MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN

MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Estudiantes:
Grupo: ESN-GRUPO-CEJG.
 Cristian Bacuilima
 Edgar Bustamante
 Jesús Cisneros
 Gustavo Vivar

TÍTULO PRÁCTICA:
Realizar un informe de auditoría final incluyendo todos los criterios estudiados.

CORPORACIÓN SISTEMAX

INFORME DE AUDITORIA INTERNA DE LA SEGURIDAD DE SISTEMAS DE

INFORMACIÓN DE LA INFRAESTRUSTURA DE TI DE LA CORPORACIÓN SISTEMAX

Período del programa de Auditoría: Del 27 de octubre al 12 de noviembre del 2022

Auditoría interna a la Infraestructura de TI

Fecha de inicio: 07 de noviembre del 2022

Fecha de finalización: 09 de noviembre del 2022

Fecha de entrega informe final: 13 de noviembre del 2022

Página 1 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Resumen ejecutivo:

1. Aspectos preliminares o antecedentes

2. Visión general de la metodología.
3. Características de la organización.
4. Resultados de la auditoría.
5. Conclusiones.
6. Recomendaciones.
7. Anexos.

Página 2 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

1. Aspectos preliminares o Antecedentes.

1.1. Aspectos preliminares o antecedentes.

Dentro del POA (Plan Operativo Anual 2022) de la corporación SISTEMAX, esta
considera la realización de una Auditoría Interna, como un requisito establecido
por la Alta Gerencia, para allanar el proceso de Certificación ISO/IEC
27001:2013 para la Infraestructura de TI, toda vez que la entidad certificadora
en mayo del año 2023 evaluará el Sistema de Gestión de Seguridad de la
Información de la empresa. Consecuentemente se hace necesario realizar una
auditoría interna a la Infraestructura de TI y todos los criterios inmersos en los
procesos, como las políticas de SI, el cumplimiento de la normativa, controles,
archivos, procedimientos y la gestión de riesgos implantada, para evaluar la
eficacia y eficiencia de los mismos.

1.2. Sistemas o procesos auditados.

Infraestructura de Tecnologías de la Información.

1.3. Responsable del Proceso de Auditoría.

Ing. Gabriel Rosales: Director de TI.

1.4. Objetivo de la Auditoría.

1.4.1. Objetivo General.

Evaluar el cumplimiento de la norma ISO/IEC 27001:2013 Sistema de

Gestión de Seguridad de la Información e Infraestructura de Información
(TI) en el área de Tecnología de Información y Comunicación.

1.4.2. Objetivos Específicos.

 Revisar que los sistemas e infraestructura de TI, estén siendo

utilizados de manera óptima aplicando la ISO/IEC 27001:2013 e
ISO 27002 – Anexo A, que permita generar un beneficio mayor y
seguridad para la empresa.

 Fomentar la aplicación de las políticas de seguridad de la

información y los criterios aplicados en la empresa para una mayor
seguridad de la información contra ataques informáticos que
pongan en riesgo la integridad, confidencialidad y disponibilidad de
la información,

1.5. Alcance.

Se enfocará en la Dirección de TIC y Riesgos, específicamente en el área de

Infraestructura de TI, de la sede central en la ciudad de Quito, con la finalidad de
tener la menor cantidad de no conformidades, esto incluirá la evaluación de
datos, políticas, criterios e información verificando la disponibilidad, integridad y
confidencialidad; además se establecerá la confiabilidad y control de activos
informáticos.

Página 3 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

1.6. Recursos de Auditoría Interna.

RECURSOS: TALENTO HUMANO, MATERIALES TECNOLÓGICOS

TALENTO HUMANO
EQUIPO AUDITOR CARGO/ROL
NOMBRE Y APELLIDO Auditor líder Auditores Observador Experto
técnico
Jesús Cisneros X X
Cristian Bacuilima X
Edgar Bustamante X
Gustavo Vivar X X

MATERIALES y EQUIPOS TECNOLÓGICOS

DETALLE CANTIDAD
Computadores 2
Impresoras 1
Smartphone 4
Memory flash 2
Scanner 1
Papel bond - resmas 2

2. Visión general de la metodología.

2.1. Enfoque metodológico.
La auditoría se realizó basada en riegos y el cumplimiento de las normativas
ISO/IEC 27001:2013 Y 27002-Anexo A, en este marco se podrá evidenciar y
evaluar los riesgos y no conformidades a los que esté expuesta la empresa, es
por ello que para realizar lo antes indicado se realizó lo siguiente:

•Visita a la infraestructura de TI
Recopilación de la •Presentación del plan de auditoria interna
información y Planificación •Levantamiento de informacíón

Compresión del Control •Análisis de la información recolectada

Interno •Identificación, evaluación y valoración del Riesgo

•Verificación del cumplimiento de la normativa y politicas

Pruebas de cumplimiento •Realización de pruebas de cumplimiento.

Realizacíón de pruebas •Notas de campo-Checklist (Directivos y operativos)

•Resumen ejecutivo
Conclusión del Plan de •Recomendaciones
auditoría •Informe final de auditoria interna

2.2. Criterios de auditoría y/o marco regulatorio.

 Norma Técnica Ecuatoriana NTE-ISO/IEC 27001:2013
 Norma Técnica Ecuatoriana NTE-ISO/IEC 27002:2022 – Anexo A
 Normativa aplicable a la entidad.
 Políticas de seguridad de la información.

Página 4 de 14
 MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

 Gestión de riesgos.
 Plan de auditoría interna de la infraestructura de TI y auditorías anteriores.
 Normativa de Control interno para las entidades, organismos del sector
público y personas jurídicas de derecho privado que dispongas de recursos
públicos. Tecnologías de la Información (410).

3. Características de la organización.

3.1. Contexto de la organización.

SISTEMAX, es una empresa líder en servicios de TI, sus metas empresariales

se basan en la consecución de sus objetivos a nivel nacional y de servicios de
internet de banda ancha con FO a nivel empresarial, PYMES, y doméstico,
licenciamiento de software antivirus y Sistemas Operativos, almacenamiento
Cloud y servidores, venta de servidores y equipos informáticos de última
tecnología.

Sus fortalezas se basan en una atención de primer orden con personal

altamente calificado y entrega de servicios de última tecnología para garantizar
la triada de la seguridad de la información, lo que hace que las partes
interesadas, inversionistas y clientes se sientan satisfechos con la solidez de
los servicios de la empresa. Además ha optado por certificar la Infraestructura
de TI en base a la norma ISO/IEC 27001:2013, lo que le dará un estatus superior
sobre otras organizaciones de la misma tendencia de negocio.

3.2. Organigrama de la empresa.

Junta Directiva

Gerente Gral.

Dir. Proyectos
Dir. TTHH
Auditoría
Nivel asesor

Dir. Operaciones Dir. Jurídica Dir. Financiera Dir. Comercial Dir. TIC y Riesgos

D. Import/export Ventas Seguridad de la

Información

Empresas/Pymes Marketing
Desarrollo

Peq. Clientes Atención Cliente

Arquitectura TI

Infraestructura TI

Página 5 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

3.3. Talento Humano auditado.

AUDITADOS
Dirección/Sub Dir/Operativos Nombre Cargo
Dirección de TIC Gabriel Rosales Director de TIC
Dirección de Riesgos José Rosales Director de Riesgos
Sub Dirección Seguridad de la Mariana Silva Sub Director de S.I.
Información
Sub Dirección de Desarrollo David Cisneros Sub Director Desarrollo
Sub Dirección de Arquitectura de Magaly Araujo Sub Director Arquitectura
TI de TI
Sub Dirección de Infraestructura Lisdye Harper Sub Director de
de TI Infraestructura de TI
Técnico de TI Andrea Ruiz Operativo Seguridad de
la información
Técnico de TI Josué Romero Operativo Seguridad de
la información
Técnico de TI Andrés Cepeda Operativo Cloud
Técnico de TI María Veloz Operativo Cloud
Técnico de TI Brayan Ruiz Operativo Servidores
Técnico de TI Josefa Marín Operativo Servidores
Técnico de TI Jorge Araujo Operativo Redes
Técnico de TI Alan Moreno Operativo Redes
Técnico de TI Lorena Terán Operativo Mantenimiento
Técnico de TI José Rivera Operativo Mantenimiento
Técnico de TI Mario Escobar Operativo Desarrollo
Técnico de TI Elías Sarmiento Operativo Desarrollo
Técnico Rosa Jiménez Operativo Marketing
Técnico Bertha Veloz Operativo Marketing
Técnico Monserrath Calle Operativo ventas
Técnico Irene Salas Operativo ventas
Atención al cliente Josué Cevallos Operativo
Atención al cliente Nory Candelario Operativo
Técnico de seguridad Jorge Mesa Seguridad perimetral

4. Resultados de auditoria.

4.1. Resumen del proceso de auditoría.

La ejecución de la auditoria se realizó bajo los principios de la norma ISO/IEC

27001:2013 e ISO/IEC 27002-Anexo A, las políticas de seguridad implantadas
y la gestión de riesgos que se la determinado.

Además, cabe mencionar que siempre se mantuvo presente la confidencialidad,

imparcialidad y objetividad en todo el proceso de auditoría, con la finalidad de
que los resultados sean los más óptimos en comparación con los criterios que
se establecieron para este proceso, en tal circunstancia las observaciones,
encuestas y notas de campo (Checklist) derivadas del análisis, surgen de un
proceso de comparación de lo que “previamente se ha establecido” y lo que “se
ha encontrado”, esto basado en las premisas:

 Condición: Descripción de la situación observada, se determina los puntos

de verdadera importancia para la auditoría y permite tomar acciones
constructivas para organización en el área auditada.

Página 6 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

 Criterio: Normativa de carácter legal, reglamentario, normas y

procedimientos, con el cual es comparado el hecho observado, además
se detalla en el informe el criterio que no se consideró por parte del
auditado.

 Causa: El informe explica las razones por la cuales un determinado

registro o proceso no va acorde con la normativa o procedimiento
previamente establecido.

 Efecto: Al exponer las deficiencias encontradas en la auditoría, es

necesario detallar qué consecuencias puede traer a la empresa si no se
las corrige. Las consecuencias es el riesgo o exposición en que está
inmersa las organización o terceros (partes interesadas) debido a que lo
encontrado en la auditoría no coincide con los criterios preestablecidos.

 Criticidad: Una vez detectadas las deficiencias o “no conformidades”, es

necesario otorgarles un nivel de criticidad (cualitativo o cuantitativo) que
permita comprender el grado de peligro que la criticidad conlleva para la
organización.

Para determinar la criticidad de las no conformidades, se hace uso de la

siguiente tabla:

Nivel de criticidad: Explicación:

Crítico
Importante
Moderadamente importante
Ligeramente importante
Para conocimiento previo
Requiere una solución inmediata.
Debe ser resuelto a la brevedad posible, se
puede programar una parada del sistema
para una revisión..
Debe ser contratado cuando el cliente lo
considere conveniente, no debería ser
ignorado ni asumido por la organización
Debe ser tratado en la próxima
reconfiguración según la planificación, pero
no debe ser ignorado ni asumido por la
organización.
Se recomienda tratarlo en la próxima
planificación de reconfiguración, no es
recomendable ignorarlo, aunque podría ser
asumido por la organización posterior al
análisis de riesgos.

4.1.1. Etapa 1.

4.1.1.1. Revisión de la documentación.

Se realizó el primer día de la auditoría (07/11/2022), donde además se

socializó como se llevaría a cabo el proceso.

Etapa 1 – Revisión de documentación SI NO

Políticas de seguridad de TI. x
Normativa de Control interno para las entidades,
organismos del sector público y personas jurídicas de x
derecho privado que dispongan de recursos públicos.
Tecnologías de la Información (410).
Informe final de auditorías anteriores. x
Normativa ISO 27001:2013. x

Página 7 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Normativa ISO 27002:2022 – Anexo A. x

Documentación de Gestión de Riesgos. x
Constitución de la compañía. x

De lo expuesto se puede apreciar que se cuenta con la documentación

(criterios) necesarios para ejecutar las convalidaciones pertinentes a los
auditados y administrar la Normativa ISO 27001:2013, ISO 27002:2022
– anexo A.

Como resultado de la etapa 1, no se identificaron no conformidades.

4.1.2. Etapa 2.
La evaluación de esta etapa, se la realizó del 07 al 09 de noviembre del
2022, se inició con la reunión de apertura, registro de asistencia y al día
final la lectura del informe borrador y posteriormente la entrega del
informe final de la auditoría a la Gerencia.

En esta etapa se verificó el cumplimiento de los requisitos de la norma

ISO 27001:2013, ISO 27002:2022-Anexo A, las políticas de seguridad,
la documentación de gestión de riesgos, actividad que se realizó
mediante observación, entrevistas y aplicación de Notas de campo
(Checklist). Con la finalidad de determinar la existencia o no de no
conformidades.

4.2. Resultado del examen de auditoría interna.

En este apartado se muestran las “no conformidades” que fueron

detectadas en el proceso de auditoría interna.

AUDITORIA INTERNA Consecutivo

SISTEMAX AI-01
Período: Del 07 al 09 de noviembre
del 2022
Proceso: Servicio al cliente
Hoja de hallazgos y/o no conformidades
Clasificación: Mayor. X Menor.
Observación: Existe el riesgo de pérdida de información debido a que
no hay un control de usuarios y contraseñas de acceso a
las aplicaciones que contienen información.
Condición: Los usuarios y contraseñas de acceso a los sistemas no
están debidamente controlados y/o actualizados.
Criterio: Se incumple la norma ISO27001:2013, numeral 7.5.3
“Control de la información documentada”.
Anexo A.9.4.1 Restricción de acceso a la información “El
acceso a la información y a las funciones de los sistemas
de las aplicaciones se debe restringir de acuerdo a la
política de control de acceso”.
Causa: Se encontró que varios empleados que habían salido de
la institución, aun mantenían acceso a las aplicaciones y
bases de datos.
Efecto: Riesgo de pérdida de la integridad, confidencialidad y
filtración de información.
Criticidad: Alta
Seguimiento: Si X No Nueva fecha 13/01/2023

Firma: Jesús Cisneros Fecha: 07/11/2022

Página 8 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

AUDITORIA INTERNA Consecutivo

SISTEMAX AI-02
Período: Del 07 al 09 de noviembre
del 2022
Proceso: Infraestructura de redes
Hoja de hallazgos y/o no conformidades
Clasificación: Mayor. X Menor.
Observación: Se observa que puntos de red que no utilizados aún
están activos, mismos que generan IP’s válidas y por
ende un acceso no controlado a la red.
Condición: Los puntos de red no utilizados no deben estar activos
Criterio: No se cumple la norma ISO27001- Anexo A.9.1.2
Acceso a redes y a servicios de red “Solo se debe
permitir el acceso de los usuarios a la red y a los
servicios de red para que hayan sido autorizados
específicamente”.
Causa: En la observación se encontró que más de 10 puntos de
red ubicados en el departamento de contabilidad,
ventas y servicio al cliente, tienen acceso a la intranet,
VLAN y a la red de servicio de internet.
Efecto: Riesgo de pérdida de la integridad, confidencialidad y
filtración de información
Criticidad: Alta
Seguimiento: Si X No Nueva fecha 13/01/2023

Firmado por: Cristian Bacuilima Fecha: 08/11/2022

AUDITORIA INTERNA Consecutivo

SISTEMAX AI-03
Período: Del 07 al 09 de noviembre
del 2022
Proceso: Gestión documental
Hoja de hallazgos y/o no conformidades
Clasificación: Mayor. X Menor.
Observación: De la documentación presentada, por la Directora de
Infraestructura de TI, se observa que la documentación
de riesgos de seguridad de la información esta
desactualizada.
Condición: La organización debe llevar a cabo valoraciones de
riesgos a intervalos planificados cuando ocurran
cambios significativos.
Criterio: Se incumple la norma ISO27001:2013 numeral 7.5.2
Creación y actualización – A.5.1.2. Políticas de
seguridad de la información. “Las políticas para la
seguridad de la información se debe revisar a intervalos
planificados o si ocurren cambios significativos …”
Causa: Cuando se realizan o se presentan cambios
significativos en la infraestructura de TI, es necesario
actualizar y/o cambios en las políticas de seguridad de
riegos a la brevedad posible.
Efecto: Al no tener actualizas las políticas de gestión de riesgos
los activos se exponen a ataques que pueden

Página 9 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

comprometer la confidencialidad, integridad y

disponibilidad de la información.
Criticidad: Alta
Seguimiento: Si X No Nueva fecha 13/01/2023

Firmado por: Edgar Bustamante Fecha: 08/11/2022

AUDITORIA INTERNA Consecutivo

SISTEMAX AI-04
Período: Del 07 al 09 de noviembre
del 2022
Proceso: Ventas
Hoja de hallazgos y/o no conformidades
Clasificación: Mayor. X Menor.
Observación: Durante una auditoria interna al sistema de gestión de
la seguridad se puede observar fuga de información
mediante el empleo de USB desde un computador del
área de ventas, violando todas las políticas comerciales
con los clientes y afectando en forma directa a 180
empresas clientes de un total de 500.
Condición: Los empleados de ventas no están bien controlados y
no aplican las políticas de seguridad respecto del uso
de dispositivos de almacenamiento y electrónicos.
Criterio: No se cumple la norma ISO27001- Anexo A.6.2.1.
Políticas para dispositivos móviles “Se debe adoptar
una política y unas medidas de seguridad de soporte
para gestionar los riesgos introducidos por el uso de
dispositivos móviles”.
Causa: Cuando los empleados usan dispositivos móviles,
deben ser de uso exclusivo de su trabajo y
pertenecientes a la empresa, por ningún motivo deben
extraer información y trasladarla fuera de la
organización.
Efecto: El sustraer información sin permiso o autorización
compromete la confidencialidad, integridad y
disponibilidad de la información y los activos de la
empresa.
Criticidad: Alta
Seguimiento: Si X No Nueva fecha 13/01/2023

Firmado por: Gustavo Vivar Fecha: 09/11/2022

5. Conclusiones.

5.1.1. Se identificó el riesgo de control al no existir procedimientos de retiro de

claves de usuarios una vez que el personal es separado de la empresa.

5.1.2. Se identificó que varios puntos de acceso a la red interna están activos
y tienen acceso a la intranet, VLAN y acceso a internet.

Página 10 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

5.1.3. Se identificó que la documentación de riesgos de seguridad de la

información esta desactualizada.

5.1.4. Se observa que los empleados de ventas no están bien controlados y no

aplican las políticas de seguridad respecto del uso de dispositivos de
almacenamiento y electrónicos como las USB.

5.1.5. Se pudo evidenciar que existieron 04 no conformidades, las cuales

deberán ser solventadas hasta el 13 de enero del 2023; los demás
departamentos involucrados en la auditoría están cumpliendo con las
políticas de seguridad de la información, ya que no presentaron no
conformidades en sus procesos.

6. Recomendaciones.

6.1.1. Mantener un control de usuarios y claves asignadas, retirando el acceso

a personas que ya no laboran en la empresa. Elaborar procedimientos
y/o políticas de gestión de usuarios y contraseñas.

6.1.2. Implementar políticas y controles para la gestión para desactivar los

puntos de acceso que no están asignados a ningún servicio.

6.1.3. Controlar que se cumplan con la actualización de políticas de gestión de

riesgos, cuando se realizan o se presentan cambios significativos en la
infraestructura de TI.

6.1.4. Implementar un control y medidas de seguridad para el uso eficiente de

dispositivos electrónicos portables, para gestionar los riesgos
introducidos por el uso de dispositivos móviles.

6.1.5. Que el 13 de enero del 2023, se proceda a revisar las recomendaciones

realizadas, para verificar su cumplimiento.

7. Anexos.

Se anexa las notas de campo (Checklist) aplicadas al talento humano (auditados)

de la empresa. Anexo 1.

Elaborado por:
Auditor 1 Auditor 2 Auditor 3

Cristian Bacuilima Edgar Bustamante Gustavo Vivar

Revisado por: Aprobado por:

Jesús Cisneros Ramiro Salame

Auditor Líder Gerente General

Quito, 13 de noviembre del 2022

Página 11 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

ANEXO 1
NOTAS DE CAMPO-CHECKLIST
Empresa: SISTEMAX Criterio de auditoría:

Auditor: Jesús Cisneros Fecha: 07/11/2022

NUMERAL PREGUNTA OBSERVACION NCF
4.3 ¿Es de su conocimiento el
alcance que tiene el SGSI?
4.4 ¿Cuál es el proceso en que usted
se desenvuelve?
5.2 ¿Conoce usted y pone en
práctica las políticas de
seguridad de la organización?
5.3 ¿Cuáles son sus funciones,
responsabilidades y roles en la
organización?
6.1 ¿De conocer la existencia de un
riesgo a la seguridad de la
información, que acciones
tomaría usted para tratar ese
riesgo?
6.2 ¿Conoce usted los objetivos se
seguridad de la información
aplicables a su función y cargo?
7.2 ¿Puede usted demostrar que
tiene las competencias
necesarias para desempeñar
sus funciones eficientemente?
7.2 Dentro de la organización o por
cuenta propia. ¿Qué educación
o formación ha adquirido en

Página 12 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

NOTAS DE CAMPO-CHECKLIST
Empresa: SISTEMAX Criterio de auditoría:

Auditor: Jesús Cisneros Fecha: 07/11/2022

NUMERAL PREGUNTA OBSERVACION NCF
torno a la seguridad de la
información?
7.4 ¿Maneja usted protocolos de
comunicación interna? ¿Cuáles
son? ¿Con quién se comunica
dentro de la organización?
7.4 ¿Maneja usted protocolos de
comunicación externa? ¿Cuáles
son? ¿Es posible saber con
quién se comunica?
7.5 ¿Cuándo usted crea o actualiza
información documentada de la
organización se asegura de
seguir las políticas y protocolos
establecidos?
8.1 Para cumplir con los requisitos
de seguridad de la información.
¿Aplica usted, las políticas de
controles establecidos por la
organización?
9.1 ¿Qué indicadores de gestión
lleva usted?
9.1 ¿Mencione las actividades que
fomentan y mejoran los
indicadores de gestión en su
lugar de trabajo?

Página 13 de 14
MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
MÓDULO: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

NOTAS DE CAMPO-CHECKLIST
Empresa: SISTEMAX Criterio de auditoría:

Auditor: Jesús Cisneros Fecha: 07/11/2022

NUMERAL PREGUNTA OBSERVACION NCF
9.2 ¿Con que frecuencia conoce
usted sobre los informes de
auditoría interna?
10.1 En conocimiento de una “no
conformidad”. ¿Ha realizado
usted las acciones correctivas
pertinentes?
A.9.4.3 ¿Conoce usted, las políticas de
gestión de contraseñas y como
asegurar la calidad de las
mismas?
A.11.2.9 ¿Es de su conocimiento la
política de escritorio y pantalla
limpia, en su área de trabajo e
instalaciones de procesamiento
de información?
A.13.2.2 ¿Conoce usted las políticas para
la transferencia segura de
información del negocio entre la
organización y las partes
externas (organizaciones
externas)?

Página 14 de 14