

Haga clic aquí para ver un ejemplo Política de Control de acceso.

74. ¿Los derechos de acceso son actualizados cuando hay un cambio en la situación del
usuario (por ejemplo: cambio organizacional o terminación)?
Sí No
Debe existir un proceso formal para cambiar o revocar el acceso de los usuarios para todos
los tipos de usuarios para todos los sistemas y servicios cuando hay un cambio en su
situación.

Haga clic aquí para ver un ejemplo Política de Control de acceso.

75. ¿Existen reglas para los usuarios sobre cómo proteger las contraseñas y otra
información de autenticación?
Sí No
Toda información relacionada con la autenticación de usuario deberá ser protegida (por
ejemplo: contraseñas..)

Haga clic aquí para ver un ejemplo Política de Control de acceso, Política de uso aceptable,
Política de clasificación de información, Politica de contraseñas.
76. ¿El acceso a la información en los sistemas es restringido según la política de control de
acceso?
Sí No
El acceso a las funciones de bases de datos y aplicaciones se limitará según la política de
control de acceso.

Haga clic aquí para ver un ejemplo Política de Control de acceso.

77. ¿Es requerido un sistema de login en los sistemas según la política de control de
acceso?
Sí No
Los sistemas desarrollados o adquiridos por la organización deberán considerar sistemas de
login como uno de sus requisitos de seguridad según la políticade control de acceso.
78. ¿Los sistemas de gestión de contraseñas utilizados por los usuarios de la organización
les ayuda a manejar de forma segura su información de autenticación?
Sí No
Los sistemas de gestión de contraseñas adoptados por la organización deberán ser
interactivos y garantizar la creación de contraseñas seguras.

Haga clic aquí para ver un ejemplo Política de Control de acceso, Politica de contraseñas.
79. ¿El uso de herramientas de utilidad es controlado y limitado a empleados específicos?
Sí No
Algunas herramientas de utilidad pueden anular los controles de seguridad de aplicaciones
y sistemas y deberán ser estrictamente controladas, incluyendo limitar su acceso a un
estrecho círculo de los empleados.
80. ¿El acceso al código fuente es restringido a personas autorizadas?
Sí No
El acceso a códigos fuente pueden tener un impacto enorme a los sistemas de negocio si
son comprometidos, por lo que deben de gestionarse con cuidado y debe restringirse el
acceso a ellos.
A.10 Criptografía
A.10 Criptografía
81. ¿Existe una política para regular la encriptación y existen otros controles
criptográficos?
Sí No
La dirección deberá definir una política de Control criptográfica dentro del alcance del
SGSI. La política necesita ser apropiado para apoyar la seguridad de la información y los
requerimientos del negocio.

Haga clic aquí para ver un ejemplo de Política sobre el uso de los controles criptográficos.
82. ¿Están debidamente protegidas las claves criptográficas?
Sí No
Los controles criptográficos son fuertes y sus llaves se guardan y mantienen de forma
segura, por tanto el manejo de claves criptográficas debe ser gestionado adecuadamente.

Haga clic aquí para ver un ejemplo de Política sobre el uso de los controles criptográficos.
A.11 Seguridad física y del entorno
A.11 Seguridad física y del entorno
83. ¿Existen zonas seguras que protegen la información sensible?
Sí No
Las zonas seguras deberán ofrecer una capa adicional de seguridad para ayudar a proteger
la información sensible.
84. ¿Es protegida la entrada a las zonas seguras?
Sí No
La entrada para garantizar las zonas seguras debe estar protegida con controles que
permitan solamente a las personas autorizadas entrar.
85. ¿Las zonas seguras están ubicadas en un lugar protegido?
Sí No
Las zonas seguras deben estar ubicadas de tal manera que no sean visibles a los forasteros y
no sean fácilmente accesibles desde el exterior.
86. ¿Existen instaladas alarmas, sistemas de protección contra incendios y otros sistemas?
Sí No
Existe protección física para asi minimizar el riesgo relacionado con las amenazas externas
y ambientales.
87. ¿Existen definidos procedimientos para las zonas seguras?
Sí No
Deben existir procedimientos de trabajo específicos proporcionales a la sensibilidad de las
zonas seguras para minimizar incidentes relacionados con acciones inapropiadas.

Haga clic aquí para ver un ejemplo Procedimientos para trabajar en zonas seguras.
88. ¿Las zonas entrega y carga están protegidas?
Sí No
Las zonas de entrega y de carga deberán ser controladas de una manera tal que las personas
no autorizadas no puedan entrar en los locales de la empresa.
89. ¿Los equipos son debidamente protegidos?
Sí No
Los equipos deben estar ubicados de tal manera que estén protegidos contra accesos no
autorizados y amenazas ambientales.
90. ¿Los equipos están protegidos contra las variaciones de energía?
Sí No
Se considerarán protecciones como la fuente de alimentación ininterrumpida (SAI) para
evitar que los niveles de energía más altos o más bajos más allá de las especificaciones del
fabricante pueden dañar los equipos.
91. ¿Están adecuadamente protegidos los cables de energía y telecomunicaciones?
Sí No
Los cables de alimentación y las telecomunicaciones pueden ser un punto de entrada a un
ataquen, por tanto los recursos del sistema deben ser protegidos.
92. ¿Existe mantenimiento de los equipos?
Sí No
Para asegurar la confiabilidad de los sistemas, los equipos deberán someterse a los
procedimientos de mantenimiento según las especificaciones del fabricante y las buenas
prácticas.
93. ¿La retirada de información y equipos fuera de la organización está controlada?
Sí No
Cada vez que sea necesario la organización debe de proporcionar permisos de autorización
para la eliminación de información y otros activos.

Haga clic aquí para ver un ejemplo Política de uso aceptable.

94. ¿Los activos de la organización son debidamente protegidos cuando no están en las
instalaciones de la organización?
Sí No
Los activos fuera de los locales de la organización están expuestos a más riesgos y deberán
considerarse la aplicación de controles más fuertes.

Haga clic aquí para ver un ejemplo de Política de uso aceptable, Dispositivo móvil y
teletrabajo política.
95. ¿Es correctamente eliminada la informacion de los equipos que se van a eliminar?
Sí No
Toda la información y software con licencia se eliminarán de los equipos o medios cuando
estos se destruyan.

Haga clic aquí para ver un ejemplo Política de eliminación y destrucción, Procedimientos
operativos para la información y la tecnología decomunicación.
96. ¿Existen reglas para proteger los equipos cuando estos no estén siendo usados por los
usuarios?
Sí No
Los equipos no deben dejarse sin supervisión, pero si no hay ninguna alternativa, deberá
proporcionarse recomendaciones para guiar sobre su uso a los usuarios.

Haga clic aquí para ver un ejemplo Política de uso aceptable, Escritorio claro y claro
pantalla política.
97. ¿Hay orientaciones a los usuarios sobre qué hacer cuando estos no están presentes en
sus estaciones de trabajo?
Sí No
Debe existir una política para que los usuarios eliminen papeles y cualquier dato de su
escritorio, y bloqueen sus equipos de trabajo cuando no estén delante del ordenador.

Haga clic aquí para ver un ejemplo Política de uso aceptable, Politica de escritorio limpio.
A.12 Seguridad de las operaciones
A.12 Seguridad de las operaciones
98. ¿Estan documentados los procedimientos de TI?
Sí No
La documentación disponible debe ayudar a asegurar la correcta operación y seguridad de
los recursos de procesamiento de información.

Haga clic aquí para ver un ejemplo Procedimientos de información y tecnología de la

comunicación.
99. ¿Los cambios que podrían afectar a la seguridad de la información son estrictamente
controlados?
Sí No
Todos los cambios a los sistemas y a otros procesos que puedan afectar la seguridad de la
información serán estrictamente controlados.

Haga clic aquí para ver un ejemplo Procedimientos de información y tecnología de la

comunicación, Política de gestión del cambio.
100. ¿Los recursos son monitoreados y se realizan planes para asegurar su capacidad para
cumplir con la demanda de los usuarios?
Sí No
Alguien debe supervisar el uso de los recursos y la capacidad para garantizar el
mantenimiento de las prestaciones acordados del proyecto.
101. ¿Se separan los entornos de desarrollo, pruebas y producción?
 Sí No
Existen diferentes entornos para minimizar los riesgos relacionados con el acceso no
autorizado o modificación de información o recursos.
102. ¿El software antivirus y otros programas para la protección de malware se instalan y
utilizan correctamente?
Sí No
Deberá existir software antivirus y otros programas para la protección de malware, y estar
correctamente configurados y actualizados.

Haga clic aquí para ver un ejemplo Política de uso aceptable.

103. ¿Existe una política de backup definida y se lleva a cabo correctamente?
Sí No
Debe existir una política de backup.

Haga clic aquí para ver un ejemplo Política de uso aceptable, Procedimientos operativos
para la información y las tecnología de comunicación, Política de Backup.
104. ¿Los eventos relevantes de lo sistemas son verificando periodicamente?
Sí No
Los logs de los usuarios, fallos y otros mensajes importantes de los sistemas TI deberán
chequearse periodicamente.

Haga clic aquí para ver un ejemplo Procedimientos de información y tecnología de la

comunicación.
105. ¿Los registros están protegidos adecuadamente?
Sí No
Los logs estarán protegidos contra el acceso y modificaciones no autorizadas.
106. ¿Estan adecuadamente protegidos los logs de los administradores?
Sí No
Los logs de los administradores deben estar protegidos contra el acceso y modificación no
autorizado y deben comprobarse regularmente.

Haga clic aquí para ver un ejemplo Procedimientos operativos de información y tecnología
de comunicación.
107. ¿Esta la hora de todos los sistemas de TI sincronizada?
Sí No
La hora de los sistemas TI deberán sincronizarse con una sola fuente de tiempo para
asegurar con precisión el registro de los eventos.
108. ¿La instalación de software es estrictamente controlada?
Sí No
Deberán existir reglas definidas y procedimientos para asegurar la instalación del software,
y se llevarán a cabo de manera adecuada y controlada.

Haga clic aquí para ver un ejemplo Política de uso aceptable.

109. ¿La información de análisis de vulnerabilidades es correctamente gestionada?
Sí No
Existe una persona que se encarga de obtener información sobre vulnerabilidades.
110. ¿Existen reglas para definir restricciones de instalación de software a los usuarios?
Sí No
Deben definirse normas y procedimientos para asegurar que la instalación de software
realizada por los usuarios se realiza de una manera adecuada y controlada.

Haga clic aquí para ver un ejemplo Política de uso aceptable.

111. ¿Estan las auditorías de sistemas de producción planeadas y se ejecutan
correctamente?
Sí No
Las auditorías de sistemas de producción serán planeadas y ejecutadas de forma que no
aumente el riesgo de interrupción de esos sistemas.
A.13 Seguridad de las comunicaciones
A.13 Seguridad de las comunicaciones
112. ¿Las redes son gestionadas para proteger la información de sistemas y aplicaciones?
Sí No
Las redes deben ser controladas para evitar compromisos y fugas de información.

Haga clic aquí para ver un ejemplo Procedimientos operativos de información y tecnología
de comunicación.
113. ¿Los requisitos de seguridad para servicios de red están incluidas en los acuerdos?
Sí No
Deben existir reglas claras para los servicios de red internos y externos, para de esta manera
proteger la información y los sistemas, y estas reglas serán definidas e incluidas en los
acuerdos.

Haga clic aquí para ver un ejemplo Procedimientos operativos de información y tecnología
de comunicación.
114. ¿Existen redes segregadas considerando los riesgos y la clasificacion de los activos?
Sí No
Los usuarios, servicios y sistemas deben estar separados en diferentes redes para minimizar
los riesgos.
115. ¿Las transferencias de información están debidamente protegidas?
Sí No
Deben existir procedimientos y políticas formales para la protección de transferencia de
información.

Haga clic aquí para ver un ejemplo Procedimientos operativos de información y tecnología
de comunicación, Política de transferenciade información, Politica trae tu propio
dispositivo.
116. ¿Los acuerdos con terceras partes consideran la seguridad durante la transferencia de
información?
Sí No
En los acuerdos deben existir definidos cláusulas específicas para asegurar el uso de
políticas y procedimientos para la protección de la información en las transferencias con
terceras partes.

Haga clic aquí para ver un ejemplo Procedimientos operativos de información y tecnología
de comunicación, Política de transferenciade información.
117. ¿Los mensajes que se intercambian sobre las redes están protegidos correctamente?
Sí No
Los mensajes que se intercambian a través de las redes deben estar protegidos contra el
acceso y modificación no autorizado.

Haga clic aquí para ver un ejemplo Política de uso aceptable, Politica de clasificacion de la
informacion.
118. ¿La organización posee una lista xon todas las cláusulas de confidencialidad que
deben ser incluidos en los acuerdos con terceros?
Sí No
La organización debe garantizar que todas las cláusulas de confidencialidad pertinentes
tienen que ser incluidos en los acuerdos con terceros, revisadas y documentadas.

Haga clic aquí para ver un ejemplo Declaración de confidencialidad.

A.14 Adquisición, desarrollo y mantenimiento de sistemas de información
A.14 Adquisición, desarrollo y mantenimiento de sistemas de información
119. ¿Se definen requisitos de seguridad para nuevos sistemas de información, o para
cualquier cambio sobre ellos?
Sí No
Los requisitos de seguridad deben formar parte de la evaluación de nuevos sistemas de
información, así como cualquier cambio planeado en los sistemas que ya existen.

Haga clic aquí para ver un ejemplo Especificaciones de requisitos de los sistemas de
informacion.
120. ¿La información de aplicaciones transferida a través de redes públicas es
adecuadamente protegida?
Sí No
Las redes públicas deben ser consideradas inseguras y deben establecerse controles
adecuados para proteger la información cuando se transfiere a través de dichas redes
públicas.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

121. ¿Las transacciones de información a través de redes públicas son adecuadamente
protegidas?
 Sí No
Las redes públicas deben ser consideradas inseguras y deben existir controles adecuados
para proteger la información cuando se transfiere información a través de ellas.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

122. ¿Existen definidas reglas para el desarrollo seguro de software y de los sistemas?
Sí No
El software y los sistemas deben incorporar seguridad desde etapas tempranas del
desarrollo, orientado por las reglas que consideren los riesgos de los sistemas.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

123. ¿Se controlan los cambios en los sistemas nuevos o existentes?
Sí No
Deben existir procedimientos de control de cambio para reducir al mínimo los riesgos de
seguridad de la información durante los cambios en los sistemas nuevos o existentes.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

124. ¿Las aplicaciones criticas son debidamente probadas después de los cambios
realizados en los sistemas operativos?
Sí No
Las aplicaciones críticas del negocio podrían verse afectadas negativamente por los
cambios realizados en los sistemas operativos en producción, así que deberán someterse a
pruebas para asegurar que siguen funcionando como se esperaba.

Haga clic aquí para ver un ejemplo Procedimientos operativos de información y tecnología
de comunicación, Política de gestión del cambio.
125. ¿Se realizan sólo los cambios necesarios a los sistemas de información?
Sí No
Sólo cambios relevantes y críticos podrán hacerse en sistemas de información para
minimizar los riesgos de transacción de sistemas.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

126. ¿Los principios de ingeniería de sistemas seguros son aplicados al proceso de
desarrollo de sistemas de la organización?
Sí No
Los sistemas deberán incorporar seguridad desde etapas tempranas del desarrollo,
impulsado por principios de ingeniería de seguridad en sus componentes y funciones.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

127. ¿Es seguro el entorno de desarrollo?
Sí No
Entorno de desarrollo deberá protegerse de cambios y de accesos no autorizados.
Haga clic aquí para ver un ejemplo Política de desarrollo seguro.
128. ¿Es monitorizado el desalloro externalizado de sistemas?
Sí No
El desarrollo externalizado de sistemas debe ser monitorizado para asegurar que los
requerimientos del negocio son adecuadamente completados.

Haga clic aquí para ver un ejemplo Politica de desarrollo seguro, Politica de seguridad para
proveedores.
129. ¿Los requisitos de implementación de seguridad son probada durante el desarrollo del
sistema?
Sí No
Las pruebas de implementación de los requisitos de seguridad es crítica y deben ser
realizadas para asegurar que un sistema puede alcanzar los objetivos de negocio y de
seguridad.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

130. ¿Existe definido un criterio para aceptar los sistemas?
Sí No
Se definirán criterios para la aceptación de los sistemas para asegurar una manera de
comprobar si todas las necesidades de seguridad y negocio se cumplen.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

131. ¿Los datos de prueba son cuidadosamente seleccionados y protegidos?
Sí No
Los datos de prueba deben ser seleccionados de forma que no se permita identificar datos
sensibles de negocio.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

A.15 Relación con proveedores
A.15 Relación con proveedores
132. ¿Existe una política para el tratamiento de los riesgos relacionados con proveedores y
socios?
Sí No
Se debe de documentar una política para el tratamiento de los riesgos relacionados con
proveedores y socios.

Haga clic aquí para ver un ejemplo Política de seguridad de proveedores.

133. ¿Los requisitos de seguridad son incluidos en los acuerdos con los proveedores y
socios?
Sí No
Todos los requisitos de seguridad más importantes se incluirán en los acuerdos con los
proveedores y socios para asegurar que están comprometidos con el mismo nivel de
seguridad definido por la organización.
Haga clic aquí para ver un ejemplo Política de seguridad de proveedores, Declaración de
confidencialidad, Cláusulas de seguridad para proveedores y socios.
134. ¿Los acuerdos con los proveedores incluyen requisitos de seguridad?
Sí No
Los acuerdos con los proveedores deberán incluir los requisitos de seguridad para
garantizar el suministro seguro de servicios.

Haga clic aquí para ver un ejemplo Política de seguridad de proveedores, Cláusulas de
seguridad para proveedores y socios.
135. ¿Son supervisados regularmente los proveedores?
Sí No
Los proveedores deberán controlarse regularmente y ser auditados en su caso, para cumplir
con los requisitos de seguridad.

Haga clic aquí para ver un ejemplo Política de seguridad de proveedores.

136. ¿Los cambios relacionados con los acuerdos y contratos con proveedores y socios
tienen en cuenta los riesgos existentes?
Sí No
Cualquier cambio en la provisión de los servicios proporcionados por un proveedor será
administrado e incluirá la evaluación de riesgos.

Haga clic aquí para ver un ejemplo Política de seguridad de proveedores.

A.16 Gestión de incidentes de seguridad de la información
A.16 Gestión de incidentes de seguridad de la información
137. ¿Los incidentes son gestionados adecuadamente?
Sí No
Existen procedimientos y responsabilidades para la gestión de incidentes, para asegurar una
respuesta adecuada y rápida.

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes.

138. ¿Los eventos de seguridad son reportados adecuadamente?
Sí No
Los eventos de seguridad de la información deben ser reportados a tiempo para minimizar
los daños a sistemas de información y al negocio.
139. ¿Los empleados y contratistas informan sobre las debilidades de seguridad?
Sí No
La divulgación de las debilidades de seguridad es una de las principales fuentes para
minimizar los riesgos, por tanto deben ser reportados para proporcionar información útil.

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes.

140. ¿Los eventos de seguridad son evaluados y clasificados correctamente?
Sí No
Los eventos de seguridad serán evaluados y clasificados adecuadamente. Se asignarán
recursos disponibles para asegurar una pronta respuesta.

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes.

141. ¿Están documentados los procedimientos para dar respuesta a los incidentes?
Sí No
Los procedimientos para respuesta a incidentes deberán documentarse para asegurar una
respuesta estandarizada para los eventos de seguridad.

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes.

142. ¿Se analizan los incidentes de seguridad correctamente?
Sí No
Los incidentes de seguridad deberán ser analizados para obtener conocimiento sobre cómo
evitar que vuelva a producirse.

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes, Registro de
incidentes.
143. ¿Existen procedimientos que definen cómo recopilar evidencias?
Sí No
Deben existir procedimientos donde se establezca cómo recolectar evidencias para que
estas pueden servir en un proceso legal.

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes.

A.17.Aspectos de seguridad de la información para la gestión de la continuidad
del negocio
A.17.Aspectos de seguridad de la información para la gestión de la continuidad del
negocio
144. ¿Existen definidos requisitos para la continuidad de la seguridad de la información?
Sí No
Se definirán los requisitos para la continuidad de la seguridad de la información para
asegurar que están apoyando el negocio incluso durante un evento de interrupción.

Haga clic aquí para ver un ejemplo Politica de continuidad de negocio, Metodología de
análisis de impacto en el negocio.
145. ¿Existen procedimientos que aseguren la continuidad de la seguridad de la
información durante una crisis o un desastre?
Sí No
Deben existir procedimientos que aseguren la continuidad de la seguridad de la información
durante una crisis o desastre. Estarán disponibles para ayudar a acelerar la recuperación de
las operaciones normales del negocio y para apoyar la protección de la información durante
el reinicio de las operaciones.

Haga clic aquí para ver un ejemplo Plan de continuidad de negocio.

146. ¿Se realizan tests y pruebas de continuidad?
 Sí No
Se deben de realizar tests y pruebas con el fin de garantizar una respuesta eficaz en un caso
real.

Haga clic aquí para ver un ejemplo Plan de prueba y verificacion.

147. ¿La infraestructura IT está redundada, incluyendo su planeamiento y operación?
Sí No
La infraestructura IT debe estar redundada para ayudar a conseguir las expectativas de
recuperación ante un escenario de desastre.

Haga clic aquí para ver un ejemplo [link] Plan de recuperación ante desastres [link].
A.18 Cumplimiento
A.18 Cumplimiento
148. ¿Son conocidos los requisitos legislativos, regulatorios, contractuales y cualquier otro
requisito relativo a seguridad?
Sí No
Todos los requisitos legales, reglamentarios, contractuales y otos requisitos relativos a
seguridad deben ser enumerados y documentados para asegurar las actividades de
cumplimiento.

Haga clic aquí para ver un ejemplo de Lista de requisitos legales, reglamentarios,
contractuales y otros.
149. ¿Existen procedimientos para proteger los derechos de propiedad intelectual?
Sí No
Deben existir procedimientos para asegurar la aplicación de los derechos de propiedad
intelectual, en particular, el uso de software con licencia.

Haga clic aquí para ver un ejemplo Política de uso aceptable.

150. ¿Los registros están protegidos adecuadamente?
Sí No
Todos los registros deberán estar protegidos según los requerimientos reglamentarios,
contractuales y otros.
151. ¿La informacion personal está protegida adecuadamente?
Sí No
La informacion personal debe ser protegida según lo estipulado en las leyes y reglamentos
locales de cada pais.
152. ¿Se utilizan controles criptográficos correctamente?
Sí No
Los controles criptográficos se utilizarán según lo estipulado en las leyes y reglamentos
legales de cada pais.

Haga clic aquí para ver un ejemplo Política sobre el uso de los controles criptográficos.
153. ¿La seguridad de la información es revisada regularmente por un auditor
independiente?
Sí No
La seguridad de la información deberá ser periódicamente revisada por un auditor
independiente para garantizar la idoneidad del sistema de gestión, adecuación y eficacia y
para evaluar las oportunidades de mejora.

Haga clic aquí para ver un ejemplo Procedimiento de auditoría interna.

154. ¿Los gerentes revisan regularmente si las políticas de seguridad y procedimientos son
llevados a cabo adecuadamente en sus áreas de responsabilidad?
Sí No
Los gerentes deberán examinar regularmente si las políticas de seguridad y los
procedimientos se realizan correctamente en sus áreas de responsabilidad para garantizar la
idoneidad de los controles, la adecuación y eficacia y para evaluar oportunidades de
mejoras.
155. ¿Los sistemas de información son revisados regularmente para comprobar su
cumplimiento con los estándares y las políticas de seguridad de la información?
Sí No
Los sistemas de información deberán ser revisados periódicamente para comprobar su
cumplimiento con las políticas de seguridad de la información y las normas para garantizar
su idoneidad, adecuación y eficacia y para evaluar las oportunidades de mejora.