Dominios Objetivos Control Requerimiento de la norma

¿Todas las políticas de seguridad de la información

5.1.1 Documento de la política de seguridad de
necesarias son aprobadas por la dirección y luego
5 Política de 5.1 Dirección de la la información
publicadas?
gerencia para la
Seguridad de la seguridad de la
Información información 5.1.2 Revisión de políticas para seguridad de la ¿Todas las políticas de seguridad de la información
información son revisadas y actualizadas?

¿Están claramente definidas todas las

6.1.1 Roles y responsabilidades sobre seguridad
responsabilidades concernientes a la seguridad de la
de la información
información a través de uno o varios documentos?
¿Están definidos los deberes y responsabilidades de
6.1.2 Segregación de deberes forma tal que se evite un conflicto de intereses,
particularmente con la información y los sistemas
6.1 Organización
6 Organización Interna 6.1.3 Contacto con autoridades
¿Está claramente definido quién debe ponerse en
contacto con qué autoridades?
de la Seguridad
¿Está claramente definido quién debe ponerse en
de la 6.1.4 Contacto con grupos de interés especial contacto con qué grupos de interés especiales o
Información asociaciones profesionales?
6.1.5 Seguridad de la información en gestión de ¿Están incluidas las normas de seguridad de la
proyectos información en cada proyecto?
¿Existen normas para el manejo seguro de
6.2 Dispositivos 6.2.1 Política sobre dispositivos móviles
dispositivos móviles?
móviles y tele-
¿Existen normas que definan cómo se protege la
trabajo 6.2.2 Tele-trabajo
información de la empresa en los espacios de tele-
¿Se realizan verificaciones de antecedentes a los
7.1.1 Selección
postulantes a empleos o a los contratistas?
7.1 Antes del
¿Los acuerdos con empleados y contratistas
empleo
7.1.2 Términos y condiciones de empleo especifican las responsabilidades relacionadas con
seguridad de la información?
 ¿La dirección requiere activamente a todos los
7.2.1 Gestión de responsabilidades empleados y contratistas que cumplan las normas de
seguridad de la información?
7 Seguridad ¿Los empleados y contratistas que correspondan son
relacionada 7.2 Durante el 7.2.2 Concienciación, educación y capacitación capacitados para que cumplan sus deberes
con el personal empleo sobre Seguridad de la información relacionados con la seguridad, y existe el programas
de concienciación?
¿Todos los empleados que han cometido una
7.2.3 Proceso disciplinario violación a la seguridad han sido sometidos a un
procesos disciplinario formal?
¿Están definidas en el acuerdo las responsabilidades
7.3 Terminación o 7.3.1 Terminación o cambio de
sobre seguridad de la información que siguen
cambio del empleo responsabilidades del empleo
vigentes luego de la finalización del empleo?
8.1.1 Inventario de activos ¿Se confeccionó un inventario de activos?
8.1.2 Propiedad de los activos ¿Se designó un propietario para cada activo del
8.1
¿Están documentadas la normas para el manejo
Responsabilidad 8.1.3 Uso aceptable de los Activos
adecuado de información y activos?
sobre los activos
¿Los empleados y contratistas que ya no trabajan en
8.1.4 Devolución de activos
la empresa devolvieron todos los activos?
8.2.1 Clasificación de la información ¿Se clasifica la información según criterios
¿La información clasificada es etiquetada según los
8 Gestión de 8.2 Clasificación de 8.2.2 Etiquetado de la información
procedimientos definidos?
activos la información
¿Existen procedimientos que definen cómo manejar
8.2.3 Manejo de activos
información clasificada?
¿Los procedimientos que definen cómo manejar los
8.3.1 Gestión de medios Removibles medios removibles están en línea con las normas de
clasificación?
8.3 Gestión de
¿Existen procedimientos formales para eliminación
medios 8.3.2 Eliminación de medios
de medios?
¿Los medios que contienen información sensible son
8.3.3 Transferencia de medios físicos
protegidos mientras se los transporta?
 ¿Existe una política de control de acceso que defina
9.1 Requisitos 9.1.1 Política de control de acceso los requerimientos comerciales y de seguridad para
comerciales para el control de acceso?
control de acceso ¿Los usuarios tienen acceso solamente a las redes y
9.1.2 Acceso a redes y a servicios de red
servicios para los cuales fueron específicamente
9.2.1 Registro de usuarios y la cancelación del ¿Los derechos de acceso son provistos a través de un
registro proceso formal de registración?
¿Existe un sistema formal de control de acceso para
9.2.2 Concesión de acceso de usuarios
ingresar a sistemas de información?
¿Se manejan con especial cuidado los derechos de
9.2.3 Gestión de derechos de acceso privilegiado
acceso privilegiado?

9.2 Gestión de
9.2.4 Gestión de información secreta de ¿Las claves iniciales y demás información secreta de
acceso del usuario
autenticación de usuarios autenticación se suministran de forma segura?

¿Los propietarios de activos verifican periódicamente

9.2.5 Revisión derechos de acceso del usuario
los derechos de acceso privilegiado?
9 Control de ¿Se han eliminado los derechos de acceso a todos los
acceso 9.2.6 Eliminación o ajuste de derechos de acceso empleados y contratistas una vez finalizado su
contrato?
9.3 ¿Existen reglas claras para los usuarios sobre cómo
9.3.1 Uso de información secreta de
Responsabilidades proteger las claves y demás información de
autenticación
del usuario autenticación?
¿Está restringido el acceso a bases de datos y
9.4.1 Restricción al acceso a la información aplicaciones de acuerdo con la política de control de
acceso?
¿Se requiere el registro seguro en el terminal de
9.4.2 Procedimientos de registro en el terminal
acuerdo con la política de control de acceso?
9.4 Control de ¿Los sistemas que administran claves son interactivos
9.4.3 Sistema de gestión de claves
acceso a y permiten la creación de claves seguras?
aplicaciones y
 aplicaciones y
¿El uso de herramientas de utilidad, que pueden
sistemas
anular los controles de seguridad de aplicaciones y
9.4.4 Uso de programas de utilidad Privilegiada
sistemas, está estrictamente controlado y limitado a
un estrecho círculo de empleados?
9.4.5 Control de acceso al código fuente del ¿El acceso al código fuente está restringido a
programa personas autorizadas?

¿Existe la política que regula la encriptación y otros

10.1 Controles 10.1.1 Política del uso de controles criptográficos
10 Criptografía criptográficos
controles criptográficos?
10.1.2 Gestión clave ¿Están protegidas adecuadamente las clave
¿Existen áreas seguras que protegen información
11.1.1 Perímetro de seguridad física
sensible?
¿El acceso a las áreas seguras está protegido con
11.1.2 Controles de entrada físicos controles que permiten el ingreso únicamente de las
personas autorizadas?
¿Las áreas seguras están ubicadas de forma tal que
11.1.3 Seguridad de oficinas habitaciones e
no sean visibles a personas ajenas a la empresa y que
instalaciones
no sean fácilmente accesibles desde el exterior?
11.1 Áreas seguras
11.1.4 Protección ante amenazas externas y ¿Están instaladas las alarmas, protecciones contra
ambientales incendios y demás sistemas?

¿Están definidos, y se cumplen, los procedimientos

11.1.5 Trabajo en áreas Seguras
de trabajo para áreas seguras?
¿Las áreas de entrega y carga son controladas de
11.1.6 Áreas de entrega y carga forma tal que personas no autorizadas no puedan
ingresar a las instalaciones de la empresa?
¿El equipamiento está instalado de forma tal que se
11 Seguridad 11.2.1 Ubicación y protección del equipo encuentre protegido ante el acceso no autorizado y
ante amenazas ambientales?
física y del ¿El equipamiento cuenta con suministro
entorno 11.2.2 Servicios públicos
ininterrumpido de energía eléctrica?
 ¿Están debidamente protegidos los cables de
11.2.3 Seguridad en el cableado
alimentación y de telecomunicaciones?
¿Se realiza mantenimiento periódico al equipamiento
11.2.4 Mantenimiento de equipo de acuerdo con las especificaciones del fabricante y
las buenas prácticas?
¿Se otorga autorización cada vez que se saca
11.2.5 Eliminación de activos
información y otros activos de las instalaciones de la
11.2 Equipos
¿Los activos de la empresa están protegidos
11.2.6 Seguridad de equipos y activos fuera de
adecuadamente cuando no se encuentran en las
las instalaciones
instalaciones de la empresa?
¿Se elimina toda la información y software con
11.2.7 Eliminación segura o re-uso del equipo
licencia cuando los medios o equipamiento es
¿Los usuarios protegen su equipo cuando no lo
11.2.8 Equipo de usuario Desatendido
tienen al lado suyo?
¿Existe una política que obligue a los usuarios a
11.2.9 Política de pantalla y escritorio limpio retirar los papeles y medios cuando no están
presentes, y a bloquear sus pantallas?
¿Se han documentado los procedimientos operativos
12.1.1. Procedimientos operativo
para procesos de TI?
documentados
¿Se controlan estrictamente todos los cambios a los
12.1. 12.1.2 Gestión de cambio sistemas de TI y también a otros procesos que
Procedimientos y pueden afectar la seguridad de la información?
responsabilidades ¿Controla alguien el uso de recursos y proyecta la
12.1.3 Gestión de capacidad
operativos capacidad necesaria?

12.1.4 Separación de ambientes de desarrollo, ¿Están debidamente separados los ambientes de

prueba y operativo desarrollo, prueba y producción?

12.2 Protección ¿Está instalado y actualizado el software antivirus y

12.2.1 Controles contra software malicioso
contra software demás protección contra software malicioso?
 ¿Se desarrolló la política de copias de seguridad? ¿Se
12.3 Copias de
12.3.1 Copia de seguridad de la información realiza la creación de copias de seguridad en
seguridad
conformidad con esta política?
¿Se guardan todos los registros de usuarios, fallas y
12.4.1 Registro de eventos
demás eventos de los sistemas de TI, y alguien los
12 Seguridad
¿Se protegen los registros de tal forma que personas
operativa 12.4.2 Protección de la información del registro
no autorizadas no puedan modificarlos?
12.4 Registros y
¿Se protegen los registros de administrador de tal
supervisión
12.4.3 Registros del administrador y operador forma que los administradores no puedan
modificarlos o borrarlos; y se controlan
¿Están sincronizados los relojes de todos los sistemas
12.4.4 Sincronización de relojes
de TI con una única fuente de horario correcto?
12.5 Control del
12.5.1 Instalación de software en sistemas ¿Se hace un control estricto sobre la instalación de
software
operativos software? ¿Existen procedimientos para ello?
operacional
¿Hay alguien a cargo de recolectar información sobre
12.6.1 Gestión de vulnerabilidades técnicas vulnerabilidades, y esas vulnerabilidades son
12.6 Gestión de
resueltas a la brevedad?
vulnerabilidad
técnica 12.6.2 Restricciones sobre instalación de ¿Existen reglas específicas que definan restricciones
software sobre instalación de software por los usuarios?
12.7
¿Se planifican y ejecutan auditorías a los sistemas de
Consideraciones de 12.7.1 Controles de auditoría sobre sistemas de
producción de forma tal que se minimice el riesgo de
auditoría de los información
interrupciones?
sistemas de
¿Se controlan las redes de tal forma que protejan la
13.1.1 Controles de red
información de los sistemas y aplicaciones?
¿Están definidos los requerimientos de seguridad
13.1 Gestión de
13.1.2 Seguridad de los servicios de red para servicios de red internos y externos? ¿Están
seguridad de red
incluidos en los acuerdos?
¿Están separados en diferentes redes los grupos de
13.1.3 Segregación en redes
usuarios, servicios y sistemas?
 13 Seguridad 13.2.1 Políticas y procedimientos para
¿Está regulada en políticas y procedimientos
formales la protección de transferencia de
de las transferencia de la información
información?
comunicacione
s
13.2.2 Acuerdos sobre transferencia de ¿Existen acuerdos con terceros que regulen la
13.2 Transferencia
información seguridad en la transferencia de información?
de la información

¿Están debidamente protegidos los mensajes que se

13.2.3 Mensajes electrónicos
intercambian a través de las redes?
¿La empresa detalló las cláusulas de confidencialidad
13.2.4 Acuerdos de confidencialidad y no
que debían ser incorporadas en los acuerdos con
divulgación
terceros?
14.1.1 Análisis de requerimientos y ¿Están definidos los requerimientos de seguridad
especificaciones para seguridad de la para los nuevos sistemas de información o para
información cualquier cambio sobre ellos?
14.1 Requisitos de
¿Está debidamente protegida la información
seguridad de los 14.1.2 Seguridad de servicios de aplicación en
relacionada con aplicaciones que se transfiere a
sistemas de la redes públicas
través de redes públicas?
información

¿Está debidamente protegida la información

14.1.3 Protección de transacciones de servicios
relacionada con transacciones que se transfiere a
de aplicaciones
través de redes públicas?
¿Están definidas las reglas para el desarrollo seguro
14.2.1 Política de desarrollo seguro
de software y sistemas?
¿Existen procedimientos formales de control de
14.2.2 Procedimientos para control de cambios cambios para realizar modificaciones a los sistemas
nuevos o existentes?
14 Adquisición,
14 Adquisición,
¿Se prueban las aplicaciones críticas luego de
desarrollo y 14.2.3 Revisión técnica de aplicaciones luego de
modificaciones o actualizaciones en los sistemas
mantenimiento cambios en la plataforma operativa
operativos?
de sistemas
14.2 Seguridad en 14.2.4 Restricciones sobre cambios a paquetes ¿Se realizan solo los cambios realmente necesarios
procesos de de software sobre los sistemas de información?
desarrollo y
soporte
14.2.5 Principios de ingeniería para sistema ¿Están documentados e implementados los
seguro principios para diseñar sistemas seguros?
¿Está debidamente asegurado el ambiente de
14.2.6 Ambiente de desarrollo seguro desarrollo para evitar accesos y cambios no
autorizados?
14.2.7 Desarrollo externalizado ¿Se controla el desarrollo de sistemas
¿Se controla si se implementaron los requerimientos
14.2.8 Prueba de seguridad del sistema
de seguridad durante el desarrollo?
¿Están definidos los criterios de aceptación de
14.2.9 Prueba de aceptación del sistema
sistemas?
14.3 Datos de ¿Los datos de las pruebas son seleccionados y
14.3.1 Protección de datos de prueba
prueba protegidos adecuadamente?
15.1.1 Política de seguridad de la información ¿Está documentada la política sobre cómo tratar los
para relaciones con proveedores riesgos relacionados con proveedores y asociados?
¿Están incluidos todos los requerimientos de
15.1 Seguridad de 15.1.2 Tratamiento de la seguridad en contratos
seguridad correspondientes en los acuerdos con
la información en con proveedores
proveedores y asociados?
las relaciones con
proveedores ¿Los acuerdos con proveedores de la nube y con
15 Relaciones 15.1.3 Cadena de suministro de tecnología de otros proveedores incluyen requerimientos de
con información y comunicación seguridad para asegurar la entrega estable de
proveedores servicios?
proveedores
¿Se controla regularmente si los proveedores
15.2.1 Supervisión y revisión de servicios de
cumplen los requerimientos de seguridad y, en caso
proveedores
15.2 Gestión de de ser necesario, se auditan?
servicio de entrega
Al realizar cambios sobre los acuerdos y contratos
de proveedores 15.2.2 Gestión de cambios en servicios de
con proveedores y asociados, ¿se toman en cuenta
proveedores
los riesgos y los procesos existentes?

¿Están claramente definidos los procedimientos y

16.1.1 Responsabilidades y procedimientos
responsabilidades para la gestión de incidentes?

¿Se reportan a tiempo todos los eventos de

16.1.2 Reporte de eventos de seguridad
seguridad de la información?

16.1.3 Reporte de debilidades de seguridad de la ¿Los empleados y contratistas reportan las

información debilidades de seguridad?
16 Gestión de 16.1 Gestión de los
los incidentes incidentes y
16.1.4 Evaluación y decisión sobre eventos de ¿Se evalúan y clasifican todos los eventos de
de seguridad mejoras en la
seguridad de la información seguridad?
de la seguridad de la
información
información
16.1.5 Respuesta a incidentes de seguridad de la ¿Están documentados los procedimientos sobre
información cómo responder ante incidentes?

16.1.6 Aprendizaje a partir de los incidentes en ¿Se analizan los incidentes de seguridad para conocer
seguridad de la información cómo prevenirlos?

¿Existen los procedimientos que definen cómo

16.1.7 Recolección de evidencia
recolectar evidencia que pueda ser válida en un
 17.1.1 Planificación de continuidad seguridad de ¿Están definidos los requerimientos para continuidad
la información de la seguridad de la información?

17 Aspectos de 17.1 Continuidad ¿Existen procedimientos que aseguran la continuidad

17.1.2 Implementación de continuidad de
seguridad de la de seguridad de la de la seguridad de la información durante una crisis o
seguridad de la información
información un desastre?
información en
la gestión de
17.1.3 Verificación, revisión y evaluación de ¿Se realizan pruebas y verificaciones para asegurar la
continuidad del
continuidad de seguridad de la información respuesta efectiva?
negocio
¿La infraestructura de TI es redundante (por ej., una
17.2.1 Disponibilidad de instalaciones para
17.2 Redundancias ubicación secundaria) como para cumplir las
proceso de información
expectativas durante un desastre?

¿Están detallados y documentados todos los

18.1.1 Identificación de la legislación aplicable y
requerimientos legales, normativos, contractuales y
de requerimientos contractuales
de seguridad?
¿Existen procedimientos que garanticen el
18.1.2 Derechos de propiedad Intelectual cumplimiento de derechos de propiedad intelectual,
18.1 Cumplimiento especialmente el uso de software con licencia?
de requerimientos ¿Se protegen todos los registros conforme a lo
18.1.3 Protección de registros
legales y definido en los requerimientos normativos,
contractuales
18.1.4 Privacidad y protección de información ¿La información personal identificable se protege
personal identificable como lo disponen las leyes y normas?
18
Cumplimiento 18.1.5 Regulación de controles criptográficos
¿Se utilizan controles criptográficos como se
requiere en las leyes y normas?
 18.2.1 Revisión independiente de seguridad de la ¿La seguridad de la información es periódicamente
información revisada por un auditor independiente?

18.2 Revisiones de
¿Los directores revisan periódicamente si las políticas
seguridad de la 18.2.2 Cumplimiento de políticas y normas de
y procedimientos de seguridad se realizan
información seguridad
adecuadamente en sus áreas de responsabilidad?
¿Se revisan periódicamente los sistemas de
18.2.3 Revisión del cumplimiento Técnico información para verificar su cumplimiento con las
políticas y normas de seguridad de la información?