Guia Iso27k

Kit de herramientas ISO27k
Guía de auditoría del SGSI

Versión 2, 2017
Guía genérica y pragmática para auditar la

norma ISO27k I de una organización, queabarca
tanto
el sistema de gestión y los
controles de seguridad de la
información.
Una plantilla para el uso de auditoría interna por

parte de los auditores de TI, escrita por y para
losprofesionales.
Complementa las normas internacionales

ISO27k (ISO/IEC 27000-series) sobre seguridad
de la información.
ISO27k Toolkit SGSI auditoría directriz v2
Information Security Management

System Auditing Guideline
Preparado por profesionales del Foro ISO27k

Versión 2 de agosto de 2017
Contenido
1. Introducción 5
2. Alcance y
finalidad de la
presente directriz 5
3. Referencias 5
4. Términos y
definiciones 6
5. Principios de la
auditoría 7
6. Gestión de auditorías 8
6.1 Gestión del
programa de auditoría sgsi
8
6.2 Gestión de una
auditoría SGSI 8
7. El proceso de
auditoría 9
7.1 Encuesta de alcance y previa a
la auditoría 9
7.2 Planificación y
preparación de auditorías 10
7.3 Trabajo de campo de
auditoría 10
7.4 Análisis de auditoría 11
7.5 Informes de auditoría 11
7.6 Cierre de la
auditoría 13
8. Competencia y
evaluación de los
auditores 13
Derechos de autor © ISO27k 1|Page

Foro 2017
8.1 Competencia del auditor 13
8.2 Demostración de la
competencia del auditor 14
9. Control de
documentos 15
9.1 Autores 15
9.2 Historia 15
9.3 Comentarios 15
9.4 Derechos de autor 15
Apéndice A - Lista de comprobación genérica de auditoría de seguridad de la información 16

Introducción 16
A.5. Políticas de seguridad de la
información 17
A.6. Organización de la
seguridad de la
información 17
A.6.1 Organización interna 17
A.6.2 Dispositivos móviles y
teletrabajo 19
A.7. Seguridad de los recursos
humanos 19
A.7.1 Antes del empleo 19
A.7.2 Durante el empleo 19
A.7.3 Terminación y cambio
de empleo 20
A.8. Gestión de activos 20
A.8.1 Responsabilidad por los
activos 20
A.8.2 Clasificación de la información 22
A.8.3 Manipulación de soportes 22
A.9 Control de acceso
23
A.9.1 Requisitos empresariales del control de acceso
23
A.9.2 Gestión del acceso de
usuarios 23
A.9.3 Responsabilidades del usuario 24
A.9.4 Control de acceso a
sistemas y aplicaciones 25

Foro 2017
A.10. Criptografía 25
10.1 Controles criptográficos 25
A.11. Seguridad física y
ambiental 26
A.11.1 Zonas seguras 26
A.11.2 Equipm ent 27
A.12. Seguridad de operaciones 29
A.12.1 Procedimientos y
responsabilidades operacionales 29
A.12.2 Protección contra
malware 30
A.12.3 Copia de seguridad 31
A.12.4 Registro y
supervisión 31
A.12.5 Control de
software operativo 32
A.12.6 Gestión técnica de vulnerabilidades
32
A.12.7 Consideraciones de auditoría de
sistemas de
información 32
A.13. Seguridad de las comunicaciones 33
A.13.1 Gestión de la seguridad de la
red 33
A.13.2 Transferencia de información 33
A.14. Adquisición, desarrollo y
mantenimiento de sistemas 34
A.14.1 Requisitos de seguridad de los
sistemas de información 34
A.14.2 Seguridad en los
procesos de desarrollo y
soporte 34
A.14.3 Datos de prueba
36
A.15. Relaciones con proveedores 36
A.15.1 Seguridad de la información en
las relaciones con los proveedores 36
A.15.2 Gestión de la
prestación de servicios a
proveedores 37
A.16. Gestión de incidentes de
seguridad de la

Foro 2017
información 37
A.16.1 Gestión de
incidentes y mejoras
de seguridad de la información 37
A.17. Gestión de la
continuidad del negocio (según ISO
22301) 39
A.17.1 Continuidad del negocio 39
A.17.2 Despidos 39
A.18. Cumplimiento 40
A.18.1 Cumplimiento de los requisitos legales
y contractuales 40
A.18.2 Revisiones de seguridad de la
información 41
Apéndice B - Lista de comprobación genérica de auditoría del sistema de gestión SGSI42

Introducción 42
B.4. Contexto de la
organización 43
B.4.1 Comprender la
organización y su
contexto 43
B.4.2 Comprender las
necesidades y
expectativas de
las partes interesadas 43
B.4.4 Sistema de
Gestión de Seguridad de la Información 43
B.5. Liderazgo 44
B.5.1 Liderazgo y
compromiso 44
B.5.2 Política 44
B.5.3 Funciones, responsabilidades y
autoridades de la organización 45
B.6. Planificación 45
B.6.1 Acciones para abordar
los riesgos y
oportunidades 45
B.6.2 Objetivos de seguridad de
la información y planificación para
alcanzarlos 46

Foro 2017
B.7. Soporte 46
B.7.1 Recursos 46
B.7.2 Competencia 46
B.7.3 Conciencia 47
B.7.4 Comunicación 47
B.7.5 Información documentada 47
B.8. Operación 48
B.8.1 Planificación y control
operativos 4 8
B.8.2 Evaluación de riesgos de seguridad
de la información 48
B.8.3 Tratamiento de
riesgos para la seguridad de la
información 48
B.9. Evaluación del desempeño 49
B.9.1 Seguimiento, medición, análisis
y evaluación 49
B.9.2 Auditoría interna 50
B.9.3 Examen de la gestión
50
B.10. Mejora 50
B.10.1 Inconformidad y acción
correctiva 50
B.10.2 Mejora continua 51

Foro 2017
1. Introducción
Esta guía de auditoría de Information S ecurity Management S ystem es mantenida por los miembros del
Foro ISO27k en ISO27001security.com, una comunidad internacional de profesionales que utilizan
activamente la familia ISO / IEC 27000 de normas ISMS conocida coloquialmente como "ISO27k".
Escribimos esto inicialmente en 2008 para contribuir al desarrollo de ISO / IEC 27007 al proporcionar lo que
nosotros, comoimplementadores de SGSI experimentados y auditores de TI / SGSI, creíamos que valía la pena.
Un objetivo secundario era proporcionar una directriz pragmática y útil para quienes participan en la auditoría
del SGSI.
Desde entonces, se ha publicado ISO/IEC 27007. También se han revisado otras normas ISO27k, por lo que la
directriz se actualizó a fondo en 2017.
El cuerpo principal de esta directriz se refiere al propósito y el proceso de la auditoría. El apéndice A es una
lista de comprobación (un conjunto genérico de pruebas de auditoría) para auditar los controles de
seguridad de la información gestionados por el SGSI. El Apéndice B es una lista de verificación para auditar el
propio sistema de gestión.
2. Alcance y propósito de esta directriz

Esta guía proporciona asesoramiento general a los auditores de TI que revisan los SGSI con respecto a las
normas ISO27k, principalmente ISO / IEC 27001: 2013 (la norma de certificación que especifica el sistema de
gestión) e ISO / IEC 27002: 2013 (el código de práctica que recomienda un conjunto de controles de
seguridad de la información).
Esta directriz está especialmente dirigida a quienes realizan auditorías internas Las notas explicativas,
del SGSI y revisiones de gestión: no auditorías formales de certificación. La consejos y advertencias
orientación debe ser interpreted o adaptado a situaciones específicas. Las están dispersos por toda
auditorías normalmente se basan en el riesgo, lo que proporciona una la guía en cuadros de
prioridad natural al trabajo de auditoría del SGSI que refleja los requisitos texto.
comerciales para la gestión del riesgo y la seguridad de la información.
3. Referencias
Consulte a:
ISO/IEC 27000:2016 Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la
seguridad de la información - Visión general y vocabulario. Este estándar gratuito proporciona una visión
general de ISO27k y define formalmente muchos términos especializados utilizados en los estándares.
ISO/IEC 27001:2013 Tecnología de la información — Técnicas de seguridad — Requisitos del sistema de
gestión de la seguridad de la información. Esta es la especificación formal para un SGSI contra el cual las
organizaciones pueden ser certificadas conformes. La sección 6 introduce la necesidad de «auditorías
internasdel SGSI» y establece brevemente los principales requisitos para los procedimientos de auditoría.
La sección 7 también identifica la necesidad de revisiones periódicas (al menos anuales) de la gestión del
SGSI. Aparte de los controles enumerados en el Anexo A, estos son requisitos obligatorios para
lasorganizaciones cerificadas. Incluso si la organización implementa un conjunto de control alternativo,
los controles elegidos deben compararse con los enumerados en el Anexo A para determinar su
pertinencia e integridad.
ISO/IEC 27002:2013 Tecnología de la información — Técnicas de seguridad — Code práctica para los

Foro 2017
controles de seguridad de la información. Amplía sustancialmente el Anexo A de la norma ISO/IEC 27001.
ISO/IEC 27003:2017 Tecnología de la información — Técnicas de seguridad — Sistema de gestión de la
seguridad de la información — Orientación. Además, orientación práctica sobre el diseño y la
implementación de un SGSI viable.

Foro 2017
ISO/IEC 27004:2016 Tecnología de la información —
Orientación sobre la selección/desarrollo y uso
métricas para gestionar el riesgo y la seguridad de la información de forma racional y proporcionada.
ISO/IEC 27006:2015 Tecnología de la información — Técnicas de seguridad — Requisitos para los
organismos que proporcionan auditoría y certificación de sistemas de gestión dela seguridad de la
información. Criterios formales de acreditación para organismos de certificación que realizan auditorías
de cumplimiento estricto según ISO / IEC 27001.
ISO/IEC 27007:2011 Tecnología de la información — Técnicas de seguridad — Directrices para la
auditoría de sistemas de gestión de la seguridad de la información. Orientación para organismos de
certificación acreditados, auditores internos, auditores externos / externos y otros que realizan auditorías
de cumplimiento de las partes del sistema de gestión de SGSI según ISO / IEC 27001.
ISO/IEC TR 27008:2011 Tecnología de la información — Técnicas de seguridad — Directrices para
auditores sobre controles de seguridad de la información. Orientación para auditores internos y otras
personas que auditan o revisan los aspectos de seguridad de la información de los SGSI.
ISO/IEC 27017:2015 Tecnología de la información— Técnicas de seguridad — Código de buenas prácticas
para los controles de seguridad de la información basado en ISO/IEC 27002 para servicios en la nube.
Cubre los controles de seguridad de la información para la computación en la nube.
Otras normas ISO27k y normas relacionadas. Este creciente conjunto de estaciones relacionadas con
elSGSI proporciona una gran cantidad de consejos sólidos sobre el riesgo y la seguridad de la información,
la ciberseguridad, la seguridad en la nube, la continuidad del negocio (por ejemplo, ISO 22301) y otros
temas.
ISO/IEC 17021-1:2015 Evaluación de la conformidad — Requisitos para los organismos que proporcionan
auditoría y certificación de sistemas de gestión — Parte 1: Requisitos. Orientación sobre auditorías de
cumplimiento por parte de organismos de certificación (auditorías de "terceros").
ISO 19011:2011 Directrices para la auditoría de sistemas de gestión. Orientación sobre auditorías
internas ("primera parte") y auditorías de proveedores ("segunda parte").
Las preguntas frecuentes de auditoría de TI tienen consejos generales sobre la realización de auditorías
de TI, las calificaciones y competencias de los auditores, el proceso de auditoría, etc.
ISACA ofrece orientación profesional y apoyoa los profesionales de
auditoría de TI. El Instituto de Auditores Internos apoya a auditores
internos de todo tipo.
4. Términos y definiciones
La mayoría de los términos relacionados con el SGSI utilizados en esta guía y en las normas relacionadas se
definen en ISO/IEC 27000 e ISO 19011. Aquí se definen términos específicos relacionados con la auditoría de
TI y SGSI para mayor claridad, ya que se interpretan y utilizan en esta guía:
Auditoría: el proceso en el que un sujeto de auditoría es revisado e informado de forma independiente
por uno o más auditores competentes en nombre de las partes interesadas. La auditoría es un proceso
sistemático, independiente, formal, estructurado y documentado para obtener pruebas de auditoría y
probarlas objetivamentepara determinar en qué medida se cumplen los criterios de auditoría;
Lista de verificación de auditoría: un cuestionario estructurado o plan de trabajo para guiar a los
auditores en la prueba del tema de auditoría ;
Criterios de auditoría: se utilizan como referencia para la auditoría. Puede incluir requisitosu objetivos
que el SGSI debe cumplir (por ejemplo, el cumplimiento de las normas ISO27k pertinentes, las políticas y

Foro 2017
procedimientos corporativos, las leyes y reglamentos, las obligaciones contractuales, etc.). ), y
cuestiones o antiobjetivos que el SGSI debe evitar (por ejemplo, ineficiencias como costos comerciales
excesivos y actividades inapropiadas, innecesarias o ineficaces);

Foro 2017
Evidencia de auditoría: información verificable y basada en hechos recopilada del área que se está
auditando, como documentación escrita (por ejemplo, políticas, impresiones informáticas, formularios
completados, informes), notas o grabaciones de entrevistas y otras observaciones (por ejemplo,
fotografías de problemas de seguridad física);
Hallazgo de auditoría: resumen/descripción y análisis del auditor de un riesgo de información
inadecuadamente mitigado ;
Observación de auditoría (también llamada Opportunity fo Improvement) - asesoramiento que tiene
menos peso que una recomendación de auditoría, como una sugerencia que, si se ignora, puede conducir
a una no conformidad o algún otro impacto comercial (por ejemplo, procesos o sistemas subóptimos);
Plan o programa de auditoría : un plan de proyecto para una auditoría en el que se establecen las
principales actividades de auditoría y su calendario;
Recomendación de auditoría : una acción correctiva que se propone para abordar uno o más hallazgos
de auditoría identificados, que deben abordarse antes de la certificación o recertificación del SGSI;
Informe de auditoría: un informe formal a la dirección que documenta las principalesconclusiones y
conclusiones de la auditoría. Por lo general, es un documento escrito, pero también puede implicar una
presentación y discusión;
Riesgo de auditoría : la posibilidad de que una auditoría no cumpla sus objetivos, por ejemplo, utilizando
información poco fiable, incompleta o inexacta, o sin abordar cuestiones importantes con suficiente
profundidad;
Calendario de auditorías: un diario de las auditorías planificadas;
Alcance o tema de la auditoría : la organización o las partes de una organización que se están auditando;
Prueba de auditoría : una verificación realizada por el auditor para verificar si un control es efectivo,
eficiente y adecuado para mitigar uno o más riesgos de información;
Documentos de trabajo de auditoría : información escrita y recopilada por el auditor que registra su
examen, hallazgos y análisis del SGSI, como las listas de verificación de auditoría completadas;
Auditoría de cumplimiento : un tipo de auditoría diseñada específicamente para evaluar el grado en que el
sujeto de auditoría satisface los requisitos establecidos;
Auditoría sgSI - una auditoría centrada en una situación S de la formación Manálisis Sytem;
Auditoría basada en riesgos : una auditoría planificada y realizada sobre la base de una evaluación de
riesgos, específicamente información sobre riesgos en el contexto ISO27k , además de auditoría y otros
riesgos como la salud y la seguridad;
Trabajadores: un término deliberadamente vago incluye a los empleados de tiempo completo y
completo de la organización (personal y gerentes) más contratistas, consultores, asesores, técnicos de
mantenimiento y soporte, temporales, pasantes / estudiantes y otros que trabajan directamente dentro,
para y/o bajo el control de la organización.
5. Principios de la auditoría
La sección 4 de la norma ISO 19011 cubre los principios de la La independencia tiene que ver
auditoría en general, incluyendo importantes principios genéricos de tanto con el estado mental del
auditoría p. ej.. evaluación independiente con arreglo a criterios auditor como con las relaciones
acordados, además de principios más específicos dirigido a de informe: el pensamiento
auditorías de sistemas de gestión. En todos los asuntos relacionados objetivo, racional y crítico permite
con la auditoría, el auditor debe ser independiente tanto en su al auditor notar cosas que otros
actitud como en su actitud. apariencia. La función o equipo de pasan por alto o ignoran.
Derechos de autor © ISO27k 10 | P a g

Foro 2017
e
auditoría debe ser independiente de el área o actividad que se está
revisando para permitir la finalización objetiva de la tarea de
auditoría.

Foro 2017
e
6. Gestión de auditorías
6.1 Gestión del programa de auditoría del SGSI

La gestión de un programa de auditorías SGSI implica planificarlo, controlarlo y supervisarlo,mediante
actividades tales como:
Priorizar, planificar y esbozar el alcance de las auditorías individuales del SGSI dentro del programa de
trabajo general de auditoría, tal vez combinandoauditorías superficiales del SGSI de amplio alcance con
auditorías más centradas en áreas de especial preocupación (por ejemplo, cuestiones de larga data o
riesgos significativos);
Asignar recursos adecuados para llevar a cabo auditorías planificadas y aprobadas (por ejemplo,
garantizar que los auditores del SGSI estén capacitados, competentes y motivados para realizar el trabajo
con el nivel de calidad requerido);
Organizar o coordinar auditorías del SGSI en organizaciones de múltiples emplazamientos, incluidas
multinacionales y estructuras de "grupo", en las que las comparaciones entre los SGSI en funcionamiento
dentro de las unidades de negocio individuales pueden ayudar a compartir y promover buenas prácticas;
Auditar el SGSI de terceros, como proveedores y socios comerciales (nota: la certificación ISO/IEC 27001
de una segunda parte de unorganismo de certificación acreditado puede o no proporcionar garantías
suficientes en todas las áreas de preocupación, por ejemplo, puede haber riesgos de información
significativos o implicaciones de cumplimiento derivadas de los servicios de información prestados, o
incidentes y preocupaciones pueden indicar que sondemandas que merecen ser exploradas).
6.2 Gestión de una auditoría SGSI

Cada auditoría del SGSI se gestiona a lo largo del proceso que se muestra en la sección 7. Las actividades de
gestión de auditoría incluyen:
Obtener el apoyo de la administración para llevar a cabo la auditoría del SGSI como se propone en el
esquema, con suen principio y autoridad para proceder con el alcance y la planificación detallados (lo que
puede conducir a un nuevo paso de autorización una vez finalizado);
Supervisar, orientar, motivar y apoyar a los auditores, asegurando que sigan las prácticas de auditoría
aceptadas, realizando revisiones de archivos y revisando borradores de informes;
Revisar y desafiar hallazgos no fundamentados o notables, por ejemplo. jugar la defensa del diablopara
explorar la evidencia, la profundidad del análisis y la naturaleza de los problemas; proponer explicaciones
alternativas y posibles recomendaciones; ayudar a los auditores a evaluar los riesgos en el contexto
empresarial;
Tratar con problemas que ponen en peligro la asignación de auditoría, como problemas interpersonales,
falta de compromiso, retrasos, renuencia o negativa a proporcionar información esencial, etc. (los
problemas pueden ser planteados o escalados por cualquier persona involucrada en el proceso );
Servir de enlace con la dirección, tal vez proporcionar actualizaciones provisionales y establecerlas
expectativas para la fase de presentación de informes de auditoría.

Foro 2017
e
7. El proceso de auditoría
Si bien los nombres de fase y los detalles varían, las asignaciones de auditoría suelen seguir una secuencia
lógica a lo largo de estas líneas:
La iteración es común, por ejemplo, cuando el análisis o la presentación de informes requieren evidencia adic
7.1 Encuesta de alcance y previa a la auditoría

Durante esta fase, los auditores del SGSI determinan las principales áreas de enfoque para la auditoría y
cualquier área que esté explícitamente fuera del alcance, basándose normalmente en una evaluación inicial
basada en el riesgo más la discusión con aquellos que encargaron el sgSIaudi t.
Las fuentes de información incluyen: investigación general sobre la industria y la organización, además de las
normas ISO27k y las buenas prácticas de seguridad, informes previos de auditoría y revisión de la gestión del
SGSI (y otros cuando sea relevante), y documentos del SGSI como las políticas de Statement of Applicability,
Risk Treatment Plan y ISMS.
Los auditores del SGSI deben asegurarse de que el alcance de la auditoría "tenga sentido" en relación con la
organización. Normalmente debe coincidir con el alcance del SGSI. Por ejemplo, las grandes organizaciones
con múltiples divisiones o unidades de negocio pueden tener SGSI separados, un SGSI que lo abarque todo en
toda la empresa o alguna combinación de SGSI local y centralizado. Si el SGSI cubre toda la organización, es
posible que los auditores deban revisar el SGSI en funcionamiento en absoluto, o al menos una muestra
representativa de, ubicaciones comerciales, como la sede y una selección de unidades de negocios,
departamentos, sitios, etc. discretos. . de su elección.
Los auditores deben prestar especial atención a los riesgos de la
información y a los controles de seguridad asociados con los Tsu debería ser más fácil donde el
conductos de información a otros entidades (organizaciones, unidades entidades fuera del ámbito dehave
aplicación
de negocio) etc.) que quedan fuera del ámbito de aplicación del SGSI, ellos mismoshan sido certificado
por ejemplo, comprobando la adecuación of cláusulas relacionadas cumple contra la norma ISO/IEC 27001.
con la seguridad de la información en acuerdos de nivel de servicio o
contratos con proveedores de servicios de TI.
Durante la encuesta previa a la auditoría, los auditores del SGSI identifican e idealmente se ponen en contacto
con las principales partes interesadas en el SGSI, como el CISO, los gerentes de riesgo y seguridad de la
información y figuras influyentes como el CIO y el CEO, además de otros profesionales como arquitectos de
seguridad y administradores de seguridad; Profesionales de TI, Recursos Humanos, Instalaciones y Seguridad

Foro 2017
e
Física; Desarrolladores e implementadores de SGSI ... perhaps aprovechando la oportunidad para solicitar
documentación pertinente, etc. que será revisada durante la auditoría.

Foro 2017
e
La gerencia normalmente nombra a uno o más "escoltas" de auditoría: personas que son responsables de
garantizar que los auditores puedan moverse libremente por la organización y encontrar rápidamente las
personas, la información, etc. necesarias para llevar a cabo su trabajo, actuando como guías, facilitadores y
puntos de enlace de gestión.
El resultado principal de esta fase es un alcance de auditoría del SGSI, carta, carta de compromiso o similar,
acordado entre los auditores y la administración del cliente. También se obtienen listas de contactos y otros
documentos preliminares y se abren los expedientes de auditoría para que contengan documentación
(documentos de trabajo de auditoría, pruebas, notas, comentarios, borradores e informes finales, etc.) que
surjan de la auditoría.
7.2 Planificación y preparación de auditorías

El alcance acordado del SGSI se desglosa en mayor detalle, generalmente mediante la generación de una lista
de verificación de auditoría del SGSI (consulte los apéndices para ver dos ejemplos detallados pero genéricos).
El calendario general y los recursos de la auditoría son negociados y acordados por ladirección tanto de la
organización auditada como de los auditores del SGSI, en forma de un plan o calendario de auditoría.
Técnicas convencionales de planificación de proyectos (como gráficos GANTT que muestran fases, duraciones,
hitos, etc.) son útiles.
Los planes de auditoría identifican y ponen límites amplios
alrededor del fases restantes de la auditoría (p. ej.. escalas de Las listas de verificación en esta guidelina hijo
tiempo). Es común en Esta etapa para hacer reservas preliminares No está destinado a ser utilizado sin la debida consid
para el informe de auditoría formal / reunión de discusión que debe
presentarse al final de la auditoría para permitir la paridad
superiorTicipants para programar su asistencia.
Los planes de auditoría a menudo también incluyen "puntos de
control": oportunidades específicas para que los auditores
proporcionen actualizaciones provisionales informales a sus
contactos de gestión, incluida la notificación preliminar de cualquier
inconsistencia observadao posibles no conformidades, etc. Estas (tal Comoseguridad de la información
también son oportunidades para plantear cualquier preocupación relacionadoleyes, reglamentos y
sobre el acceso limitado a la información o a las personas, y para estándaresquehijocomúnmente
que la administración plantee cualquier inquietud sobre la conocido en la industria).
naturaleza del trabajo de auditoría. Si bien los auditores son
necesariamente independientes,deben establecer un nivel de
confianza y un entorno de trabajo cooperativo para comprometerse
lo suficiente y obtener la información necesaria para auditar el SGSI.
El enfoque profesional, la competencia y la integridad son cruciales.
Finalmente, se puede determinar el momento de los elementos de trabajo importantes de unudit,
particularmente para priorizar los aspectos que se cree que representan los mayores riesgos para la
organización si se determina que el SGSI es inadecuado.
El resultado de esta fase es la lista de verificación de auditoría (personalizada) y un plan de auditoría acordado
con la administración.
7.3 Trabajo de campo de auditoría

Esta es generalmente la fase más larga de una auditoría, aunque los informes también pueden ser largos.
Derechos de autor © ISO27k 10 | P a g e

Foro 2017
Durante el trabajo de campo de auditoría, el auditor o auditores que
trabajan metódicamente a través de la lista de verificación de auditoría Las listas de verificación de
recopilan pruebas de auditoría, por ejemplo, entrevistando al personal, auditoría pueden modificarse
los gerentes y otras partes interesadas asociadas con el SGSI, revisando aún más durante el curso de
los documentos del SGSI, impresións y datos (incluidos los registros) de las auditorías, por ejemplo. si
las actividades de SGSI, como las revisiones de registros de seguridad), la salen a la luz áreas de
observación de los procesos de SGSI en acción y la comprobación de las preocupación previamente
configuraciones de seguridad del sistema etc. Las pruebas de auditoría se subestimadas, o si es
realizan para evaluar y validar la evidencia a medida que se recopila. apropiado cambiar el énfasis
Auditoría work se preparan documentos, documentando las pruebas o el nivel de detalle como
realizadas, las pruebas reunidas y los resultados iniciales. resultado de la información
obtenida. Incluso el alcance
La primera parte del trabajo de campo generalmente implica una revisión de la auditoría puede
de la documentación. El auditor lee y toma notas sobre la documentación modificarse, siempre que el
relacionada con y que surge del SGSI (como la Declaración de
cambio esté justificado y
Aplicabilidad, el Plan de Tratamiento de Riesgos, la política del SGSI, etc.).
El auditor genera documentación de auditoría que comprende pruebas de
auditoría y notas en forma de listas de verificación de auditoría
completadas y documentos de trabajo.
Los hallazgos de la revisión de la documentación a menudo indican la necesidad de pruebas de auditoría
específicas para determinar qué tan cerca el SGSI tal como se implementa actualmente sigue la
documentación, así como para probar el nivel general de cumplimiento y la idoneidad de las pruebas de la
documentación en relación con ISO / IEC 27001. Las pruebas de auditoría típicas se muestran en el Apéndice
A y el Apéndice B. Los resultados delas pruebas de auditoría normalmente son registrados por los auditores
en listas de verificación, junto con pruebas, notas y otra documentación en el archivo de auditoría.
Pueden ser necesarias pruebas de cumplimiento técnico para verificar que los sistemas informáticos están
configurados de acuerdo con las políticas, normas y directrices de seguridad de la información de la
organización. Las herramientas automatizadas de comprobación de la configuración y evaluación de
vulnerabilidades pueden acelerar la velocidad a la que se realizan las comprobaciones de cumplimiento
técnico, pero potencialmente introducir sus propios problemas de seguridad que deben tenerse en cuenta*.
El resultado de esta fase es una acumulación de documentos de trabajo de auditoría y pruebas en los
expedientes de auditoría.
7.4 Análisis de auditoría

La evidencia de auditoría acumulada se clasifica y A veces, el análisis identifica lagunas en la
archiva, Revisado y examinados en relación con los evidencia o indica la necesidad de pruebas de
riesgos de la información y los objetivos o requisitos, auditoría adicionales, en cuyo caso se puede
como los de las normas ISO/IEC 27001 y 27002 u realizar más trabajo de campo a menos que se
otras normas y referencias, y el alcance y los hayan agotado el tiempo y los recursos
objetivos de la auditoría. En esta etapa podrán programados. Sin embargo, la priorización de las
redactarse constataciones, conclusiones y actividades de auditoría por riesgo implicaque las
recomendaciones preliminares en relación con áreas más importantes ya deberían haber sido
cualquier cuestión importante identificada.
7.5 Informes de auditoría

La presentación de informes es una parte importante del proceso de auditoría , y un subproceso involucrado
por sí mismo.
Foro 2017
Un informe de auditoría típico del SGSI contiene los siguientes elementos, algunos de los cuales pueden
dividirse en apéndices o documentos separados:
Título e introducción nombrando la organización y aclarando el alcance, los objetivos, el período de
cobertura y la naturaleza, el momento y el alcance del trabajo de auditoría realizado.
Un resumen ejecutivo que indique los hallazgos clave de la auditoría, un breve análisis y comentario, y una
conclusión general, generalmente a lo largo de los lines de "Encontramos que el SGSI cumple con ISO / IEC
27001 y es digno de

Foro 2017
certificación" o "Aparte de [preocupaciones significativas], estamos impresionados con la cobertura y
efectividad de los controles de seguridad de la información dentro del SGSI".
El informe previsto enumera destinatarios específicos (ya que el contenido puede ser confidencial) yd
contiene la clasificación apropiada del documento o instrucciones sobre la circulación.
Un esquema de las credenciales, métodos de auditoría, etc. de auditores individuales y miembros del
equipo;
Hallazgos y análisis detallados de la auditoría, a veces con extractos de la evidencia de respaldo en los
archivos de auditoría donde esto ayuda a la comprensión.
Las conclusiones y recomendaciones de la auditoría, tal vez presentadas inicialmente como propuestas
tentativas para ser discutidas con la gerencia y eventualmente incorporadas como planes de acción
acordados dependiendo de las prácticas locales.
Una declaración formal de los auditores de cualquier reserva,
calificación, limitación de alcance u otras advertencias con respecto a
Los informes de auditoría son
a la auditoría.
quizás el área en la que la
Dependiendo de las prácticas normales de auditoría, se puede invitar a independencia formal de la
la administración a proporcionar un breve comentario o una respuesta auditoría es clave. Se espera
formal, aceptando los resultados de la auditoría y comprometiéndose que los auditores "digan lo
con cualquier acción acordada. que hay que decir". Sin
Es importante que exista una base fáctica que signifique evidencia de embargo, dado el objetivo de
auditoría suficiente y apropiada para respaldar los hallazgos reportados. mejorar el SGSI y hacer
Los procesos de garantía de calidad de audit deben garantizar que «todo lo avanzar la organización, vale
que se puede informar y todo lo que se informa es reportable», la pena expresar las cosas con
normalmente sobre la base de una revisión del expediente de auditoría mucho cuidado ... lo que
por parte de unauditor superior experimentado. La redacción del proyecto requiere experiencia, tacto y
de informe de auditoría se comprueba para garantizar la legibilidad,
evitando la ambigüedad y las declaraciones no respaldadas. Cuando es
aprobado por la gerencia de auditoría para su distribución, el borrador del
informe de auditoría generalmente se presenta y discute.
con la gestión. Podrán celebrarse otros ciclos de examen y revisión del informe hasta su finalización. La
finalización generalmente implica que la gerencia se comprometa con el plan de acción.
La evaluación del auditor de la importancia de cualquier problema o deficiencia identificada durante la
auditoría es el principal determinante de un resultado de "aprobación" o "reprobación". Los resultados de las
auditorías se clasifican comúnmente de acuerdo con su importancia o gravedad, y (al menos con respecto a
las auditorías de certificación) se informan de la siguiente manera:
Informe de No Conformidad Mayor (NCR): una inconformidad que afecta
Los principales NCR hijo mostrar-
sustancialmente a la capacidad del SGSI para alcanzar sus objetivos. Las
tapones: en las auditorías de certificación, es
no conformidades pueden ser clasificado como mayor en el siguiente
Circunstancias:
Si existe una duda significativa de que existe un control efectivo del renovar ONU conformidad
proceso , o de que la confidencialidad, integridad y disponibilidad de la certificado identificado
a menos queel
información cumple con los requisitos especificados; o cuestiones hijo
Una serie de no conformidades menores asociadas con el mismo resuelto un los auditores'
requisito o problema son síntomas indicativos de una falla más satisfacción.
profunda y sustancial en el sistema de gestión (por ejemplo, mala
gobernanza).
NCR menor: una no conformidad que no afecta sustancialmente la capacidad del SGSI para alcanzar sus

Foro 2017
objetivos. La "sustancialidad" es una cuestión subjetiva que el auditor debe determinar, teniendo en cuenta
factores tales como:
El grado de desviación de las recomendaciones de los tandards ISO27k, o de las buenas prácticas
generalmente aceptadas en este ámbito;
Si la inconformidad es deliberada/intencional, o simplemente un descuido;

Foro 2017
La duración de la inconformidad- una cuestión compleja, ya que a veces vale la pena llamar la atención de
la administración sobre cuestiones de larga data, sin embargo, la organización puede haber hecho frente
con bastante éxito a la inconformidad durante el período intermedio;
El riesgo de la información para la organización (con mucho, el factor más importante).
Observación o Opportunidad fo Improvement: una declaración de hecho basada y fundamentada por
pruebas objetivas, que identifica una debilidad o deficiencia potencial en el SGSI que, si no se resuelve, el
auditor cree que puede conducir a la no conformidad en el futuro.
De acuerdo con la convención y las circunstancias, el auditor Mayo Incluso si no aparecen en los
oferta formal o informal Recomendaciones orientación y informes de auditoría formales, las
asesoramiento (p. ej.. promover buenas prácticas y otras mejoras) recomendaciones, observaciones y
pero no es necesario proporcionar una solución específica. Si una consejos normalmente deben
auditoría encuentraLa resolución se expresa de manera efectiva y el registrarse en el expediente de
problema es discreto, la resolución a menudo será evidente. En auditoría. Los hallazgos pueden
última instancia, gracias a la independencia de la auditoría, es gestionarse como riesgos
responsabilidad de la dirección, no de la auditoría, abordar los identificados, lo que tal vez
problemas, actuando en el mejor interés de la organización y provoque un trabajo de
teniendo en cuenta otras prioridades y objetivos empresariales. La seguimiento en futuras auditorías
gerencia debe decidir qué hacer y cuándo hacerlo, si es que lo hace.
En short, las auditorías son meramente consultivas.
El resultado de esta fase es un informe de auditoría del SGSI completado, firmado, fechado y distribuido de
acuerdo con los términos de la carta de compromiso de auditoría.
7.6 Cierre de la auditoría

Además de indexar, hacer referencias cruzadas y, literalmente , cerrar los archivos de auditoría, el cierre
implica ordenar los cabos sueltos, preparar notas para futuras auditorías SGSI u otras auditorías, y tal vez
hacer un seguimiento para verificar que las acciones acordadas se completen de hecho más o menos a tiempo
y según lo especificado.
8. Competencia y evaluación de los auditores

8.1 Competencia del auditor
Los siguientes requisitos se aplican al equipo de auditoría en su conjunto, o al auditor si trabaja solo. En
cada una de las siguientes áreas de conocimiento y experiencia, al menos un miembro del equipo de auditoría
debe tomar la responsabilidad principaldentro del equipo:
Gestión del equipo, planificación de la auditoría y auditoría de los procesos de
garantía de calidad; Principios, métodos y procesos de auditoría;
Sistemas de gestión en general y SGSI en particular;
Obligaciones legislativas, reglamentarias y contractuales pertinentes aplicables a la organización auditada ;
Amenazas, vulnerabilidades e incidentes relacionados con la información, en particular en relación con la
organización auditada y las organizaciones comparables, por ejemplo, una apreciación de la importancia
devarios tipos de incidentes de seguridad de la información que afectan a diferentes formas de
información, su gravedad y posibles impactos, los controles típicamente utilizados para mitigar los riesgos
más otras opciones de tratamiento de riesgos como el seguro cibernético ;

Foro 2017
Técnicas de medición del SGSI (métricas de seguridad de la información);

Foro 2017
Normas SGSI pertinentes, mejores prácticas de la industria, políticas y procedimientos de seguridad;
Gestión de la continuidad del negocio, incluida la evaluación del impacto en el negocio, la gestión de
incidentes, la resiliencia, la recuperación y los aspectos de contingencia;
La aplicación de la tecnología de la información a las empresas y, por lo tanto, la relevancia y la necesidad
de la ciberseguridad; y
Principios, métodos y procesos de gestión de riesgos de la información.
El equipo de auditoría debe ser competente para rastrear las preocupaciones hasta los elementos relevantes
del SGSI, lo que implica que los auditores tienen la experiencia laboral adecuada y los conocimientos prácticos
en todos los elementos mencionados anteriormente. Esto no significa que cada auditor necesite la gama
completa de experiencia y competencia en todos los aspectos de la seguridad de la información, pero el
equipo de auditoría en su conjunto debe tener una gama suficientemente amplia de experiencia y
competencias lo suficientemente profundas como para cubrir todo el alcance del SGSI que se audita.
Enel respeto de las auditorías del SGSI, en concreto, los auditores deben mantenerse al tanto de:
El campo: se trata de un área dinámica con cambios frecuentes en los riesgos de la información ( es decir,
las amenazas, vulnerabilidades y/o impactos), los controles de seguridad y el entorno cibernético en
general. Por lo tanto, es importante que los auditores de SGSI mantengan su conocimiento de las
amenazas emergentes y actuales, las vulnerabilidades que se explotan activamente y la naturaleza
cambiante de los incidentes e impactos dentro del contexto empresarial de la organización.
Cambiosa ISO27k y otras normas, directrices, etc.: aparte de las normas nuevas y actualizadas de la serie
ISO/IEC 27000, hay cambios frecuentes en otras normas potencialmente relevantes (por ejemplo, la serie
NIST SP800), directrices y avisos (por ejemplo, de ISACA).
Cambios legales y regulatorios: GDPR (el Reglamento General de Protección de Datos de la UE) es un
ejemplo actual de un cambio significativo en las leyes y prácticas de privacidad, con implicaciones
comerciales globales.
Cambios empresariales y organizativos: por ejemplo, cambiar las actividades, procesos, prioridades y
relaciones comerciales.
Cambios tecnológicos: por ejemplo, nuevo hardware, software y firmware; nuevos paradigmas como IoT
(Internet
of Things), BYOD (Bring Your Own Device) y cloud computing.
8.2 Demostración de la competencia del auditor

Los auditores deben ser capaces de demostrar sus conocimientos y expertinencia, por ejemplo, a
través de: Poseer calificaciones reconocidas y relevantes, tales como CISA;
Registro como auditor en un organismo profesional reconocido como La auditoría es una actividad
ISACA; altamente privilegiada que
Finalización de cursos de capacitación reconocidos del SGSI, como depende de la confianza y el
"ejecutor principal" y "dirigir a unuditor"; respeto de los auditados, que
Registros actualizados de desarrollo profesional continuo; deben ganarse mediante altos
estándares consistentes de
Registros que confirmen las auditorías en las que han participado
profesionalismo, competencia
(en particular las auditorías de SGSI y TI), y sus funciones; y/o
e integridad personal.
Demostración práctica a auditores más experimentados en el curso
de auditorías SGSI;
Ganarse la confianza y el respeto de sus colegas.

Foro 2017
9. Control de documentos
9.1 Autores
Los siguientes miembros del Foro ISO27k actualizaron esta guía en 2017: Bhushan Kaluvakolan; Richard
Regalado; Gary Hinson y Pratibha Agrawal.
Las siguientes personas contribuyeron a la versión original de 2012 de la guía: Alchap; Javier Cao Avellaneda;
Antón Aylward; Pritam Bankar; Jesús Benitez; Lee Evans; Gary Hinson; Khawaja Faisal Javed;
Lakshminarayanan; Rocky Lam; Prasad Pendse; Renato Aquilino Pujol; Bala Ramanan; Marappan Ramiah;
Richard Regalado; Mninikhaya Qwabaza (Khaya); Kim Sassaman; Mooney Sherman; Juan Sur; Jasmina
Trajkovski; Rob Whitcher y otros.
9.2 Historia
Marzo de 2008 – Primera publicación de la guía presentada al comité ISO/IEC JTC1/SC27 a través de
Standards New Zealand, y publicada como parte del kit de herramientas ISO27k gratuito.
Julio-agosto de 2017 - Documento completo actualizado, primero por un esfuerzo de equipo colaborativo
utilizando Google Docs y luego finalizado en MS Word, y republicado en el kit de herramientas ISO27k.
9.3 Retroalimentación
Los comentarios, consultas y (¡especialmente!) sugerencias de mejora son bienvenidos a través del Foro ISO27k
o directamente a Gary Hinson (Gary@isect.com).
9.4 Derechos de autor

Esta guía es copyright © 2017, ISO27k Forum, algunos derechos reservados. Está bajo la
licencia Creative Commons Reconocimiento-NoComercial-Compartir Igual 3.0. Le invitamos a
reproducir, circular, usar y crear trabajos derivados de esto siempre que (a) no se venda.
o incorporado a un producto comercial, (b) se atribuye adecuadamente al Foro ISO27k en
www.ISO27001security.com, (c) si se comparten, las obras derivadas se comparten bajo los mismos términos
que este.
Siendo una comunidad global amigable y

generosa de ~ 3,500 profesionales de ISMS,
el Foro ISO27k es una excelente fuente de
asesoramiento, apoyo y orientación
adicionales. ISO27001security.com ofrece
información sobre las normas ISO27k, una
faq y un kit de herramientas.
Lo mejor de todo es que

es gratis!

Foro 2017
Apéndice A - Lista de comprobación genérica de auditoría de

seguridad de la información
Introducción
La siguiente lista de comprobación de pruebas de auditoría es genérica. Refleja y se refiere principalmente al
asesoramiento de ISO / IEC 27002 sobre controles de seguridad de la información sin tener en cuenta los
requisitos de control específicos que una organización individual pueda tener en relación con sus riesgos de
información identificados a través de los procesos de evaluación y gestión de riesgos.
Esta es una guía genérica para ayudar a revisar los controles de Hemos modificado, ampliado o
seguridad de la organización, principalmente en comparación con elaborado deliberadamente el
las recomendaciones de ISO / IEC 27001 Anexo A, ISO / IEC 27002 y asesoramiento de ISO / IEC 27002
otros ISO27k normas. No puede proporcionar orientación en diversas áreas, basándonos en
específica sobre la riesgos particulares y controles aplicables a nuestro trabajo profesional y
cada situación y, por lo tanto, deben ser personalizados e experiencia de auditoría con SGSI
interpretados por auditores de TI experimentados de acuerdo con en diversas organizaciones e
el contexto. Por ejemplo, el riesgo de la organización anaLa lisis industrias que se toman en serio la
puede haber determinado que determinados objetivos de control seguridad de la información (por
de las normas no son aplicables y, por lo tanto, pueden no ser ejemplo, hemos
necesarios los controles correspondientes, mientras que en otros incorporadopruebas sobre
ámbitos los objetivos de control pueden ser más riguroso de lo continuidad del negocio). Esta no
sugerido en la norma y es posible que se requieran controles
adicionales. El Risk Treatment Plan y Statement of Applicability
debe proporcionar más detalles al respecto.
Las pruebas de auditoría que se indican a continuación pretenden ser indicaciones o recordatorios de los
principales aspectos que los auditores de TI competentes, calificados y experimentados normalmente
verificarían. No cubren todos los aspectos del riesgo de la información, la seguridad y las áreas relacionadas.
No estándestinados a ser preguntados textualmente o marcados poco a poco. No son adecuados para su uso
por auditores sin experiencia que trabajan sin supervisión.
La lista de verificación no está destinada a ser utilizada sin la debida consideración y modificación. Los
auditores de SGSI normalmente calificanlas listas de verificación personalizadas de la tasa genética que
reflejan el alcance y la escala específicos del SGSI particular que se audita, teniendo en cuenta los requisitos
de seguridad de la información que ya son evidentes en esta etapa (como las leyes relevantes para la
seguridad de la información, las regulaciones ylos estándares que se sabe que se aplican a organizaciones
similares en la industria). Además, la lista de verificación de auditoría puede modificarse durante el curso de
la auditoría si salen a la luz áreas de preocupación previamente subestimadas. Por último, la lista de
verificación debe reflejarlas prácticas normales de trabajo de los auditores, por ejemplo, columnas para notas
de auditoría, referencias a pruebas de auditoría en el archivo, análisis DAFO/PEST de los hallazgos, etc.
Dado que las listas de verificación, los archivos, las notas y las pruebas de auditoría del SGSI
completados contienen información confidencial sobre el riesgo de la información y los arreglos de
seguridad de la organización, deben estar adecuadamente protegidos para garantizar su confidencialidad
e integridad.

Foro 2017
A.5. Políticas de seguridad de la información

A.5.1 Dirección de gestión para la seguridad de la información
A.5.1.1 Políticas de seguridad de la información: revisar las
Numeroso información seguridad
políticas de la organización para el riesgo de la información, la
los controles implican políticas, por lo tanto, políticas
seguridad y las áreas relacionadas (p. ej.. privacidad,
aparecen muchas veces en esta lista de verificación con
continuidad del negocio, cumplimiento, gobernanza, gestión de
riesgos, recursos humanos, seguridad física/del sitio, gestión de
cambios, gestión de la configuración, gestión de incidentes,
registro, clasificación, desarrollo y adquisición de sistemas ...).
Es allí claro evidencia of a razonablemente diseñado
y gestionó el marco/estructura/jerarquía general? ¿Son las políticas razonablemente completas, cubriendo
todos los riesgos de información relevantes y áreas de control? ¿Cómo se autorizan, comunican, entienden y
aceptan las políticas? ¿Estánformalmente obligados a cumplir todos los consumidores y, en su caso, a sus
empleadores? ¿Existen acuerdos adecuados de cumplimiento y refuerzo? Revisar las políticas, estándares,
procedimientos, directrices, etc. para verificar la coherencia con: buenas prácticas (como ISO27k, NIST SP800
y otras normas, avisos y directrices relevantes); obligaciones legales, reglamentarias y contractuales
aplicables; estrategias corporativas y otras políticas. ¿Existen referencias cruzadas apropiadas, tanto internas
como externas? ¿Están las políticas bien escritas, es decir, legibles, razonables y viables? ¿Incorporan
controles adecuados y suficientes? ¿Cubren todos los activos de información esenciales, sistemas, servicios,
etc.? ¿Qué tan madura es la organizaciónen esta área? Busque problemas (brechas, superposiciones,
inconsistencias / conflictos, escritura de mala calidad, políticas desactualizadas / no aprobadas, plazos de
revisión incumplidos, etc.) y oportunidades de mejora.
A.5.1.2 Revisión de las políticas de seguridad de la información: evaluarel proceso de revisión de la
seguridad de la información y políticas relacionadas. Consulte una muestra de políticas para obtener detalles
como: título de la póliza; alcance y aplicabilidad; estado (por ejemplo, proyecto, autorizado, reemplazado,
retirado); nombres de autores y propietarios responsables; números de versión; fechas de publicación; quién
los aprobó (por ejemplo, Comité de Seguridad o un órgano de dirección equivalente); historial de
documentos/fecha de las últimas y próximas revisiones; acuerdos de cumplimiento asociados. ¿Todas las
directivas tienen un formato y un estilo coherentes? ¿Están todos al día, habiendo completado todas las
revisiones debidas (incluidos los comentarios de las revisiones y auditorías de la administración del SGSI) y, si
corresponde, han sido reautorizados y distribuidos? Verifique la evidencia de aprobaciones/autorizaciones
para una muestra pequeña. Busque problemas y oportunidades de mejora.
A.6. Organización de la seguridad de la información
A.6.1 Organización interna

A.6.1.1 Funciones y responsabilidades de seguridad de la información: verifique el riesgo general de la
información y la estructura de gobierno y administración de seguridad . ¿Se le da suficiente énfasis al riesgo
y la seguridad de la información (¿existe una "fuerza motriz"?) y apoyo a la gestión? ¿Existe un foro de alta
dirección para discutir el riesgo de la información y las políticas, riesgos y problemas de seguridad? ¿Están
claramente definidos y asignados roles y responsabilidades a personas adecuadamente capacitadas? ¿Cada
rol tiene una responsabilidad específica hacia el riesgo y la seguridad de la información, la autoridad
relevante y son competentes (calificados) para el rol? ¿Existe un presupuesto suficiente para las actividades
de riesgo y seguridad de la información? ¿Existe coordinación dentro de la organización entre las unidades de
negocio y la sede central? Son los flujos de información (por ejemplo, notificación de incidentes)
¿funcionando eficazmente en la práctica? ¿Existe un conocimiento y un apoyo adecuados para la estructura

Foro 2017
e
de riesgo y seguridad de la información y losacuerdos de gobernanza?
A.6.1.2 Segregación de funciones: comprobar que se han identificado tareas operativas o tareas de
importancia crítica para la seguridad de la información , en particular las realizadas por el riesgo y la
seguridad de la información.

Foro 2017
e
profesionales más personal de TI con privilegios elevados en los principales sistemas de información
(servidores, dispositivos de red, bases de datos, aplicaciones, etc.). Sobre la base de la evaluación del riesgo,
¿se separan las funciones entre funciones o individuos cuando proceda, por ejemplo? para reducir la
posibilidad de incompetencia, negligencia y actividades inapropiadas? Idealmente, se debe mantener una
matriz de tipo RACI identificando para cada tarea/deber clave quién es Rresponsable, Accountable, Consulted
o mantenido Informed, especificando por ejemplo que:
La administración de redes ysistemas debe estar separada de la administración de seguridad;
Un solicitante de acceso no debe poder aprobar sus propias solicitudes, ni ser capaz de crear sus propias
credenciales de inicio de sesión;
La conciliación de los derechos de acceso no debe ser realizada únicamente por los administradores del
sistema;
Los desarrolladores y probadores de aplicaciones no deben tener acceso rutinario a los entornos de
producción; Los solicitantes de cambio no deben tener la autoridad para aprobar sus propias
solicitudes;
Las revisiones de las reglas de firewall no deben ser realizadas únicamente por administradores de red;
Los registros de seguridad, los informes de incidentes, las alarmas y las alertas no deben ser utilizados y
revisados únicamente por profesionales de TI;
Las auditorías deben ser realizadas por auditores competentes e independientes.
¿Existe una política que cubra la segregación de funciones? ¿Cómo se toman las decisiones con respecto a
dicha segregación? ¿Quién tiene la autoridad para tomar tales decisiones? ¿Se revisan periódicamente los
deberes segregados, cuando cambian las situaciones y los riesgos, o cuando ocurren incidentes? Cuando la
segregación es impracticable o inviable (por ejemplo, una organización pequeña), ¿se emplean controles
compensatorios (por ejemplo, tala adicional o supervisión de la gestión)? ¿Se lleva a cabo un seguimiento
periódico de las actividades y las pistas de auditoría? ¿Existe una supervisión adecuada de lagestión,
especialmente para los aspectos críticos (por ejemplo, trabajadores sin experiencia, estresados o no
confiables que realizan trabajos de seguridad desconocidos, complejos y / o particularmente importantes)
A.6.1.3 Contacto con las autoridades: ¿existe una lista de datos de contacto para las autoridades y
organismos reguladores o de otro tipo que podrían necesitar ser contactados en caso de consultas, incidentes
y emergencias, por ejemplo, aplicación de la ley, servicios de emergencia y personal de mantenimiento /
apoyo para HVAC, energía, suministro de agua, servicios de telecomunicaciones, etc.? Compruebe quién es
responsable de ponerse en contacto con las autoridadesy en qué momento de un incidente / evento se
realiza este contacto y cómo. Compruebe si esto se ha hecho antes y si se mantiene un contacto informal y
regular con estas autoridades para que las dos partes (la empresa y dichas autoridades) no sesorprendan en
tiempos de emergencia. Verifique con el resultado de la evaluación de riesgos si se dispone de los datos de
contacto de las autoridades para los riesgos significativos identificados. ¿La lista es actual y correcta? ¿Existe
un proceso de mantenimiento? (Véase también el reglamento de cumplimientoque figura en A.18.1.1).
A.6.1.4 Contacto con grupos de interés especial: ¿existe contacto regular o ad hoc con grupos de intereses
especiales, foros profesionales y listas de correo en riesgo y seguridad de la información, como los capítulos
locales de ISACA, ISC2, ISSA, ISO27k Forum etc.? ¿Se comparte información sobre amenazas emergentes,
nuevas tecnologías de seguridad, buenas prácticas de seguridad, alertas tempranas de alertas y avisos,
vulnerabilidades recién descubiertas y disponibilidad de parches, etc.?
A.6.1.5 Seguridad de la información en la gestión de proyectos: revisar los aspectos de riesgo y seguridad
de la información de los métodos de gobernanza y gestión de proyectos de la organización. ¿Se identifican y
abordan los riesgos de la información y los requisitos de seguridad en todas las etapas de todos los proyectos,
todos los tipos de proyectosque se refieren a la información, los nuevos desarrollos y los cambios/mejoras de
los sistemas, aplicaciones y procesos existentes? ¿Cada etapa del proyecto incluye actividades apropiadas?

Foro 2017
e
¿Los propietarios del sistema/aplicación/proceso/riesgo aceptan formalmente los riesgos residuales (por
ejemplo, como parte de la aceptación final)?

Foro 2017
e
A.6.2 Dispositivos móviles y teletrabajo
A.6.2.1 Política de dispositivos móviles: revise la política y los controles de seguridad relacionados con los
usuarios móviles y domésticos que trabajan en computadoras portátiles y emitidas por empresas, por
ejemplo, computadoras portátiles corporativas, PDA, teléfonos inteligentes, iPads, tabletas, USB / otros
dispositivos de almacenamiento móvil, VPN, etc. ¿Cómo se mantienen y controlan los sistemas portátiles (por
ejemplo, para garantizar que se mantienen actualizados sobre las definiciones de antivirus y los parches de
seguridad)? Confirme que todos los dispositivos portátiles que contienen datos corporativos y personales
confidenciales y propietarios empleancontroles de acceso adecuados, lo que normalmente implica la
instalación de imágenes corporativas a través de soluciones MDM, soluciones MAM para controlar
aplicaciones, cifrado de disco completo y reglas en torno a dicho acceso en caso de que esté permitido.
6.2.2 Teletrabajo: revisar las políticas, procedimientos, directrices y prácticas relativas al teletrabajo, el
trabajo a distancia y el trabajo portátil. Comprobar que se determinan, evalúan y tratan los riesgos de
información relacionados con el teletrabajo (por ejemplo, controles de seguridad técnicos, físicos y
procedimentales adecuados). Soncontroles de seguridad para el teletrabajo equivalentes a los de los lugares
de trabajo convencionales de tipo de oficina (cualquier diferencia debe reflejar los respectivos riesgos de
información). ¿Existen arreglos adecuados para la autenticación de usuarios, la seguridad de la red, el
antivirus, las copias de seguridad, el parcheg, el registro y la supervisión de la seguridad, el cifrado y la
continuidad del negocio? Si es necesario, ¿cómo obtendría la organización acceso a dispositivos y medios de
TIC corporativos o privados para confirmar o configurar su seguridad, investigar incidentes, etc.?
A.7. Seguridad de losrecursos humanos
A.7.1 Antes del empleo

A.7.1.1 Selección: ¿el proceso de selección previa al empleo tiene en cuenta las leyes y regulaciones
relevantes de privacidad y empleo? ¿Esto se hace internamente o se contrata a un tercero? ¿Se
preselecciona al personal y a los contratistas antes del empleo (incluido el contacto con las autoridadesy una
verificación de la autorización de seguridad cuando corresponda)? Si esto lo hacen los propios terceros, ¿se
han revisado sus procesos y se ha considerado aceptable? ¿Existen procesos de selección mejorados para los
trabajadores en roles particularmente confiables (por ejemplo, manguera con acceso equivalente a ROOT a
sistemas sensibles), departamentos / funciones, unidades de negocio o sitios? ¿Cómo se logra todo esto?
Debe haber un proceso documentado consistente y repetible que sea propiedad y mantenido por Recursos
Humanos y la evidencia debe estar disponible, por ejemplo. los resultados de dichas verificaciones de
antecedentes. Los atributos de dichos controles deben basarse en una evaluación del riesgo y ajustarse a
estos requisitos de control, y debe documentarse una aceptación del riesgo de los requisitos que no puedan
cumplirse.
A.7.1.2 Términos y condiciones de empleo: son funciones y responsabilidades relevantes de seguridad de la
información adecuadamente definidas en las descripciones de puestos, ofertas, contratos de empleo y
servicios, términos y condiciones de empleo, etc. para profesionales de riesgos y seguridad de la
información, administradores de sistemas de TI / redes, gerentes, auditores y trabajadores en general? ¿Se
identifican las responsabilidades específicas relacionadas con la informacióny la seguridad, de acuerdo con la
naturaleza de los roles? Verifique la confidencialidad adecuada y cláusulas similares (acuerdos de no
divulgación). ¿Se mantienen registros para demostrar que los trabajadores entendieron, reconocieron y
aceptaron susobligaciones de seguridad de información? ¿Continúan (algunas) obligaciones por períodos
definidos o indefinidos más allá del final del empleo?
A.7.2 Durante el empleo

Foro 2017
e
A.7.2.1 Responsabilidades de gestión: revisar la concienciación sobre seguridad de la información, la
capacitación y los arreglos educativos dirigidos a la audiencia de gestión y supervisión. ¿Son regulares y
continuos? ¿El contenido y la naturaleza/formato/estilo de la información y las actividades de sensibilización
se adaptan a la audience? ¿Reciben los gerentes la conciencia y la capacitación adecuadas específicamente
sobre sus roles y responsabilidades relacionados con el riesgo de la información clave y la seguridad (por
ejemplo, conciencia de la "autorización" y la "supervisión" en general, capacitación sobre cómo definir y
revisar los derechos de acceso)? Son riesgos de información, seguridad y actividades y requisitos
relacionados

Foro 2017
e
(como la integridad personal y la confiabilidad) identificados en las descripciones de trabajo, y ¿los
trabajadores son seleccionados, capacitados y calificados adecuadamente? ¿El programa de inducción
atiende específicamente a los gerentes recién contratados o promovidos que proporcionan informacióny
orientación importantes sobre la postura, estrategias, políticas, etc. de seguridad de la información de la
organización?
A.7.2.2 Conciencia de seguridad de la información, educación y formación: revisar la formación de aquellos
participan específicamente en el funcionamiento del SGSI y los controles de seguridad de la información, y en
las actividades generales de sensibilización sobre la seguridad de la información dirigidas a todos o a grupos
específicos de trabajadores. Son necesarias las competencias y los requisitos de formación/sensibilización
para informarProfesionales de la seguridad y otras personas con funciones y responsabilidades específicas
explícitamente ¿identificado? Es allí a Estructurado programa Continuo seguridad
de sensibilización y capacitación iniciales (inducción/orientación) y sensibilización, organización yeducativa,
adiestramiento
regulares (continuas/continuas) sobre seguridad de la información para de principio a fin el
todo tipo de trabajadores? ¿Existe una estrategia o plan de de arriba a abajo,
comunicación, que generalmente incluya folletos y sesiones ayuda a construir y mantener ONU
informativas, carteles, correos electrónicos, gestión del aprendizaje en Cultura de seguridad corporativa: la tradicional
línea, cuestionarios, concursos, videos, redes sociales (por ejemplo,
blogs) y otros métodos o actividades sobre una secuencia o variedad de
temas? Además de los temas específicos, ¿cubre el contenido aspectos
más generales, como el riesgo de la información, la seguridad y los
conceptos relacionados; el compromiso y el apoyo de la gestión; los
requisitos legales, reglamentarios, contractuales y de políticas; la
contabilidad personaly las responsabilidades generales; los puntos de
contacto y otros recursos? ¿Se actualiza o actualiza el contenido para
reflejar la evolución de los riesgos de la información, como las
amenazas emergentes, recientemente identificadas?
vulnerabilidades e incidentes recientes o cuasi accidentes, y cambios como políticas nuevas/revisadas?
¿Existen pruebas y ejercicios periódicos para verificar el nivel de conciencia (si es así, verifique los resultados,
incluidas las tendencias y cualquier área problemática o inquietud)? ¿Hayacciones adicionales para
cualquiera que tenga un mal desempeño en tales pruebas, y / o se realizan cambios en los materiales de
concientización y capacitación?
A.7.2.3 Proceso disciplinario: los procesos disciplinarios atienden incidentes de seguridad de la información,
violaciones de privacidad, piratería, piratería, fraude, espionaje industrial, etc. por los trabajadores? Revisar
las políticas, procedimientos, directrices, prácticas y registros que surjan. ¿Cómo se informa a los
trabajadores del proceso, incluidas las expectativas de la organización y sus derechos? ¿Está cubierto por
contratos y acuerdos, capacitación de inducción y conciencia continua? ¿Se ha invocado alguna vez el
proceso disciplinario para incidentes de seguridad de la información (si es así, revisarlos casos de
investigación; si no, por qué no)?
A.7.3 Terminación y cambio de empleo

A.7.3.1 Terminación o cambio de responsabilidades laborales: revisar políticas, estándares, procedimientos,
directrices y registros asociados relacionados con la seguridad de la información para los trabajadores que se
mueven lateral o verticalmente dentro de la organización (por ejemplo, ascensos y descensos, cambios de
roles, nuevas responsabilidades, nuevas prácticas de trabajo, por ejemplo, teletrabajo) o bajas (renuncias,
despidos planificados o no planificados). Evaluar el riesgo de la información y los aspectos de seguridad , por
ejemplo, recuperación de activos de información (papeles, datos, sistemas), claves, eliminación de derechos
de acceso, confidencialidad continua de la propiedad e información personal si es necesario, etc.

Foro 2017
A.8. Gestión de activos
A.8.1 Responsabilidad por los activos

A.8.1.1 Inventario de activos: revisar cualquier inventario de activos (de información), que potencialmente
cubra:
Datos digitales: datos comerciales de todo tipo y todas las ubicaciones; Datos de TI/soporte (por ejemplo,
bases de datos de configuración); contraseñas y datos biométricos; certificados y claves digitales, etc.;

Foro 2017
Información impresa: documentación del sistema y del proceso (que abarca especificaciones,
arquitectura y diseño, instalación, operación, uso, gestión ...); licencias, acuerdos y contratos;
materiales de sensibilización y formación;información sobre la gestión de la continuidad del negocio,
planes de recuperación en casos de desastre, ejercicios, informes, etc.; otros informes y registros
impresos (por ejemplo, libros de visitas, registros de mantenimiento de instalaciones) etc.;
Software: software del sistema más parches y divulgaciones de vulnerabilidades; aplicaciones, utilidades
de administración de TI, bases de datos y middleware, además de otro software y parches empaquetados
y a medida; medios de instalación originales y / o descargas verificadas por hash; licencias; acuerdos de
custodia , etc.;
Infraestructura: servidores (físicos y virtuales, dentro y fuera del sitio); dispositivos de red (enrutadores,
conmutadores, equilibradores de carga, dispositivos VPN, servidores proxy web); dispositivos de
seguridad (servidores de autenticación, sistemas de control de acceso, puertas de enlace y firewalls, IDS /
IPS, SIEM, filtros de spam y malware, sistemas de registro y alerta); dispositivos de comunicación
(módems, enrutadores, líneas arrendadas, conexiones a Internet, enlaces de microondas, WiFi Puntos de
acceso); cables, paneles de conexión, enchufes y puertos; dispositivos de usuario final (computadoras de
escritorio y portátiles, teléfonos inteligentes, ts de mesa, dispositivos BYOD); Cosas de IoT; Sans; unidades
y cintas de respaldo; archivadores, gabinetes con cerradura, cajas fuertes, etc.;
Servicios de información y proveedores de servicios: servidor, red, almacenamiento y copia de
seguridad, seguridad, soporte de TIC y otras operacionesy servicios relacionados con la información;
Internet y servicios en la nube; Reuters, CERT y fuentes de información similares; operaciones de
terceros, servicios de mantenimiento y soporte, etc.;
Seguridad física y protección: detectores de humo, alarmas y sistemas de extinción de incendios;
suministro de energía, incluidos UPS y generadores; aire acondicionado más monitoreo de temperatura y
alarmas; bastidores de servidores, controles de acceso a tarjetas, cercas perimetrales, alarmas de
intrusos; cajas fuertes contra incendios dentro y fuera del sitio; llaves, especialmente llaves maestras,
etc.;
Relaciones comerciales: con partes externas, por ejemplo, proveedores, socios, clientes, asesores,
reguladores y autoridades, propietarios y otras partes interesadas, en particular aquellos que implican el
paso de información;
Personas: en particular, cualquier individuo crítico (más o menos insustituible) u otroindividuo valioso
con conocimientos, experiencia, habilidades, experiencia o contactos únicos, a menudo desempeñando
roles vitales.
¿Quién es el propietario del inventario? Revisar la gestión, administración y uso asociados. ¿Cómo se
mantiene el inventario en una condición razonablemente completa, precisa y actualizada a pesar de los
movimientos de equipo / personal, nuevos sistemas, cambios comerciales y de TI, etc.? (por ejemplo, un
proceso de registro para nuevos sistemas)? ¿Es suficientemente detallado y adecuadamente estructurado?
Busque procesos de gestión de inv entory automatizados y manuales (por ejemplo, códigos de barras,
etiquetas de seguridad, registros de compras, números serie/MAC/EMEI, informes de comprobación de
existencias/auditoría, escaneos de red, enlaces a otras bases de datos).
A.8.1.2 Propiedad de los activos: comprobar que todos los activos de información críticos tienen propietarios
contablesapropiados, y que sus obligaciones (por ejemplo, analizar y tratar los riesgos de información
asociados) están claramente definidas para todo el ciclo de vida de la información. Compruebe cómo se
asigna la propiedad poco después de que se crean o adquieren los activos críticos. Verifique si hay evidencia
de que este proceso ocurre de manera continua. Todos los activos deben estar debidamente etiquetados y
las etiquetas de activos y los propietarios deben estar debidamente referenciados en el informe deactivos.
Verificar la propiedad/ control de los activos por parte de la organización (por ejemplo, si los activos se
arriendan, ¿cuáles son los pasivos de ambas partes si hay incidentes de seguridad de la información que los
afecten?).
Foro 2017
A.8.1.3 Uso aceptable de los activos: ¿existe una política sobre el uso aceptable delos recursos de cronología
como el correo electrónico, la mensajería instantánea, FTP, las responsabilidades de los usuarios, etc.?
¿Cubre el comportamiento del usuario en Internet y las redes sociales? ¿Se permite cualquier uso personal
de los activos de la empresa? En caso afirmativo, ¿en qué medida y cómo se monitorea / sigueesto? ¿Se
mencionan los DO y DONT y lo que constituye un uso indebido en cualquier documento? ¿Circula esto por
toda la empresa? Compruebe si se presenta un mensaje de advertencia o un banner de inicio de sesión
adecuados a los usuarios que deben reconocer para continuar con el proceso de inicio de sesión. Verifique si
algún procedimiento de monitoreo ha sido aprobado por un asesor legal. ¿El uso de la criptografía se ajustaa
todas las leyes, acuerdos/contratos y reglamentos pertinentes?

Foro 2017
A.8.1.4 Devolución de activos: cómo se gestiona esto para todos los transportistas laterales y para aquellos
que han renunciado o terminado. ¿Es este un procedimiento automatizado o manual? Si es manual, ¿cómo
se garantiza que no haya deslizamientos? ¿Se les obliga a todos los que se van a entregar todos los activos
emitidos por la empresa antes de que finalmente se vayan, y cómo se abordan los activos faltantes?
A.8.2 Clasificación de la información

A.8.2.1 Clasificación de la información: revisar políticas, normas, procedimientos, directrices y registros
asociados relacionados con la clasificación de la información. ¿La clasificación está impulsada por las
obligaciones del gobierno o de defensa? ¿La clasificación se basa en requisitos de confidencialidad,
integridad y/o disponibilidad? ¿Se mencionan los siguientes aspectos en la política/procedimiento con
respecto a la información clasificada: método de etiquetado, transferencia, almacenamiento, manipulación de
medios extraíbles, eliminación de medios electrónicos y físicos, divulgación, intercambio, intercambio con
terceros, etc.? ¿Se utilizan las marcas apropiadas en los activos en función de la clasificación de la
información que contienen? La clasificación también es necesaria para documentos, formularios, informes,
pantallas, medios de respaldo, correos electrónicos, transferencias de archivos, etc. ¿El personal es
consciente de los requisitos de seguridad correspondientes para la manipulación de materiales sensibles (por
ejemplo, no hay datos que se clasifiquen como "secretos" para ser generados, procesados o almacenados en
cualquier sistema conectado a la principal LAN/WAN corporativa o Internet)?
A.8.2.2 Etiquetado de la información: ¿existe un procedimiento de etiquetado de la información tanto en
forma física como electrónica? ¿Está sincronizado con la política de clasificación de información? ¿Cómo se
garantiza el etiquetado correcto? (Cómo) se vincula con el mecanismo de control de acceso, por ejemplo,
¿DRM? ¿Cómo se garantiza que solo aquellos con permisos de acceso aprobados accedan a la información de
clasificación relevante? ¿Y cómo se garantiza que no haya acceso no autorizado? ¿Los propietarios de
activos revisan los niveles de clasificación a intervalos predefinidos o en los casos de cualquier cambio
significativo? Verifique que los trabajadores sepan lo que significan las etiquetas.
A.8.2.3 Manejo de activos: además de A.8.2.1, verifique con respecto a la información clasificada que
pertenece o recibe de fuentes externas: ¿sus niveles de clasificación se asignan adecuadamente a los niveles
de clasificación propios de la organización?
A.8.3 Manejo de medios

A.8.3.1 Gestión demedia removibles: revisar la política, el procedimiento, las normas, las prácticas y los
registros pertinentes, en relación con los riesgos de la información. ¿Existe un registro de activos actualizado
y completo para cintas, paquetes de discos extraíbles, CD/DVD, memorias USB y otros medios extraíbles?
¿Estánlos medios debidamente etiquetados, cuando sea necesario (por ejemplo, clasificación y números de
serie) y contabilizados en un registro de activos? ¿Los medios de archivo se duplican y verifican antes de la
eliminación de los datos de origen? ¿Las cintas de archivo se verifican periódicamente y se vuelven a
tensarsegún las especificaciones del fabricante (normalmente anualmente)? ¿Existen controles adecuados
para mantener la confidencialidad de los datos almacenados (por ejemplo, cifrado cuando sea necesario,
acceso limitado a cintas y unidades, arreglos de mensajería seguros para transportar productos de alto
riesgo?? ¿Todos los medios se almacenan en un entorno seguro según las especificaciones del fabricante?
¿Existen autorizaciones para todos los medios que necesitan ser trasladados de un lugar a otro y se
contabilizan en cada etapa?
A.8.3.2 Eliminación de medios: además de A.8.3.1, ¿cómo se eliminan los medios (internamente o
subcontratados a un tercero, en cuyo caso se ha seleccionado al tercero después de la diligencia debida y
existe un contrato adecuado con los requisitos de seguridad y garantía aplicables)? ¿Son losrequisitos
políticos, contractuales, legales o reglamentarios específicos para la eliminación de medios? ¿Existen
aprobaciones documentadas en cada etapa para la eliminación de los medios? ¿Los datos que aún deben

Foro 2017
conservarse se copian en otros medios y se verifican antes de dicha eliminación? Se eliminan datos
particularmente sensibles de forma segura antes de la eliminación de los medios (por ejemplo, por borrado
criptográfico, desmagnetización y/o destrucción física)? ¿Se conservan pruebas documentales de la
destrucción de los medios de comunicación, y cuál es su período de retención, períodos de revisión, etc.?
¿Los arreglos incluyen medios integrados dentro del equipo (por ejemplo, dispositivos multifunción)?

Foro 2017
A.8.3.3 Transferencia de medios físicos: compruebe la política y el procedimiento de control A.8.3.1. Para
medios transportados a otros lugares (por ejemplo, copias de seguridad almacenadas fuera del sitio),
verifique si se está utilizando un transporte o servicio de mensajería confiable para este propósito. Verifique
que una persona calificada identifique el contenido de los medios antes de la transferencia y si los contenidos
están encriptados o no. Compruebe que dicha transferencia se registra en cada etapa (entrega a los
custodios de tránsito, salida de la instalación / centro de datos inicial, llegada al destino, almacenamiento,
etc.). Comprobar que se transporta según las especificaciones del fabricante, la protección adecuada aplicada
durante la transferencia, el registrode los tiempos de transferencia y recepción en el destino.
A.9 Control de acceso
A.9.1 Requisitos empresariales de control de acceso

A.9.1.1 Política de control de acceso: revise cualquier política, procedimiento, directriz, práctica y registro
asociado de control y gestión de acceso. ¿Son consistentes con la política de clasificación, los procedimientos
de carpinteros/mudanzas/egresados, etc.? ¿Existe una adecuada segregación de funciones? ¿El acceso
inicial a la red/sistema está limitado para que los nuevos trabajadores comiencen ( por ejemplo, solo correo
electrónico e intranet), ¿el acceso posterior a las aplicaciones empresariales de acuerdo con las necesidades
específicas del negocio se concede en función de un flujo de trabajo definido que incluye aprobaciones en
los niveles apropiados?
A.9.1.2 Acceso a redes y servicios de red: revisar la directiva de servicios de red (puede formar parte de una
política general de control de acceso). Además de los requisitos estándar de control de acceso a las redes,
¿cómo son las VPN? y accesos inalámbricos Autorizados, controlado y monitoreado? Es multi-
¿Cuenta con autenticación de factores para redes, sistemas y Dado que los controles
aplicaciones críticas, especialmente para usuarios privilegiados? ¿Cómo preventivos son limitados y los
se monitorean las redes para detectar accesos no autorizados, usos o hackers competentes se
actividades sospechosas/anómalas? ¿Se comprueban y prueban esfuerzan por ocultar sus
regularmente los controles de seguridad de la red (por ejemplo, actividades, la detección
pruebas de penetración)? ¿La organización mide e informa los tiempos temprana y la respuesta
de identificación y respuesta de incidentes? rápida generalmente se
A.9.2 Gestión del acceso de usuarios

A.9.2.1 Registro y baja de usuarios: comprobar la cobertura en la política y procedimientos de control de
acceso. ¿Segeneran los ID de usuario únicos para cada usuario en función de un flujo de trabajo de solicitud
con las aprobaciones y registros adecuados? Compruebe que los ID de usuario de los que se van se
deshabiliten inmediatamente en función de un flujo de trabajo. ¿Existen vínculos efectivos entre la
Administración de Seguridad y lasAdquisiciones de Recursos Humanos para una pronta notificación cuando
los trabajadores se van o se mudan? ¿Existe una revisión/auditoría periódica para identificar y suspender los
ID de usuario redundantes? ¿Se eliminan los ID suspendidos después de confirmar que ya no son necesarios?
¿Qué impide que los ID de usuario se transfierana otros usuarios? Si el registro y la cancelación del registro
son un proceso manual, compruebe cómo se mantiene una pista de auditoría. Verifique que el momento de
cancelar el registro de una cuenta no sea contraproducente para la empresa (por ejemplo, los clientes
pueden enviar información importante a una cuenta de correo electrónico que se deshabilitó recientemente;
la propiedad de información comercial valiosa puede necesitar ser reasignada de una cuenta redundante a un
usuario activo apropiado).
A.9.2.2 Aprovisionamiento de acceso de usuarios: compruebe que el acceso inicial para todos los usuarios es
basic (por ejemplo, solo correo electrónico e intranet) y que todo el acceso posterior a los sistemas y servicios

Foro 2017
de información se basa en las necesidades del negocio. Compruebe cómo se garantiza que todos los accesos
que se conceden se ajustan a las políticas sobre control de acceso y segregación de funciones. Más allá del
acceso básico, debe haber solicitudes para todo acceso adicional con las aprobaciones apropiadas en todas las
etapas hasta que se otorgue. Ejemplos de registros de pruebas de que los derechos de acceso concedidos
normalmente están limitados en la medida de lo posible, y que los derechos de acceso se revisan
periódicamente y, si es necesario.

Foro 2017
revocado rápidamente (por ejemplo, coteje una pequeña muestra con las cuentas activas para determinar si
todas las cuentas activas estaban debidamente autorizadas y solo se concedió el acceso autorizado).
A.9.2.3 Gestión de los derechos de acceso privilegiado: además de A 9.2.2, preste especial atención a los
usuarios privilegiados. Revise los controles de cuentas y acceso al sistema para los usuarios de los ID de
usuario de los administradores de sistemas, bases de datos, aplicaciones y administradores de redes con
privilegios, como SYSTEM, Admin y ROOT. Verificar que existan controles mejorados para reflejar el mayor
potencial de abuso de privilegios, por ejemplo. procedimientos especiales de autorización de cuentas y
sistemas de seguimiento para detectar y responder a cualquier abuso de este tipo. ¿Existe un proceso en
funcionamiento para revisiones más frecuentes y periódicas de las cuentas privilegiadas para identificar y
deshabilitar/eliminar cuentas privilegiadas redundantes y/o reducir los privilegios? Compruebe el
procedimiento para conceder dicho acceso elevado y que se generen identificadores de usuario
independientes para conceder privilegios elevados. ¿Se ha establecido un vencimiento con límite de tiempo
para los ID de usuario con privilegios? Compruebe el proceso para cambiar contraseñas o suspender los ID de
usuario lo antes posible cuando los usuarios con privilegios se vayan o se muevan internamente. ¿Se
supervisan aún más de cerca las actividades de los usuarios privilegiados en este período?
A.9.2.4 Gestión de la información de autenticación secreta de los usuarios: revisar la identificación del
usuario y los controles de autenticación, por ejemplo, políticas, estándares, procedimientos, directrices y
controles técnicos como la contraseña mínimal ength, reglas de complejidad, cambio forzado de contraseñas
en el primer uso, autenticación multifactor, biometría, contraseñas compartidas, etc. Evaluar la combinación
de controles técnicos / automatizados y procedimientos manuales, revisiones de gestión, etc. . ¿Alguien
verifica rutinariamente si hay contraseñas débiles y hace un seguimiento con conciencia / capacitación de
seguridad del usuario? ¿Se proporcionan contraseñas nuevas, de reemplazo o temporales a los usuarios solo
después de confirmar sus identidades? ¿Se transmite dicha información por medios seguros? ¿Son
lascontraseñas genéricas o predeterminadas lo suficientemente fuertes, es decir, no se pueden adivinar
fácilmente o son forzadas brutamente? ¿Se requiere que los destinatarios acusen recibo de identificaciones y
contraseñas? ¿Se cambian las contraseñas predeterminadas de los proveedores inmediatamente después de
la instalación de los sistemas o el software? Compruebe los procedimientos y herramientas para la
generación temporal de contraseñas: ¿son manuales, semiautomatizadas o totalmente automatizadas? ¿Se
anima a los usuarios a utilizar un software de bóveda de contraseñas adecuado (si es así, es lo
suficientemente seguro)? Confirme que las contraseñas en los sistemas/dispositivos y aplicacionesse
almacenan puramente en forma cifrada (preferiblemente como hashes salados).
A.9.2.5 Revisión de los derechos de acceso de los usuarios: ¿son las revisiones periódicas de los derechos de
acceso de los usuarios en los sistemas y aplicaciones encargadas/solicitadas por sus "propietarios" para
verificar si hay cambios en los roles de los usuarios, como promociones, movimientos internos y / o
renuncias? ¿Los derechos y permisos de acceso se ajustan o se vuelven a autorizaren consecuencia? ¿Existe
algún mecanismo para garantizar que las revisiones se realicen regularmente y a tiempo? Dados los riesgos,
¿se revisan los derechos y permisos de acceso para usuarios privilegiados de manera más exhaustiva y con
más frecuencia?
A.9.2.6 Eliminación o ajuste de los derechos de acceso: verifique el procedimiento para la eliminación o el
ajuste de los derechos de acceso de los empleados, proveedores y contratistas al finalizar o cambiar su
empleo, contrato o acuerdo. ¿Incluye el acceso físico a las instalaciones y el acceso lógico a la red?
Compruebe si las palabras deusuario conocidas o de grupo (conocidas por aquellos que se van o se mueven
internamente) se cambian cuando se producen dichas salidas o movimientos. En tales casos, ¿se eliminan las
personas que se van / se mueven de los grupos al mismo tiempo que se cambian las contraseñas?
Unamuestra de registros.
A.9.3 Responsabilidades del usuario

Foro 2017
A.9.3.1 Uso de información secreta de autenticación: verifique la política sobre la necesidad de mantener las
contraseñas, códigos PIN, etc., confidencial, no divulgarlas ni registrarlas, cambiarlas rápidamente si se
sospecha un compromiso, y la necesidad de tener contraseñas diferentes para varios sistemas (incluido el
uso comercial frente al personal). ¿Cómo se garantiza todo esto? Explore los riesgos de la información y los
controles de seguridad relacionados con cualquier cuenta compartida (por ejemplo, ¿Los propietarios de
cuentas son personalmente responsables de lasactividades de un ll bajo "sus" cuentas, independientemente
de quién las use realmente?).

Foro 2017
A.9.4 Control de acceso a sistemas y aplicaciones
A.9.4.1 Restricción de acceso a la información: además de 9.2.2, revise los diseños de seguridad y otra
documentación para una muestra de los principales sistemas para determinar si existen controles de acceso
adecuados, incluido el uso de identidades de usuario individuales, autenticación de usuarios, controles de
acceso automatizados, cifrado, etc. ¿Cómo se definen los derechos de acceso, los permisos y las reglas
asociadasd, autorizados, asignados, monitoreados/revisados, administrados y retirados?
A.9.4.2 Procedimientos de inicio de sesión seguros : ¿están protegidos los procesos de identificación y
autenticación de usuarios/inicio de sesión?
por ejemplo, ¿Utiliza la secuencia de teclas control-alt-delete para activar una función de kernel privilegiada?
¿Se muestran avisos de advertencia generales durante el inicio de sesión para disuadir el acceso no
autorizado, pero no información que pueda ayudar a un usuario no autorizado a identificar y acceder al
sistema / servicio? ¿Cómo se autentican las identidades de usuario reclamadas durante el proceso de inicio
de sesión? ¿Se ha implementado la autenticación multifactor para sistemas críticos / servicios / conexiones
remotas a través de VPN, etc.? ¿La información de inicio de sesión solo se valida después de que se complete
la entrada? ¿La contraseña no válida desencadena retrasos o bloqueos, entradas de registro y
alertas/alarmas? Compruebe también si se están registrando inicios de sesión correctos. Compruebe que las
contraseñas nunca se transmiten a través de redes o enlaces en texto sin cifrar.
A.9.4.3 Sistema de gestión de contraseñas: ¿los sistemasaplican los requisitos de seguridad de contraseña
establecidos en las políticas y normas corporativas? ¿Las reglas definen la longitud mínima de la contraseña,
evitan la reutilización de un número específico de contraseñas utilizadas anteriormente, aplican reglas de
complejidad (mayúsculas, minúsculas,números, símbolos, espacios, etc.), cambio forzado de contraseñas en el
primer inicio de sesión, no visualización de contraseñas a medida que se ingresan, almacenamiento y (si es
necesario) transmisión de contraseñas en forma cifrada, etc.?
A.9.4.4 Uso de programas de utilidad privilegiados: ¿quién controla las utilidades privilegiadas? ¿Quién
puede acceder a ellos, en qué condiciones y con qué fines? Compruebe si a estas personas se les ha
proporcionado acceso en función de una necesidad comercial y un proceso de aprobación auditable, y si se
registra cada instancia de su uso. Confirme que no se ha realizado acceso a ningún programa de utilidad a los
usuarios de aplicaciones o sistemas donde se requiera la segregación de funciones.
A.9.4.5 Control de acceso al código fuente del programa: compruebe los controles en torno al código fuente
del programa. ¿Se almacena en una o másbibliotecas o repositorios de origen progra m, en entornos seguros
con controles adecuados de acceso y versión, monitoreo, registro, etc.? ¿Cómo se modifica el código fuente?
¿Cómo se emite (se retira) y se compila el código? ¿Se almacenan y revisan los registros de acceso y cambio?
Busque evidencia.
A.10. Criptografía
10.1 Controles criptográficos

A.10.1.1 Política sobre el uso de controles criptográficos: ¿se requiere cifrado? En caso afirmativo, ¿qué
sistemas de información, redes, aplicaciones, etc. cubre? ¿Existe una política que cubra el uso de
contratoscriptográficos, que cubra lo siguiente:
Los principios o circunstancias generales bajo los cuales la información debe ser protegida a través de la
criptografía;
Normas que deben aplicarse para la aplicación efectiva de la criptografía;
Un proceso basado en el riesgo para determinar y especificar la protección
requerida;

Foro 2017
Alineación con cualquier requisito documentado relacionado con equipos o servicios de TI cubiertos por
contratos;
Problemas de seguridad relacionados y compensaciones (por ejemplo, los efectos del cifrado en la
inspección de contenido para detectar malware, divulgación de información, etc.);

Foro 2017
e
Cumplimiento de las leyes y reglamentos aplicables, como las restricciones a la
exportación (véase A.18.1.1). Compruebe cómo se satisfacen todos estos requisitos y evalúe
los riesgos de la información residual .
A.10.1.2 Administración de claves: compruebe que la política de criptografía cubre todo el ciclo de vida de la
cuna a la tumba de la administración de claves, que incluye:
Protección de equipos utilizados para generar, almacenar y archivar claves
criptográficas; Generación de claves para diferentes sistemas y aplicaciones;
Fuentes de aleatoriedad y evitación de claves débiles;
Reglas sobre el cambio/actualización de claves, por ejemplo. autorizar, emitir, comunicare instalar
claves; Copia de seguridad o archivado de claves, recuperación de claves dañadas o perdidas y
destrucción de claves; Registro y auditoría de las principales actividades de gestión;
Tramitación de solicitudes oficiales de acceso a claves criptográficas (por ejemplo, órdenes judiciales).
Compruebe cómo se cumplen todos estos requisitos y evalúe los riesgos de la información residual .
A.11. Seguridad física y ambiental
A.11.1 Áreas seguras

A.11.1.1 Perímetro de seguridad física: dentro del ámbito de aplicación del SGSI, son instalaciones
razonablemente discretas y situado en Minimizar potencial de desastre o costo de la protección
countermeasures (p. ej.. no adyacente a áreas propensas a conflictos, en la ruta de vuelo al lado de un
aeropuerto etc.)? Verifique los perímetros de seguridad definidos para sitios, edificios, oficinas, ordenador y
red local red Gabinetes archivo planta local eléctrico Aparamenta etc. Son techo exterior, paredes y pisos
de construcción sólida? ¿Son todos los puntos de acceso externos adecuados? protegido contra el acceso no
autorizado? ¿Es la construcción físicamente sólida? p. ej.. paredes sólidas de "losa a losa" (que se extienden
pasado faLse pisos y techos); fuerte Bloqueable puertas y Salud yla seguridadde
¿Windows? Compruebe si todas las puertas cortafuegos en el muro personal Mayo tomar
perimetral externo están alarmadas, no se pueden abrir desde el exterior, precedencia sobre la información
son monitoreadas por cámaras, probadas periódicamente y que funcionan seguridad, por ejemplo, rutas de salida de em
de manera "a prueba de fallas". Confirme que solo el personal autorizado
puede ingresar a las instalaciones y cómo se logra esto. Verifique los
sistemas de detección de intrusos, sus pruebas periódicas y la evidencia de
estas pruebas. Confirmar que los controles cumplen con las normas y
leyes locales o nacionales (por ejemplo, códigos de construcción, normas
de salud y seguridad).
A.11.1.2 Controles físicos de entrada: son sistemas de control de acceso adecuados
empleados (por ejemplo, proximidad o deslizamiento de tarjetas, cerraduras de seguridad, monitoreo de
CCTV, detección de intrusos) con procedimientos coincidentes (por ejemplo.key emisión / devolución,
cambios regulares en el código de acceso, inspecciones fuera de horario por parte de los guardias de
seguridad, visitantes escoltados rutinariamente y visitas registradas en el libro de visitantes de la habitación,
movimiento de materiales, etc.)? Verifique una política de seguridad física que cubra todas las áreas
relevantes, como la emisión de tarjetas de identificación, la gestión de visitantes, la entrada a áreas definidas
del edificio en función de los roles y responsabilidades, el acceso a los datos, salas de comunicación y otras
áreas críticas, etc. ¿Existen procedimientos que abarquen todos estos ámbitos? Si la autenticación
multifactor (por ejemplo, biométrico más código PIN) se requiere para áreas críticas, verifique cómo se

Foro 2017
e
implementa esto, funciona, monitorea yadministra. Compruebe si hay registros de acceso (por ejemplo,
libros de visitas) en centros de datos/salas de TI: ¿existe una pista de auditoría sólida de todas las entradas y
salidas? Compruebe si hay una auditoría de revisión de acceso físico para la organización, su método y
periodicidad.
A.11.1.3 Asegurar oficinas, serviciose instalaciones: son instalaciones corporativas diseñadas para que todo
el acceso (entrada y salida) de las instalaciones sea físicamente monitoreado y controlado ( por ejemplo,
detectores de proximidad, vigilancia CCTV). Asegúrese de que las guías telefónicas corporativas y
losdirectorios de direcciones no estén disponibles para todos y

Foro 2017
e
Diversos. Verificar que los controles de seguridad utilizados para asegurar oficinas, salas e instalaciones sean
proporcionales a los riesgos para los activos de información almacenados, procesados o utilizados en dichas
ubicaciones, concontroles de alto riesgo para activos, salas, áreas, etc. de alto riesgo.
A.11.1.4 Protección contra amenazas externas y ambientales: revise los controles de protección contra
incendios, humo, inundaciones, rayos, intrusos, vándalos, etc. Verifique el nivel de protección en la
recuperación de desastres, emergencias y sitios remotos también. Véase también A.11.2.
A.11.1.5 Trabajar en áreas seguras: ¿se verifican las oficinas, las salas de TI y otros lugares de trabajo seguros
supuestamente desocupados al final del día por razones de seguridad y protección? Son áreas seguras
evaluadas de riesgo con controles adecuados implementados, tales como:
Controles de acceso físico;
Alarmas de intrusos;
Monitoreo de CCTV (verifique la retención y la frecuencia de la revisión);
Se prohíben los equipos fotográficos, de vídeo, de audio u otros equipos de grabación (incluidas cámaras y
micrófonos en dispositivos portátiles); y
Políticas, procedimientos y directrices.
¿Cómo se mantienen confidenciales para el personal autorizado los detalles de los procesos / actividades
comerciales patentados en diversas áreas de la instalación?
A.11.1.6 Áreas de entrega y carga: son entregas recibidas y realizadas en un área segura (por ejemplo,
acceso controlado solo con personal autorizado having access)? Se verifica el material recibido por razones
de seguridad y comerciales (por ejemplo, un número de pedido que coincida con un pedido autorizado)? ¿Se
registran los detalles según las políticas y procedimientos de adquisición, gestión de activos y seguridad?
A.11.2 Equipo
A.11.2.1 Ubicación y protección de los equipos: ¿las TIC y los equipos conexos se encuentran en áreas
adecuadamente protegidas? ¿Las pantallas de ordenador, impresoras y teclados están ubicados o protegidos
para evitar la visualización no autorizada? Verifique los controles para minimizar el riesgo de amenazas
físicas yambientales como:
Agua/inundaciones: instalaciones ubicadas adecuadamente para minimizar el potencial de inundación
(por ejemplo, por encima del nivel freático, no adyacentes a los tanques de agua, sin tuberías de agua por
encima, etc.). En su caso, protección adicional/secundaria instalada ymintenance realizado, por ejemplo.
membranas impermeables, bandejas de goteo debajo de las unidades de aire acondicionado, detección
de agua debajo del piso con alarmas remotas y procedimientos de incidentes, inspecciones o
inspecciones regulares de techos, vacíos debajo del piso, etc. para signos de fuga de agua/penetración;
Incendio y humo: instalaciones y accesorios no inflamables, alarmas contra incendios, cableado de bajo
humo, etc.
Temperatura, humedad y potencia: véase A.11.2.2
Polvo: equipos y filtros de aire acondicionado mantenidos (revisados, limpiados, reemplazados)
regularmente. Las instalaciones de TIC se mantienen limpias, por ejemplo, utilizando "limpieza profunda"
especializada, incluidos huecos de pisos y techos, revestimientos de paredes con bajo nivel de polvo,
sellado debajo del piso, cubiertas / membranas contra el polvo, etc. [Nota: los limpiadores en áreas
sensibles como las salas de computadoras normalmente deben estar acompañados / supervisados, a
menos que la limpieza solo sea realizada por personal competente y de confianza. Es posible que los
limpiadores deban ser autorizados por la seguridad y monitoreados de manera proactiva si la
organización tiene información clasificada por el gobierno u otra información altamente sensible /
valiosa.]

Foro 2017
e
Rayos, electricidad estática y seguridad: confirme que toda la carpintería metálica expuesta está unida a
tierra a un punto de tierra común de acuerdo con las regulaciones eléctricas. Confirme el uso de
conductores de rayos montados, aisladores de cables, fusibles, etc. en su caso. ¿Se prueban estos
controles periódicamente y después de cambios importantes?

Foro 2017
e
Otros: por ejemplo , robo, explosivos, vibraciones, contaminación química, interferencia en el suministro
eléctrico, interferencia en las comunicaciones, radiación electromagnética y vandalismo/daños
criminales.
A.11.2.2 Servicios públicos de apoyo - energía eléctrica: verifique y pida a las instalaciones o ingenieros
eléctricos que expliquen los arreglos de energía eléctrica para salas de computadoras, armarios de red y otras
ubicaciones que albergan sistemas de TI compartidos o críticos (servidores, PABX, centros de comunicaciones,
sistemas de seguridad, sistemas de seguridad, sistemas de gestión de edificios, etc.). ¿Existen UPS, filtros, etc.
en línea de grado informático que proporcionen energía confiable y de alta calidad? ¿Existe una capacidad
adecuada de UPS para soportar todos los equipos esenciales durante un período suficiente (sistemas internos,
montados en rack, de toda la sala o de todo el sitio)? ¿Cómo sabemos que todos los equipos esenciales
realmente utilizan suministros seguros? ¿Hay generadores de capacidad suficiente? ¿Los UPS y generadores
son operados, monitoreados y mantenidos según las especificaciones del fabricante y probados bajo carga
regularmente? Si procede, ¿son redundantes lasalimentaciones de red redundantes (de doble ruta)
procedentes de subestaciones o redes separadas? ¿Qué sucede cuando se realizan cambios o pruebas de
cableado de potencia, conmutación o equipo: se ven afectados los sistemas y servicios?
Aire acondicionado: ¿hay acondicionadores de aire de grado c omputer debidamente especificados e
instalados? ¿Los enfriadores/condensadores están ubicados adecuadamente? ¿Hay una capacidad de aire
acondicionado adecuada para soportar la carga de calor, incluso en un verano caluroso? ¿Hay unidades
redundantes/de repuesto o portátiles disponibles para mejorar la resiliencia y permitir el mantenimiento sin
afectar el servicio? ¿Existe detección de temperatura con alarmas de sobretemperatura de lectura remota y
procedimientos de incidentes? ¿Los equipos de aire acondicionado son operados, probados y mantenidos
profesionalmente según las especificaciones del fabricante? ¿Existenprocedimientos de operación y
mantenimiento adecuados, incluida la limpieza del filtro y el tratamiento de la sobretemperatura u otras
alarmas?
Otros: compruebe si las instalaciones y los servicios públicos de apoyo (por ejemplo, electricidad,
telecomunicaciones, suministro de agua, gas, alcantarillado, ventilación y aire acondicionado) están siendo
inspeccionados y probados regularmente para garantizar su correcto funcionamiento. Deben alarmarse por
mal funcionamiento, y tal vez por actividad no autorizada. Compruebe cómo se manejan las alarmas fuera
del horario de atención (por ejemplo, ¿Los guardias de seguridad tienen indicadores/sondas de alarma
remotos en sus consolas, con procedimientos de respuesta adecuados, entrenamiento/ejercicios, etc.?).
A.11.2.3 Seguridad del cableado: ¿existe una protección física adecuada para cables externos, cajas de
conexiones, enfriadores de aire acondicionado, platos de microondas, entradas de aire, etc.? contra daños
accidentales o interferencias deliberadas? Compruebe si los cables de alimentación están separados de los
cables de comunicación para evitar interferencias. Compruebe si el acceso a los paneles de conexión y las
salas de cables está controlado, con el cableado oculto / protegido contra escuchas mediante la conexión de
dispositivos no autorizados o daños físicos. ¿Existen procedimientos adecuados para confirmar todo esto?
Verifique que las instalaciones de cableado se realicen de acuerdo con los códigos de construcción y otras
regulaciones, normas y políticas aplicables.
A.11.2.4 Mantenimiento de equipos: verifique que solo el personal calificado realice el mantenimiento de los
equipos (infraestructura y dispositivos de red, computadoras portátiles, computadoras de escritorio, etc. y
todos los equipos de seguridad y servicios públicos como detectores de humo, dispositivos de extinción de
incendios, HVAC, control de acceso, CCTV, etc.), verifique que el equipo se mantenga y se le dé servicio de
acuerdo con las especificaciones de los fabricantes. ¿Nohay aquí programas de mantenimiento actualizados y
registros/informes? Si el equipo está asegurado, ¿se cumplen los requisitos de mantenimiento y otros
requisitos del contrato de seguro?
A.11.2.5 Eliminación de activos: comprobar la política y el procedimiento relativos a la eliminación de activos
de información (servicios de TIC, medios de almacenamiento y contenido de la información) de sitios,

Foro 2017
e
edificios, oficinas, archivos y otros lugares. ¿Existen aprobaciones o autorizaciones documentadas en los
niveles apropiados (por ejemplo, propietarios de equipos o información)? [Cómo] se restringen los
movimientos del personal autorizado? ¿Qué impide que las personas secreten unidades USB y otros
pequeños dispositivos de almacenamiento sobre su persona? Compruebe los procedimientos para el
seguimiento de los movimientos de activos de alto valor o alto riesgo. Recorre el proceso. Verifique una
muestra de registros relacionados con los movimientos para verificar su precisión e integridad.
A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones: ¿existe una "Política de uso aceptable" o
una guía equivalente que cubra los requisitos de seguridad y los "DO y DONT" para todos los dispositivos
móviles o portátiles que sean

Foro 2017
e
utilizado desde casa o ubicaciones remotas? ¿Establece requisitos tales como custodia adecuada y
almacenamiento seguro, control de acceso físico y / o lógico (por ejemplo, armarios con cerradura, cifrado),
conexiones seguras (por ejemplo, VPN), escritorios claros y pantallas claras, protección contra campos
electromagnéticos fuertes, copias de seguridad regulares, etc. ¿Cómo se logra y se garantiza todo esto en la
práctica? ¿Cómo se toma conciencia a los trabajadores de sus obligaciones? ¿Se les da suficiente apoyo para
lograr un nivel aceptable de seguridad?
A.11.2.7 Eliminación o reutilización segura del equipo: revisar las políticas, normas, procedimientos,
directrices y registros asociados relacionados con la forma en que se reutilizan o eliminan los medios de
almacenamiento y el equipo de TIC. ¿Cómo evita la organización que se divulgue la información almacenada,
a un nivel de garantía suficiente dados los riesgos de información asociados (por ejemplo, en relación con los
datos o la clasificación del sistema)? Si hay una dependencia de un cifrado fuerteo un borrado seguro, ¿cómo
funciona eso y cómo se eliminan los dispositivos y medios no funcionales? ¿Se mantienen registros
adecuados de todos los medios de los que se dispone, con detalles tales como la naturaleza del contenido, la
forma de eliminación y, cuando proceda, la confirmación positiva de la eliminación segura? ¿La política y el
proceso cubren todos los dispositivos y medios de TIC? Búsqueda de excepciones.
A.11.2.8 Equipo de usuario desatendido: si las sesiones de usuario activas se suspenden o terminan después
de un tiempo de inactividad definido, ¿cómo se suspenden /examinan las aplicacionespara evitar la pérdida o
corrupción de datos? ¿Es apropiada la definición de tiempo de inactividad, dados los riesgos de acceso físico
no autorizado a dispositivos activos/conectados? Si se utilizan bloqueos de pantalla, ¿están protegidos con
contraseña? ¿Se aplica esta política a todos los servidores, computadoras de escritorio, computadoras
portátiles, teléfonos inteligentes y otros dispositivos de TIC? ¿Cómo se comprueba y se aplica? ¿Alguna
excepción es evaluada por riesgo y autorizada por la administración como ejemplosde política?
A.11.2.9 Política de escritorio claro y pantalla clara: revisar políticas, estándares, procedimientos y
directrices en esta área. ¿Qué tan bien está funcionando en la práctica? Camine por ahí buscando activos de
información inseguros, como servidores conectados pero desbloqueados, PC, computadoras portátiles y
teléfonos inteligentes, medios de almacenamiento digital inseguros (como memorias USB) y papeleo ( por
ejemplo, diarios; contraseñas en notas Post-It; archivos, formularios y notas que contienen información
comercial o personal confidencial; impresiones abandonadas en impresoras y copiadoras; archivadores
desbloqueados). ¿Todos los dispositivos informáticos tienen un protector de pantalla o bloqueo protegido
por contraseña que los empleados usan cuando se alejan de sus dispositivos, o que se activa después de un
tiempo de inactividad definido? Verifique los procedimientos relacionados con el uso de impresoras,
fotocopiadoras, escáneres, cámaras y cualquier otra tecnología de reproducción.
A.12. Seguridad de las operaciones
A.12.1 Procedimientos y responsabilidades operacionales

A.12.1.1 Procedimientos deoperación documentados: revisar el estado general de los procedimientos para
las operaciones de TI, la gestión de sistemas y redes, la gestión de incidentes, la administración de seguridad
de TI, las operaciones de TI y seguridad física, la gestión de cambios, etc. ¿Existe un conjunto completo de
procedimientos de seguridad y cuándo se revisaron por última vez? ¿Son los procesos razonablemente
seguros y bien controlados? ¿Se incluyen adecuadamente los aspectos de seguridad de la información (por
ejemplo, deberes incompatibles segregados a personal separado, procedimientos de notificación de
incidentes, supervisión de la gestión, etc.)? ¿Las responsabilidades correspondientes están claramente
asignadas a los roles y, por lo tanto, a los individuos, junto con la capacitación, los ejercicios, etc.? Las áreas
quenormalmente requieren procedimientos de gestión y/u operativos documentados incluyen: cambio,
configuración, lanzamiento, capacidad, rendimiento, problema, incidente, copias de seguridad y archivos
(incluido el almacenamiento y la restauración), manejo de medios, registros y pistas de auditoría, alarmas
Foro 2017
e
ylerts, seguridad operativa (por ejemplo, endurecimiento, evaluaciones de vulnerabilidades, parches,
configuración y actualizaciones de antivirus, cifrado, etc.) .). Busque evidencia que confirme que los
procedimientos están siendo revisados y mantenidos rutinariamente, autorizados /obligatorios, circulados y
utilizados. Muestree y evalúe los procedimientos problemáticos de alto riesgo o conocidos más a fondo.
A.12.1.2 Gestión del cambio: revise las políticas, procedimientos, estándares, prácticas y registros
relacionados de la gestión de cambios que no son de TI . ¿Se planifican y gestionan los cambios, se evalúan
los impactos (teniendo en cuenta

Foro 2017
e
aspectos de riesgo y seguridad de la información, ¡además de los impactos de no cambiar!). Revise una
pequeña muestra de registros de gestión de cambios, centrándose en los cambios de alto riesgo. ¿Los
cambios están debidamente documentados, justificados y autorizados por la dirección? Busca oportunidades
de mejora. (Véase también A.14.2.2).
A.12.1.3 Gestión de la capacidad: revisar las políticas y procedimientos de gestión de la capacidad, Prácticas y
registros asociados. ¿Incluye aspecto?s tales como: niveles de servicio definidos, monitoreo de métricas
relevantes (p. ej.. CPU del servidor uso almacenamiento espacio y duro página Fallas red capacidad
Cotejo con respecto a laUtilidad B
demanda de energía y capacidad de aire acondicionado, espacio en
Csobre la probabilidad Magement
rack, utilización y tasas de estrés para los trabajadores clave),
(por ejemplo, Las evaluaciones de
alarmas /alerts en niveles críticos, planificación anticipada (teniendo
impacto en el negocio de BCM
en cuenta los plazos de entrega de las adquisiciones y la gestión de
identifican sistemáticamente la
cambios), etc.? ¿Hay evidencia de un enfoque basado en el riesgo,
información y los servicios de
por ejemplo? una prioridad para garantizar el rendimiento y la
soporte que son críticos para el
disponibilidad de servicios críticos, servidores, infraestructuras,
aplicaciones, funciones, etc.?
A.12.1.4 Separación de entornos de desarrollo, pruebas y operativos: revisar políticas, procedimientos,
prácticas, registros y arquitecturas asociados que separan o segregan los entornos de desarrollo, pruebas y
TIC operativos(incluidas las configuraciones de garantía de calidad/control de calidad, preproducción, dual-
live/mirrored, balanceo de carga, conmutación por error y recuperación ante desastres, además de
asignaciones dinámicas de recursos en la nube). ¿Cómo se logra la separación a un nivel de garantía
adecuado (de acuerdo con los riesgos)? Comprobar si hay controles adecuados que aíslen cada entorno (por
ejemplo, redes de producción/negocios segregadas de otras redes utilizadas para el desarrollo, pruebas,
administración, incluida la seguridad, el registro, el monitoreo y las alertas). Compruebe los controles de
acceso para estos entornos. Confirmar (mediante consultas y pruebas de muestras) que solo los trabajadores
autorizados tienen acceso a cada uno de estos entornos a través de perfiles de usuario adecuadamente
diferenciados. ¿Sepromociona y lanza el software? Revisar la evidencia de aprobación de las solicitudes
antes de otorgar acceso y las revisiones periódicas de acceso. Compruebe que la gestión de cambios se
aplica a la autorización y migración de software, datos, metadatos y configuraciones entre entornos en
cualquier dirección (por ejemplo, datos de producción copiados en entornos de desarrollo o prueba).
Considere el riesgo de la información y los aspectos de seguridad, incluido el cumplimiento ( por ejemplo,
implicaciones de privacidad si los datos personales se trasladan a entornos menos seguros o fuera de la UE).
¿Quién es responsable de garantizar que el software nuevo / modificado no interrumpa la infraestructura,
otros sistemas, redes y operaciones, etc.?
A.12.2 Protección contra malware

A.12.2.1 Controles contra malware: revise las políticas, procedimientos, directrices, prácticas y registros
asociados de malware. Compruebe cualquier lista blanca o lista negra de aplicaciones que se pueden o no se
pueden usar en la empresa. ¿Cómo se compila, gestiona y mantiene la lista, y por quién? Revise los
procedimientos de protección contra malware y respuesta a incidentes y una muestra de informes de
incidentes de malware. ¿Hay comprobaciones de virus continuas / frecuentes en todos los dispositivos
relevantes, incluidos los independientes, portátiles, dispositivos integrados y cosas de IoT? ¿Seminimizan los
niveles de reinfección (es decir, si la situación está ampliamente bajo control)? ¿Cómo se actualiza el
software antivirus, tanto manual como automáticamente? ¿El malware detectado por los escáneres se
informa a un coordinador apropiado? Si la notificación es manual, aproximadamente laproporción de
sombreros se notifica (todos, la mayoría, algunos o solo unos pocos)? ¿Existe una protección adecuada
contra ransomware, troyanos, gusanos, spyware, rootkits, keyloggers, Advanced Persistent Threats, etc.?
¿Cómo se gestionan las vulnerabilidades técnicas? ¿Existe una capacitación y concienciación continuas
adecuadas que cubran la detección, notificación y resolución de malware para usuarios, gerentes y

Foro 2017
especialistas de soporte? En caso de incidente grave, compruebe los controles asociados para investigar y
resolver el incidente, incluida la rápida detecciónde brotes y el aislamiento de la red, la escalada a la gestión,
la notificación de las partes afectadas, la invocación de acuerdos de continuidad del negocio, el análisis
forense, etc.

Foro 2017
A.12.3 Copia de seguridad
A.12.3.1 Copia de seguridad de la información: revise las políticas, procedimientos, prácticas y registros
asociados de la copia de seguridad. ¿Existe un mandato basado en el riesgo para un registro preciso y
completo de las copias de seguridad cuyo alcance y frecuencia reflejen los requisitos del negocio? ¿Las
estrategias de copia de seguridad cubren datos y metadatos, programas de sistemas y aplicaciones, incluidas
utilidades, parámetros de configuración, etc. f otodos los sistemas, incluidos servidores, escritorios, sistemas
de telefonía / red, sistemas de administración de sistemas / redes, sistemas independientes / portátiles,
sistemas de control, sistemas de seguridad, etc.? ¿Los medios de copia de seguridad están
protegidos/protegidos físicamente al menos al mismo nivel que para losdatos operativos? ¿Las copias de
seguridad se almacenan en lugares diversos adecuados, protegiendo contra desastres físicos, incendios,
robos, etc.? ¿Las copias de seguridad se prueban regularmente para garantizar que de hecho se puedan
restaurar intactas? ¿Son archivos diseñados explícitamente a largo plazo de almacenamiento y restauración
seguros, diversos y asegurados (por ejemplo, archivar medios y dispositivos)? Compruebe que se pueden
cumplir los objetivos de tiempo y punto de recuperación definidos. Usando una pequeña muestra, verifique
si los medios de respaldo enumerados en los registros realmente existen en el lugar correcto y están
protegidosy etiquetados. Verifique cualquier revisión técnica y de gestión en esta área, incluidos los hallazgos
y las acciones que surjan. Evaluar los riesgos de la información asociados (aspectos de confidencialidad,
integridad y disponibilidad).
A.12.4 Registro y monitoreo

A.12.4.1 Registro de eventos: revise las políticas, procedimientos, prácticas y registros asociados del registro
de eventos. ¿Todos los sistemas clave (incluido el registro de eventos en sí) se supervisan y registran de
manera consistente y segura? ¿Qué eventos o parámetros se están monitoreando (busque lavidencia de una
arquitectura, diseño o base de datos estructurada)? Compruebe si hay registro de eventos relevantes para la
seguridad, tales como: cambios en los ID de usuario, permisos y controles de acceso; actividades
privilegiadas del sistema; intentos de acceso exitosos y fallidos, incluido el inicio de sesióny el cierre de sesión;
identidades y ubicaciones de dispositivos, además de direcciones y protocolos de red; instalación de software
y cambios en las configuraciones del sistema (por ejemplo, reinicio del reloj, parada / inicio del registro,
cancelación de la alarma); uso de utilidades y aplicaciones del sistema; archivos a los que se accede y el tipo
de acceso). Comprobar mediante muestreo que los incidentes de seguridad están siendo debidamente
notificados, evaluados y resueltos. ¿Quién es responsable de revisar y dar seguimiento a los eventos
reportados? ¿Cuánto tiempo se conservan los registros de eventos, etc.? ¿Existe un proceso para revisar y
responder adecuadamente a las alertas de seguridad de proveedores, CERT, grupos de interés profesionales,
fuentes gubernamentales, etc.? ¿El proceso general está funcionando razonablemente bien en la práctica?
¿Cómo podría mejorarse?
A.12.4.2 Protecciónde la información del registro: en su caso, ¿se almacenan/archivan los registros en un
formato seguro no editable o en un mecanismo de control? ¿El acceso a los registros está adecuadamente
controlado, autorizado y monitoreado? ¿Quién tiene, o podría obtener, acceso de
lectura/escritura/eliminación incluso alos registros t, y es eso apropiado? ¿Existe suficiente capacidad de
almacenamiento dado el volumen medio de registros que se generan y los requisitos de retención (duración)?
Compruebe el estado histórico de estos requisitos.
A.12.4.3 Registros de administradores y operadores: revise las políticas, procedimientos, prácticas y
registros asociados relativos a administradores privilegiados, operadores, etc., incluidos los administradores
de servicios de seguridad, SIEM y subcontratados. ¿Cómo se recopilan, almacenan y aseguran,
analizan/supervisan y mantienen los registros (por ejemplo, archivado para su posterior análisis forense)?
Cuando procede, ¿limitan las disposiciones de seguridad la capacidad de esas personas para interferir con los
registros o las disposiciones de registro, al menos no sin hacer saltar las alarmas e incidentes de seguridad?
Considere los riesgos e identifique cualquier problema u oportunidad de mejora.
Foro 2017
A.12.4.4 Sincronización de reloj: revise políticas, arquitecturas, procedimientos, prácticas, directrices y
registros asociados relacionados con la sincronización y precisión del reloj del sistema. ¿Existe un tiempo
dereferencia definido (preferiblemente basado en relojes atómicos, por ejemplo, GPS o NTP a una referencia
de tiempo del estrato 1)? ¿El método para sincronizar los relojes con la referencia cumple con los requisitos
comerciales, de seguridad, operativos, legales, reglamentarios y contractuales? ¿Seha implementado en
todo el estado de TI, incluidos los sistemas de monitoreo como CCTV, sistemas de alerta y alarma,
mecanismos de control de acceso, sistemas de auditoría y registro, cosas de IoT, etc.? Compruebe las
disposiciones de seguimiento. ¿Qué sucede realmente si una referencia temporal se convierte en

Foro 2017
no disponible por alguna razón? ¿Se han analizado y tratado adecuadamente los riesgos de información
asociados? ¿Cómo se manejan los cambios de reloj, los segundos bisiestos, etc.?
A.12.5 Control de software operativo

A.12.5.1 Instalación de software en sistemas operativos: revisión de políticas, procedimientos, prácticas y
registros asociados relacionados con la instalación de software. Compruebe que solo se instale software
completamente probado, aprobado y actualmente compatible/mantenido para su uso en producción.
Busque cualquier software obsoleto y especialmente ya no soportado / mantenido en sistemas de producción
(firmware, sistemas operativos, middleware, aplicaciones y utilidades). Verifique que las computadoras de
escritorio, portátiles, servidores, bases de datos, etc. estén configuradas para evitar la instalación de software,
excepto por parte de administradores capacitados y autorizados bajo la autoridad de administración. ¿Los
sistemas y prácticas de gestión y supervisiónmarcan las instalaciones de software no aprobadas, las notifican y
las registran en la base de datos de gestión de la configuración, los sistemas de supervisión/alerta, etc.?
Cotejo con la gestión de cambios y configuraciones, la gestión de la seguridad, la continuidad empresarialy
otras áreas relevantes, centrándose en sistemas de alto riesgo / críticos.
A.12.6 Gestión técnica de vulnerabilidades

A.12.6.1 Gestión de vulnerabilidades técnicas: revisión de políticas, procedimientos, prácticas y registros
asociados relativos a la gestión (identificación, evaluación de riesgos y tratamiento) de vulnerabilidades
técnicas. ¿Cómo descubre y responde la organización a las vulnerabilidades técnicas en equipos de
escritorio,sectores, aplicaciones, dispositivos de red y otros componentes? Revise los registros de control de
incidentes y cambios en busca de evidencia relacionada con parches recientes, evaluaciones de
vulnerabilidad, pruebas de penetración, etc. ¿Existen procesos adecuados para comprobar los sistemas
invenidose identificar si las vulnerabilidades divulgadas son relevantes? ¿Se ha realizado una evaluación
exhaustiva de los riesgos de los sistemas de TIC? ¿Se han identificado y tratado adecuadamente los riesgos,
priorizados según el riesgo? ¿Se está llevando a cabo una evaluación de riesgos para identificarlos cambios en
el año fiscal, como las amenazas emergentes, las vulnerabilidades conocidas o sospechadas y la evolución de
los impactos o consecuencias en el negocio? ¿Se evalúan los parches para determinar su aplicabilidad y los
riesgos antes de ser implementados? ¿Son los procesos para implementar parches urgentes lo
suficientemente hábiles y completos? ¿En qué medida depende la organización de la gestión automatizada
de parches, aceptando de hecho los riesgos asociados a la implementación de parches no fiables? Busque
cualquier evidencia de sistemas importantes que no se hayan mantenido en los niveles de versión actuales
y/o parcheados contra vulnerabilidades conocidas.
A.12.6.2 Restricciones en la instalación de software: compruebe que solo el personal autorizado que tenga
los privilegios adecuados del sistema pueda instalar software en los sistemas. Compruebe cuántas categorías
de tales privilegios existen y qué privilegios tiene cada categoría. Compruebe qué tipos de software puede
instalar cada una de estas categorías, en qué sistemas. ¿Se aplican los controles a la aplicación de parches,
restauraciones de copias de seguridad y descargas en línea , así como a las instalaciones convencionales del
sistema?
A.12.7 Consideraciones sobre la auditoría de los sistemas de información

A.12.7.1 Controles de auditoría de sistemas de información: comprobar que la seguridad de la información
audita unrequisito de política. ¿Existe un programa y procedimiento definidos para las auditorías? Verifique
si los requisitos de auditoría que implican verificaciones en los sistemas operativos se planifican
cuidadosamente y se acuerdan para minimizar el riesgo de interrupciones en el proceso comercial. Verifique
si el alcance de la auditoría está de acuerdo con la administración adecuada. Verifique que el acceso a las
herramientas/software de auditoría del sistema de información esté controlado para evitar el uso indebido y

Foro 2017
el compromiso. Verificar la segregación de las herramientas de auditoría del sistema de los sistemas de
desarrollo y operativos, y que se les proporcione un nivel adecuado de protección.

Foro 2017
A.13. Seguridad de las comunicaciones
A.13.1 Gestión de la seguridad de la red

A.13.1.1 Controles de red: compruebe si existe una póliza que cubra tanto las redes cableadas como las
inalámbricas. ¿La administración de las operaciones informáticas está separada de las operaciones de red?
Compruebe si hay mecanismos de protección de seguridad adecuados en las redes. Verifique el registro y el
monitoreo adecuados de la red y sus dispositivos, verifique los procedimientos de autenticación "a prueba de
fallas" para todos los accesos a la red de las organizaciones. Compruebe cómo se protegen los puntos de
acceso a la red contra el acceso no autorizado. ¿Cómo limita el sistema el acceso de las personas
autorizadasa las aplicaciones/servicios legítimos? ¿Los usuarios se autentican adecuadamente al iniciar sesión
(incluidos los usuarios de acceso telefónico y remotos/web)? ¿Cómo se autentican los nodos de red? ¿Se
establecen distintos dominios de seguridad utilizando firewalls, VLAN, VPN, etc.? Confirme laprotección de
cualquier puerto privilegiado de administración del sistema y soporte remoto, por ejemplo. módems
seguros, sistemas de respuesta a desafíos, bloqueo de llaves, etc.
A.13.1.2 Seguridad de los servicios de red: compruebe si hay una política sobre lo siguiente y cómo se
implementan en las operaciones diarias:
Gestión segura de los servicios de información;
Monitoreo de servicios de red ;
Derecho a la auditoría como parte del contrato en caso de servicios de red gestionados por un tercero
(contratos, acuerdos de nivel de servicio y requisitos de información de gestión);
Autenticación en la red,cifrado pl us y controles de conexión de red; Revisión periódica
de parámetros técnicos, revisión de reglas de firewall, firmas IDS/IPS , etc.
A.13.1.3 Segregación en los servicios de red: compruebe la política de segregación de red y considere los
riesgos. ¿Qué tipos de registro dered existen? ¿La segregación de la red se basa en la clasificación, los niveles
de confianza, los dominios (públicos, escritorios, servidores, funciones), una combinación o algo más?
Compruebe cómo se logra, supervisa y controla la segregación. ¿Cómo se registran las redes inalámbricasa
partir de redes cableadas? Compruebe cómo se separan las redes de invitados de las redes corporativas.
¿Existen controles adecuados entre ellos? Si hay extranets con proveedores, etc., ¿cómo se protegen? ¿Es
adecuada la seguridad dados los riesgos y elapetito de la empresa?
A.13.2 Transferencia de información

A.13.2.1 Políticas y procedimientos de transferencia de información: verifique si hay una política sobre el
tema y procedimientos en torno a la transmisión segura de información por correo electrónico, FTP y otras
aplicaciones y protocolos de transferencia de datos, Web (por ejemplo, grupos / foros), Dropbox y servicios
en la nube similares, WiFi y Bluetooth, CD / DVD, memoria USB, mensajería, etc. Compruebe cómo se
requieren varias categorías (niveles de clasificación) de información cuando se transfiere. ¿Son adecuados los
controles de acceso? Dónde, cuándo y cómo se exige la criptografía (por ejemplo, cifrado de enlaces, cifrado
de correo electrónico, cifradode ZIPs)? Verifique que existan acuerdos adecuados de confidencialidad o
privacidad (como Non-D isclosure Agreements, identificación y autenticación, divulgación fuera de banda de
claves de cifrado, no repudio / prueba de recibo) antes del intercambio de información sensible o valiosa.
Compruebe también los enfoques asociados de sensibilización, formación y cumplimiento.
A.13.2.2 Acuerdos sobre transferencia de información: además de A.13.2.1, ¿qué tipos de comunicaciones
se aplican las firmas digitales? Verifique las responsabilidades y el control en caso de pérdida de datos,
corrupción, divulgación, etc. Comprobar la identificación y sincronización de los niveles de clasificación de la
información de todas las partes implicadas. ¿Cómo se mantiene una cadena de custodia para las
transferencias de datos?
Foro 2017
A.13.2.3 Mensajería electrónica: verifique la política sobre los requisitos de control en torno al correo
electrónico, revise las políticas y los procedimientos para el intercambio de datos, por ejemplo. c enlaces de
red de comunicaciones, incluidos correo electrónico y FTP/SFTP, enlaces de acceso telefónico, etc. ¿Existen
controles de seguridad adecuados (por ejemplo, cifrado de correo electrónico/enlace, autenticación y no
repudio

Foro 2017
basado en la clasificación de mensajes, etc.)? Revisar los mecanismos de seguridadpara Internet, Intranet y
sistemas relacionados (tablones de anuncios, etc.).
A.13.2.4 Acuerdos de confidencialidad o no divulgación: localice y verifique el contenido de dichos
acuerdos. ¿Han sido revisados y aprobados por Legal? ¿Cuándo se revisaron por última vez (periódicamente
o impulsadas por cambios)? ¿Han sido aprobados y firmados por las personas apropiadas? ¿Existen
sanciones adecuadas y acciones esperadas en caso de incumplimiento y / o beneficios para el cumplimiento
(por ejemplo, un bono de rendimiento)?
A.14. Adquisición, desarrollo y mantenimiento de sistemas
A.14.1 Requisitos de seguridad de los sistemas de información

A.14.1.1 Análisis y especificaciones de los requisitos de seguridad de la información: verifique la política, los
procedimientos, las directrices, las prácticas y los registros en esta área. ¿Son los métodos formales de
desarrollo de sistemas utilizados rutinariamente para sistemas de alto riesgo, por ejemplo? ¿Seguridad,
negocios o misión crítica? ¿Son el análisis de riesgos de la información, la especificación de requisitos
funcionales ytécnicos, la arquitectura / diseño de seguridad, las pruebas y certificaciones de seguridad, etc.,
actividades obligatorias para todos los nuevos desarrollos y cambios en los sistemas existentes (por ejemplo,
actualizaciones de mantenimiento, actualizaciones de sistemas operativos / aplicaciones, cambios
criptográficos etc.). ¿Los riesgos de la información se manejan de manera similar para los sistemas
comerciales y el software, incluidos los productos a medida, personalizados y listos para usar?
A.14.1.2 Protección de los servicios de aplicaciones en redes públicas: si la organización utiliza o proporciona
aplicaciones basadas en web u otros sistemas de comercio electrónico, revise los controles de seguridad de la
información correspondientes para el acceso y la autenticación del usuario, la integridad de los datos y la
disponibilidad del servicio. Revise los diseños de seguridad para una pequeña muestra de los principales
sistemas para determinar si los controles como lavalidación de datos i nput, la validación de procesamiento,
el cifrado, la autenticación de mensajes, el no repudio, etc. se emplean adecuadamente. Compruebe el uso
obligatorio de https, por ejemplo, para proteger los datos confidenciales en ruta entre el navegador web y el
servidor. Revise la documentación de seguridad del sistema. ¿Están tales requisitos cubiertos por la póliza? Si
la organización se suscribe a un servicio de "inteligencia de amenazas", verifique qué sitios web públicos están
siendo monitoreados. ¿Las amenazas identificadas se documentan rutinariamente, se evalúan y se tratan a
través de procedimientos de gestión de incidentes y cambios?
A.14.1.3 Protección de las transacciones de servicios de aplicaciones: además de A.14.1.2, compruebe cómo
se logran la integridad de las transacciones, la confidencialidad, la disponibilidad y la prevención de errores.
¿Las transacciones se realizan y almacenan en un entorno interno seguro (¡no abierto a Internet!)? ¿Cumplen
con todos los requisitos legales, reglamentarios y de cumplimiento jurisdiccionales?
A.14.2 Seguridad en los procesos de desarrollo y soporte

A.14.2.1 Política de desarrolloseguro: ¿existe una política de desarrollo seguro que abarque arquitecturas,
servicios y software de seguridad? ¿Son seguros los entornos de desarrollo y los repositorios con control de
acceso, seguridad y monitoreo de cambios, etc.? ¿Los métodos de desarrollo incluyendirectrices de
codificación secu re? Confirme que los desarrolladores tienen un conocimiento adecuado sobre las prácticas
de codificación segura y son capaces de utilizar técnicas de programación segura en casos de reutilización de
código donde los estándares de desarrollo pueden no ser completamente conocidos. Estos controlesse
realizarán incluso si el desarrollo se subcontrata a terceros.
A.14.2.2 Procedimientos de control de cambios en el sistema: revise las políticas, procedimientos,
estándares, prácticas y registros relacionados de gestión de cambios del sistema de TI. ¿Incluyen la
Foro 2017
planificación y las pruebas de los cambios, las evaluaciones de impacto(incluidos los aspectos de riesgo y
seguridad de la información, ¡además de los impactos de no cambiar!), las comprobaciones de verificación de
la instalación y los procedimientos de respaldo / retroceso / reversión (¡probados!), tanto los cambios
estándar (producción y no producción) como los de emergencia, etc.? ¿Cubren cambios significativos en la
informática y

Foro 2017
equipos de telecomunicaciones (hardware), parámetros clave del sistema y de seguridad, software de sistema
y aplicación, firmware, etc.? Revise una pequeña muestra de registros de gestión de cambios en el sistema,
centrándose en los cambios de alto riesgo en el sistema. ¿Los cambios en el sistema están debidamente
dopados, justificados y autorizados por la dirección? Busca oportunidades de mejora. ( Véase también
A.12.1.2).
A.14.2.3 Revisión técnica de las aplicaciones después de los cambios en la plataforma operativa: evaluar si
los cambios en los sistemas (por ejemplo, actualizaciones de mantenimiento, actualizaciones y parches del
sistema operativo/aplicación, cambios criptográficos, etc.) desencadenar revisiones de
seguridad/evaluaciones de riesgos y, si es necesario, volver a certificar los sistemas. Confirme que esto se ha
hecho en una muestra de sistemas.
A.14.2.4 Restricciones en los cambios en los paquetes de software: compruebe si se han realizado cambios
en los paquetes de software, confirmando que los controles integrados originales no se han visto
comprometidos. ¿Se obtuvo el consentimiento y la participación del proveedor? ¿Continúa el soporte del
proveedor? ¿Se exploró la posibilidad de obtener actualizaciones de programas estándar de los proveedores?
¿Se comprobó la compatibilidad con otro software en uso?
A.14.2.5 Principios de ingeniería de sistemas seguros: confirme que los principios de ingeniería de sistemas
seguros se han documentado e incorporado en el marco / métodos de gobierno del proyecto. Verifique los
aspectos de seguridad del proceso SDLC que deben tener secciones y pasos para verificar los controles de
seguridad, verifique el respaldo de la alta gerencia para que todos los proyectos sigan el proceso seguro de
SDLC, verifique si los desarrolladores y programadores están capacitados en el desarrollo seguro de software,
verifique si hay evidencia de verificaciones de etapa / fase / puerta de peaje que incluyen verificaciones de
seguridad y aprobaciones para todo el desarrollo. y proyectos de mejora.
A.14.2.6 Entorno de desarrollo seguro: revise loscontroles que aíslan el desarrollo de los entornos de prueba
y producción. ¿Cómo se desarrolla, prueba y lanza el software? ¿Quién es responsable de garantizar que el
software nuevo/modificado no interrumpa otras operaciones? Confirme si se han realizado verificaciones de
antecedentes de los desarrolladores y que están obligados a cumplir con el NDA. ¿Cuáles son las regulaciones
aplicables y los requisitos de cumplimiento que afectan el desarrollo? ¿Cómo se derivan y protegen los datos
de prueba contra la divulgación y dónde se almacenan? Compruebe si hay pruebas o pasos que incluyan
comprobaciones de seguridad y aprobaciones del código de software antes de ser liberado.
A.14.2.7 Desarrollo subcontratado : además de A.14.2.6, véase:
Acuerdos de licencia, propiedad del código y derechos de propiedad intelectual relacionados con el
contenido subcontratado;
Requisitos contractuales para prácticas seguras de diseño, codificación y prueba, por ejemplo, métodos
de desarrollo seguros ; protección de especificaciones, diseños, datos de ensayo, casos de ensayo y
resultados de ensayos;
Acuerdos de custodia, por ejemplo, acceso al código fuente si es necesario modificar el código ejecutable
pero el proveedor ya no está disponible o no es capaz;
Controles de pruebas de seguridad de aplicaciones y los resultados
de las pruebas; Evaluación y mitigación de vulnerabilidades.
A.14.2.8 Pruebas de seguridad del sistema: compruebe un procedimiento exhaustivo de prueba y
verificación para todos los sistemas nuevos y actualizados que incluyan un programa detallado de actividades,
entradas y salidas de prueba en una variedad de condiciones. Verifique los acuerdos de licencia, la propiedad
del código y los derechos de propiedad intelectual relacionados con el contenido subcontratado.
A.14.2.9 Pruebas de aceptación del sistema: ¿cómo se completan las pruebas de aceptación (incluidos los
aspectos de seguridad de TI) antes de la introducción de nuevos sistemas en la red? Evaluar junto con
A.14.1.1, A.14.1.2 y A.14.2.1. ¿Las pruebas son automatizadas, manuales o ambas? ¿Las pruebas replican

Foro 2017
entornos y situaciones operativas realistas? ¿Se remedian losdefectos de seguridad antes de que el producto
sea certificado/aprobado? ¿Hay pruebas de aceptación del usuario antes del lanzamiento al entorno
operativo? Compruebe si son sistemas de información redundantes o tolerantes a fallos , mecanismos de
conmutación por error, arreglos de recuperación ante desastres, etc. son regularmente

Foro 2017
e
probados para garantizar que funcionen según lo previsto. ¿Se actualizan los controles de resiliencia y
recuperación para reflejar los sistemas nuevos, modificados y retirados?
A.14.3 Datos de prueba

A.14.3.1 Protección de los datos de prueba: confirmar que los sistemas de prueba tienenun control de acceso
adecuado. Compruebe qué datos se utilizan para las pruebas y cómo se protegen. Si se utilizan datos
operativos («producción») para las pruebas, confirme que existe un proceso de aprobación adecuado para el
uso de estos datos antes de que se adquieran para las pruebas (especialmente si contienen información
personal u otro contenido confidencial), compruebe si dichos datos están adecuadamente enmascarados
antes de su uso, y que se borra inmediatamente después de la prueba. Debe haber registros de auditoría
cuando se copian los datos operativos para probar yestos deben archivarse.
A.15. Relaciones con proveedores
A.15.1 Seguridad de la información en las relaciones con los proveedores

A.15.1.1 Política de seguridad de la información para las relaciones con los proveedores: revise las políticas,
procesos, prácticas y registros relacionados con la gestión de las relaciones con los proveedores que
involucran TI y nube subcontratadas, logística, servicios públicos, recursos humanos, servicios médicos,
financieros, legales y otros servicios con implicaciones significativas de riesgo de información, seguridad o
cumplimiento. Cuando corresponda, los contratos y acuerdos aborden adecuadamente:
Acuerdos de gestión de relaciones, incluidos los aspectos de riesgo y seguridad de la información,
métricas, rendimiento, problemas, rutas de escalamiento, etc.;
Información/propiedadintelectual y obligaciones/restricciones que surjan;
Rendición de cuentas y responsabilidades relacionadas con el riesgo y la seguridad
de la información ;
Requisitos legales, reglamentarios y de políticas, como el cumplimiento certificado de ISO / IEC 27001;
Identificación y protección contra los riesgos de la información mediante controles físicos,
lógicos/técnicos de procedimiento/manuales y legales/comerciales (algunos de los cuales pueden
especificarse, por ejemplo, gestión colaborativa de riesgos);
Manejo de eventos, incidentes y desastres, incluyendo evaluación, clasificación, priorización,
notificación, escalamiento, gestión de respuestas y aspectos de continuidad del negocio;
Autorización de seguridad de los empleados, además de concienciación, formación, etc.
(por cualquiera de los dos o ambas partes); ¿Un derecho de auditoría [de seguridad] por
parte de la organización y/o mecanismos de denuncia de irregularidades?
¿Alguna de las partes está obligada contractualmente a cumplir con [algunas de] las políticas de riesgo de
información, seguridad o relacionadas de la otra, además de las suyas, y cómo se abordan los conflictos? ¿Los
proveedores deservicios externos son monitoreados y auditados rutinariamente (si corresponde) para
verificar el cumplimiento de los requisitos de seguridad, o solo en respuesta a incidentes o problemas
identificados? ¿Cómo se identifican y responden los cambios en los riesgos de información asociados?
Evalúe la evidencia disponible.
A.15.1.2 Abordar la seguridad dentro de los acuerdos con proveedores: si corresponde, verifique si hay
contratos formales o acuerdos con proveedores que cubran lo siguiente:
Gestión de relaciones, incluida la gestión de riesgos y seguridad de la información, coordinación, informes,
métricas, etc.;
Foro 2017
e
Acuerdo o cláusulas de no divulgación integrales y vinculantes;
Descripción de la información que se manejará, métodos de acceso a lainformación; Esquema
de clasificación de la información que debe seguirse ;

Foro 2017
e
Requisitos de cumplimiento normativo, legales y reglamentarios aplicables, además de cualquier
obligación de implementar controles específicos (por ejemplo, controles de acceso, exámenes de
rendimiento, supervisión, presentación de informes, auditoría);
Notificación /escalamiento rápidos de incidentes de seguridad de la información y colaboración durante la
gestión y resolución de incidentes;
Aspectos de continuidad del negocio, como resolución sin fallas, mejores esfuerzos, fuentes alternativas,
depósito en garantía;
Subcontratación y restricciones en las relaciones con otros proveedores, clientes, socios y competidores;
Aspectos de personal y recursos humanos, por ejemplo, manejando problemas de rendimiento o
preocupaciones de confianza, ¡sin cazar furtivamente a nuestra mejor gente!
Compruebe que los aspectos de seguridad y coordinaciónasociados estén cubiertos durante las reuniones
periódicas de gestión de relaciones, etc.
A.15.1.3 Cadena de suministro de tecnología de la información y la comunicación: además de A.15.1.1 y
A.15.1.2, compruebe cómo se propagan los riesgos de información y las prácticas de seguridad a lo largo de
la cadena de suministro, especialmente cuando se subcontratan piezas. ¿Cómo se validan los requisitos de
seguridad de los productos adquiridos (bienes y servicios)? ¿Cómo se logra la resiliencia cuando otros
suministran productos o servicios críticos? Puederastrearse su origen si es necesario ( por ejemplo, firmware
y sistemas embebidos)?
A.15.2 Gestión de la prestación de servicios a proveedores

A.15.2.1 Monitoreo y revisión de los servicios de los proveedores: ¿cómo se monitorean los servicios y
quién es responsable de esta actividad? ¿Se llevan a cabo reuniones de revisión de servicios, con qué
frecuencia y con qué audiencias? Verifique los informes, presentaciones y métricas relacionados con la
seguridad revisados y las decisiones tomadas en dichas reuniones. ¿Se discuten los riesgos de la información,
los incidentes, las políticas, el cumplimiento, la gestióny los informes de auditoría, etc., durante estas
reuniones? ¿Existen cláusulas de penalización o bonificación en el contrato relativas al riesgo de la
información y los requisitos de seguridad, y qué tan bien están funcionando en la práctica?
A.15.2.2 Gestión de los cambios en los servicios de los proveedores: ¿quépasa si hay algún cambio en los
servicios relacionados con la información prestados, como servicios adicionales o cambios en la forma en que
se prestan los servicios contratados? También si las políticas, estándares o leyes y regulaciones de seguridad
de la organización cambian, y los suplicantes están obligados a cumplirlas. ¿Cómo se manejan tales
situaciones en la práctica? Busca ejemplos.
A.16. Gestión de incidentes de seguridad de la información
A.16.1 Gestión de incidentes y mejoras de seguridad de la información

A.16.1.1 Responsabilidades y procedimientos: revisar la política, procedimientos, directrices, etc. sobre la
gestión de incidentes que abarque:
Planificación y preparación de la respuesta a incidentes;
Puntos de contacto designados para la notificación de incidentes, el seguimiento y la retroalimentación
(por ejemplo, actualizaciones de estado); Monitoreo/detección y reporte de eventos de seguridad de la
información;
Analizar, evaluar y, cuando corresponda, asignar eventos a agencias de resolución, equipos de respuesta a
incidentes, etc.;

Foro 2017
e
Rutas de escalamiento que incluyen respuestas de emergencia, invocación de
continuidad del negocio, etc.; Métodos planificados para recopilar evidencia forense
digital cuando sea necesario;
Reuniones periódicas y/o posteriores al evento de revisión de seguridad y procesos de
aprendizaje/mejora, etc.

Foro 2017
e
Verifique una muestra de registros derivados de informes de incidentes, registro, triaje, asignación a agencias
de resolución, mitigación, confirmación de cierre, puntos de aprendizaje, etc. Busque problemas y
oportunidades de mejora.
A.16.1.2 Notificación de eventos de seguridad dela información: h ow son eventos de seguridad de la
información (más incidentes, cuasi accidentes y debilidades) reportados, por ejemplo. llamada telefónica,
correo electrónico o mensaje de texto SMS a Help/Service Desk; aplicación o formulario de notificación de
incidentes en la intranet; informe en persona a seguridad de la información / gerente de línea , etc.? ¿Unre
trabajador consciente de la necesidad de informar con prontitud, y lo hacen rutinariamente de hecho
(¡verifique las métricas!)? ¿Qué sucede con tales informes? Rastree la información y el flujo de trabajo
utilizando registros relevantes, incidentes archivados, etc. comparando lo que realmente sucedió en las
políticas, procedimientos y directrices. Hable con personas que han reportado eventos recientemente para
explorar la experiencia y el resultado desde sus perspectivas.
A.16.1.3 Notificación de debilidades en la seguridad de la información: además de A.16.1.2, verifique que
los trabajadores estén obligados (und alentado a través de la concientización y la capacitación, y habilitado a
través de mecanismos de informes) para informar cualquier tipo de ocurrencia inusual, como sistemas y
aplicaciones que inician o cierran sesión automáticamente, tiempos de espera de sesión no programados,
phishing o correos electrónicos no deseados, o cualquier otra ocurrencia notada o sospechada e inusual.
¿Las políticas prohíben explícitamente a los trabajadores "verificar", "explorar", "validar" o "confirmar"
vulnerabilidades a menos que estén expresamente autorizados para hacerlo?
A.16.1.4 Evaluación y decisiones sobre eventos de seguridad de la información: verifique lo que se espera
de todos los empleados en lo que respecta a la notificación de eventos e incidentes de seguridad de la
información. ¿Qué es exactamente lo que se espera que informen? ¿Se espera que informen todos y cada
uno de los eventos o solo tipos específicos de eventos? ¿A quién reportan? ¿Cómo se evalúan estos eventos
para decidir si califican como incidentes? ¿Existe una escala de clasificación? ¿Existe un proceso de triaje y/o
escalamiento para priorizar incidentes graves? ¿En qué se basa?
A.16.1.5 Respuesta a incidentes de seguridad de la información: verifique qué acciones se toman una vez
que se identifica y prioriza un incidente. ¿Cómo se recopilan, almacenan y evalúan las pruebas? ¿Hay una
matriz de escalamiento para usar según sea necesario? ¿Existen medios para comunicar información de tales
incidentes a organizaciones internas y externas sobre la base de la necesidad de conocer/informar? Verifique
las acciones tomadas para resolver y finalmente cerrar el incidente y registre su ocurrencia.
A.16.1.6 Aprender de los incidentes de seguridad de la información: verifique el mecanismo de evaluación /
investigación implementado para identificar incidentes recurrentes o de alto impacto. ¿Cómo se utiliza la
información obtenida de la evaluación de incidentes de seguridad de la informaciónpara prevenir la
recurrencia y la implementación de oportunidades de mejora? Además, ¿se utiliza esto con fines de
sensibilización y capacitación? Verifique las partes posteriores de los procesos para administrar incidentes de
seguridad hasta el cierre. ¿Tiene la organización un proceso de gestión de incidentes relativamente maduro?
¿Está aprendiendo proactivamente de los incidentes, mejorando el conocimiento de riesgos y los controles de
seguridad en consecuencia? Verifique los registros relacionados con incidentes recientes para obtener
evidencia.
A.16.1.7 Recopilación de pruebas: la recopilación forense de pruebas digitales es una habilidad
especializada. Compruebe si esto se hace de manera competente internamente o por terceros especializados
y capacitados en esta área. Si se reincorpora internamente, confirme que hay personal capacitado,
competente y confiable con herramientas adecuadas y procesos definidos para el rol (por ejemplo, cadena de
evidencia rigurosamente mantenida, evidencia asegurada en el almacenamiento; análisis de copias
forensemente sólidas utilizando herramientas y técnicas de grado forense). ¿Quién decide realizar análisis
forenses y con qué autoridad y base? ¿Cómo son las cuestiones relacionadas con la jurisdicción, las diferentes
normas forenses y los requisitos legales asociados (por ejemplo, incautación, almacenamiento, análisis y
presentación de pruebas) ¿Manejado?
Foro 2017
e
A.17. Gestión de la continuidad del negocio (según ISO 22301)
A.17.1 Negocio continuidad

Esta sección refleja la continuidad del
A.17.1.1 Planificación de la continuidad del negocio: ¿cómo
negocio en general, no sólo la
determina la organización sus requisitos de continuidad del
continuidadde las operaciones y
negocio? Revisar las políticas, procedimientos, estándares,
controles de seguridad de la
directrices, prácticas y registros asociados (por ejemplo, planes
información en la sección 17 de ISO/IEC
de continuidad del negocio). Determine si se emplean diseños
27002. Consultar iso 22301 y otras
adecuados de "alta disponibilidad" para sistemas de TI, redes,
directrices.
etc. apoyar los procesos críticos del negocio. Verificar si los
involucrados entienden
los riesgos a los que se enfrenta la organización, identificar correctamente los procesos críticos para el
negocio y los activos asociados, identificar los posibles impactos incid ent y exigir controles preventivos,
detectives y correctivos adecuados. Evalúe los planes de continuidad del negocio, ejercicios / pruebas de
continuidad, etc. mediante el muestreo y la revisión de la documentación del proceso, los informes, etc.
Verifique que los eventos que puedan interrumpir los procesos comerciales se identifiquen y evalúen
rápidamente, lo que desencadenará actividades de recuperación ante desastres.
A.17.1.2 Implementación de la continuidad de la seguridad de la información: verifique que existan planes
adecuados para mantener las operaciones comerciales o restaurarlas dentro de los plazos definidos después
de la interrupción o falla. ¿Tienen en cuenta los planes la identificación y el acuerdo de responsabilidades, la
identificación delas pérdidas acumulables, la aplicación de los procedimientos de recuperación y restauración,
la documentación de los procedimientos y las pruebas/ejercicios periódicos? Verifique que exista un marco
único y coherente para la planificación de la continuidad del negocio. Verifique si el marco garantiza que
todos los planes sean consistentes e identifique las prioridades para las pruebas y el mantenimiento.
Determinar si los planes de continuidad del negocio y el proceso de planificación, tomados en su conjunto,
son adecuados para satisfacer los requisitos de seguridad de la información identificados. Verifique si
losplanes de continuidad del ss empresarial se ejercen / prueban regularmente para garantizar que
permanezcan actualizados y efectivos. Verifique si los miembros de los equipos de gestión y recuperación de
crisis / incidentes y otro personal relevante conocen los planes y tienen claras susfunciones y
responsabilidades. Comprobar que los controles de seguridad en los sitios de recuperación ante desastres y
en ubicaciones alternativas mitigan adecuadamente los riesgos de información correspondientes (por
ejemplo, ¿Son los controles sustancialmente equivalentes a los de los principales sistemas operativos?).
A.17.1.3 Verificar, revisar y evaluar la continuidad de la seguridad de la información: verifique que las
políticas y procedimientos de continuidad del negocio incluyan métodos de prueba y frecuencia y evidencia
de pruebas reales y sus resultados. Verifique si la validez y efectividad de las medidas de continuidad de
seguridad de la información se han revisado durante la ejecución de BC y DR, si se han identificado alguna
deficiencia, si se han remediado y vuelto a probar (y cómo) hasta que los resultados sean satisfactorios.
A.17.2 Redundancias
A.17.2.1 Disponibilidad de instalaciones deprocesamiento de información: comprobar cómo se identifican y
satisfacen los requisitos de disponibilidad de los servicios de TIC. Verificar los acuerdos de resiliencia,
capacidad y rendimiento, incluidos el seguimiento y los ajustes (por ejemplo, equilibrio de carga dinámico).
Examine los registros de incidentesen busca de pistas sobre servicios, equipos, instalaciones, servidores,
aplicaciones, enlaces, funciones, organizaciones, etc. poco confiables. Compruebe que los controles clave de
seguridad de la información estén implementados y sean funcionales en los sitios de recuperación ante
desastres/reserva. Si los controles en los sitios de DR/reserva son menos estrictos que los de los sitios
primarios, ¿se están tratando adecuadamente los riesgos adicionales (por ejemplo, controles compensatorios

Foro 2017
e
como el aumento de la supervisión y la aceptación del riesgo durante el período limitado de invocación de
DR)?

Foro 2017
e
A.18. Conformidad
A.18.1 Cumplimiento de los requisitos legales y contractuales

A.18.1.1 Identificación de la legislación aplicable y los requisitos contractuales: ¿existe una política sobre el
tema (probablemente no específica para el riesgo de la información, la seguridad y las áreas relacionadas,
pero que cubra el cumplimiento en general)? ¿Existe algún tipo de registro o base de datos de cumplimiento
que enumere todas las obligaciones y expectativas legales, reglamentarias y derequisitos contractuales
aplicables, cada una con propietarios responsables? ¿Quién posee, mantiene, usa y controla el registro? ¿Se
identifican y registran sistemáticamente los requisitos de cumplimiento, tanto inicialmente como cualquier
cambio posterior? ¿Cómo selogra y se garantiza la coordinación, es decir, qué actividades se realizan para
cumplir los requisitos y garantizar que se cumplan? Para una muestra de los requisitos de cumplimiento
relacionados con la seguridad de la información (por ejemplo, actos de privacidad, propiedad intelectual, PCI
DSS, SOX, HIPAA, secretos oficiales y cláusulas relevantes en contratos, acuerdos y estándares), determinar si
existen los controles de seguridad de la información correspondientes. Compruebe, por ejemplo, que existen
controles adecuados para cumplir los requisitos sobre:
Privacidad – pronto including GDPR;
Salud y seguridad (¡la mayoría de los trabajadores son valiosos activos de información! );
El uso de materiales protegidos por derechos de autor, como software con licencia (véase A.18.1.2);
Protección de importantes registros financieros, fiscales y otros registros comerciales contra pérdidas,
destrucción y falsificación (por ejemplo, fraude);
Criptografía, por ejemplo, controles de exportación.
A.18.1.2 Derechos de propiedad intelectual: confirmar que existen políticas y procedimientos relativos al
cumplimiento de los requisitos/obligaciones asociados tanto por parte de la organización como de terceros
(por ejemplo, licenciatarios de patentes corporativas y contenido de derechos de autor). Verifique los
métodos permitidos de adquisición y uso de materiales con derechos de autor, como las licencias de
software. ¿Existen políticas y procedimientos relativos a la adquisición, el uso y la concesión de licenciasde
propiedad intelectual, la gestión de licencias, las revisiones de cumplimiento, etc.?
A.18.1.3 Protección de registros: verifique una política de gestión de registros que cubra los requisitos de
control, como la clasificación, la categorización, los tipos de registros, los períodos de retención, los medios de
almacenamiento permitidos en los que se almacenan, etc. Compruebe también las claves criptográficas
relacionadas y lasfirmas de dígitos de dichos registros, que también deben almacenarse de forma segura.
Determinar qué tan importantes están protegidos los registros organizacionales contra pérdida, destrucción y
falsificación, acceso no autorizado y divulgación de acuerdo con los requisitos legales, reglamentarios,
contractualesy comerciales. Compruebe si los arreglos de almacenamiento / archivo tienen en cuenta la
posibilidad de deterioro de los medios (por ejemplo, condiciones de almacenamiento controladas,
comprobaciones periódicas de integridad y/o transferencia a medios frescos)? Compruebe si se utilizan
medios de almacenamiento adecuados a largo plazo para el almacenamiento a largo plazo.
A.18.1.4 Privacidad y protección de la información de identificación personal: verifique las políticas y
procedimientos en esta área. Verifique si estos se han difundido adecuadamente a todo el personal que
maneja PII. Confirme quién es el oficial de privacidad de la empresa y si él / ella está al tanto de qué atributos
de PII son recopilados y procesados / almacenados por la organización para losempleados orgánicos,
contratistas y otro personal de terceros. Confirme si la PII que se recopila está en línea con los requisitos
legales y reglamentarios, si se han identificado los activos de información en los que se almacena, procesa y
los canales para su comunicación, cuáles son los controles de acceso en torno a dicha PII, cuál es el nivel de
acceso y los roles (del personal) que tienen acceso a estos activos, etc.
A.18.1.5 Regulación delos controles cr yptográficos: verificar que el uso de la criptografía por parte de la
Foro 2017
organización cumpla con todas las leyes, acuerdos/contratos y regulaciones relevantes. Verificar si hay una
política sobre el tema y si la organización está involucrada en alguna actividad relacionada con la
importación / exportaciónde material criptográfico y / o información encriptada, y si tales actividades
cumplen con los requisitos legales y reglamentarios.

Foro 2017
Requisitos. Compruebe que la política requiere que la organización cumpla con los mandatos legales nacionales
con referencia a la divulgación de claves de cifrado.
A.18.2 Revisiones de seguridad de la información

A.18.2.1 Revisión independiente de la seguridad de la información: ¿los auditores internos o externos
independientes revisan la idoneidad de los riesgos de la información y las disposiciones de seguridad de la
organización para determinar su idoneidad en consonancia con sus objetivos? ¿Se planifican, autorizan, llevan
a cabo y controlan cuidadosamente los requisitos de auditoría que implican controles de los sistemas
operativos para minimizar los riesgos para la empresa? ¿Los objetivos y alcances de la auditoría están
acordados y autorizados por la administración apropiada? ¿El acceso a las herramientas/programas
informáticos de auditoría de los sistemas de información se está aplicando adecuadamentepara evitar el uso
indebido y el compromiso? ¿Las herramientas de auditoría de sistemas están prohibidas o protegidas en los
sistemas corporativos, fuera de las auditorías autorizadas? ¿Se registran los hallazgos de la auditoría y se
actúa en consecuencia, y los registros de auditoría se conservan de forma segura para futuras referencias?
A.18.2.2 Cumplir con las políticas y normas de seguridad: ¿cómo se aseguran los gerentes y supervisores de
que todos los procedimientos de seguridad dentro de su área de responsabilidad se llevan a cabo
correctamente de acuerdo con las políticas de seguridad, estándares, etc.? ¿Existen revisiones periódicas de
la cooperación en materia de seguridad dentro de su ámbito de responsabilidad?
A.18.2.3 Revisión del cumplimiento técnico: son
Las herramientas automatizadas de auditoría de seguridad del sis
sistemas y redes de TI revisados/probados regularmente
para el cumplimiento con definido técnico
seguridad Requisitos
por ejemplo, a través de escaneos de vulnerabilidad de
red y pruebas de penetración? Verifique las políticas,
procedimientos, métodos, herramientas y registros
correspondientes. ¿Las pruebas son realizadas por
profesionales debidamente calificados, competentes y
confiables? Revisar los riesgos de la información y los
controles relacionados con las pruebas en sí (por
ejemplo, obligaciones legalmente vinculantes en los
contratos si se utilizan organizaciones externas;
supervisión competente, monitoreo proactivo / intenso
y registro exhaustivo de las actividades). ¿Cómo se
informan, analizan y utilizan los resultados ? Dada su
sensibilidad, ¿cómo se aseguran los resultados? Revisar
los registros de hallazgos, análisis, priorización,
decisiones de tratamiento de riesgos, solicitudes de
cambio, etc. para confirmar que de hecho se están
tomando las medidas apropiadas para abordar los
problemas identificados. Haga una referencia cruzada
con la no conformidad y la acción correctiva en B.10.1.
Esté atento a los problemas de larga data y
repetidamente reportados que evidentemente no se
están resolviendo.

Foro 2017
Apéndice B - Lista de comprobación genérica de auditoría del

sistema de gestión SGSI
Introducción
El siguiente SGSI sistema de gestión la lista de comprobación de Esta lista de verificación de
auditoría comprende un conjunto genérico de pruebas de auditoría. auditoría NO está destinada a
Está estructurado de acuerdo con y refleja los requisitos de ISO / IEC auditorías de certificación. Los
27001 para todo SGSI sin tener en cuenta ninguna específico auditores de certificación deben
requisitos que una organización individual might have (por ejemplo, seguir sus procesos de auditoría
legal, regulador y las obligaciones contractuales relativas a formalmente documentados y
determinados riesgos de la información y procesos de seguridad, o acreditados, utilizando sus propias
controles). listas de verificación de auditoría y
Mientras que las auditorías de certificación del SGSI se centran pruebas de auditoría sobre la
estrictamente en la redacción explícita de la norma, estalista de medida en que el SGSI cumple con
verificación está destinada principalmente a guiar, o a ser adaptada los requisitos especificados en
y utilizada por los auditores internos competentes que realizan ISO / IEC 27001.
auditorías internas del SGSI. También se puede utilizar para
revisiones internas de la gestión del SGSI, incluida la precertificación.
evaluaciones para determinar siel SGSI está en condiciones de ser auditado formalmente. Dicho esto, las
auditorías internas y las revisiones de gestión en este sentido deberían ayudar a la organización a preparar y
finalizar la documentación necesaria que los auditores de certificación probablemente querrán revisar.
Las listas de verificación de Las extensas pruebas de auditoría que se sugieren a continuación en
auditoría interna pueden forma de preguntas y comprobaciones pretenden ser indicaciones o
modificarse aún más durante rem.inders de los principales aspectos que deben ser controlados por los
el curso de la auditoría si competentes, calificado y auditores de TI experimentados. Lo hacen no
salen a la luz áreas de cubre todos los aspectos de ISO/IEC 27001. No están destinados a ser
preocupación nuevas o no preguntados textualmente y simplemente marcados, ya sea en su
apreciadas anteriormente. totalidad o por partes. No sont adecuado para su uso por auditores sin
A diferencia de experiencia que trabajan sin supervisión.
las auditorías de Esta lista de verificación no está destinada a ser utilizada sin la debida
cumplimiento estricto, las consideración y modificación. Se prevé que los usuarios normalmente
auditorías internas pueden generarán listas de verificación personalizadas que reflejen el alcance y la
profundizar en cuestiones escala específicos del SGSI particular que se está auditando, y las pruebas
relacionadas que surgen a de auditoría que surjan, teniendo en cuenta los requisitos de seguridad de
medida que avanza la la información que ya son evidentes en esta etapa (como las leyes,
reglamentos y normas relevantes para la seguridad de la información
queahora se aplican a organizaciones similares en la industria).
Por último, las listas de verificación deben apoyar las prácticas normales de trabajo de los auditores, por
ejemplo, en un formato tabular con columnas adicionales para que el auditor registre notas y comentarios,
evaluación inicial (por ejemplo, . FODA/ PEST/PESTEL), referencias a evidencia de auditoría en el archivo,
métricas de madurez, etc. Una vez completada, la lista de verificación de auditoría vincula la evidencia de
auditoría y los hallazgos recopilados y analizados durante las fases de trabajo de campo y análisis hasta el
informe de auditoría.
Dado que las listas de verificación, los archivos, las notas y las pruebas de auditoría del SGSI
completados contienen información confidencial sobre el riesgo de la información y los arreglos de
seguridad de la organización, deben estar adecuadamente protegidos para garantizar su confidencialidad
e2017
Foro integridad.
B.4. Contexto de la organización
B.4.1 Comprender la organización y su contexto

¿Ha identificado la organización una serie de cuestiones externas e internas que son relevantes tanto para los
propósitos de la organización como para el SGSI? ¿Qué tan bien sedescriben los e en el ámbito de aplicación
del SGSI? ¿Qué tan relevantes e importantes son? ¿Existe una fuerte impresión de que la información es un
activo comercial, el riesgo de la información es un problema comercial, la seguridad de la información apoya
a la empresa en el logro de sus objetivos y, por lo tanto, el SGSI es una valiosa estructura de gobierno que
permite el negocio?
B.4.2 Comprender las necesidades y expectativas de las partes interesadas

Considere cuidadosamente el alcance del SGSI y los documentos
Si el ámbito de aplicación del SGSI
relacionados. ¿Ha identificado la organización partes interesadas
sólo abarca una parte de la
externas o partes fuera del alcance del SGSI con interés en la
organización, el resto es
información de la organización?ks y medidas de seguridad?
probablemente una "parte
Comprobar que se han identificado todas las partes interesadas
interesada" con necesidades y
pertinentes y debidamente Considera p. ej.. Proveedores;
expectativas relevantes para el SGSI.
negocio Socios; clientela y porvenir; trabajadores; Gobiernos
autoridades
y reguladores; Propietarios; asesores profesionales; revisores y auditores; los responsables de la toma de
decisiones; las comunidades locales y la sociedad en general. Comprobar que sus requisitos de riesgo y
seguridad de la información han sido determinados y tenidos en cuenta en el SGSI, ademásde los propios de
la organización, por ejemplo:
Certificación ISO/IEC 27001 del SGSI de la organización por un organismo de certificación acreditado;
Leyes y reglamentos aplicables, por ejemplo, leyes de privacidad, finanzas e impuestos; los secretos
oficiales y las leyes de libertad de información;
Obligaciones contractuales, responsabilidades y restricciones, por ejemplo, licencias de propiedad
intelectual;
Seguridad (particularmente confidencialidad, pero también integridad y
disponibilidad) de personal confidencial y propiedad información; Allí es común
tierra interna entre externos
Fiabilidady, rendimiento y capacidad de los servicios de información e
y
información, por ejemplo. Proveedores de servicios de Internet y en la
controladores para información
nube; fuentes de información;
riesgo y seguridad, ya que la información
Identificar, responder y reportar incidentes o violaciones de seguridad de
la información;
Habilitar y limitar los recursos de informaciónasociados con diversas
actividades comerciales y operaciones de TI, apoyando los objetivos
comerciales como la gobernanza, la rentabilidad y la continuidad;
Mantener una infraestructura y servicios operativos adecuados para su
propósito (por ejemplo, mantenimiento de sistemas y soporte de
software);
Obtener la seguridad de que la organización está identificando y tratando de manera competente,
eficiente y efectiva los riesgos de la información.
B.4.4 Sistema de Gestión de Seguridad de la Información

Foro 2017
Compilar y verificar la documentación y otras pruebas relativa al
establecimiento, la aplicación, el mantenimiento y la mejora continua Consulte esta lista detallada de
del SGSI, incluidos los documentos y registros obligatorios del SGSI documentación obligatoriay
derivados de los procesos de gestión, Métricas y tendencias recomendada del kit de
Demostrando mejora Resultados de herramientas GRATUITA ISO27k.
revisiones de la gestión y decisiones tomadas en dichas revisiones, etc. ¿Ha autorizado la dirección el

Foro 2017
implementación y operación del SGSI, por ejemplo, a través de un memorando formal, aprobación del
proyecto, carta de apoyo del CEO, etc.? ¿Fue esto una mera formalidad o hay evidencia de que la
administración realmente entiende y apoya el SGSI?
B.5. Lídereship
B.5.1 Liderazgo y compromiso

Evaluar en qué medida la administración de la organización lidera y apoya el SGSI basándose en evidencia
como:
Discusiones, entrevistas, reuniones, etc. con la gerencia sobre y alrededor de este tema;
Memorandos, correos electrónicos, presentaciones, sesiones informativas, etc. a través del cual la
administración expresa su apoyo y compromiso con el SGSI y la aceptación de los objetivos y planes de
implementación del SGSI;
La asignación de recursos adecuados y la priorización de las actividades asociadas con el diseñode un d
construir, implementar, operar y mantener el SGSI (yendo más allá del apoyo vocal, ¿la organización está
invirtiendo proactivamente en él? );
Dirección de gestión clara cuando proceda, como criterios de aceptación del riesgo, apetito/tolerancia al
riesgo en relación con el riesgo de la información;
Interés y participación a nivel de la administración en actividades del SGSI, como reuniones, talleres,
grupos focales, elaboración y aprobación de políticas, actividades de sensibilización y cursos de
capacitación, exámenes y auditorías;
Las respuestas rápidas y positivas de la administración a las críticas, problemas e inquietudes, incidentes,
recomendaciones, pruebas y ejercicios, revisión de la gestión e informes de auditoría, etc.;
Indicaciones de que los trabajadores en general entienden la importancia del SGSI y aceptan
voluntariamente sus roles dentro de él (lo que implica una cultura de seguridad corporativa).
B.5.2 Política
Revise el conjunto de políticas de seguridad de la información y Esta sección se refiere a los aspectos de
la documentación relacionada (p. ej.. SGSI misión declaración gobernanza : las políticas corporativas
y alcance). Compruebe que: deben ser impulsadas ydatadas por la
Explicitly apoya y permite los propósitos y objetivos gerencia. El contenido de las políticas
comerciales de la organización, en el contexto del riesgo de de riesgo y seguridad de la información
la información, la seguridad y los requisitos relacionados se especifica en la sección 5.1.1 de la
(por ejemplo, cumplimiento, protección, seguridad y norma ISO/IEC 27002.
continuidad del negocio);
Especificalos objetivos de seguridad y seguridad de la información de alto nivel, tanto internos como
externos, y afirma claramente el compromiso de la organización para satisfacerlos ;
Es lo suficientemente formal y explícito para defenderse en procedimientos legales o disciplinarios, pero
legible y pragmatic suficiente para ser útil en la práctica (aunque respaldado por procedimientos,
directrices, etc.). );
Apoya la mejora continua del SIEM, que refleja la
evolución de los riesgos de la información y la situación Las políticas, procedimientosetc.
empresarial, y madurez; individuos pueden ser propiedad y
autorizarse en los niveles inferiores, pero
Es aprobado, autorizado y / o ordenado como una suite
la estructura general necesita el liderazgo
coherente y razonablemente completa por la gerencia
y el mandato explícitos de la alta
dirección, por ejemplo. a través de una
Foro 2017 estrategia o política corporativa global
sobre riesgo y seguridad de la
"superior" (superior), por ejemplo. junta directiva, CEO,
Comité Ejecutivo o Comité de Seguridad;

Foro 2017
Se comunica ampliamente dentro de la organización, incluyendo a todas las personas dentro del alcance y
directamente implicadas en el SGSI;
Se ponga, en su caso,a disposición de otras partes interesadas (posiblemente en virtud de acuerdos de
confidencialidad o en forma resumida).
B.5.3 Funciones, responsabilidades y autoridades de la organización

Verificar si se asignan roles específicos de riesgo de información y
seguridad, y si se definen y comunican las responsabilidades, La rendición de cuentas es un enfoque
responsabilidades y autoridades relacionadas. p. ej.. en el trabajo de control valioso. Responsabilizar
descripciones y documentos de funciones y responsabilidades personalmente a las personas por sus
que especifiquen las actividades clave, las competencias decisiones, acciones e inacciones
necesarias y las cualificaciones etc. Son responsabilidades y reforzar sus obligaciones, por ejemplo,
autoridades clave (p. ej.. cumplimiento, métricas, autorizaciones, proteger la información a su cargo.
revisiones y auditorías) asignados adecuadamente? A¿Hay
personas adecuadas y competentes en roles clave?
Revise la estructura de gestión de riesgos y seguridad de la información. En comparación con otras
actividades y funciones empresariales, ¿se le da suficiente énfasis y apoyo a la gestión sobre el riesgo y la
seguridad de la información? ¿Hay evidencia de una poderosa "fuerza motriz" a nivel de alta dirección, como
un comité de gestión o un foro para analizarel riesgo de la información y las políticas de seguridad, los riesgos
y los problemas, y tomar decisiones clave? ¿Existe un presupuesto suficiente para las actividades de riesgo y
seguridad de la información? ¿Están las actividades relacionadas con el riesgo de la información y la
seguridad coordinadas y alineadas de manera efectiva entre las diversas unidades de negocio,
departamentos, funciones, equipos, individuos y partes externas con intereses en esta área? ¿Los flujos de
información (por ejemplo, notificación de incidentes y escalamiento) funcionan eficazmente en la práctica?
B.6. Planificación
B.6.1 Acciones para abordar las oportunidades y las oportunidades

B.6.1.1 General
Compruebe si se tienen en cuenta las cuestiones internas y externas, así como los requisitos de las partes
interesadas, al planificar el SGSI y los riesgos y oportunidades relacionados (véanse también los puntos 4.1 y
4.2). ¿Existe un proceso documentado de gestión de riesgos [de información] para identificar,
evaluar/evaluar (de acuerdo con las probabilidades e impactos estimados) y tratar los riesgos de la
información? ¿Son claros los criterios para decidir sobre las opciones de tratamiento de riesgo, incluidos los
pros y los contras de los diferentes aproaches y los niveles de apetito / tolerancia al riesgo?
B.6.1.2 Evaluación de riesgos de seguridad de la información

Determinar y revisar la/s elección/es de la organización de los métodos de evaluación de riesgos de la
información, ya sean métodos a medida o generalmente aceptados. ¿Son comparables y reproducibles los
resultados de las evaluaciones de riesgos? Busque ejemplos de resultados anómalos o contraintuitivos para
determinar cómo se abordaron y resolvieron. ¿Se actualizó el método de evaluación de riesgos como
resultado? ¿Comprobar que se describen "escenarios de riesgo" para cada riesgo, se asignan "niveles de
riesgo" en función de la medición cualitativa o cuantitativa, se nombran "propietarios de riesgos" y se
priorizan los riesgos para el tratamiento? Tener cambios recientes (por ejemplo, sistemas informáticos
nuevos/actualizados,procesos y relaciones fundamentales) ¿se han evaluado adecuadamente los riesgos? Son

Foro 2017
los Risk Treatment Plan, Statement of Applicability, políticas y procedimientos, etc. ser utilizado
proactivamente como herramientas de gestión de riesgos de la información?

Foro 2017
B.6.1.3 Tratamiento de riesgos de seguridad de la información
Revise el RTP de la organización. ¿Se especifican los tratamientos adecuados para todos los riesgos de
información identificados?
es decir, evitar riesgos al no emprender actividades de riesgo; reducir los riesgos mediante controles
adecuados; ¿Compartir riesgos con terceros, como las aseguradoras; o aceptar riesgos que caen dentro del
apetito de riesgo de la administración? Compruebe que los propietarios de riesgos han aprobado el RTP y
aceptado los riesgos residuales. Busque huecos, superposiciones y otras anomalías (por ejemplo,
tratamientos aparentemente inapropiados o ineficaces). Explicaciónde la relación del RTP con la
compatibilidad de la norma of A, especificando lo siguiente para los controles recomendados en el anexo A
de la norma ISO/IEC 27001 y/u otras normas, catálogos de control, etc.:
Si eso es aplicable (incluir el justificación si no); ISO/IEC 27002 puede
Si surge de una obligación legal, reglamentaria o contractual, o si reestructurarse para identificar
está impulsada por el negocio (por ejemplo, aborda un riesgo de categorías o tipos decontrol de
información que preocupa a la empresa o una buena práctica); seguridad. ¡Hacerlo ahora pone
Cómo aborda el riesgo (por ejemplo, preventivo, detectivesco o a la organización por delante del
correctivo; técnico, procesal, físico o legal, etc.). ¡juego!
B.6.2 Objetivos de seguridad de la información y planificación para alcanzarlos

Revisar la misión, objetivos, metas, estrategias, planes, etc. del SGSI. ¿El SGSI apoya explícitamente los
objetivos estratégicos de negocio de la organización? ¿Reflejan los objetivos del SGSI los activos y riesgos de
información clave de la organización, además de sus obligaciones legales, regulatorias, contractuales y otras
obligaciones externas en esta área?
Considerar para cada objetivo: Busque que
¿Cuál es, exactamente, el objetivo? ¿Qué pretendemos lograr o evitar aquí? ¿Qué los objetivos
está impulsando esto: su propósito y valor? sean
¿Cómo sabremos si se ha logrado? ¿Cómo se medirán el progreso y los resultados y Specific,
seevaluarán (métricas más criterios de éxito / fracaso)? Measurable,
Achievable,
¿Qué se hará para lograrlo? ¿Qué recursos se requieren? ¿Quién
Relevant y
es responsable de lograrlo, por qué medios y cuándo? Timebound.
B.7. Apoyo
B.7.1 Recursos
Revisar los recursos asignados al SGSI en términos de presupuesto, mano de obra, etc., en relación con los
objetivos declarados de la organización para el SGSI y (cuando corresponda) en comparación con
organizaciones comparables (evaluación comparativa). ¿Está el SGSI adecuadamente financiado y dotado de
recursos en la práctica? ¿Son suficientes los fondos asignados por la administración para abordar los
problemas de seguridad de la información en un plazo razonable y con un nivel adecuado de calidad?
B.7.2 Competencia
Revisar las calificaciones, la experiencia y la capacitación de aquellos que participan específicamente en el
funcionamiento del SGSI, y las actividades generales de concientización sobre seguridad de la información
dirigidas a todos los empleados. ¿Se identifican y proporcionan explícitamente las competencias necesarias y
los requisitos de formación/sensibilización para los profesionales de la seguridad de la informacióny otras

Foro 2017
personas con funciones y responsabilidades específicas? ¿Son adecuados los presupuestos de
capacitación/sensibilización para financiar las actividades de capacitación y sensibilización asociadas? Revisar
los informes de evaluación de la capacitación, etc. y buscar pruebas que confirmen que se han adoptado
efectivamente las medidas de mejora necesarias. Verifique mediante muestreo que los registros de recursos
humanos de los empleados noten la capacitación relacionada con el SGSI, etc. (en su caso). Evaluar el nivel
general de información

Foro 2017
e
security awareness mediante topografía/muestreo, o revisar los resultados de encuestas/muestras realizadas
como parte del SGSI.
B.7.3 Conciencia
Son políticas de seguridad de la información, etc. bien escrito y difundido adecuadamente a todas las partes
pertinentes? ¿Se requiere explícitamente a los destinatarios que los lean y cumplan? ¿Cómo confirma la
organización que todos han leído y aceptado cumplir con las políticas, por ejemplo? aceptación o
reconocimiento firmados; cuestionarios/pruebas periódicas para confirmar que los destinatarios
comprenden sus obligaciones, incluido su papel más amplio en la gestión de riesgos de la información y hacer
que el SGSI sea efectivo y beneficioso para la organización? ¿Cómo se abordan el cumplimiento y el
incumplimiento de las políticas, por ejemplo, los beneficios / recompensas para reforzar el cumplimiento y los
costos / sanciones por incumplimiento, a través de procedimientos disciplinarios, gestión de relaciones /
contractuales, etc.? ¿Cómo se comunican los cambios, por ejemplo, políticas nuevas o revisadas, funciones y
responsabilidades, riesgos de información (por ejemplo, amenazas novedosas) y controles de seguridad? ¿Es
la gerencia lo suficientemente comprometida y solidaria, por ejemplo? ¿Participan activamente los directivos
en actividades de sensibilización sobre el riesgo de la información y la seguridad, cursos de formación, etc.?
¿Son adecuados los planes, presupuestos y prioridades de formación y sensibilización?
B.7.4 Comunicación
¿Existe un plan de comunicación documentado que identifique a las audiencias internas y externas a las que
se debe realizar una comunicación adecuada y oportuna con respecto a todas las actividades y ocurrencias
relacionadas con la seguridad de la información, por ejemplo, empleados (necesidadde instrucciones sobre lo
que se espera de ellos, actualizaciones sobre políticas, capacitación en procedimientos, etc.) .);
terceros/proveedores (necesitan instrucciones claras sobre lo que se espera de ellos; y las autoridades
legales y reguladoras, además del organismo de certificación y otras partes interesadas (deben ser notificadas
en caso de incumplimientos o incidentes). ¿El plan de comunicación indica qué se debe comunicar, cuándo
(tiempo o frecuencia), por quién y por qué medios? ¿Existen pruebas que confirmen que las comunicaciones
previamenteplanificadas han tenido lugar y han sido eficaces?
B.7.5 Información documentada

B.7.5.1 General
Compruebe toda la "información documentada" (= ¡documentación!)
requerido explícitamente por ISO/IEC 27001 (p. ej.. Alcance, funciones y Recordatorio:documentación
responsabilidades del SGSI, evaluación de riesgos, Declaración de obligatoria y
aplicabilidad, Tratamiento de riesgos Plan riesgo registro evidencia recomendada
de Administración Comentarios
informes de auditoría interna y externa) y documentaciónasociada (NCR, etc.). ¿Ha identificado la dirección
alguna documentación adicional necesaria para la eficacia del SGSI y está disponible? ¿Cómo se pone a
disposición la información del SGSI cuando es necesario (por ejemplo, un sistema de gestión de políticas
basado en intranet, repositorio de SharePointy/o en papel)?
B.7.5.2 Creación y actualización

¿Está adecuadamente controlado el proceso de creación, actualización y autorización u obligación de
cumplimiento de la documentación? Compruebe la presencia y el cumplimiento de las políticas y
procedimientos para las actualizaciones controladas y automáticas de ladocumentación, políticas,
procedimientos, registros, etc. del SGSI. (Cómo) se gestionan y controlan los cambios en la documentación
del SGSI, por ejemplo. cambios revisados y aprobados por los gerentes pertinentes, y promulgados
Foro 2017
e
apropiadamente? ¿Los metadatos del documento están estandarizados y son adecuados, por ejemplo, el
título del documento, el nombre del propietario, la fecha de publicación, la fecha de la última y la próxima
revisión, la distribución, etc.? ¿Existe una lista, inventario o base de datos de documentación controlada?

Foro 2017
e
B.7.5.3 Control de la información documentada
Además de la versión 7.5.2, ¿está la documentación importante relacionada con el SGSI adecuadamente
protegida y protegida (por ejemplo, control de acceso, control de versiones, una política definida de retención
y revisión, copias de seguridad, etc.)? Evalúe los controles que protegen los registros importantes del SGSI,
comolos informes de auditoría y revisión de la seguridad de la información de Variou, los planes de acción, los
documentos formales del SGSI (incluidos los cambios en los mismos), los libros de visitantes, los formularios
de autorización / cambio de acceso, etc. Revisar la idoneidad de los controles sobre la identificación, el
almacenamiento, la protección, larecuperación, el tiempo de retención y la disposición de dichos registros,
particularmente en situaciones en las que existen obligaciones legales, reglamentarias o contractuales para
implementar un SGSI ISO27k (por ejemplo, para proteger datos personales o para proporcionar a una
organización certificada).
¿Están los documentos importantes de origen externo claramente identificados como tales y adecuadamente
controlados?
B.8. Operación
B.8.1 Planificación y control operacional

Comprobar los planes existentes para supervisar y controlar todas las actividades del SGSI, incluida la
gestión continua de riesgos (véase B.6.1) y las acciones para alcanzar los objetivos de seguridad de la
información (véase B.6.2). Las actividades de gestión de riesgos de la información deben abarcar los servicios
de información comercial, como la computación en nube, cuando proceda.
B.8.2 Evaluación de riesgos de seguridad de la información

Comprobar que la evaluación del riesgo de la información a nivel de sgsi se repite o, al menos, se revisa y
actualiza a intervalos adecuados (por ejemplo, anualmente o en caso de cualquier cambio significativo) para
abordar cualquier cambio en las amenazas, vulnerabilidades o impactos y, por lo tanto, los riesgos. Revisar las
acciones tomadas en respuesta a los cambios previamente identificados en los niveles de riesgo. ¿Están
documentadas adecuadamente las evaluaciones y revisiones de riesgos, por ejemplo, los registros de los
riesgos identificados y los tratamientos seleccionados; quién revisó qué y cuándo; los informes de productos y
los planes de acción, idealmente identificando a los responsables y las prioridades / plazos?
B.8.3 Tratamiento de riesgos de seguridad de la información

Revise el Risk Treatment Plan. Debe registrar las decisiones de gestión para tratar cada riesgo de información
identificado a través de una o más formas definidas de tratamiento del riesgo:
1. Evitar: la gerencia generalmente decide no realizar algunas actividades en absoluto (o al menos no ahora)
si los riesgos de la información se consideran demasiado altos en relación con las ventajas comerciales de
proceder. ¿Qué impide que alguien siga adelante consus actividades de todos modos,
independientemente de la decisión formal de evitar los riesgos?;
2. Reducir: los riesgos de información que deben reducirse (mitigarse o mejorarse) deben enumerarse en el
RTP junto con los detalles de cómo se reducirán los riesgos, generalmente a través decontroles de
seguridad en formación. Otros detalles típicamente registrados en el RTP incluyen quién es responsable
de reducir el riesgo, las fechas en que los controles deben implementarse completamente y los riesgos
deben reducirse, quién revisará / verificará y confirmó quelos riesgos se han reducido lo suficiente, etc.;
3. Compartir: si los riesgos de la información se van a compartir con terceros (parcial o totalmente
transferidos), verifique que la documentación incluya términos en contratos, acuerdos o pólizas de
Foro 2017
e
ciberseguro que aclaren las obligaciones y responsabilidades relevantes para los riesgos de la
información; seguridad, privacidad, cumplimiento, notificación de incidentes y aspectos de gestión,
incluida la continuidad comercial; derecho de auditoría; métricas, etc.

Foro 2017
e
4. Aceptar: todos los riesgos de información que permanecen después de los tratamientos anteriores
(incluidos los que no se identificaron, o cuando los tratamientos de riesgo fallan o se quedan cortos de
alguna manera) deben ser aceptados por laorganización. Además, la gerencia puede optar
explícitamente por aceptar algunos riesgos de información. Comprobar cómo se identifican y gestionan
los riesgos residuales y aceptados, por ejemplo, asignados a los propietarios de riesgos responsables
apropiados, supervisados y revisados en institucionespredeterminadas. Busque vínculos con la gestión de
incidentes, la continuidad del negocio, la recuperación ante desastres y los arreglos de contingencia de
uso múltiple.
B.9. Evaluación del desempeño
B.9.1 Seguimiento, medición, análisis y evaluación

(Cómo) supervisa la administración el SGSI para garantizar que
Las métricas respaldan las decisiones al
los controles de seguridad identificados en el RTP, SoA, policies
abordar preguntas relacionadas con o
etc. se implementan de manera efectiva, en operación y logran
que surgen de metas y objetivos. Las
¿Objetivos? ¿Cómo promueve y apoya la administración la
métricas de alto nivel relativas al sgSI en
mejora continua de la gestión de riesgos y seguridad de la
sí suelen medir su eficacia y valor para
información, impulsando la madurez del SGSI mientras se
la organización, su cumplimiento y logro
mantiene alineada con el negocio?ss objetivos?
dediversos requisitos, tendencias a
Revisar las actividades de monitoreo y medición del SGSI medio y largo plazo, recursos y
utilizando evidencia obtenida de: métricas de seguridad; actas prioridades, su estado de
de reuniones y acciones surgidas; informes de revisión de la implementación y madurez, etc. en el
gestión y auditoría interna; informes de infracciones/incidentes; contexto empresarial más amplio de la
propuestas de inversión o proyectos de seguridad, casos de organización. Las métricas detalladas
negocio, etc. de bajo nivel utilizadas dentro del SGSI
Compruebe cómo se especifican/definen y utilizan las para gestionar los riesgos de la
métricas, por ejemplo. fuentes de datos; frecuencias de información, los conflictos de
recopilación, análisis y presentación de informes; quién seguridad, los incidentes, etc. dependen
recopila, analiza y presenta/informa los datos, y a quién. en gran medida de la situación
Considere el propósito, la calidad, la utilidad y el valor de las particular y tienden a ser de naturaleza
métricas, por ejemplo. utilizando los criterios PRAGMÁTICOS. más operativa / a corto plazo. Consulte
En su conjunto, ¿las métricas presentan una perspectiva ISO/IEC 27004:2016 para obtener más
razonablemente completa, precisa y oportunapara la gestión?
¿Las decisiones clave de gestión son impulsadas por las
métricas, de hecho?
[Cómo] ¿ Las métricas impulsan mejoras continuas?

Foro 2017
e
B.9.2 Auditoría interna
Revisar las auditorías internas del SGSI de la organización No es raro que algunas acciones acordadas
documentadas en los alcances, planes, informes y planes permanezcan incompletas en las fechas de
de acción de la auditoría interna del SGSI etc. ¿Existe una finalización planificadas, especialmente si son
auditoría interna del SGSI? programa, mostrando un complejas, costosas o involucran a otras
conjunto planificado o una serie de auditorías? Son partes. El punto no es que todo deba hacerse
responsabilidades para la conducción I¿Auditorías internas exactamente como se planeó, sino que la
por SMS asignadas formalmente a auditores competentes gestión permanezca al tanto de la situación,
y adecuadamente capacitados (contratistas o consultores gestionando proactivamente el trabajo y
si no hay empleados adecuados disponibles)? asignando recursos suficientes para lograr una
¿En qué medida las auditorías internas confirman que el tasa razonable de progreso, con una
SGSI cumple con sus requisitos definidos en las proporción razonable de acciones acordadas
obligaciones legales, reglamentarias o que se completen a tiempo. La mejora
contractualespertinentes de la norma ISO/IEC 27001 y los continua y los resultados empresariales
requisitos del SGSI organizacional especificados a través positivos son más importantes que el estricto
del proceso de evaluación de riesgos? cumplimientode los Aviones (véase también la
Revisa que recomendaciones, planes de acción, correctivos
las acciones , etc., generalmente se abordan y verifican dentro de los plazos acordados, prestando especial
atención a cualquier acción actualmente atrasada para ejemplos de actualidad.
B.9.3 Revisión de la gestión

Revisiones de la gestión del SGSI debe ocurrir al menos dos veces
Si se trata de una auditoría de certificación SGSI,
al año o siempre que haya un cambio significativo en el SGSI.
realizado a petición de la gerencia, podría considerars
¿Está esto definido? p. ej.. en política? ¿Cuándo ha revisado
previamente la administración el SGSI y cuándo tiene previsto
hacerlo?
Al revisar los informes de gestión y otros registros, y / o al que fue No la intención. Su
entrevistar a los que participaron, verifique lo que entró en la Objetivos y Procesos diferir
revisión de gestión anterior (ISO / IEC 27001 identifica nueve por ejemplo, Auditorías
hijo Formalizado
elementos, como los resultados de otras auditorías / revisiones, evaluaciones independientes, considerando que
comentarios y sugerencias de mejora, información sobre es posible que las revisiones de gestión no lo sean.
vulnerabilidades y amenazas, etc.). Evaluar en qué medida la
administración desempeñó un papel activo y participó
plenamente en el examen o exámenes.
Comprobar los resultados de cualquier revisión o revisiones de gestión anteriores, incluidas las decisiones
clave de gestión, los planes de acción y los registros relacionados con laconfirmación de que las acciones
acordadas se llevaron a cabo debidamente. Si es necesario, confirme que las acciones cerradas se han
completado correctamente, centrándose tal vez en las que no se completaron a tiempo.
B.10. Mejora
B.10.1 Inconformidad y acción correctiva

Revisar una muestra de recomendaciones para evaluar lo que realmente sucede cuando se detecta una no
conformidad
por ejemplo, a través de una revisión, auditoría, casi accidente o incidente. ¿Se documentan de forma rutinaria

Foro 2017
y consistente en forma de Non-C onformance Reports (NCRs), incluyendo:

Foro 2017
Detalles explícitos del no conformee incluyendo qué obligaciones, requisitos o controla que relaciona a
(p. ej.. cláusulas de ISO/IEC 27001; políticas; leyes y reglamentos; condiciones contractuales; condiciones
del seguro; buenas prácticas);
Análisis de causa raíz, profundizando en las razones subyacentes, Aparte de los síntomas obvios
brechas, problemas o fallas que permitieron que ocurriera la pero a menudo superficiales y los
situación; aspectos reactivos (como el
cumplimiento por el bien de él),
Acciones planificadas para abordar las causas fundamentales,
vale la pena diagnosticar y tratar
incluidos los cambios en las estrategias, políticas, procedimientos,
proactivamente cualquier causa
prioridades, recursos, controles, métricas, supervisión, etc. del
raíz subyacente para evitar que
SGSI; los problemas se repitan y tal vez
Especificación, priorización, programación/planificación y dotación empeoren, como un cáncer.
de recursos de las acciones que surjan;
Pruebas que demuestren que el NCR ha sido de hecho abordado y
resuelto;
¿Confirmación independiente de que el NCR ha sido resuelto y, por lo tanto, se puede cerrar?
¿Se implementan plenamente las acciones correctivas apropiadas y se revisa su efectividad de manera
rutinaria? ¿Alguien hace el esfuerzo de determinar si existen o pueden ocurrir inconformidades similares en
otros lugares? ¿Se consideran las no conformidades y las medidas correctivas en los exámenes de gestión
(B.9.3)?
B.10.2 Mejora continua

Además de realizar mejoras en el SGSI en respuesta a las no conformidades notificadas, ¿adopta la
organización una postura más proactiva paraabordar posibles mejoras, nuevos requisitos emergentes o
proyectados, etc.? ¿Cómo se identifican, evalúan y (si procede) implementan las posibles mejoras del SGSI?
Obtener y revisar registros relacionados con acciones correctivas como informes y planes de acción de
revisiones o auditorías de gestión de SGSI (ver 9.2 y 9.3), solicitudes de cambio de SGSI, propuestas de
presupuesto / inversión y casos de negocios, etc. Buscar pruebas de que, de hecho, el SGSI está siendo
mejorado materialmente en respuesta a nuevas necesidades emergentes o proyectadas, buenas prácticas de
seguridad emergentes, etc. Busque evidencia de cambios en el SGSI (como agregar, cambiar o eliminar
controles de seguridad de la información) correspondientes a riesgos de información significativamente
modificados.

Foro 2017

Guia Iso27k

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Iso27k

Cargado por

Copyright:

Formatos disponibles

Kit de herramientas ISO27k

Guía de auditoría del SGSI

Guía genérica y pragmática para auditar la

Una plantilla para el uso de auditoría interna por

Complementa las normas internacionales

Information Security Management

Preparado por profesionales del Foro ISO27k

Derechos de autor © ISO27k 1|Page

Apéndice A - Lista de comprobación genérica de auditoría de seguridad de la información 16

Derechos de autor © ISO27k 2|Page

Derechos de autor © ISO27k 3|Page

Apéndice B - Lista de comprobación genérica de auditoría del sistema de gestión SGSI42

Derechos de autor © ISO27k 4|Page

Derechos de autor © ISO27k 5|Page

2. Alcance y propósito de esta directriz

Derechos de autor © ISO27k 6|Page

Derechos de autor © ISO27k 7|Page

Derechos de autor © ISO27k 8|Page

Derechos de autor © ISO27k 9|Page

Derechos de autor © ISO27k 10 | P a g

Derechos de autor © ISO27k 11 | P a g

6.1 Gestión del programa de auditoría del SGSI

6.2 Gestión de una auditoría SGSI

Derechos de autor © ISO27k 12 | P a g

7.1 Encuesta de alcance y previa a la auditoría

Derechos de autor © ISO27k 13 | P a g

Derechos de autor © ISO27k 14 | P a g

7.2 Planificación y preparación de auditorías

7.3 Trabajo de campo de auditoría

Derechos de autor © ISO27k 10 | P a g e

7.4 Análisis de auditoría

7.5 Informes de auditoría

Derechos de autor © ISO27k 12 | P a g e

Derechos de autor © ISO27k 13 | P a g e

Derechos de autor © ISO27k 14 | P a g e

7.6 Cierre de la auditoría

8. Competencia y evaluación de los auditores

Derechos de autor © ISO27k 15 | P a g e

Derechos de autor © ISO27k 16 | P a g e

8.2 Demostración de la competencia del auditor

Derechos de autor © ISO27k 17 | P a g e

9.4 Derechos de autor

Siendo una comunidad global amigable y

Lo mejor de todo es que

Derechos de autor © ISO27k 18 | P a g e

Apéndice A - Lista de comprobación genérica de auditoría de

Derechos de autor © ISO27k 19 | P a g e

A.5. Políticas de seguridad de la información

A.6. Organización de la seguridad de la información

A.6.1 Organización interna

Derechos de autor © ISO27k 110 | P a g

Derechos de autor © ISO27k 111 | P a g

Derechos de autor © ISO27k 112 | P a g

Derechos de autor © ISO27k 113 | P a g

A.7. Seguridad de losrecursos humanos

A.7.1 Antes del empleo

A.7.2 Durante el empleo

Derechos de autor © ISO27k 114 | P a g

Derechos de autor © ISO27k 115 | P a g

A.7.3 Terminación y cambio de empleo

Derechos de autor © ISO27k 20 | P a g e

A.8.1 Responsabilidad por los activos

Derechos de autor © ISO27k 20 | P a g e

Derechos de autor © ISO27k 22 | P a g e