EMarismaArCHK TechSoluciones AU RH 20231128

INFORME ANÁLISIS PREVIO
VERSIÓN EXCLUSIVA PARA USO ACADÉMICO
Proyecto: TechSoluciones
Fecha 27/11/23 6:16
Patrón: SNT_08_001 - Patrón General 2013
Responsable: Alejandro Torres
Descripción: El objetivo principal del este proyecto es la

implementación de un sistema de gestión de relación
con clientes (CRM) 'ClientConnect' basado en la
nube, junto
28/11/23 6:42
Plan de Tratamiento TechSoluciones - 28/11/2023
[A.5] - Políticas de Seguridad de la información
[A.5.1] - Directrices de gestión de la seguridad de la información
[A.5.1.1] - Políticas para la seguridad de la información
COBERTURA CONTROL:
Aplica
Descripción (SI/NO) N.C(S/P/N) Comentarios
¿Existe apoyo de la dirección al plan de seguridad? SI SI
¿Se comunica la política de seguridad a los nuevos

SI SI
usuarios del sistema?
[A.5.1.2] - Revisión de la política de seguridad de la información
COBERTURA CONTROL:
Aplica
¿La política de seguridad de la información es revisada a

SI SI
intervalos planificados de tiempo?
¿Los datos de entrada (input) de la revisión gerencial
incluyen información sobre: c) estado de acciones SI SI
preventivas y correctivas?
incluyen información sobre: d) resultados de revisiones SI SI
gerenciales previas?
www.emarisma.com - eMarisma IT Risk Management - ©2018 - 2023 eMarisma Shield S.L. All
2
Aplica

incluyen información sobre: e) desempeño del proceso y SI SI
conformidad con la política de seguridad de la
información?
incluyen información sobre: f) cambios que podrían SI SI
afectar el enfoque de la organización en el manejo de la
seguridad de la información?
incluyen información sobre: g) tendencias relacionadas SI SI
con amenazas y vulnerabilidades?

incluyen información sobre: h) incidentes de seguridad de SI SI
información reportados?
incluyen información sobre: i) recomendaciones provistas SI SI
por autoridades relevantes?
¿Los datos de salida (output) de la revisión gerencial

incluyen información sobre: a) mejora del enfoque de la SI SI
organización para manejar la seguridad de la información
y sus procesos?
incluyen información sobre: a) mejora de los objetivos de SI SI
control y los controles?
incluyen información sobre: a) mejora de la asignación de SI SI
recursos y/o responsabilidades?
¿La política de seguridad de la información es revisada
SI SI
cuando ocurren cambios significativos?
¿Se mantiene un registro de la revisión gerencial? SI SI
¿Se obtiene la aprobación de la gerencia para la política

SI SI
revisada?
¿La política de seguridad de la información tiene un
propietario con la responsabilidad gerencial aprobada SI SI
para su desarrollo, revisión y evaluación?
¿La revisión de la política de seguridad de la información

tiene en cuenta los resultados de las revisiones de la SI SI
gerencia?
¿Existe un procedimiento de revisión gerencial? SI SI
¿El procedimiento de revisión gerencial incluye

SI SI
cronograma?
¿El procedimiento de revisión gerencial incluye el período
SI SI
de revisión?
3
Aplica

incluyen información sobre: a) retroalimentación de las SI SI
partes interesadas?
4
Diagramas de Cobertura
5
[A.6] - Organización de la seguridad de la información
[A.6.1] - Organización interna
[A.6.1.1] - Roles y responsabilidades en seguridad de la información
COBERTURA CONTROL:
Aplica
¿Las responsabilidades de la seguridad de la información

SI SI
están claramente definidas?
¿Están claramente definidas las responsabilidades para
SI SI
la protección de los activos individuales?
¿En caso de existir delegación de las tareas de
seguridad, el responsable realiza una verificación de la SI SI
correcta realización de las mismas?
¿Están claramente definidas las áreas de las cuales son
SI SI
responsables las diferentes personas?
¿Están claramente identificados y definidos los activos y
procesos de seguridad asociados con cada sistema SI SI
particular?
¿Están claramente definidos los niveles de autorización?
SI SI
¿Existe un documento que especifique las funciones y

responsabilidad en materia de seguridad del personal de SI SI
la empresa?
6
[A.6.1.2] - Segregación de tareas
COBERTURA CONTROL:
Aplica
¿Están correctamente separadas las actividades que

NO NO
requieren relación para defraudar?
¿En caso de existir peligro de connivencia, los controles
están diseñados para involucrar a dos o más personas, NO NO
reduciendo de ese modo la posibilidad de conspiración?
[A.6.1.3] - Contacto con las autoridades
COBERTURA CONTROL:
Aplica
¿Se tiene un procedimiento que indique cuándo y cuáles

SI PARCIAL
autoridades se deben contactar?
¿El procedimiento incluye como reportar los incidentes de
SI PARCIAL
seguridad detectados?
7
[A.6.1.4] - Contacto con grupos de interés especial
COBERTURA CONTROL:
Aplica
¿Se mantienen contactos apropiados con grupos de

interés especial, foros de seguridad especializados y SI PARCIAL
asociaciones profesionales?
¿Se utilizan estos contactos para mantener al día la
SI PARCIAL
información de seguridad relevante?
¿Se utilizan estos contactos para asegurarse que el
SI PARCIAL
ambiente de seguridad esta actualizado?
¿Se utilizan estos contactos para recibir alertas
SI PARCIAL
relacionadas con ataques y vulnerabilidades?
¿Se utilizan estos contactos para obtener acceso a
consultoría especializada de seguridad de la SI PARCIAL
información?
¿Se utilizan estos contactos para compartir información
sobre tecnologías, productos, amenazas y SI PARCIAL
vulnerabilidades?
¿Se utilizan estos contactos para proporcionar vínculos
adecuados cuando se trata de incidentes de seguridad de SI PARCIAL
la información?
[A.6.1.5] - Seguridad de la información en la gestión de proyectos
COBERTURA CONTROL:
8
Aplica
¿Los objetivos de seguridad de la información estén

SI SI
incluidos en los objetivos del proyecto?
¿Se realiza una evaluación de riesgos de seguridad de la
información en una fase temprana del proyecto para SI SI
identificar los controles necesarios?
¿La seguridad de la información es parte de todas las

fases de la metodología aplicada en el proyecto? SI SI
¿Se revisan periódicamente las implicaciones de

seguridad de la información en todos los proyectos? SI SI
¿Las responsabilidades de seguridad de la información

están definidas y asignadas a los roles específicos SI SI
señalados en los métodos de gestión de proyectos?
[A.6.2] - Los dispositivos móviles y el teletrabajo
[A.6.2.1] - Política de dispositivos móviles
COBERTURA CONTROL:
Aplica
¿Existe una política y medidas de seguridad apropiadas

para proteger contra los riesgos de utilizar medios de NO NO
computación y comunicación móvil?
¿Los medios están respaldados contra el robo o pérdida

NO NO
de información?
¿Existen controles para el uso de medios móviles
NO NO
conectados a las redes?
¿El acceso remoto a la información comercial a través de
una red pública utilizando medios de computación móvil NO NO
solo se realiza después de una satisfactoria identificación
y autenticación, y con los controles de acceso adecuados
en funcionamiento?
9
Aplica
¿Los medios de computación móvil también están

NO NO
físicamente protegidos contra robo?
¿Existe un procedimiento específico que tome en cuenta
los requerimientos legales, de seguros y otros NO NO
requerimientos de seguridad de la organización para
casos de robo o pérdida de los medios móviles?
¿El equipo que contiene información comercial

importante, confidencial y/o crítica no se dejar NO NO
desatendido?
¿Existe capacitación para el personal que utiliza
computación móvil para elevar el nivel de conciencia NO NO
sobre los riesgos adicionales resultantes de esta forma
de trabajo y los controles que se debieran implementar?
¿Cuando se utiliza medios de computación y

comunicación móvil existen controles para asegurar que NO NO
no se comprometa la información comercial?
¿La política de computación móvil toma en cuenta los

riesgos de trabajar con equipo de computación móvil en NO NO
ambientes desprotegidos?
¿La política de computación móvil incluye los
requerimientos de protección física, controles de acceso, NO NO
técnicas criptográficas, respaldos (back–up) y protección
contra virus?
¿La política de computación móvil incluye reglas y
consejos para la conexión de medios móviles con las NO NO
redes y lineamientos para el uso de estos medios en
lugares públicos?
¿Existen controles cuando se utiliza medios de
computación móvil en lugares públicos, salas de NO NO
reuniones y otras áreas desprotegidas fuera de los
locales de la organización?
¿Los usuarios de los medios de computación móvil que
se encuentran en lugares públicos tienen cuidado en NO NO
evitar que personas no autorizadas vean su trabajo?
¿Existen procedimientos contra los software maliciosos y

NO NO
están actualizados?
¿Los respaldos (back–up) de la información comercial
NO NO
crítica se realizan con regularidad?
10
[A.6.2.2] - Teletrabajo
COBERTURA CONTROL:
Aplica
¿Se ha considerado la seguridad física existente en el

sitio de trabajo remoto, tomando en cuenta la seguridad NO NO
física del edificio y del ambiente local?
¿Se ha analizado el ambiente de trabajo remoto

NO NO
propuesto?
¿Se ha considerado los requerimientos de seguridad de
comunicaciones, tomando en cuenta la necesidad de NO NO
acceso remoto a los sistemas internos de la organización,
la sensibilidad de la información a la que se accederá y
que pasará a través del vínculo de comunicación y la
sensibilidad del sistema interno?
¿Se ha considerado la amenaza de acceso no autorizado

a información o recursos por parte de otras personas que NO NO
utilizan el lugar, por ej. Familia y amigos?
¿Los controles comprenden la provisión de mobiliario

para almacenamiento y equipamiento, adecuado para las NO NO
actividades de trabajo remoto?
¿Los controles contemplan una definición del trabajo
NO NO
permitido?
¿Los controles contemplan el horario de trabajo? NO NO
¿Los controles contemplan la clasificación de la

información que se puede almacenar y los sistemas NO NO
internos y servicio a los cuales el trabajador remoto está
autorizado a acceder?
¿Los controles contemplan la provisión de un adecuado
equipamiento de comunicación, con inclusión de métodos NO NO
para asegurar el acceso remoto?
¿Los controles contemplan la seguridad física? NO NO
11
Aplica
¿Los controles contemplan las reglas y orientación para

cuando familiares y visitantes accedan al equipamiento e NO NO
información?
¿Los controles contemplan la provisión de hardware y el
soporte y mantenimiento del software? NO NO
¿Los controles contemplan los procedimientos de copia

de seguridad para la continuidad de las operaciones? NO NO
¿Los controles contemplan la auditoría y monitoreo de la

NO NO
seguridad?
¿Los controles contemplan la anulación de la autoridad,
derechos de acceso y devolución del equipo cuando NO NO
finalicen las actividades remotas?
¿El trabajo remoto está autorizado y controlado por la
NO NO
gerencia?
¿Existen procedimientos, políticas y estándares que
permitan controlar las actividades de trabajo remoto? NO NO
¿Antes de autorizar actividades de trabajo remoto se

realiza una comprobación para verificar que están NO NO
implementados las disposiciones y controles adecuados
en materia de seguridad y que estos cumplen con la
política de seguridad de la organización?
12
13
[A.7] - Seguridad ligada a los recursos humanos
[A.7.1] - Antes del empleo
[A.7.1.1] - Investigación de antecedentes
COBERTURA CONTROL:
Aplica
2) ¿Existen controles de verificación del personal a la

hora de solicitar el puesto (política de personal)? a) SI SI
disponibilidad de certificados de buena conducta
satisfactorios, por ej. Uno laboral y uno personal. b) una
comprobación (de integridad y veracidad) del currículo
vitae del aspirante. c) constatación de las aptitudes
académicas y profesionales alegadas. d) verificación de
la identidad (pasaporte o documento similar).
¿Se estipula en los contratos con terceros, cuando estos

involucran a personal temporal, que hayan realizado SI SI
controles de verificación al personal?
¿Está centralizada la responsabilidad de entrada de
SI NO
terceros en la empresa?
¿Está aprobada la política de evaluación para personal
nuevo con autorización para acceder a sistemas SI NO
sensibles?
14
[A.7.1.2] - Términos y condiciones del empleo
COBERTURA CONTROL:
Aplica
¿En caso de que corresponda, se estipulan cláusulas de

confidencialidad una vez finalizado el contrato? SI SI
¿Se especifica en los contratos las acciones que se

emprenderán si el empleado hace caso omiso de los SI SI
requerimientos de seguridad?
¿Se encuentran incluidos en los términos y condiciones
del contrato las responsabilidades y derechos legales del SI SI
empleado?
¿En los términos y condiciones del empleo se define la
responsabilidad del empleado por la seguridad de la SI SI
información a la que se le da acceso?
[A.7.2] - Durante el empleo
[A.7.2.1] - Responsabilidades de gestión
COBERTURA CONTROL:
15
Aplica
¿La gerencia es responsable de garantizar que los

usuarios empleados, contratistas y terceras personas: SI SI
estén apropiadamente informados sobre sus roles y
responsabilidades de seguridad antes de otorgarles
acceso a información confidencial o a los sistemas de
información?
estén motivados para cumplir con las políticas de
seguridad de la organización?
logren un nivel de conciencia sobre seguridad relevante
para sus roles y responsabilidades dentro de la
organización?
cumplan con los términos y condiciones de empleo, los
cuales incluyen la política de seguridad de la información
de la organización y los métodos de trabajo apropiados?

continúen teniendo las capacidades y calificaciones
apropiadas?
[A.7.2.2] - Concienciación, educación y capacitación en seguridad de la

información
COBERTURA CONTROL:
Aplica
¿Los empleados de la organización reciben una

adecuada capacitación en materia de políticas y SI SI
procedimientos de la organización (requerimientos de
seguridad, las responsabilidades legales y controles del
negocio, así como la capacitación referida al uso correcto
de las instalaciones de procesamiento de información)?
16
Aplica
¿El persona externo de la organización recibe una

adecuada capacitación en materia de políticas y SI SI
procedimientos de la organización (requerimientos de
seguridad, las responsabilidades legales y controles del
negocio, así como la capacitación referida al uso correcto
de las instalaciones de procesamiento de información)?
[A.7.2.3] - Proceso disciplinario
COBERTURA CONTROL:
Aplica
¿Existe un proceso disciplinario formal para los

empleados que violen las políticas y procedimientos de SI SI
seguridad de la organización (procedimiento disuasivo)?
[A.7.3] - Finalización del empleo o cambio en el puesto de trabajo
[A.7.3.1] - Responsabilidades ante la finalización o cambio
COBERTURA CONTROL:
17
Aplica
¿Están claramente definidos y asignados las

responsabilidades de terminación o cambio de empleo? SI SI
¿La comunicación de las responsabilidades de

terminación debieran incluye requerimientos de seguridad SI SI
constantes y responsabilidades legales?
¿Las responsabilidades de terminación están contenidas
dentro de cualquier acuerdo de confidencialidad? SI SI
¿Las responsabilidades de terminación están contenidas

dentro los términos y condiciones de empleo? SI SI
¿Las responsabilidades de terminación tiene establecido

un período después de terminado el empleo del usuario SI SI
empleado, contratista o tercera persona?
18
19
[A.8] - Gestión de activos
[A.8.1] - Responsabilidad sobre los activos
[A.8.1.1] - Inventario de activos
COBERTURA CONTROL:
Aplica
¿Existe un inventario de activos asociados a cada

sistema de información [activo, propietario, nivel de SI NO
seguridad, ubicación]? o 1) Recursos de información:
bases de datos y archivos, documentación de sistemas,
manuales de usuario, material de capacitación,
procedimientos operativos o de soporte, planes de
continuidad, disposiciones relativas a sistemas de
emergencia para la reposición de información perdida
("fallback"), información archivada;

seguridad, ubicación]? o 2) Recursos de software:
software de aplicaciones, software de sistemas,
herramientas de desarrollo y utilitarios;
seguridad, ubicación]? o 3) Activos físicos: equipamiento
informático (procesadores, monitores, computadoras
portátiles, módems), equipos de comunicaciones (routers,
PABXs, máquinas de fax, contestadores automáticos),
medios magnéticos (cintas y discos), otros equipos
técnicos (suministro de electricidad, unidades de aire
acondicionado), mobiliario, lugares de emplazamiento;

seguridad, ubicación]? o 4) Servicios: servicios
informáticos y de comunicaciones, utilitarios generales,
por ej., calefacción, iluminación, energía eléctrica, aire
acondicionado.
20
[A.8.1.2] - Propiedad de los activos
COBERTURA CONTROL:
Aplica
¿Toda la información y los activos asociados con los

medios de procesamiento de información son propiedad SI NO
de una parte designada por la organización?
¿El propietario del activo es responsable de asegurar que

la información y los activos asociados con los medios de SI NO
procesamiento de la información sean clasificados
apropiadamente?
¿El propietario del activo es responsable de definir y
revisar periódicamente las restricciones y clasificaciones SI NO
de acceso, tomando en cuenta las políticas de control de
acceso aplicables?
[A.8.1.3] - Uso aceptable de los activos
COBERTURA CONTROL:
Aplica
¿Están identificados, documentados e implementados las

reglas para el uso aceptable de la información y los SI NO
activos asociados con los medios del procesamiento de
la información?
21
Aplica
¿Los empleados, contratistas y terceros siguen las reglas

para el uso aceptable de la información y los activos SI NO
asociados con los medios del procesamiento de la
información?
para el uso aceptable del correo electrónico? SI NO

SI NO
para el uso aceptable de Internet?
para el uso aceptable de los dispositivos móviles? SI NO
¿Los empleados, contratistas y terceros que usan o

tienen acceso a los activos de la organización conocen SI NO
los límites existentes para su uso de la información y los
activos asociados con los medios y recursos del
procesamiento de la información de la organización?
[A.8.1.4] - Devolución de activos
COBERTURA CONTROL:
Aplica
¿Todos los usuarios empleados, contratistas y terceras

personas devuelven los activos de la organización que SI NO
tengan en su posesión a la terminación de su empleo,
contrato o acuerdo?
¿En el proceso de terminación de empleo está incluida la
devolución de todo el software, documentos corporativos, SI NO
equipo o cualquier otro activo de la organización
entregado previamente?
¿En los casos donde el usuario empleado, contratista o
tercera persona ha comprado el equipo de la SI NO
organización o ha utilizado su propio equipo, existe un
procedimiento que garantice que toda la información
relevante ha sido transferida a la organización y haya
sido adecuadamente borrada del equipo?
22
[A.8.2] - Clasificación de la información
[A.8.2.1] - Clasificación de la información
COBERTURA CONTROL:
Aplica
¿Están clasificados los activos de la organización según

las necesidades de la empresa, con respecto a la SI NO
distribución y restricción de la información, así como de la
incidencia de dichas necesidades en las actividades de la
organización?
¿Está clasificada la información y las salidas de los
sistemas que administran datos clasificados, según la SI NO
terna [valor, grado de sensibilidad, grado de criticidad]?
¿Esta procedímentado el periodo en que debe estar

SI NO
protegida la información sensible y crítica?
[A.8.2.2] - Etiquetado de la información
COBERTURA CONTROL:
Aplica
¿Existen procedimientos para el rotulado y manejo de la

información, según el esquema de clasificación adoptado NO NO
por la organización?
23
[A.8.2.3] - Manipulado de la información
COBERTURA CONTROL:
Aplica
¿Existen procedimientos para el manejo y

almacenamiento de la información que permita protegerla NO NO
contra su uso inadecuado o divulgación no autorizada?
¿Los procedimientos de manejo de información están

elaborados teniendo en cuenta la clasificación de la NO NO
misma?
¿Se controla el manejo y rotulado de todos los medios?
NO NO
¿Se controlan las restricciones de acceso para identificar

NO NO
al personal no autorizado?
¿Se realiza el mantenimiento de un registro formal de los
NO NO
receptores autorizados de datos?
¿Existen controles para garantizar que los datos de
entrada son completos, que el procesamiento se lleva a NO NO
cabo correctamente y que se aplica la validación de
salidas?
¿Existen controles para la protección de datos en espera
(“spooled data”) en un nivel consecuente con el grado de NO NO
sensibilidad de los mismos?
¿Existen controles para el almacenamiento de medios en
un ambiente que concuerda con las especificaciones de NO NO
los fabricantes o proveedores?
¿Existen controles para mantener la distribución de datos
NO NO
en un nivel mínimo?
¿Existen controles para la marcación clara de todas las
copias de datos a fin de ser advertidas por el receptor NO NO
autorizado?
¿Existen controles para la revisión de listados de
distribución y listados de receptores autorizados a NO NO
intervalos regulares?
24
[A.8.3] - Manipulación de los soportes
[A.8.3.1] - Gestión de soportes extraíbles
COBERTURA CONTROL:
Aplica
¿Existen procedimiento para borrar los contenidos

previos de cualquier medio reutilizable que ha de ser SI NO
retirado de la organización?
¿Se requiere autorización para retirar cualquier medio de
SI NO
la organización?
¿Se realiza un registro de todos los retiros a fin de
SI NO
mantener una pista de auditoría?
¿Todos los medios son almacenados en un ambiente
seguro y protegido, de acuerdo con las especificaciones SI NO
de los fabricantes o proveedores?
[A.8.3.2] - Eliminación de soportes
COBERTURA CONTROL:
Aplica
¿Existen controles para destruir de forma segura cintas

SI NO
de impresora de un solo uso?
¿Existen controles para destruir de forma segura cintas
SI NO
magnéticas?
25
Aplica
¿Existen controles para destruir de forma segura discos o

SI NO
casetes removibles?
¿Existen controles para destruir de forma segura medios
de almacenamiento óptico (todos los formatos incluyendo SI NO
todos los medios de distribución de software del
fabricante o proveedor)?
¿Existen controles para destruir de forma segura listados

SI NO
de programas?
¿Existen controles para destruir de forma segura datos
SI NO
de prueba?
¿Existen controles para destruir de forma segura
SI NO
documentación del sistema?
¿Se registra la eliminación de los ítems sensibles, a fin
SI NO
de mantener una pista de auditoría?
¿Cuándo ya no son requeridos, los medios informáticos
SI NO
se eliminan de manera segura?
SI NO
documentos en papel?
¿Existen controles para destruir de forma segura voces u
SI NO
otras grabaciones?
¿Existen controles para destruir de forma segura papel
SI NO
carbónico?
SI NO
informes de salida?
[A.8.3.3] - Soportes físicos en tránsito
COBERTURA CONTROL:
Aplica
¿Al transportar información, se utilizan medios de

SI NO
transporte o servicios de mensajería confiables?
¿Existen acuerdos con la gerencia sobre la lista de
SI NO
servicios de mensajería autorizados?
26
Aplica
¿Existen procedimientos que permita verificar la

identificación de los mismos de los servicios de SI NO
mensajería autorizados?
¿El embalaje es suficiente como para proteger el
contenido contra eventuales daños físicos durante el SI NO
tránsito y tiene en cuenta las especificaciones de los
fabricantes o proveedores?
15) ¿Existen controles, cuando resulte necesario, a fin de
proteger la información sensible contra divulgación o SI NO
modificación no autorizadas? 15.a) ¿Se usan recipientes
cerrados? 15.b) ¿Se realiza la entrega en mano? 15.c)
¿El embalaje es a prueba de apertura no autorizada (que
revele cualquier intento de acceso)? 15.d) ¿Se realiza
división de la mercadería a enviar en más de una entrega
y envío por diferentes ruta?
27
28
[A.9] - Control de acceso
[A.9.1] - Requisitos de negocio para el control de acceso
[A.9.1.1] - Política de control de acceso
COBERTURA CONTROL:
Aplica
¿La política de control de accesos contempla los

requerimientos de seguridad de cada una de las SI NO
aplicaciones comerciales?
¿En la política de control de acceso se distingue entre los
cambios en los rótulos de información que son iniciados SI NO
automáticamente por las instalaciones de procesamiento
de información y aquellos el usuario inicia según su
criterio?
¿En la política de control de acceso se diferencia entre
las reglas que requieren la aprobación del administrador SI NO
o de otros antes de entrar en vigencia y aquellas que no?
¿La política de control de accesos contempla la

identificación de toda información relacionada con las SI NO
aplicaciones comerciales?
¿La política de control de accesos contempla las políticas
de divulgación y autorización de información, por ej., el SI NO
principio de necesidad de conocer, y los niveles de
seguridad y la clasificación de la información?

coherencia entre las políticas de control de acceso y de SI NO
clasificación de información de los diferentes sistemas y
redes?
legislación aplicable y obligaciones contractuales con SI NO
respecto a la protección del acceso a datos y servicios?
¿La política de control de accesos contempla los perfiles

de acceso de usuarios estándar, comunes a cada SI NO
categoría de puestos de trabajo?
29
Aplica

administración de derechos de acceso en un ambiente SI NO
distribuido y de red que reconozcan todos los tipos de
conexiones disponibles?
¿En la política de control de acceso se diferencia entre
reglas que siempre deben imponerse y reglas optativas o SI NO
condicionales?
¿En la política de control de acceso se establecen reglas
sobre la base de la premisa “¿Qué debe estar SI NO
generalmente prohibido a menos que se permita
expresamente?”, antes que la regla más débil “Todo está
generalmente permitido a menos que se prohíba
expresamente”?
[A.9.1.2] - Acceso a las redes y a los servicios de red
COBERTURA CONTROL:
Aplica
¿Existe una política concerniente al uso de redes y

SI NO
servicios de red?
¿La política contempla las redes y servicios de red a los
SI NO
cuales se permite el acceso?
¿La política contempla los procedimientos de
autorización para determinar las personas y las redes y SI NO
servicios de red a los cuales tienen permitido el acceso?
¿La política contempla los controles y procedimientos de

gestión para proteger el acceso a las conexiones y SI NO
servicios de red?
¿La política de uso de redes y servicios de red es
coherente con la política de control de accesos de la SI NO
organización?
30
[A.9.2] - Gestión de acceso de usuario
[A.9.2.1] - Registro y baja de usuario
COBERTURA CONTROL:
Aplica
¿Todos los usuarios tienen un identificador único (ID de

SI NO
usuario) para su uso personal?
¿El Id único de usuario, se aplica a todos los tipos de
usuarios (incluyendo el personal de soporte técnico, SI NO
operadores, administradores de redes, programadores de
sistemas y administradores de bases de datos)?
¿Se utilizan los IDs de usuarios para rastrear las

SI NO
actividades hasta la persona responsable?
¿Las actividades de usuarios regulares no se realizan
SI NO
desde cuentas privilegiadas?
¿Cuándo por circunstancias justificadas se utilice un ID
de usuario compartido para un grupo de usuarios o un SI NO
trabajo específico, se cuenta con la aprobación de la
gerencia?
¿Se permite el uso de IDs genéricos para una persona
cuando las funciones accesibles o acciones llevadas a SI NO
cabo por el ID no necesitan ser rastreadas (por ejemplo,
sólo acceso de lectura), o cuando existen otros controles
establecidos (por ejemplo, la clave secreta para un ID
genérico sólo es emitido para una persona a la vez y se
registra dicha instancia)?
¿Cuando se requiere autenticación y verificación de

identidad sólidas, se utilizan métodos de autenticación SI NO
alternativos para las claves secretas, como los medios
criptográficos, tarjetas inteligentes, dispositivos o medios
biométricos?
31
[A.9.2.2] - Provisión de acceso de usuario
COBERTURA CONTROL:
Aplica
¿Existe un proceso formal de alta y baja de usuarios para

otorgar acceso a todos los sistemas y servicios de SI NO
información multi–usuario?
¿Se realizan verificaciones periódicas, y se cancelan Ids
SI NO
y cuentas de usuarios redundantes?
¿Se garantiza que los Ids de usuario redundantes no se
SI NO
asignen a otros usuarios?
¿Se han incluidos cláusulas en los contratos de personal
y de servicios que especifiquen sanciones si el personal o SI NO
los agentes que prestan un servicio intentan accesos no
autorizados?
¿El alta de usuarios utiliza Ids de usuario únicos de
manera que se pueda vincular y hacer responsables a los SI NO
usuarios por sus acciones?
¿Cuándo se produce el alta de usuarios, se verifica que
el usuario tiene autorización del propietario del sistema SI NO
para el uso del sistema o servicio de información?
¿Cuándo se produce el alta de usuarios, se verifica que

el nivel de acceso otorgado es adecuado para el SI NO
propósito del negocio y es coherente con la política de
seguridad de la organización, por ej.: Que no
compromete la separación de tareas?
¿Cuándo se produce el alta de usuarios, se entrega a los
usuarios un detalle escrito de sus derechos de acceso? SI NO
¿Se requiere a los usuarios firmen declaraciones

señalando que comprenden las condiciones para el SI NO
acceso?
¿Se garantiza que los proveedores de servicios no
otorgan acceso hasta que se hayan completado los SI NO
procedimientos de autorización?
¿Se mantiene un registro formal de todas las personas
SI NO
registradas para utilizar el servicio?
32
Aplica
¿Se cancelan inmediatamente los derechos de acceso de

los usuarios que cambiaron sus tareas o se SI NO
desvincularon de la organización?
[A.9.2.3] - Gestión de privilegios de acceso
COBERTURA CONTROL:
Aplica
¿La asignación de privilegios para los sistemas

multi–usuario que requieren protección contra accesos no SI NO
autorizados, se realiza mediante un proceso de
autorización formal?
¿Se identifican los privilegios asociados a cada producto
del sistema por ej. Sistema operativo, sistema de SI NO
administración de bases de datos y aplicaciones, y las
categorías de personal a las cuales deben asignarse los
productos?
¿Los privilegios se asignan a individuos sobre las bases
de la necesidad de uso y evento por evento, por ej. El SI NO
requerimiento mínimo para su rol funcional solo cuando
sea necesario?
¿Se mantiene un proceso de autorización y registro de
SI NO
todos los privilegios asignados?
¿Se promueve el desarrollo y uso de rutinas del sistema
para evitar la necesidad de otorgar privilegios a los SI NO
usuarios?
¿Los privilegios son asignados a una identidad de
usuario diferente de aquellas utilizadas en las actividades SI NO
comerciales normales?
33
[A.9.2.4] - Gestión de la información secreta de autenticación de los usuarios
COBERTURA CONTROL:
Aplica
¿La asignación de contraseñas se controlar a través de

SI NO
un proceso de administración formal?
¿Se requiere a los usuarios que firmen una declaración
por la cual se comprometen a mantener sus contraseñas SI NO
personales en secreto y las contraseñas de los grupos de
trabajo exclusivamente entre los miembros del grupo?
¿Se garantiza, cuando se requiera que los usuarios

SI NO
mantengan a sus propias contraseñas?
¿Cuándo se produce el alta de un usuario, se le entrega
una contraseña provisional segura, que deberán cambiar SI NO
de inmediato?
¿Al requerir contraseñas provisionales para otorgar a los
usuarios de manera segura. Se evita la participación de SI NO
terceros o el uso de mensajes de correo electrónico sin
protección (texto claro)?
¿Cuándo los usuarios reciben el password, acusan
SI NO
recibo?
¿Las contraseñas son almacenadas en sistemas
SI NO
informáticos con protección?
¿Se usan tecnologías de identificación y autenticación de
usuarios, como la biométrica, por Ej.: verificación de SI NO
huellas dactilares, verificación de firma y uso de “tokens”
de hardware, como las tarjetas de circuito integrado
(“chip–cards”)?
34
[A.9.2.5] - Revisión de los derechos de acceso de usuario
COBERTURA CONTROL:
Aplica
¿Los derechos de acceso de los usuarios se revisan a

intervalos regulares (se recomienda un periodo de seis SI NO
meses) y después de cualquier cambio?
¿Las autorizaciones de privilegios especiales de

derechos de acceso se revisan a intervalos más SI NO
frecuentes (se recomienda un periodo de tres meses)?
¿Las asignaciones de privilegios se verifican a intervalos

regulares, a fin de garantizar que no se obtengan SI NO
privilegios no autorizados?
[A.9.2.6] - Retirada o reasignación de los derechos de acceso
COBERTURA CONTROL:
Aplica
¿Se controla que los derechos de acceso de todos los

usuarios empleados, contratistas y terceras personas a la SI NO
información y los medios de procesamiento de
información sean retirados a la terminación de su empleo,
contrato o acuerdo?
35
Aplica
¿En caso de que el usuario empleado, contratista o

tercera persona que está dejando la organización SI NO
conozca las claves secretas para las cuentas aún activas,
estas son cambiadas a la terminación o cambio del
empleo, contrato o acuerdo?
¿Los derechos de acceso para los activos de información
y los medios de procesamiento de información se SI NO
reducen o retiran antes de la terminación o cambio del
empleo?
¿A la hora de retirar o reducir los derechos de acceso, se
evalúa si la terminación o cambio es iniciado por el SI NO
usuario empleado, contratista o tercera persona, o por la
gerencia y la razón de la terminación?

evalúan las responsabilidades actuales del usuario SI NO
empleado, contratista o cualquier otro usuario?

evalúa el valor de los activos actualmente disponibles? SI NO
[A.9.3] - Responsabilidades de usuario
[A.9.3.1] - Uso de la información secreta de autenticación
COBERTURA CONTROL:
Aplica
¿Se ha notificado a los usuarios que deben mantener las

SI NO
contraseñas en secreto?
¿Se ha notificado a los usuarios que deben evitar
mantener un registro en papel de las contraseñas, a SI NO
menos que este pueda ser almacenado en forma segura?
¿Se ha notificado a los usuarios que deben cambiar las

contraseñas siempre que exista un posible indicio de SI NO
compromiso del sistema o de las contraseñas?
36
Aplica
¿Se ha notificado a los usuarios que deben seleccionar

contraseñas de calidad, con una longitud mínima de seis SI NO
caracteres que a) sean fáciles de recordar b) no estén
basadas en algún dato que otra persona pueda adivinar u
obtener fácilmente mediante información relacionada con
la persona, c) no tengan caracteres idénticos
consecutivos o grupos totalmente numéricos o
total–mente alfabéticos?

contraseñas a intervalos regulares o según el número de SI NO
acceso (las contraseñas de cuentas con privilegios deben
ser modificadas con mayor frecuencia que las
contraseñas comunes), y evitar reutilizar o reciclar viejas
contraseñas?
contraseñas provisionales en el primer inicio de sesión SI NO
(“log on”)?
¿Se ha notificado a los usuarios que deben no incluir
contraseñas en los procesos automatizados de inicio de SI NO
sesión, por ej.: aquellas almacenadas en una tecla de
función o macro?
¿Se ha notificado a los usuarios que deben no compartir
SI NO
las contraseñas individuales de usuario?
[A.9.4] - Control de acceso a sistemas y aplicaciones
[A.9.4.1] - Restricción del acceso a la información
COBERTURA CONTROL:
Aplica
¿Se pueden gestionar los menús para controlar el acceso

a las funciones de los sistemas de aplicación? SI NO
¿Existen restricciones del conocimiento de los usuarios

acerca de la información o de las funciones de los SI NO
sistemas de aplicación a las cuales no están autorizadas
a acceder?
37
Aplica
¿Existe control sobre los derechos de acceso de los

usuarios, por ej. Lectura, escritura, supresión y SI NO
ejecución?
¿Se garantiza que las salidas (outputs) de los sistemas
de aplicación que administran información sensible, SI NO
contienen solo la información que resulte pertinente para
el uso de la salida, y que la misma se envíe solamente a
las terminales y ubicaciones autorizadas, y se revisan
periódicamente dichas salidas a fin de garantizar la
eliminación de la información redundante?
[A.9.4.2] - Procedimientos seguros de inicio de sesión
COBERTURA CONTROL:
Aplica
¿El acceso a los sistemas operativos es controlado

SI NO
mediante un procedimiento de registro seguro?
¿El procedimiento de registro, fuerza un tiempo de
espera antes de permitir más intentos de registro o SI NO
rechazar cualquier otro intento sin una autorización
específica?
¿El procedimiento de registro, desconecta las conexiones
SI NO
de vínculo a los datos?
¿El procedimiento de registro, establece el número de
re–intentos de clave secreta en conjunción con el largo SI NO
mínimo de la clave secreta y el valor del sistema que se
está protegiendo?
¿El procedimiento de registro, limita el tiempo máximo y
mínimo permitido para el procedimiento de registro? SI NO
¿El procedimiento de registro, muestra la siguiente

información a la culminación de un registro satisfactorio: SI NO
fecha y hora del registro satisfactorio previo; detalles de
cualquier intento infructuoso desde el último registro
satisfactorio?
¿El procedimiento de registro, no debe mostrar la clave
SI NO
secreta que se está ingresando?
38
Aplica
¿El procedimiento de registro, no debe transmitir claves

secretas en un texto abierto a través de la red? SI NO
¿El procedimiento para registrarse en un sistema de

operación debiera ha sido diseñado de manera que SI NO
minimice la oportunidad de un acceso no autorizado?
¿El procedimiento para registrarse divulga el mínimo de

información acerca del sistema para evitar proporcionar SI NO
al usuario no–autorizado ninguna ayuda innecesaria?
¿El procedimiento de registro no muestra identificadores

del sistema o aplicación hasta que se haya completado SI NO
satisfactoriamente el proceso de registro?
¿El procedimiento de registro muestra la advertencia

general que a la computadora sólo pueden tener acceso SI NO
los usuarios autorizados?
¿El procedimiento de registro no proporciona mensajes
de ayuda durante el procedimiento de registro que SI NO
ayuden al usuario no–autorizado?
¿El procedimiento de registro sólo valido la información
del registro después de completar todo el input de datos? SI NO
¿Las sesiones inactivas son después de un período de

SI NO
inactividad definido?
¿Existe un dispositivo de cierre encargado de borrar la
pantalla de la sesión y cerrar la aplicación y las sesiones SI NO
en red después de un período de inactividad definido?
¿El tiempo de espera antes del cierre esta definidos

según los riesgos de seguridad del área, la clasificación SI NO
de la información que está siendo manejada y la
aplicación siendo utilizada, y los riesgos relacionados con
los usuarios del equipo?
¿Las aplicaciones informáticas catalogadas como
sensibles tienen restricciones de conexión limitadas al SI NO
horario de uso?
39
[A.9.4.3] - Sistema de gestión de contraseñas
COBERTURA CONTROL:
Aplica
¿El sistema de administración de contraseñas impone el

uso de contraseñas individuales para determinar SI NO
responsabilidades?
¿El sistema de administración de contraseñas permite
que los usuarios seleccionen y cambien sus propias SI NO
contraseñas e incluye un procedimiento de confirmación
para contemplar los errores de ingreso?
¿El sistema de administración de contraseñas impone

SI NO
una selección de contraseñas de calidad?
¿Cuando los usuarios mantienen sus propias
SI NO
contraseñas, se imponen cambios en las mismas?
¿Cuando los usuarios seleccionan contraseñas, se les
obliga a cambiar las contraseñas temporales en su primer SI NO
procedimiento de identificación
¿Se mantiene un registro de las contraseñas previas del
usuario, por ej. De los 12 meses anteriores, y se evita la SI NO
reutilización de las mismas?
¿No se muestran las contraseñas en pantalla, cuando

SI NO
son ingresadas?
¿Se almacenan en forma separada los archivos de
SI NO
contraseñas y los datos de sistemas de aplicación?
¿Se almacenan las contraseñas en forma cifrada
SI NO
utilizando un algoritmo de cifrado unidireccional?
¿Se modifican las contraseñas predeterminadas por el
SI NO
vendedor, una vez instalado el software?
40
[A.9.4.4] - Uso de utilidades con privilegios
COBERTURA CONTROL:
Aplica
¿Se usan procedimientos de autenticación para las

SI NO
utilidades del sistema?
¿Existe una separación entre utilitarios del sistema y
SI NO
software de aplicaciones?
¿Está limitado el uso de utilitarios del sistema a la
cantidad mínima viable de usuarios fiables y autorizados? SI NO
¿Existe autorización para uso ad hoc de utilitarios de

SI NO
sistema?
¿Esta limitada la disponibilidad de utilitarios de sistema,
por ej. A la duración de un cambio autorizado? SI NO
¿Se tiene un registro de todo uso de utilitarios del

SI NO
sistema?
¿Existe una definición y documentación de los niveles de
autorización para utilitarios del sistema? SI NO
¿Se elimina todo el software basado en utilitarios y

SI NO
software de sistema innecesarios?
[A.9.4.5] - Control de acesso al código fuente de los programas
COBERTURA CONTROL:
41
Aplica
¿Las bibliotecas de programas fuente son almacenadas

en los sistemas que están operativos? SI NO
¿Se ha designado a un bibliotecario de programas para

SI NO
cada aplicación?
¿El personal de soporte de TI tiene acceso irrestricto a
SI NO
las bibliotecas de programas fuente?
¿Los programas en desarrollo o mantenimiento no deben
ser almacenados en las bibliotecas de programas fuente SI NO
operacional?
¿La actualización de bibliotecas de programas fuente y la
distribución de programas fuente a los programadores, es SI NO
llevada a cabo por el bibliotecario designado, y solo por
él?
¿Cuándo se realiza la actualización de bibliotecas de
programas fuente por el bibliotecario designado, se exige SI NO
la autorización del gerente de soporte de TI?
¿Existe una ubicación definida para almacenar los

SI NO
listados de los programas. Cual?
¿Se mantiene un registro de auditoría de todos los
SI NO
accesos a las bibliotecas de programa fuente?
¿Las viejas versiones de los programas fuente deben son
archivadas con una clara indicación de las fechas y horas SI NO
precisas en las cuales estaban en operaciones, junto con
todo el software de soporte, el control de tareas, las
definiciones de datos y los procedimientos?
¿El mantenimiento y la copia de las bibliotecas de

programas fuente está sujeta a procedimientos estrictos SI NO
de control de cambios?
42
43
[A.10] - Criptografía
[A.10.1] - Controles criptográficos
[A.10.1.1] - Política de uso de los controles criptográficos
COBERTURA CONTROL:
Aplica
¿Se utiliza algún tipo de solución criptográfica? SI NO
¿Existe alguna política definida para el uso de controles

criptográficos para la protección de la información? SI NO
[A.10.1.2] - Gestión de claves
COBERTURA CONTROL:
Aplica
¿Existen procedimientos para proteger las claves

secretas y privadas contra divulgación no autorizada? SI NO
¿Está provisto de protección física el equipamiento

utilizado para generar, almacenar y archivar claves? SI NO
44
Aplica
¿Existen normas, procedimientos y métodos seguros,

que permitan generar claves para diferentes sistemas SI NO
criptográficos y diferentes aplicaciones?

que permitan generar y obtener certificados de clave SI NO
pública?
que permitan distribuir claves a los usuarios que SI NO
corresponda, incluyendo como deben activarse las claves
cuando se reciben?
que permitan almacenar claves, incluyendo como SI NO
obtienen acceso a las claves los usuarios autorizados?

que permitan cambiar o actualizar claves incluyendo SI NO
reglas sobre cuando y como deben cambiarse las
claves?
que permitan ocuparse de las claves comprometidas? SI NO

que permitan revocar claves incluyendo como deben SI NO
retirarse o desactivarse las mismas, por ej. Cuando las
claves están comprometidas o cuando un usuario se
desvincula de la organización (en cuyo caso las claves
también deben archivarse)?

que permitan recuperar claves perdidas o alteradas como SI NO
parte de la administración de la continuidad del negocio,
por ej. La recuperación de la información cifrada?

que permitan archivar claves, por ej. , para la información SI NO
archivada o resguardada?
SI NO
que permitan destruir claves?
que permitan registrar (logging) y auditar las actividades SI NO
relativas a la administración de claves?
¿Los listados de claves tienen fechas de entrada en

SI NO
vigencia y de fin de vigencia?
¿Existen acuerdos de nivel de servicios o contratos con
proveedores externos de servicios criptográficos, por ej. SI NO
Con una autoridad de certificación, deben comprender los
tópicos de responsabilidad legal, confiabilidad del servicio
y tiempos de respuesta para la prestación de los
mismos?
45
Aplica
¿Se usan certificados de clave pública, para proteger la

SI NO
integridad de la clave pública?
¿Existe algún sistema de administración que permita usar
de forma eficaz las técnicas criptográficas? SI NO
¿Existen procedimientos para proteger las claves contra

SI NO
modificación y destrucción?
46
47
[A.11] - Seguridad física y del entorno
[A.11.1] - Áreas seguras
[A.11.1.1] - Perímetro de seguridad física
COBERTURA CONTROL:
Aplica
¿El perímetro de seguridad está claramente definido?

SI NO
¿El perímetro de un edificio o área que contenga

instalaciones de procesamiento de información debe ser SI NO
físicamente sólido?
¿Las paredes externas del área son de construcción
SI NO
sólida?
¿Todas las puertas que comunican con el exterior están
adecuadamente protegidas contra accesos no SI NO
autorizados?
¿Existe un área de recepción atendida por personal u
otros medios de control de acceso físico al área o SI NO
edificio?
¿El acceso a las distintas áreas y edificios está
SI NO
restringido exclusivamente al personal autorizado?
¿Las barreras físicas se extienden desde el piso (real)
hasta el techo (real), a fin de impedir el ingreso no SI NO
autorizado y la contaminación ambiental, por ejemplo, la
ocasionada por incendio e inundación?
¿Las puertas de incendio de un perímetro de seguridad

tienen alarma y se cierran automáticamente al activarse SI NO
la misma?
48
[A.11.1.2] - Controles físicos de entrada
COBERTURA CONTROL:
Aplica
¿El acceso se realiza con propósitos específicos y

SI NO
autorizados
¿Se instruye al visitante sobre los requerimientos de
seguridad del área y los procedimientos de emergencia? SI NO
¿El acceso a la información sensible, y a las

instalaciones de procesamiento de información, es SI NO
controlado y limitado exclusivamente a las personas
autorizadas?
¿Se utilizan controles de autenticación, por ej.: Tarjeta y
número de identificación personal (PIN), para autorizar y SI NO
validar todos los accesos?
¿Se mantiene una pista protegida que permita auditar
SI NO
todos los accesos?
¿El personal exhibe alguna forma de identificación
SI NO
visible?
¿El personal ha sido concienciado para cuestionar la
presencia de desconocidos no escoltados y a cualquier SI NO
persona que no exhiba una identificación visible?
¿Se revisan y actualizan periódicamente los derechos de

SI NO
acceso a las áreas protegidas?
¿Cuándo se realizan visitas a áreas protegidas queda
registrada la fecha y horario de su ingreso y regreso? SI NO
49
[A.11.1.3] - Seguridad de oficinas, despachos y recursos
COBERTURA CONTROL:
Aplica
¿Las instalaciones clave están ubicadas en sitios a los

SI NO
cuales no puede acceder el público?
¿Los edificios son discretos, sin ofrecer un señalamiento
mínimo de su propósito, sin signos obvios, exteriores o SI NO
interiores, que identifiquen la presencia de actividades de
procesamiento de información?
¿Las funciones y el equipamiento de soporte, por ej.

Fotocopiadoras, máquinas de fax, están ubicados SI NO
adecuadamente dentro del área protegida para evitar
solicitudes de acceso, el cual podría comprometer la
información?
¿Las puertas y ventanas están bloqueadas cuando no
SI NO
hay vigilancia?
¿Existen sistemas adecuados de detección de intrusos?
SI NO
¿Los sistemas de detección de intrusos han sido

instalados según estándares profesionales y probados SI NO
periódicamente?
¿Estos sistemas comprenden todas las puertas
SI NO
exteriores y ventanas accesibles?
¿Las áreas vacías tienen alarmas activadas en todo
SI NO
momento?
¿Están protegidas con alarmas salas como la sala de
SI NO
cómputos o las salas de comunicaciones?
¿Las instalaciones de procesamiento de información
administradas por la organización están físicamente SI NO
separadas de aquellas administradas por terceros?
¿Los guías telefónicos y listados de teléfonos internos

que identifican las ubicaciones de las instalaciones de SI NO
procesamiento de información sensible no son fácilmente
accesibles al público?
50
Aplica
¿Los materiales peligrosos o combustibles están

almacenados en lugares seguros a una distancia SI NO
prudencial del área protegida?
¿Los suministros a granel, como los útiles de escritorio,
no deben ser almacenados en el área protegida hasta SI NO
que sean requeridos?
¿El equipamiento de sistemas de soporte UPC (Usage
Parameter Control) de reposición de información perdida SI NO
("fallback") y los medios informáticos de resguardo están
situados a una distancia prudencial para evitar daños
ocasionados por eventuales desastres en el sitio
principal?
[A.11.1.4] - Protección contra las amenazas externas y ambientales
COBERTURA CONTROL:
Aplica
¿Existe protección física contra daño por fuego,

inundación, terremoto, explosión, revuelta civil y otras SI NO
formas de desastres naturales o causados por el
hombre?
¿Se considera la amenaza contra la seguridad
SI NO
presentada por locales vecinos?
¿Los materiales peligrosos o combustibles debieran
están almacenados a una distancia segura del área SI NO
asegurada?
¿Los suministros a granel como papelería están
SI NO
separados del área asegurada?
¿El equipo de reemplazo y los medios de respaldo están
ubicados a una distancia segura para evitar el daño de un SI NO
desastre que afecte el local principal?
¿Existe un equipo contra–incendios ubicado

SI NO
adecuadamente?
51
[A.11.1.5] - El trabajo en áreas seguras
COBERTURA CONTROL:
Aplica
¿Se aplica el criterio de “necesidad de conocer” al

SI NO
personal?
¿Se controla el trabajo en las áreas protegidas? SI NO
¿Las áreas protegidas desocupadas son físicamente

bloqueadas y periódicamente inspeccionadas? SI NO
¿El personal del servicio de soporte externo tiene acceso

limitado a las áreas protegidas o a las instalaciones de SI NO
procesamiento de información sensible?
¿Este acceso caso de producirse es autorizado y

SI NO
monitoreado?
¿Existen barreras y perímetros adicionales para controlar
el acceso físico entre áreas con diferentes requerimientos SI NO
de seguridad, y que están ubicadas dentro del mismo
perímetro de seguridad?
¿Se controla que a menos que se autorice

expresamente, no se permita el ingreso de equipos SI NO
fotográficos, de vídeo, audio u otro tipo de equipamiento
que registre información en las áreas protegidas?
52
[A.11.1.6] - Áreas de carga y descarga
COBERTURA CONTROL:
Aplica
¿El acceso a las áreas de depósito, desde el exterior de

la sede de la organización, está limitado a personal que SI NO
sea previamente identificado y autorizado?
¿El área de depósito está diseñada de manera tal que los

suministros puedan ser descargados sin que el personal SI NO
que realiza la entrega acceda a otros sectores del
edificio?
¿Todas las puertas exteriores de un área de depósito son
aseguradas cuando se abre la puerta interna? SI NO
¿El material entrante es inspeccionado para descartar

peligros potenciales antes de ser trasladado desde el SI NO
área de depósito hasta el lugar de uso?
¿El material entrante es registrado, al ingresar al sitio

SI NO
pertinente?
[A.11.2] - Seguridad de los equipos
[A.11.2.1] - Emplazamiento y protección de equipos
COBERTURA CONTROL:
53
Aplica
¿Las instalaciones de procesamiento y almacenamiento

de información, que manejan datos sensibles, están SI NO
ubicadas en un sitio que permite reducir el riesgo de falta
de supervisión de las mismas durante su uso?
¿Existen controles que permiten minimizar el riesgo de

SI NO
amenazas potenciales?
¿La organización tiene definida una política respecto de
comer, beber y fumar cerca de las instalaciones de SI NO
procesamiento de información?
¿Se han monitoreado las condiciones ambientales para
verificar que las mismas no puedan afectar de manera SI NO
adversa el funcionamiento de las instalaciones de
procesamiento de la información?
¿Se ha tenido en cuenta el uso de métodos de protección
especial, como las membranas de teclado, para los SI NO
equipos ubicados en ambientes industriales?
¿Se ha considerado el impacto de un eventual desastre

que tenga lugar en zonas próximas a la sede de la SI NO
organización, por ej. Un incendio en un edificio cercano,
la filtración de agua desde el cielo raso o en pisos por
debajo del nivel del suelo o una explosión en la calle?
[A.11.2.2] - Instalaciones de suministro
COBERTURA CONTROL:
Aplica
¿Existe algún generador de respaldo? SI NO
¿El plan de contingencia contempla las acciones que han

SI NO
de emprenderse ante una falla de la UPS?
¿Los equipos de UPS son inspeccionados
periódicamente para asegurar que tienen la capacidad SI NO
requerida?
54
Aplica
¿Los equipos de UPS son probados de conformidad con

las recomendaciones del fabricante o proveedor? SI NO
¿Se ha estudiado la necesidad del empleo de un

generador de respaldo si el procesamiento ha de SI NO
continuar en caso de una falla prolongada en el
suministro de energía?
¿Se realiza una prueba periódica del generador de
acuerdo con las instrucciones del fabricante o proveedor? SI NO
¿En caso de tener generado, se dispone de un adecuado

suministro de combustible para garantizar que el SI NO
generador pueda funcionar por un período prolongado?
¿Los interruptores de emergencia están ubicados cerca

de las salidas de emergencia de las salas donde se SI NO
encuentra el equipamiento, a fin de facilitar un corte
rápido de la energía en caso de producirse una situación
crítica?
¿Las instalaciones tienen la adecuada “iluminación de
emergencia” en caso de producirse una falla en el SI NO
suministro principal de energía?
¿Existe protección contra rayos en el edificio? SI NO
¿Existen filtros de protección contra rayos en las líneas

SI NO
de comunicaciones externas?
¿Se cuenta con un adecuado suministro de energía que
esté de acuerdo con las especificaciones del fabricante o SI NO
proveedor de los equipos?
¿Se tienen múltiples bocas de suministro para evitar un

único punto de falla en el suministro de energía? SI NO
¿Existe un suministro de energía ininterrumpible (UPS)?

SI NO
[A.11.2.3] - Seguridad del cableado
COBERTURA CONTROL:
55
Aplica
¿Las líneas de energía eléctrica y telecomunicaciones

que se conectan con las instalaciones de procesamiento SI NO
de información son subterráneas, siempre que sea
posible, o sujetas a una adecuada protección alternativa?
¿El cableado de red está protegido contra interceptación

no autorizada o daño, por ejemplo mediante el uso de SI NO
conductos o evitando trayectos que atraviesen áreas
públicas?
¿Los cables de energía están separados de los cables de
comunicaciones para evitar interferencias? SI NO
¿Se tienen Instalaciones de conductos blindados y

recintos o cajas con cerradura en los puntos terminales y SI NO
de inspección?
¿Se usan rutas o medios de transmisión alternativos?
SI NO
¿Se usa cableado de fibra óptica? SI NO
[A.11.2.4] - Mantenimiento de los equipos
COBERTURA CONTROL:
Aplica
¿El equipamiento se mantiene de acuerdo con los

intervalos de servicio y especificaciones recomendados SI NO
por el proveedor?
¿Sólo el personal de mantenimiento autorizado brinda
mantenimiento y lleva a cabo reparaciones en el SI NO
equipamiento?
¿Se mantienen registros de todas las fallas supuestas o
reales y de todo el mantenimiento preventivo y SI NO
correctivo?
¿Existen controles cuando se retiran equipos de la sede
SI NO
de la organización para su mantenimiento?
56
[A.11.2.5] - Retirada de materiales propiedad de la empresa
COBERTURA CONTROL:
Aplica
¿El equipamiento, la información o el software son

retirados de la sede de la organización sin autorización? SI NO
¿Se realizan comprobaciones puntuales para detectar el

retiro no autorizado de activos de la organización? SI NO
¿El personal conoce la posibilidad de realización de

SI NO
dichas comprobaciones?
[A.11.2.6] - Seguridad de los equipos fuera de las instalaciones
COBERTURA CONTROL:
Aplica
¿El equipamiento y dispositivos retirados del ámbito de la

organización permanecen desatendidos en lugares SI NO
públicos?
¿Las computadoras personales son transportadas como
SI NO
equipaje de mano durante el viaje?
¿Los equipamientos de la organización que están fuera
de la misma, tienen una cobertura de seguro? SI NO
57
Aplica
¿Se tienen en cuenta que los riesgos de seguridad, por

ej. El daño, robo o escucha subrepticia, pueden variar SI NO
considerablemente según las ubicaciones y deben ser
tenidas en cuenta al determinar los controles más
apropiados?
[A.11.2.7] - Reutilización o eliminación segura de equipos
COBERTURA CONTROL:
Aplica
¿Al reutilizar el equipamiento, se controla la información

SI NO
que poseen?
¿Los medios de almacenamiento que contienen material
sensitivo, son físicamente destruidos o sobrescritos en SI NO
forma segura en vez de utilizar las funciones de borrado
1estándar?
¿Los elementos del equipamiento que contengan
dispositivos de almacenamiento, por ej. Discos rígidos no SI NO
removibles, son controlados para asegurar que todos los
datos sensitivos y el software bajo licencia, han sido
eliminados o sobrescritos antes de su baja?
¿Se realizan análisis de riesgo a fin de determinar si

medios de almacenamiento dañados, conteniendo datos SI NO
sensitivos, deben ser destruidos, reparados o
desechados?
58
[A.11.2.8] - Equipo de usuario desatendido
COBERTURA CONTROL:
Aplica
¿Se ha notificado a los usuarios que deben concluir las

sesiones activas al finalizar las tareas, a menos que SI NO
puedan protegerse mediante un mecanismo de bloqueo
adecuado, por ej. Un preservador de pantallas protegido
por contraseña?
¿Se ha notificado a los usuarios que deben llevar a cabo

el procedimiento de salida de los procesadores centrales SI NO
cuando finaliza la sesión (no solo apagar la PC o
terminal)?
¿Se ha notificado a los usuarios que deben proteger las
PCs o terminales contra usos no autorizados mediante un SI NO
bloqueo de seguridad o control equivalente, por ej.
Contraseña de acceso, cuando no se utilizan?
¿Los usuarios garantizan que los equipos desatendidos

SI NO
estén protegidos adecuadamente?
[A.11.2.9] - Política de puesto de trabajo despejado y pantalla limpia
COBERTURA CONTROL:
59
Aplica
¿Cuándo corresponde, los documentos en papel y los

medios informáticos son almacenados bajo llave en SI NO
gabinetes y/u otro tipo de mobiliario seguro cuando no
están siendo utilizados, especialmente fuera del horario
de trabajo?
¿La información sensible o crítica de la empresa se
guardar bajo llave (preferentemente en una caja fuerte o SI NO
gabinete a prueba de incendios) cuando no está en uso,
especialmente cuando no hay personal en la oficina?
¿Las computadoras personales, terminales e impresoras

están accesibles cuando están desatendidas? SI NO
¿Están protegidos los puntos de recepción y envío de

correo y las máquinas de fax y telex no atendidas? SI NO
¿Las fotocopiadoras están bloqueadas (o protegidas de

alguna manera, del uso no autorizado) fuera del horario SI NO
normal de trabajo?
¿La información sensible o confidencial, una vez impresa,
es retirada de la impresora inmediatamente? SI NO
60
61
[A.12] - Seguridad de las operaciones
[A.12.1] - Procedimientos y responsabilidades operacionales
[A.12.1.1] - Documentación de procedimientos de la operación
COBERTURA CONTROL:
Aplica
¿Los procedimientos de comunicación y operaciones

incluyen las tareas de procesamiento y manejo de la SI NO
información?
incluyen las tareas requerimientos de programación SI NO
(“schedulling”), incluyendo interdependencias con otros
sistemas, tiempos de inicio de primeras tareas y tiempos
de terminación de últimas tareas?

incluyen instrucciones para el manejo de errores u otras SI NO
condiciones excepcionales que podrían surgir durante la
ejecución de tareas, incluyendo restricciones en el uso de
utilidades del sistema?

incluyen las personas de soporte a contactar en caso de SI NO
dificultades operativas o técnicas imprevistas?

incluyen instrucciones especiales para el manejo de SI NO
salidas (“outputs”), como el uso de papelería especial o la
administración de salidas confidenciales, incluyendo
procedimientos para la eliminación segura de salidas de
tareas fallidas?

incluyen reinicio del sistema y procedimientos de SI NO
recuperación en caso de producirse fallas en el sistema?
62
Aplica
¿Existe documentación sobre procedimientos referidos a

actividades de mantenimiento del sistema, relacionadas SI NO
con las instalaciones de procesamiento de información y
comunicaciones. Ej: procedimientos de inicio y cierre,
1resguardo, mantenimiento de equipos, salas de
cómputos y administración y seguridad del manejo de
correo?
[A.12.1.2] - Gestión de cambios
COBERTURA CONTROL:
Aplica
¿Existe un control de cambios en los medios y sistemas

SI NO
de procesamiento de la información?
¿Al realizar los cambios se identifican los activos y se
SI NO
registran los cambios?
¿Al realizar los cambios se realiza una planificación
SI NO
previa y se planifican las pruebas?
¿Al realizar los cambios se realiza una evaluación del
impacto potencial del cambio, incluyendo los impactos de SI NO
seguridad?
¿Existe un procedimiento para la aprobación formal de
SI NO
los cambios propuestos?
¿Al realizar los cambios se realiza una comunicación de
los detalles del cambio para todas las personas SI NO
relevantes?
¿Existen procedimientos de emergencia y respaldo,
incluyendo los procedimientos y responsabilidades para SI NO
abortar y recuperarse de cambios fallidos y eventos
inesperados?
¿Cuándo se realizan los cambios, se mantiene un
registro de auditoría conteniendo toda la información SI NO
relevante?
63
[A.12.1.3] - Gestión de capacidades
COBERTURA CONTROL:
Aplica
¿Se monitorear las demandas de capacidad? SI NO
¿Se realizan proyecciones de los futuros requerimientos

de capacidad, a fin de garantizar la disponibilidad del SI NO
poder de procesamiento y almacenamiento adecuados?
¿Las proyecciones para futuros requerimientos de

capacidad, toman en cuenta los nuevos requerimientos SI NO
de negocios y sistemas y las tendencias actuales
proyectadas en el procesamiento de la información de la
organización?
¿Los administradores de servicios mainframe monitorean

la utilización de los recursos clave del sistema, SI NO
incluyendo procesadores, almacenamiento principal,
almacenamiento de archivos, impresoras y otros medios
de salida (“output”), y sistemas de comunicaciones?
¿Los responsables del Dpto. de Informática utilizan esta

información para identificar y evitar potenciales cuellos de SI NO
botella que podrían plantear una amenaza a la seguridad
del sistema o a los servicios del usuario, y planificar una
adecuada acción correctiva?
64
[A.12.1.4] - Separación de los recursos de desarrollo, prueba y operación
COBERTURA CONTROL:
Aplica
¿Están definidos entornos de desarrollo, prueba y

SI NO
operaciones?
¿Están definidas y documentas las reglas para la
transferencia de software desde el estado de desarrollo SI NO
hacia el estado operativo?
¿Está correctamente segregadas las funciones y accesos
SI NO
entre desarrollo y pruebas?
¿El personal de desarrollo y prueba tiene acceso al
SI NO
sistema que esta operativo y a su información?
¿Se controla la confidencialidad de la información con
SI NO
respecto al personal de desarrollo y pruebas?
¿El software en desarrollo y en operaciones se ejecuta
en diferentes procesadores o en diferentes dominios o SI NO
directorios?
¿Los compiladores, editores y otros utilitarios del sistema
están correctamente protegidos para que sean accesibles SI NO
desde los sistemas que están operativos?
¿Se utilizan diferentes procedimientos de conexión

(“log–on”) para sistemas en operaciones y de prueba, a SI NO
fin de reducir el riesgo de error?
¿Se obliga a los usuarios a utilizar diferentes contraseñas
para los sistemas de producción y pruebas? SI NO
¿Existe mensajes de identificación que permiten

SI NO
distinguir los entornos de producción y pruebas?
¿Existen controles que garanticen que cuando el
personal de desarrollo accede a una contraseña SI NO
operativa esta se modifique?
65
[A.12.2] - Protección contra el software malicioso
[A.12.2.1] - Controles contra el código malicioso
COBERTURA CONTROL:
Aplica
¿Existe una política formal que requiera el uso de

software con licencia y prohíba el uso de software no SI NO
autorizado?
¿Existen procedimientos para verificar toda la
SI NO
información relativa a software malicioso?
¿Se ha concienciado al personal acerca del problema de
los virus falsos (hoax) y de qué hacer al recibirlos? SI NO
¿Existe una política formal con el fin de proteger contra

los riesgos relacionados con la obtención de archivos y SI NO
software desde o a través de redes externas, o por
cualquier otro medio, señalando qué medidas de
protección deberían tomarse?
¿Existe un procedimiento para la instalación y
actualización periódica de software de detección y SI NO
reparación anti–virus, para examinar computadoras y
medios informáticos, ya sea como medida precautoria o
rutinaria?
¿Existe un procedimiento para la realización de
revisiones periódicas del contenido de software y datos SI NO
de los sistemas que sustentan procesos críticos de la
empresa?
¿En caso de detectar la presencia de archivos no
aprobados o modificaciones no autorizadas se realiza SI NO
una investigación formal?
¿Existen controles para la verificación de la presencia de
virus en archivos de medios electrónicos de origen SI NO
incierto o no autorizado, o en archivos recibidos a través
de redes no confiables, antes de su uso?
66
Aplica
¿Existen controles para la verificación de la presencia de

software malicioso en archivos adjuntos a mensajes de SI NO
correo electrónico y archivos descargados por Internet
(“downloads”) antes de su uso?
¿Están definidos los procedimientos y responsabilidades

gerenciales para administrar la protección contra virus en SI NO
los sistemas, el entrenamiento con respecto a su uso, la
comunicación y la recuperación frente a ataques?
¿Existen adecuados planes de continuidad de los

negocios para la recuperación respecto de ataques de SI NO
virus, incluyendo todos los datos necesarios, el resguardo
del software y las disposiciones para la recuperación?
¿Al autorizar el uso de códigos móviles, la configuración

asegura que el código móvil autorizado opera de acuerdo SI NO
con una política de seguridad claramente definida?
[A.12.3] - Copias de seguridad
[A.12.3.1] - Copias de seguridad de la información
COBERTURA CONTROL:
Aplica
¿Se realizan copias de respaldo de la información y

SI NO
software?
¿La información de respaldo tiene el nivel de protección
física y ambiental apropiado, consistente con los SI NO
estándares aplicados en el local principal?
¿Los medios de respaldo se prueban regularmente para

asegurar que se puedan confiar en ellos para usarlos SI NO
cuando sea necesaria en caso de emergencia?
67
Aplica
¿Los procedimientos de restauración se chequean y

prueban regularmente para asegurar que sean efectivos SI NO
y que pueden ser completados dentro del tiempo
asignado en los procedimientos operacionales para la
recuperación?
¿Cuándo la confidencialidad es de importancia, las
copias de respaldo están protegidas por medios de una SI NO
codificación?
¿Los procedimientos de respaldo para los sistemas
individuales son probados regularmente para asegurar SI NO
que cumplan con los requerimientos de los planes de
continuidad del negocio?
¿Se prueban las copias de respaldo regularmente en
concordancia con la política de copias de respaldo SI NO
acordada?
¿Existen medios de respaldo adecuados para asegurar
que toda la información esencial y software se pueda SI NO
recuperar después de un desastre o falla de medios?
¿Está definido el nivel necesario de respaldo de la

SI NO
información?
¿Existen registros exactos y completos de las copias de
respaldo y procedimientos documentados de la SI NO
restauración?
¿Se encuentra reflejada en los requerimientos
comerciales de la organización, la extensión (por SI NO
ejemplo, respaldo completo o diferencial) y la frecuencia
de los respaldos?
comerciales de la organización, los requerimientos de SI NO
seguridad de la información involucrada?
comerciales de la organización, el grado crítico de la SI NO
información para la operación continua de la
organización?
¿Las copias de respaldo están almacenadas en un lugar
apartado, a la distancia suficiente como para escapar de SI NO
cualquier daño por un desastre en el local principal?
[A.12.4] - Registros y supervisión
68
[A.12.4.1] - Registro de eventos
COBERTURA CONTROL:
Aplica
¿Existen y se mantiene registros de auditoría de las

actividades, excepciones y eventos de seguridad de la SI NO
información durante un período acordado para ayudar en
investigaciones futuras y monitorear el control de
acceso?
¿Cuándo son relevantes los registros de auditoría
incluyen archivos a los cuales se tuvo acceso y los tipos SI NO
de acceso?
SI NO
incluyen direcciones y protocolos de la red?
incluyen alarmas activadas por el sistema de control de SI NO
acceso?
incluyen la activación y desactivación de los sistemas de SI NO
protección; como sistemas anti–virus y sistemas de
detección de intrusiones?
SI NO
incluyen Ids?
incluyen fechas, horas y detalles de eventos claves; por SI NO
ejemplo, ingreso y salida?
SI NO
incluyen la identidad o ubicación de la identidad?
incluyen los registros de intentos de acceso fallidos y SI NO
rechazados al sistema?
incluyen los registros de intentos de acceso fallidos y SI NO
rechazados a la data y otros recursos?
incluyen los cambios en la configuración del sistema? SI NO

SI NO
incluyen el uso de privilegios?
69
Aplica

incluyen el uso de las utilidades y aplicaciones del SI NO
sistema?
¿Existen procedimientos para el monitoreo del uso de los
medios de procesamiento de la información? SI NO
¿La frecuencia con que se revisan los resultados de las

actividades de monitoreo depende de los riesgos SI NO
involucrados?
¿Se revisan regularmente los resultados de las
SI NO
actividades de monitoreo?
¿Está determinado el nivel de monitoreo requerido para
los medios individuales mediante una evaluación del SI NO
riesgo?
¿Se cumple con los requerimientos legales relevantes
aplicables para sus actividades de monitoreo? SI NO
¿Se monitorea el acceso autorizado (ID del usuario;

fecha y hora de los eventos claves; tipos de eventos; SI NO
archivo a los cuales se tuvo acceso; programas/utilidades
utilizados)?
¿Se monitorean todas las operaciones privilegiadas (uso
de las cuentas privilegiadas; inicio y apagado del sistema; SI NO
dispositivo I/O para adjuntar y eliminar lo adjuntado)?
¿Se monitorean los intentos de acceso no autorizado

(accesiones del usuario fallidas o rechazadas; acciones SI NO
fallidas o rechazadas que involucran la data y otros
recursos; violaciones a la política de acceso y
notificaciones para los ‘firewalls’ de la red; alertas de los
sistemas de detección de intrusiones)?
¿Se monitorean las alertas o fallas del sistema (alertas o

mensajes en la consola; excepciones del registro del SI NO
sistema; alarmas de la gestión de la red; alarmas
activadas por el sistema de control de acceso)?
¿Se monitorean los cambios o intentos de cambio en los

marcos y controles del sistema de seguridad? SI NO
¿Existe un procedimiento para actuar cuando se produce

SI NO
un fallo en el sistema?
¿Se toman medidas correctivas cuando se produce un
SI NO
fallo en el sistema?
¿Se registran las incidencias comunicadas por los
usuarios, con respecto a problemas con el procesamiento SI NO
de la información o los sistemas de comunicaciones?
¿Existen procedimientos para la revisión de registros de

incidencias para garantizar que las mismas fueron SI NO
resueltas satisfactoriamente?
70
Aplica
¿Existen procedimientos para la revisión de medidas

correctivas para garantizar que los controles no fueron SI NO
comprometidos, y que las medidas tomadas fueron
debidamente autorizadas?
[A.12.4.2] - Protección de la información de registro
COBERTURA CONTROL:
Aplica
¿Están protegidos los medios de registro y la información

del registro para evitar la alteración y el acceso no SI NO
autorizado?
¿Los controles tienen como objetivo proteger contra
cambios no autorizados y problemas operacionales? SI NO
¿El medio de registro incluye las alteraciones registradas

SI NO
a los tipos de mensajes?
¿El medio de registro incluye los archivos de registro que
SI NO
se editan o borran?
¿El medio de registro incluye la capacidad de
almacenamiento del medio de archivos de registro que se SI NO
está excediendo?
¿Se archivan los registros de auditoría como parte de la
política de retención de archivos o debido a los SI NO
requerimientos para recolectar y mantener evidencia?
71
[A.12.4.3] - Registros de administración y operación
COBERTURA CONTROL:
Aplica
¿Se registran las actividades del administrador del

SI NO
sistema y el operador del sistema?
¿Los registros incluyen la hora en la cual ocurre un
SI NO
evento (éxito o falla)?
¿Los registros incluyen la información sobre el evento
(por ejemplo, archivos manejados) o falla (por ejemplo, el SI NO
error ocurrido y la acción correctiva)?
¿Los registros incluyen cuál cuenta y cuál operador o

SI NO
administrador está involucrado?
¿Los registros incluyen que procesos están
SI NO
involucrados?
¿Los registros de administrador y operador del sistema
SI NO
son revisados de manera regular?
[A.12.4.4] - Sincronización del reloj
COBERTURA CONTROL:
72
Aplica
¿Se mantiene una política de unificación de la hora de los

relojes de las computadoras para garantizar la exactitud SI NO
de los registros de auditoría, que pueden requerirse para
investigaciones o como evidencia en casos legales o
disciplinarios?
¿Existe un procedimiento que verifique y corrija cualquier
variación significativa en los relojes de las SI NO
computadoras?
[A.12.5] - Control del software en explotación
[A.12.5.1] - Instalación del software en explotación
COBERTURA CONTROL:
Aplica
¿Se han designados bibliotecarios para el control de los

SI NO
programas operativos?
¿El software suministrado por el proveedor y utilizado en
los sistemas operacionales cuenta con el soporte del SI NO
mismo?
¿Cualquier decisión referida a una actualización a una
SI NO
nueva versión tiene en cuenta la seguridad?
¿Se otorga acceso lógico o físico a los proveedores con
SI NO
fines de soporte?
¿Se obtiene previamente la aprobación de la gerencia?
SI NO
¿Se mantienen activadas las auditorías cuando se da

SI NO
acceso a los proveedores?
¿La actualización de las bibliotecas de programas
SI NO
operativos es realizada por el bibliotecario?
¿Antes de realizar una actualización de las bibliotecas de
programas operativos se obtiene la debida autorización SI NO
de la gerencia?
¿Los sistemas en operación, solo contienen código
SI NO
ejecutable?
73
Aplica
¿Cuándo el código ejecutable es implementado en un

sistema operacional se han obtenido evidencias del éxito SI NO
de las pruebas?
sistema operacional se ha obtenido la aceptación el SI NO
usuario?
sistema operacional se ha actualizado previamente las SI NO
correspondientes bibliotecas de programas fuente?
¿Se mantiene un registro de auditoría de todas las

actualizaciones a las bibliotecas de programas SI NO
operativos?
¿Son retenidas las versiones previas de software como
SI NO
medida de contingencia?
[A.12.6] - Gestión de la vulnerabilidad técnica
[A.12.6.1] - Gestión de las vulnerabilidades técnicas
COBERTURA CONTROL:
Aplica
¿Se obtiene oportunamente la información sobre las

vulnerabilidades técnicas de los sistemas de información SI NO
que se están utilizando, la exposición de la organización
a dichas vulnerabilidades evaluadas, y las medidas
apropiadas tomadas para tratar los riesgos asociados?
¿Se toman las acciones apropiadas y oportunas en

respuesta a la identificación de vulnerabilidades técnicas SI NO
potenciales?
¿La organización define y establece los roles y
responsabilidades asociadas con la gestión de la SI NO
vulnerabilidad técnica; incluyendo el monitoreo de la
vulnerabilidad, evaluación del riesgo de la vulnerabilidad,
monitoreo de activos y cualquier responsabilidad de
coordinación requerida?
74
Aplica
¿Están identificados los recursos de información que se

utilizarán para identificar las vulnerabilidades técnicas SI NO
relevantes y mantener la conciencia sobre ellas para el
software y otras tecnologías?
¿Está definida una línea de tiempo para reaccionar a las

notificaciones de vulnerabilidades técnicas SI NO
potencialmente relevantes?
¿Al identificar vulnerabilidades técnicas potenciales, la
organización identifica los riesgos asociados y las SI NO
acciones a tomarse?
¿En el caso de requerir parches, se evalúan los riesgos
SI NO
asociados con instalar el parche?
¿Se prueban los parches antes de instalarlos para
asegurar que sean efectivos y no resulten efectos SI NO
secundarios que no se puedan tolerar?
[A.12.6.2] - Restricción en la instalación de software
COBERTURA CONTROL:
Aplica
¿Define y hace cumplir la organización una política

estricta sobre qué tipos de software pueden instalar los SI NO
usuarios?
¿Se aplica el principio de menor privilegio a la hora de
SI NO
definir permisos de instalación?
¿Está claramente identificado qué tipos de instalaciones
SI NO
de software están permitidas?
¿Está claramente identificado qué tipos de instalaciones
SI NO
de software están prohibidas?
¿La asignación de privilegios se realiza de acuerdo con
SI NO
las funciones de los usuarios en cuestión?
75
[A.12.7] - Consideraciones sobre la auditoria de sistemas de información
[A.12.7.1] - Controles de auditoría de sistemas de información
COBERTURA CONTROL:
Aplica
¿Los requerimientos y actividades de auditoría que

involucran verificaciones de los sistemas operacionales SI NO
son planificados y acordados a fin de minimizar el riesgo
de discontinuidad de los procesos de negocio?
¿Los requerimientos de auditoría son acordados con la

SI NO
gerencia correspondiente?
¿El alcance de las verificaciones está controlado? SI NO
¿Las actividades de auditoría están limitadas a un acceso

SI NO
de sólo lectura del software de datos?
¿El acceso que no sea de sólo lectura está permitido solo
para copias aisladas de archivos del sistema? SI NO
¿Las copias aisladas realizadas en los archivos de

sistemas, son eliminadas una vez finalizada la auditoría? SI NO
¿Se identifican y acuerdan los requerimientos de

procesamiento especial o adicional, necesarios para SI NO
realizar la verificación?
¿Todos los accesos son monitoreados y registrados a fin
de generar una pista de referencia? SI NO
¿Se documentan todos los procedimientos,

SI NO
requerimientos y responsabilidades?
76
77
[A.13] - Seguridad de las comunicaciones
[A.13.1] - Gestión de la seguridad de redes
[A.13.1.1] - Controles de red
COBERTURA CONTROL:
Aplica
¿La responsabilidad operativa de las redes está

SI NO
separada de las de operaciones del computador?
¿Están establecidos los procedimientos y
responsabilidades para la administración del SI NO
equipamiento remoto, incluyendo los equipos en las
áreas usuarias?
¿Existen controles que permitan salvaguardar la
confidencialidad e integridad del procesamiento de los SI NO
datos que pasan a través de redes públicas?
¿Existen controles para mantener la disponibilidad de los
servicios de red y computadoras conectadas? SI NO
[A.13.1.2] - Seguridad de los servicios de red
COBERTURA CONTROL:
78
Aplica
¿En los contratos de redes están identificadas las

características de seguridad, niveles de servicio y SI NO
requerimientos de gestión de todos los servicios de red?
¿Se monitorea regularmente la capacidad del proveedor

del servicio de red para manejar los servicios contratados SI NO
de una manera segura?
¿Se ha acordado en el contrato el derecho de auditoría?
SI NO
¿Se han identificado los acuerdos de seguridad

necesarios para servicios particulares; como las SI NO
características de seguridad, niveles de servicio y
requerimientos de gestión?
¿La organización se ha asegurado que los proveedores
de servicio de red han implementado los controles SI NO
necesarios?
[A.13.1.3] - Segregación de las redes
COBERTURA CONTROL:
Aplica
¿Se han introducido controles en la red para segregar

grupos de servicios de información, usuarios y sistemas SI NO
de información?
¿Se ha dividido la red en dominios lógicos separados, por
ej.: dominios de red internos y externos de una SI NO
organización, cada uno protegido por un perímetro de
seguridad definido?
¿Se han instalado gateway para implementar el
SI NO
perímetro de seguridad. Ej.: firewall?
[A.13.2] - Intercambio de información
79
[A.13.2.1] - Políticas y procedimientos de intercambio de información
COBERTURA CONTROL:
Aplica
¿Se han establecido políticas, procedimientos y controles

de intercambio formales para proteger el intercambio de SI NO
información a través del uso de todos los tipos de medios
de comunicación?
¿Los procedimientos y controles a seguirse cuando se
utilizan medios de comunicación electrónicos para el SI NO
intercambio de información consideran no dejar la
información confidencial o crítica en medios impresos;
por ejemplo, copiadoras, impresoras y máquinas de fax;
ya que personal no–autorizado puede tener acceso a
ellas?
intercambio de información consideran los controles y
restricciones asociados con el reenvío de los medios de
comunicación; por ejemplo, reenvío automático de correo
electrónico a direcciones externas?

intercambio de información consideran recordar al
personal que debiera tomar las precauciones apropiadas;
por ejemplo, no revelar información confidencial cuando
realiza una llamada telefónica para evitar ser escuchado?

intercambio de información consideran no dejar mensajes
conteniendo información confidencial en máquinas
ontestadotas dado que estos pueden ser escuchados por
personas no–autorizadas, ni almacenados en sistemas
comunitarios o almacenados incorrectamente como
resultado de un equívoco al marcar?
80
Aplica

personal no registrar datos, como la dirección de correo
electrónico u otra información personal, en ningún
software para evitar que sea utilizada sin autorización?

personal que las máquinas de fax y fotocopiadoras
modernas tienen páginas cache y almacenan páginas en
caso de una falla en la transmisión o papel, las cuales se
imprimirán una vez que el fallo se aclare?

personal que no debieran mantener conversaciones
confidenciales en lugares públicos, u oficinas o salas de
reuniones abiertas, sin paredes a prueba de ruidos?
¿Los medios de intercambio de información cumplen

todos los requerimientos legales relevantes? SI NO

intercambio de información consideran los
procedimientos diseñados para proteger el intercambio
de información de la intercepción, copiado, modificación,
y destrucción?
procedimientos para la detección y protección de contra
códigos maliciosos que pueden ser transmitidos a través
del uso de comunicaciones electrónicas?

procedimientos para proteger la información electrónica
confidencial comunicada que está en la forma de un
adjunto?
intercambio de información consideran la política o
lineamientos delineando el uso aceptable de los medios
de comunicación electrónicos?
81
Aplica

procedimientos para el uso de comunicación inalámbrica,
tomando en cuenta los riesgos particulares involucrados?

intercambio de información consideran las
responsabilidades del usuario empleado, contratista y
cualquier otro para que no comprometan a la
organización; por ejemplo, a través de la difamación,
hostigamiento, suplantación, reenvío de cadenas de
cartas, compras no–autorizadas, etc.?

intercambio de información consideran el uso de técnicas
de codificación; por ejemplo, para proteger la
confidencialidad, integridad y autenticidad de la
información?
intercambio de información consideran los lineamientos
de retención y eliminación de toda la correspondencia del
negocio, incluyendo mensajes, en concordancia con la
legislación y regulaciones nacionales y locales
relevantes?
[A.13.2.2] - Acuerdos de intercambio de información
COBERTURA CONTROL:
Aplica
¿Existen acuerdos para el intercambio de información y

software (tanto electrónico como manual) entre SI NO
organizaciones?
¿El acuerdo contempla controles especiales que pueden
requerirse para proteger ítems sensibles, como las claves SI NO
criptográficas?
82
Aplica
¿El acuerdo contempla las responsabilidades gerenciales

por el control y la notificación de transmisiones, envíos y SI NO
recepciones?
¿El acuerdo contempla los procedimientos de notificación
de emisor, transmisión, envío y recepción? SI NO
¿El acuerdo contempla los estándares técnicos mínimos

SI NO
para armado de paquetes y transmisión?
¿El acuerdo contempla los estándares de identificación
SI NO
de mensajeros (“courier”)?
¿El acuerdo contempla las responsabilidades y
SI NO
obligaciones en caso de pérdida de datos?
¿El acuerdo contempla el uso de un sistema convenido
para el rotulado de información crítica o sensible, SI NO
garantizando que el significado de los rótulos sea
inmediatamente comprendido y que la información sea
adecuadamente protegida?
¿El acuerdo contempla que la información sobre la
propiedad de la información y el software, y SI NO
responsabilidades por la protección de los datos, el
cumplimiento del “derecho de propiedad intelectual” del
software y consideraciones similares?
¿El acuerdo contempla estándares técnicos para la

SI NO
grabación y lectura de la información y software?
[A.13.2.3] - Mensajería electrónica
COBERTURA CONTROL:
Aplica
¿Está protegida adecuadamente la información

SI NO
involucrada en mensajes electrónicos?
¿Las consideraciones de seguridad para los mensajes
electrónicos incluyen proteger los mensajes del acceso SI NO
no–autorizado, modificación o negación del servicio?
83
Aplica

electrónicos incluyen asegurar la correcta dirección y SI NO
transporte del mensaje?
electrónicos incluyen asegurar la confiabilidad y SI NO
disponibilidad general del servicio?
electrónicos incluyen las consideraciones legales, por SI NO
ejemplo los requerimientos para firmas electrónicas?

electrónicos incluyen obtener la aprobación antes de SI NO
utilizar los servicios públicos externos como un mensaje
instantáneo o intercambio de archivos?

electrónicos incluyen niveles mayores de autenticación SI NO
controlando el acceso de las redes de acceso público?
[A.13.2.4] - Acuerdos de confidencialidad o no revelación
COBERTURA CONTROL:
Aplica
¿Se tienen acuerdos de confidencialidad o

no–divulgación que protejan el sistema de información? SI NO
¿Los acuerdos de confidencialidad incluyen condiciones

para el retorno o destrucción de la información al finalizar SI NO
el acuerdo?
¿Los acuerdos de confidencialidad incluyen acciones que
se tomarán en caso del incumplimiento del acuerdo? SI NO
¿Los requerimientos de los acuerdos de confidencial se

SI NO
revisan periódicamente?
¿Los requerimientos de los acuerdos de confidencial se
SI NO
revisan cuando ocurren cambios?
84
Aplica
¿Los acuerdos de confidencialidad cumplen la legalidad

SI NO
vigente?
¿Los acuerdos de confidencialidad incluyen una
SI NO
definición de la información a protegerse?
¿Los acuerdos de confidencialidad incluyen la duración
SI NO
esperada del acuerdo?
¿Los acuerdos de confidencialidad incluyen las acciones
SI NO
requeridas al terminar el acuerdo?
¿Los acuerdos de confidencialidad incluyen la
responsabilidad y acciones de los firmantes para evitar la SI NO
divulgación de información no autorizada?
¿Los acuerdos de confidencialidad incluyen la propiedad

SI NO
de la información?
¿Los acuerdos de confidencialidad incluyen el uso
SI NO
permitido de la información confidencial?
¿Los acuerdos de confidencialidad incluyen un proceso
de notificación y reporte de divulgación de no autorizada SI NO
o incumplimiento del acuerdo de información
confidencial?
85
86
[A.14] - Adquisición, desarrollo y mantenimiento de los sistemas de información
[A.14.1] - Requerimientos de seguridad en sistemas de información
[A.14.1.1] - Análisis de requisitos y especificaciones de seguridad de la

información.
COBERTURA CONTROL:
Aplica
¿Al planificar la introducción de nuevos sistemas, se

realiza un estudio de los riesgos en que se incurrirá al SI NO
incorporarlo al nuevo sistema?
[A.14.1.2] - Asegurar los servicios de aplicaciones en redes públicas
COBERTURA CONTROL:
Aplica
¿Se protege la información involucrada en el comercio

electrónico que pasa a través de redes públicas de la SI NO
actividad fraudulenta, disputas de contratos, divulgación
no–autorizada y modificación?
¿Las consideraciones de seguridad para el comercio

electrónico incluyen seleccionar la forma de liquidación SI NO
más apropiada del pago para evitar el fraude?
87
Aplica

electrónico incluyen el nivel de protección requerido para SI NO
mantener la confidencialidad e integridad de la
información de la orden?

electrónico incluyen controles para evitar la pérdida o SI NO
duplicación de la información de la transacción?

electrónico incluyen la responsabilidad asociada con SI NO
cualquier transacción fraudulenta?
electrónico incluyen requerimientos de seguro? SI NO
¿Los acuerdos de comercio electrónico entre socios

están respaldados por un contrato documentado el cual SI NO
compromete a ambas partes a los términos acordados
para la comercialización, incluyendo los detalles de la
autorización?
¿Se ha tomado en consideración la resistencia al ataque
del host(s) utilizado(s) para el comercio electrónico, y las SI NO
implicancias de seguridad de cualquier interconexión de
la red requerida para la implementación de los servicios
de comercio electrónico?

electrónico incluyen el nivel de confianza que cada parte SI NO
requiere de la identidad de la otra; por ejemplo, a través
de la autenticación?
electrónico incluyen los procesos de autorización SI NO
asociados con aquellos que pueden establecer precios,
emitir o firmar documentos de comercialización?

electrónico incluyen asegurar que los socios comerciales SI NO
estén totalmente informados de sus autorizaciones?

electrónico incluyen determinar y cumplir con los SI NO
requerimientos para la confidencialidad, integridad,
prueba de despacho y recepción de documentos claves,
y el no–repudio de los contratos; por ejemplo, asociado
con procesos de licitación y contratos?

electrónico incluyen el nivel de confianza requerido para SI NO
la integridad de las listas de precios publicitadas?
88
Aplica

electrónico incluyen la confidencialidad de cualquier data SI NO
o información confidencial?
electrónico incluyen la confidencialidad e integridad de SI NO
cualquier transacción, información de pago, detalles de la
dirección de entrega y la confirmación de la recepción?

electrónico incluyen el grado de verificación apropiado SI NO
para chequear la información de pago suministrada por
un cliente?
¿Se protege la integridad de la información puesta a
disposición en un sistema públicamente disponible para SI NO
evitar una modificación no–autorizada?
¿Se prueban los sistemas públicamente disponibles en

busca de debilidades y fallas antes que la información SI NO
esté disponible?
¿Existe un proceso de aprobación formal antes que la
información sea puesta a disposición pública? SI NO
¿Se verifica y aprueba todo el input provisto desde fuera

SI NO
del sistema?
¿Se controlan los sistemas de publicación electrónica,
especialmente aquellos que permiten retroalimentación y SI NO
el ingreso directo de información?
¿Los sistemas de publicación electrónica controlan que la

información se obtenga cumpliendo con la legislación de SI NO
protección de data?
¿Los sistemas de publicación electrónica controlan que el
input de información para el sistema de publicación será SI NO
procesado completa y exactamente de una manera
oportuna?
¿Los sistemas de publicación electrónica controlan que
se protegerá la información confidencial durante la SI NO
recolección, procesamiento y almacenaje?
¿Los sistemas de publicación electrónica controlan que el

acceso al sistema de publicación no permite el acceso SI NO
involuntario a las redes con las cuales se conecta el
sistema?
89
[A.14.1.3] - Protección de las transacciones de servicios de aplicaciones
COBERTURA CONTROL:
Aplica
¿Está protegida la información involucrada en las

transacciones en–línea para evitar una transmisión SI NO
incompleta, routing equivocado, alteración no–autorizada
del mensaje, divulgación no–autorizada, duplicación o
repetición no–autorizada del mensaje?
¿Las consideraciones de seguridad para las

transacciones en–línea debieran incluyen el uso de SI NO
firmas electrónicas por cada una de las partes
involucradas en la transacción?
transacciones en–línea debieran incluyen los aspectos de SI NO
la transacción?
transacciones en–línea debieran incluyen que el camino SI NO
de las comunicaciones entre las partes involucradas
debiera ser codificado?
transacciones en–línea debieran incluyen que los SI NO
protocolos utilizados para comunicarse entre todas las
partes involucradas sean seguros?
transacciones en–línea debieran incluyen asegurar que el SI NO
almacenaje de los detalle de la transacción se localice
fuera de cualquier ambiente público accesible?

transacciones en–línea debieran incluyen que cuando se SI NO
utilice una autoridad confiables (por ejemplo, para
propósitos de emitir y mantener firmas digitales y/o
certificados digitales) la seguridad es integrada e
introducida durante todo el proceso de gestión de
firma/certificado de principio a fin?
90
[A.14.2] - Seguridad en el desarrollo y en los procesos de soporte
[A.14.2.1] - Política de desarrollo seguro
COBERTURA CONTROL:
Aplica
¿Existen criterios de seguridad en el entorno de

SI NO
desarrollo?
¿Tiene en cuenta criterios de seguridad la metodología
SI NO
de desarrollo de software utilizada?
¿Existen guías de desarrollo seguro para cada lenguaje
SI NO
de programación utilizado?
¿Se definen requisitos de seguridad en la fase de diseño
SI NO
del producto software?
¿Existen puntos de verificación de seguridad
SI NO
incorporados a los hitos del proyecto?
¿Se trabaja con repositorios seguros? SI NO
¿Es seguro el sistema de control de versiones? SI NO
¿El equipo de desarrollo tiene el conocimiento necesario

SI NO
sobre seguridad de aplicaciones?
¿Tiene los desarrolladores capacidad para evitar,
SI NO
encontrar y reparar vulnerabilidades
¿Se utilizan técnicas de programación segura tanto para
los nuevos desarrollos, como en las situaciones de SI NO
reutilización de código, donde las normas aplicadas al
desarrollo pudieron no ser conocidas o no estaban en
consonancia con las mejores prácticas actuales?
¿Existe una normativa de programación segura, así como

las indicaciones correspondientes para su uso? SI NO
¿Existe formación periódica para los desarrolladores en

materia de programación segura? SI NO
91
Aplica
¿Se verifica durante las pruebas y la revisión de código

que se ha aplicado la normativa de programación SI NO
segura?
[A.14.2.2] - Procedimiento de control de cambios en sistemas
COBERTURA CONTROL:
Aplica
¿Existe un procedimiento formal de control de cambios

SI NO
para los aplicativos?
¿Se garantiza que la implementación se lleve a cabo
minimizando la discontinuidad de las actividades de la SI NO
empresa?
¿Se garantiza que la documentación del sistema será
actualizada cada vez que se completa un cambio y se SI NO
1archiva o elimina la d1ocumentación vieja?
¿S1e mantiene un control de versiones para todas las

SI NO
actualizaciones de software?
¿Se mantiene una pista de auditoría de todas las
SI NO
solicitudes de cambios?
¿Se garantiza que la documentación operativa y los
procedimientos de usuarios se modifiquen según las SI NO
necesidades de adecuación?
¿Se garantiza que la implementación de cambios tenga
lugar en el momento adecuado y no altere los procesos SI NO
comerciales involucrados?
¿Se encuentra separados los ambientes de test del de
SI NO
producción y desarrollo?
¿Los programadores de soporte tienen acceso a aquellas
partes del sistema necesarias para el desempeño de sus SI NO
tareas?
92
Aplica
¿Se obtiene un acuerdo y aprobación formal para

SI NO
cualquier cambio?
¿Se mantiene un registro de los niveles de autorización
SI NO
acordados?
¿Está garantizado que los cambios son propuestos por
SI NO
usuarios autorizados?
¿Se revisa los controles y los procedimientos de
integridad para garantizar que no serán comprometidos SI NO
por los cambios?
¿Se identifica y cataloga todo el software, la información,
las entidades de bases de datos y el hardware que SI NO
requieran correcciones?
¿Se obtiene aprobación formal para las propuestas
SI NO
detalladas antes de que comiencen las tareas?
¿Se garantiza que el usuario autorizado acepte los
cambios antes de cualquier implementación, y se deja SI NO
constancia escrita?
[A.14.2.3] - Revisión técnica de las aplicaciones tras efectuar cambios en el

sistema operativo
COBERTURA CONTROL:
Aplica
¿Se realiza una revisión de procedimientos de integridad

y control de aplicaciones para garantizar que estos no SI NO
hayan sido comprometidos por los cambios del sistema
operativo?
¿Se garantiza que el plan y presupuesto de soporte anual

contemple las revisiones y las pruebas del sistema que SI NO
deban realizarse como consecuencia del cambio en el
sistema operativo?
¿Se garantiza que se notifiquen los cambios del sistema
operativo de manera oportuna antes de la SI NO
implementación?
¿Se garantiza que se realicen los cambios apropiados en
los planes de continuidad de la empresa? SI NO
93
[A.14.2.4] - Restricciones a los cambios en los paquetes de software
COBERTURA CONTROL:
Aplica
¿Se realizan modificaciones en los paquetes de software

SI NO
utilizados por terceros?
¿Al realizarlas, se tiene en cuenta el riesgo de
compromiso de los procesos de integridad y controles SI NO
incorporados?
¿Se tiene en cuenta, si se debe obtener el
SI NO
consentimiento del proveedor?
¿Se ha analiza la posibilidad de obtener del proveedor
los cambios requeridos como actualizaciones estándar de SI NO
programas?
¿Se estudia el impacto que se produciría si la
organización se hace responsable del mantenimiento SI NO
futuro del software como resultado de los cambios?
¿Si se realizan cambios, se mantiene un control de los

SI NO
mismos?
¿Se documentan los cambios? SI NO
¿Se realizan pruebas para validar los cambios? SI NO
94
[A.14.2.5] - Principios de ingeniería de sistemas seguros
COBERTURA CONTROL:
Aplica
¿Se establecen y documentan procedimientos de

ingeniería de sistemas de información seguros SI NO
basándose en los principios de ingeniería de seguridad?
¿Se aplican procedimientos de ingeniería de sistemas de

información seguros a las actividades de ingeniería de SI NO
sistemas de información internos?
¿Se diseña la seguridad en todas las capas de la
arquitectura (de negocio, datos, aplicaciones y SI NO
tecnología)?
¿Se analizan los riesgos de seguridad de las nuevas
SI NO
tecnologías?
¿Se revisa el diseño de la arquitectura contra los
SI NO
patrones de ataque conocidos?
¿Se revisan periódicamente los principios y los
SI NO
procedimientos de ingeniería establecidos?
¿Se actualizan los principios y los procedimientos de
ingeniería establecidos en cuanto a la lucha contra las SI NO
nuevas amenazas potenciales y los avances en las
tecnologías y soluciones a las que se aplican?
95
[A.14.2.6] - Entorno de desarrollo seguro
COBERTURA CONTROL:
Aplica
¿Se evalúan los riesgos asociados con los proyectos de

SI NO
desarrollo?
¿Se tiene en cuenta la sensibilidad de los datos a ser
procesados, almacenados y transmitidos por el sistema? SI NO
¿Se tienen en cuenta los requisitos externos e internos

aplicables, por ejemplo, de reglamentos o políticas? SI NO
¿Se tienen en cuenta los controles de seguridad ya

implementados por la organización que apoyen el SI NO
desarrollo del sistema?
¿Se tiene en cuenta la honradez del personal que trabaja
SI NO
en el entorno?
¿Se tiene en cuenta el grado de contratación externa
SI NO
asociada con el desarrollo del sistema?
¿Existe segregación entre los diferentes entornos de
SI NO
desarrollo?
¿Existe control de accesos al entorno de desarrollo?
SI NO
¿Se realiza monitorización de los cambios en el entorno y

SI NO
el código almacenado en el mismo?
¿Se realiza almacenamiento seguro de las copias de
SI NO
respaldo fuera de las instalaciones?
¿Existe control del movimiento de datos desde y hacia el
SI NO
entorno de desarrollo?
96
[A.14.2.7] - Externalización del desarrollo de software
COBERTURA CONTROL:
Aplica
¿Existen acuerdos de licencia, propiedad de códigos y

derechos de propiedad intelectual para el desarrollo de SI NO
Sw con terceros?
¿Existen métricas que permitan certificar la calidad y
precisión del trabajo llevado a cabo por terceros respecto SI NO
al desarrollo de Sw?
¿Existen acuerdos de custodia de terceros en caso de
SI NO
quiebra de terceras partes?
¿Está permitido realizar una auditoría de calidad y
SI NO
precisión del trabajo realizado?
¿Están definidos los requerimientos contractuales con
SI NO
respecto a la calidad del código?
¿Están definidas y documentadas la realización de
pruebas previas a la instalación para detectar códigos SI NO
troyanos?
[A.14.2.8] - Pruebas funcionales de seguridad de sistemas
COBERTURA CONTROL:
97
Aplica
¿Se realizan pruebas y verificaciones exhaustivas en los

SI NO
procesos de desarrollo?
¿Se cuenta con un programa detallado de actividades y
SI NO
datos de prueba?
¿Se especifican los resultados esperados bajo las
SI NO
condiciones establecidas?
¿Se realizan las pruebas inicialmente por el equipo de
SI NO
desarrollo?
¿Se realizan pruebas de aceptación independientes
(tanto en los desarrollos internos como para los SI NO
desarrollos externalizados) para asegurar que el sistema
funciona como se esperaba y sólo como se esperaba?
¿La extensión de las pruebas es proporcional a la

SI NO
importancia y la naturaleza del sistema?
[A.14.2.9] - Pruebas de aceptación de sistemas.
COBERTURA CONTROL:
Aplica
¿Existen disposiciones relativas a la continuidad de los

SI NO
negocios?
¿Existen evidencias que la instalación del nuevo sistema
no afectará negativamente los sistemas existentes, SI NO
especialmente en los períodos pico de procesamiento,
como durante los últimos días del mes?
¿Existen evidencias de que se ha tenido en cuenta el

efecto que tiene el nuevo sistema en la seguridad 1global SI NO
de la organización?
¿Se han considerado el entrenamiento en el entorno de
SI NO
producción o uso de nuevos sistemas?
¿Se realizan pruebas para analizar el desempeño y
requerimientos de capacidad de las computadoras? SI NO
98
Aplica
¿Existen procedimientos para recuperación ante errores

y procedimientos de reinicio, y planes de contingencia? SI NO
¿Existen procedimiento para la preparación y prueba de

procedimientos operativos de rutina según estándares SI NO
definido?
¿Están definidos e implementados un conjunto de
SI NO
controles de seguridad?
[A.14.3] - Datos de prueba
[A.14.3.1] - Protección de los datos de prueba
COBERTURA CONTROL:
Aplica
¿Se evitar el uso de datos de pruebas procedentes de

bases de datos operativas que contengan información SI NO
personal?
¿Los datos que se pasan de producción a pruebas son
alterados para mantener la confidencialidad de los SI NO
mismos?
¿Los procedimientos de control de accesos, que se
aplican a los sistemas de aplicación en operación, se SI NO
aplican a los sistemas de aplicación de prueba?
¿Se lleva a cabo una autorización por separado cada vez
que se copia información operativa a un sistema de SI NO
aplicación de pruebas?
¿Se borra la información operativa de un sistema de
aplicación de prueba inmediatamente después de SI NO
completada la misma?
¿La copia y el uso de información operacional para datos
de prueba son registrados a fin de suministrar una pista SI NO
de auditoría?
99
100
[A.15] - Relación con proveedores
[A.15.1] - Seguridad en las relaciones con proveedores
[A.15.1.1] - Política de seguridad de la información en las relaciones con los

proveedores
COBERTURA CONTROL:
Aplica
¿Se han identificado los tipos de proveedores (servicios

de TI,, logística, financieros o de infraestructura de TI), a SI NO
los cuales la organización permitirá acceder a su
información?
¿Existen procedimientos para supervisar el cumplimiento
de los requisitos de seguridad de la información para SI NO
cada proveedor o tipo de proveedor?
[A.15.1.2] - Requisitos de seguridad en contratos con terceros
COBERTURA CONTROL:
Aplica
¿Están identificados y controlados los riesgos por el

SI NO
acceso de terceros?
101
Aplica
¿Existen procedimientos para determinar los pasos a

realizar con aquellos terceros que son ubicados dentro de SI NO
la empresa por un período de tiempo determinado?
¿Se especifica en el contrato con terceros, los

requerimientos de seguridad de los terceros que tienen SI NO
acceso a documentación clasificada como confidencial
por la empresa?
[A.15.1.3] - Cadena de suministro de tecnología de la información y de las

comunicaciones
COBERTURA CONTROL:
Aplica
¿Hay definidos requisitos de seguridad de información

para aplicar a la compra de productos o servicios de SI NO
tecnología?
¿Se requiere que los proveedores reproduzcan los
requisitos de seguridad de la organización a lo largo de SI NO
su cadena de suminstro?
[A.15.2] - Gestión de la provisión de servicios del proveedor
[A.15.2.1] - Control y revisión de la provisión de servicios del proveedor
COBERTURA CONTROL:
102
Aplica
¿Los servicios, reportes y registros provistos por terceros

son monitoreados y revisados regularmente? SI NO
¿Se resuelven los problemas identificados? SI NO
¿La responsabilidad de manejar la relación con terceros

está asignada a una persona o equipo de gestión de SI NO
servicios?
¿Los terceros han asignado la responsabilidad para el
chequeo del cumplimiento de los requerimientos de los SI NO
acuerdos?
¿Se han facilitado por parte de la organización las
capacidades y recursos técnicos para monitorear los SI NO
requerimientos del acuerdo, en particular si se cumplen
los requerimientos de seguridad de la información?
¿Se toman las acciones apropiadas cuando se observan

SI NO
deficiencias en la entrega del servicio?
¿La organización mantiene el control y la visibilidad
suficiente en todos los aspectos de seguridad con SI NO
relación a la información confidencial o crítica o los
medios de procesamiento de la información que la
tercera persona ingresa, procesa o maneja?
¿La organización mantiene la visibilidad en las

actividades de seguridad como la gestión del cambio, SI NO
identificación de vulnerabilidades y reporte/respuesta de
un incidente de seguridad a través de un proceso,
formato y estructura de reporte definidos?
¿Se establecen auditorías periódicas sobre los servicios,

reportes y registros provistos por terceros? SI NO
¿El monitoreo y revisión de los servicios de terceros

garantiza que se cumplan los términos y condiciones de SI NO
seguridad de los acuerdos?
¿El monitoreo y revisión de los servicios de terceros
garantiza que se manejen apropiadamente los incidentes SI NO
y problemas de seguridad de la información?
¿Se monitorean los niveles de desempeño del servicio

para chequear adherencia con los acuerdos? SI NO
¿Se revisan los reportes de servicio producidos por

SI NO
terceros?
¿Se realizan reuniones de avance regulares conforme lo
SI NO
requieran los acuerdos?
103
Aplica
¿Se proporciona información sobre incidentes de

seguridad de la información y la revisión de esta SI NO
información por terceros y la organización conforme lo
requieren los acuerdos y cualquier lineamiento y
procedimiento de soporte?
¿Se revisan los registros de auditoría de terceros y los
registros de eventos de seguridad, problemas SI NO
operacionales, fallas, el monitoreo de fallas e
interrupciones relacionadas con el servicio entregado?
[A.15.2.2] - Gestión de cambios en la provisión del servicio del proveedor
COBERTURA CONTROL:
Aplica
¿Se manejan los cambios en la provisión de servicios,

incluyendo el mantenimiento y mejoramiento de las SI NO
políticas, procedimientos y controles de seguridad de la
información existentes teniendo en cuenta el grado crítico
de los sistemas y procesos del negocio involucrados y la
re–evaluación de los riesgos?
¿Al manejar los cambios en el servicio de terceros se

toma en cuenta los cambios realizados por la SI NO
organización para implementar el aumento de los
servicios ofrecidos actualmente?
organización para implementar el desarrollo de cualquier
aplicación y sistema nuevo?
organización para implementar las modificaciones o
actualizaciones de las políticas y procedimientos de la
organización?
organización para implementar los controles nuevos para
solucionar incidentes de la seguridad de la información y
para mejorar la seguridad?
104
105
[A.16] - Gestión de incidentes de seguridad de la información
[A.16.1] - Gestión de incidentes de seguridad de la información y mejoras
[A.16.1.1] - Responsabilidades y procedimientos
COBERTURA CONTROL:
Aplica
¿Están establecidos las responsabilidades y los

procedimientos de la gerencia para asegurar una SI NO
respuesta rápida, efectiva y metódica ante los incidentes
de la seguridad de la información?
¿Los procedimientos aseguran que la integridad de los
sistemas y controles comerciales sea confirmada con una SI NO
demora mínima?
¿Se ha acordado con la gerencia los objetivos para la
gestión de incidentes en la seguridad de la información? SI NO
¿Los responsables de la gestión de incidentes en la

seguridad de la información entienden las prioridades de SI NO
la organización para el manejo de los incidentes en la
¿Se utiliza el monitoreo del sistema, alertas y
vulnerabilidades para detectar los incidentes en la SI NO
¿Se han establecido procedimientos para manejar los
diferentes tipos de incidentes en la seguridad de la SI NO
información, incluyendo: fallas del sistema de información
y pérdida del servicio; código malicioso; negación del
servicio; errores resultantes de data comercial incompleta
o inexacta; violaciones de la confidencialidad e
integridad; mal uso de los sistemas de información?
106
Aplica
¿Los procedimientos también cubren: el análisis e

identificación de la causa del incidente; contención; SI NO
planeación e implementación de la acción correctiva para
evitar la recurrencia; comunicaciones con aquellos
afectados por o involucrados con la recuperación de un
incidente; reportar la acción a la autoridad apropiada?
¿Se recolectan y aseguran rastros de auditoría y

SI NO
evidencia similar, conforme sea apropiado?
¿Se controlan formalmente las acciones para la
recuperación de las violaciones de la seguridad y para SI NO
corregir las fallas en el sistema?
¿Los procedimientos aseguran que sólo el personal
claramente identificado y autorizado tenga acceso a los SI NO
sistemas vivos y los datos?
¿Los procedimientos aseguran que se documenten en
detalle todas las acciones de emergencia realizadas? SI NO
¿Los procedimientos aseguran que la acción de

emergencia sea reportada a la gerencia y revisada de SI NO
una manera adecuada?
[A.16.1.2] - Notificación de los eventos de seguridad de la información.
COBERTURA CONTROL:
Aplica
¿Existe un procedimiento formal de comunicación, que

establece las acciones que han de emprenderse al recibir SI NO
un informe sobre incidentes?
¿Existe un procedimiento formal de respuesta a

incidentes, que establezca la acción que ha de SI NO
emprenderse al recibir un informe sobre incidentes?
107
[A.16.1.3] - Notificación de puntos débiles de la seguridad
COBERTURA CONTROL:
Aplica
¿Los empleados y contratistas están al corriente del

procedimiento de comunicación de incidentes de SI NO
seguridad?
¿Se utilizan los incidentes como herramientas para crear
SI NO
una adecuada concienciación en el personal?
¿Se comunica la resolución de la incidencia a la persona
SI NO
que la ha notificado?
¿Los usuarios de servicios de información advierten,
registran y comunican las debilidades o amenazas SI NO
supuestas u observadas en materia de seguridad, con
relación a los sistemas o servicios?
¿Se ha informado a los usuarios que ellos no deben, bajo
ninguna circunstancia, intentar probar una supuesta SI NO
debilidad, ya que puede ser interpretado como un
potencial mal uso del sistema?
[A.16.1.4] - Evaluación y decisión sobre los eventos de seguridad de

información.
COBERTURA CONTROL:
108
Aplica
¿Se evalúan los incidentes de seguridad? SI NO
¿Se clasifican y priorizan los incidentes de seguridad

conforme a una escala de clasificación y de prioridad? SI NO
[A.16.1.5] - Respuesta a incidentes de seguridad de la información
COBERTURA CONTROL:
Aplica
¿Se comunican los incidentes de seguridad para su

respuesta a un punto de contacto preestablecido de la SI NO
organización?
¿Tras un incidente de seguridad se recogen evidencias?
SI NO
¿Tras un incidente de seguridad se realiza un análisis

SI NO
forense de la información?
[A.16.1.6] - Aprendizaje de los incidentes de seguridad de la información.
COBERTURA CONTROL:
109
Aplica
¿Se utiliza esta información para identificar incidentes o

anomalías recurrentes o de alto impacto? SI NO
¿Existen mecanismos que permitan cuantificar y

monitorear los tipos, volúmenes y costos de los SI NO
incidentes y anomalías?
[A.16.1.7] - Recopilación de evidencias
COBERTURA CONTROL:
Aplica
¿Las evidencias recogidas con el objetivo de respaldar

una acción contra una persona u organización, están SI NO
descritas en los procedimientos internos?
¿En el caso de que la acción a emprender implique la

aplicación de ley, son recogidas las evidencias teniendo SI NO
en cuenta estas?
¿Se tiene en cuenta la validez de la evidencia: si puede o
SI NO
no utilizarse en el tribunal?
¿Se tiene en cuenta el peso de la evidencia: la calidad y
SI NO
totalidad de la misma?
¿Existe adecuada evidencia de que los controles han
funcionado en forma correcta y consistente (por ej. SI NO
evidencia de control de procesos) durante todo el período
en que la evidencia a recuperar fue almacenada y
procesada por el sistema?
¿Los sistemas de información cumplen con los
estándares o códigos de práctica relativos a la SI NO
producción de evidencia válida?
Para documentos en papel: ¿El original se almacena en
SI NO
forma segura?
Para documentos en papel: ¿Se mantienen registros
SI NO
acerca de quién lo genero?
SI NO
acerca de dónde se genero?
110
Aplica

SI NO
acerca de cuándo se genero?
Para documentos en papel: ¿Se mantienen registros de
SI NO
quién presenció el hallazgo?
Para información en medios informáticos: ¿Se hacen
copias de los medios removibles y de la información en SI NO
discos rígidos o en memoria para garantizar su
disponibilidad?
Para información en medios informáticos: ¿Se mantiene
un registro de todas las acciones realizadas durante el SI NO
proceso de copia?
Para información en medios informáticos: ¿Se almacena
en forma segura una copia de los medios y del registro? SI NO
¿Cuándo se realiza una acción de este tipo, se involucra

SI NO
a la policía, o a personal experto?
111
112
[A.17] - Aspectos de seguridad de la información para la gestión de la continuidad del

negocio
[A.17.1] - Continuidad de la seguridad de la información
[A.17.1.1] - Planificación de la continuidad de la seguridad de la información.
COBERTURA CONTROL:
Aplica
¿Se han identificado los eventos que pueden ocasionar

interrupciones en los procesos de negocios, por ej. Fallas SI NO
en el equipamiento, inundación e incendio?
¿Se han evaluado los riesgos para determinar el impacto

de dichas interrupciones (tanto en términos de magnitud SI NO
de daño como del período de recuperación)?
¿Han participado en la definición de los puntos

anteriores, los propietarios de los procesos y recursos de SI NO
negocio?
¿Se ha desarrollado un plan estratégico para determinar
el enfoque global con el que se abordará la continuidad SI NO
de los negocios?
¿El plan de continuidad del negocio, ha sido aprobado
SI NO
por la gerencia?
[A.17.1.2] - Implementar la continuidad de la seguridad de la información.
COBERTURA CONTROL:
113
Aplica
¿Esta implementado un proceso controlado para el

desarrollo y mantenimiento de la continuidad de los SI NO
negocios en toda la organización?
¿El proceso incluye la comprensión de los riesgos que
enfrenta la organización en términos de probabilidad de SI NO
ocurrencia e impacto, incluyendo la identificación y
priorización de los procesos críticos de los negocios?
¿El proceso incluye la comprensión del impacto que una

SI NO
interrupción puede tener en los negocios?
¿El proceso incluye la definición de los objetivos
comerciales de las herramientas de procesamiento de SI NO
información?
¿El plan considera la contratación de seguros que
podrían formar parte del proceso de continuidad del SI NO
negocio?
¿El plan incluye la elaboración y documentación de una
estrategia de continuidad de los negocios consecuente SI NO
con los objetivos y prioridades de los negocios
acordados?
¿El plan incluye elaboración y documentación de planes
de continuidad del negocio de conformidad con la SI NO
estrategia de continuidad acordada?
¿El plan incluye pruebas y actualización periódicas de los
SI NO
planes y procesos implementados?
¿La responsabilidad por la coordinación del proceso de
administración de la continuidad esta asignada a un nivel SI NO
jerárquico adecuado dentro de la organización, por Ej: al
comité de seguridad de la información?
¿Existen planes para mantener o restablecer las

operaciones de los negocios en los plazos requeridos SI NO
una vez ocurrida una interrupción en los procesos críticos
de los negocios?
¿Se ha obtenido una identificación y acuerdo con
respecto a todas las responsabilidades y procedimientos SI NO
de emergencia?
¿Se han implementación procedimientos de emergencia
para permitir la recuperación y restablecimiento en los SI NO
plazos requeridos?
¿Se han evaluado a la hora de desarrollar el plan, las
dependencias de negocios externos y a los contratos SI NO
vigentes?
¿Se ha incluido la documentación de los procedimientos
SI NO
y procesos acordados?
¿Contiene las instrucciones adecuadas del personal en
materia de procedimientos y procesos de emergencia SI NO
acordados, incluyendo el manejo de crisis?
114
Aplica
¿Se realizan pruebas y actualización de los planes? SI NO
¿En el plan de continuidad se han considerado los

servicios y recursos que permitirán la continuidad del SI NO
negocio en un plazo aceptable?
¿En el plan de continuidad se han considerado los
acuerdos para reanudación de emergencia (“fallback”) en SI NO
sitios alternativos de procesamiento de la información?
¿Se especifican claramente las condiciones de puesta en

SI NO
marcha del plan de continuidad?
¿Se especifican las personas responsables de ejecutar
SI NO
cada componente del plan?
¿Cuándo se identifican nuevos requerimientos, se
modifican los procedimientos de emergencia SI NO
establecidos, por ej.: los planes de evacuación o los
recursos de emergencia (“fallback”) existentes?
¿Se tienen en cuenta las condiciones de implementación

de los planes que describan el proceso a seguir (cómo SI NO
evaluar la situación, qué personas estarán involucradas,
etc.) antes de poner en marcha los mismos?
¿Se tienen definidos procedimientos de emergencia que

describan las acciones a emprender una vez ocurrido un SI NO
incidente que ponga en peligro las operaciones de la
empresa y/o la vida humana?
¿En los procedimientos de emergencia, se incluyen

disposiciones con respecto a la gestión de las relaciones SI NO
públicas y a vínculos eficaces a establecer con las
autoridades públicas pertinentes, por ej. Policía,
bomberos y autoridades locales?
¿El plan incluye procedimientos de emergencia

(“fallback”) que describan las acciones a emprender para SI NO
el traslado de actividades esenciales de la empresa o de
servicios de soporte a ubicaciones transitorias
alternativas, y para el restablecimiento de los procesos
de negocio en los plazos requeridos?
¿El plan incluye procedimientos de recuperación que

describan las acciones a emprender para restablecer las SI NO
operaciones normales de la empresa?
¿El plan incluye un cronograma de mantenimiento que

especifique cómo y cuándo será probado el plan, y el SI NO
proceso para el mantenimiento del mismo?
115
Aplica
¿El plan incluye actividades de concienciación e

instrucción que estén diseñadas para propiciar la SI NO
comprensión de los procesos de continuidad del negocio
y garantizar que los procesos sigan siendo eficaces?
¿El plan incluye las responsabilidades de las personas,

describiendo los responsables de la ejecución de cada SI NO
uno de los componentes del plan?
¿El plan de continuidad tiene asignado propietario?

SI NO
¿Los procedimientos de emergencia, los planes de

reanudación (“fallback”) y los planes de recuperación se SI NO
cuentan entre las responsabilidades de los propietarios
de los recursos o procesos de negocio pertinentes?
¿Las disposiciones de emergencia para servicios

técnicos alternativos (instalaciones de comunicaciones o SI NO
de procesamiento de información), están definidas entre
las responsabilidades de los proveedores de servicios?
[A.17.1.3] - Verificación, revisión y evaluación de la continuidad de la

seguridad de la información.
COBERTURA CONTROL:
Aplica
¿Se realizan pruebas periódicas de los planes de

continuidad para garantizar que están actualizados y son SI NO
eficaces?
¿Se verifica en la realización de dichas pruebas que el
equipo de recuperación y demás personal relevante SI NO
estén al corriente de los planes?
¿Existen cronogramas de pruebas para los planes de
continuidad del negocio que indiquen cómo y cuándo SI NO
debe probarse cada elemento del plan?
116
Aplica
¿Se realizan pruebas de discusión de diversos

escenarios (discutiendo medidas para la recuperación del SI NO
negocio utilizando ejemplo de interrupciones)?
¿Se realizan simulaciones (especialmente para entrenar

al personal en el desempeño de sus roles de gestión SI NO
posterior a incidentes o crisis)?
¿Se realizan pruebas de recuperación técnica
(garantizando que los sistemas de información puedan SI NO
ser restablecidos con eficacia)?
¿Se realizan pruebas de recuperación en un sitio
alternativo (ejecutando procesos de negocio en paralelo, SI NO
con operaciones de recuperación fuera del sitio
principal)?
¿Se realizan pruebas de instalaciones y servicios de
proveedores (garantizando que los productos y servicios SI NO
de proveedores externos cumplan con el compromiso
contraído)?
¿Se realizan ensayos completos (probando que la
organización, el personal, el equipamiento, las SI NO
instalaciones y los procesos pueden afrontar las
interrupciones)?
¿El plan de continuidad de negocio tiene definido una
revisión y actualización periódica que garantice su SI NO
eficacia permanente?
¿Están asignadas las responsabilidades para las
revisiones periódicas de cada uno de los planes de SI NO
continuidad del negocio?
¿Existe un proceso formal de control de cambios que
imponga el cumplimiento de los mismos mediante SI NO
revisiones periódicas de todos los planes?
¿Se actualizan los planes cuando se va a realizar

SI NO
adquisición de nuevo equipamiento?
¿Se actualizan los planes cuando se va a realizar la
actualización (“upgrading”) de los sistemas SI NO
operacionales?
¿Se actualizan los planes cuando se van a realizar
SI NO
cambios de direcciones o números telefónicos?
SI NO
cambios en la estrategia de los negocios?
SI NO
cambios en la ubicación, instalaciones y recursos?
¿Se actualizan los planes cuando se realizan cambios en
SI NO
la legislación?
¿Se actualizan los planes cuando se realizan cambios de
contratistas, proveedores y clientes clave? SI NO
117
Aplica
¿Se actualizan los planes cuando se realizan cambios en

los procesos, o procesos nuevos/eliminados? SI NO
¿Se actualizan los planes cuando se realizan cambios

que afecten a los riesgos (operacionales y financieros)? SI NO
[A.17.2] - Redundancias
[A.17.2.1] - Disponibilidad de los recursos de tratamiento de la información.
COBERTURA CONTROL:
Aplica
¿Se han identificado los requisitos de disponibilidad para

SI NO
los sistemas de información?
¿Existen componentes o arquitecturas redundantes para
sistemas con requsiitos altos de disponibilidad? SI NO
118
119
[A.18] - Cumplimiento
[A.18.1] - Cumplimiento de los requisitos legales y contractuales
[A.18.1.1] - Identificación de la legislación aplicable y de los requisitos

contractuales.
COBERTURA CONTROL:
Aplica
¿Están definidos y documentados todos los requisitos

legales, normativos y contractuales pertinentes para cada SI NO
sistema de información?
¿Están definidos y documentados los controles
específicos y las responsabilidades individuales para SI NO
cumplir con dichos requisitos?
[A.18.1.2] - Derechos de propiedad intelectual (DPI)
COBERTURA CONTROL:
Aplica
¿Existe un mantenimiento de pruebas y evidencias de

propiedad de licencias, discos maestros, manuales, etc.? SI NO
¿Existe una implementación de controles para garantizar

que no se exceda el número máximo permitido de SI NO
usuarios?
120
Aplica
¿Existen comprobaciones para verificar que sólo se

instalan productos con licencia y software autorizado? SI NO
¿Existen una política para el mantenimiento de

condiciones adecuadas con respecto a las licencias? SI NO
¿Existe una política con respecto a la eliminación o

SI NO
transferencia de software a terceros?
¿Se utilizan herramientas de auditoría adecuadas? SI NO
¿Se cumplen los términos y condiciones con respecto a

la obtención de software e información en redes SI NO
públicas?
¿Existen procedimientos que permitan garantizar el
cumplimiento de las restricciones legales al uso del SI NO
material respecto del cual puedan existir derechos de
propiedad intelectual, derechos de diseño o marcas
registradas?
¿Los requisitos legales, normativos y contractuales
imponen restricciones a la copia de material que SI NO
constituya propiedad de una empresa?
¿Existe publicación de una política de cumplimiento del
derecho de propiedad intelectual de Sw que defina el uso SI NO
legal de productos de información y de Sw?
¿Se utiliza emisión de estándares para los

procedimientos de adquisición de productos de software? SI NO
¿Existe una política de mantenimiento de la

concienciación respecto de las políticas de adquisición y SI NO
derecho de propiedad intelectual de software?
¿Existe una notificación de la determinación de tomar

acciones disciplinarias contra el personal que incurra en SI NO
el incumplimiento de las mismas?
¿Existe un mantenimiento adecuados de registros de
SI NO
activos?
121
[A.18.1.3] - Protección de los registros de la organización.
COBERTURA CONTROL:
Aplica
¿Existe un cronograma de retención identificando los

tipos esenciales de registros y el período durante el cual SI NO
deben ser retenidos?
¿Están los registros importantes de la organización
protegidos contra pérdida, destrucción y falsificación? SI NO
¿Los registros que por motivos legales o normativos,

deban conservarse se encuentran protegidos? SI NO
¿Se encuentran los registros clasificados en diferentes

tipos, por ej. Registros contables, registros de base de SI NO
datos, “logs” de transacciones, “logs” de auditoría y
procedimientos operativos?
¿Se detalla el periodo de retención y el tipo de medios de

almacenamiento, por ej. Papel, microfichas, medios SI NO
magnéticos u ópticos?
¿Están almacenadas de forma segura, las claves
criptográficas asociadas con archivos cifrados o firmas SI NO
digitales?
¿Están disponibles las claves criptográficas asociadas
con archivos cifrados o firmas digitales para su uso por SI NO
parte de personas autorizadas?
¿Se han analizado la degradación de los medios
utilizados para el almacenamiento de los registros? SI NO
¿Se han analizado, los procedimientos de

almacenamiento y manipulación que deben SI NO
implementarse de acuerdo con las recomendaciones del
fabricante?
122
Aplica
¿En el caso de los medios de almacenamiento

electrónicos, se han incluido procedimientos para SI NO
garantizar la capacidad de acceso a los datos (tanto
legibilidad de formato como medios) durante todo el
período de retención, a fin de salvaguardar los mismos
contra eventuales pérdidas ocasionadas por futuros
cambios tecnológicos?
¿Los sistemas de almacenamiento de datos están

implementados de modo tal que los datos requeridos SI NO
puedan recuperarse de una manera que resulte
aceptable para un tribunal de justicia, por ej. Que todos
los registros requeridos puedan recuperarse en un plazo
y un formato aceptable?
¿El sistema de almacenamiento y manipulación garantiza
una clara identificación de los registros y de su período SI NO
de retención legal o normativa?
¿Existen mecanismo que permitan una adecuada
destrucción de los registros una vez transcurrido el SI NO
período de validez?
¿Existen procedimiento para la retención,
almacenamiento, manipulación y eliminación de registros SI NO
e información?
¿Existe un inventario de fuentes de información clave?
SI NO
¿Están implementados controles adecuados para

proteger los registros y la información esenciales contra SI NO
pérdida, destrucción y falsificación?
[A.18.1.4] - Protección y privacidad de la información de carácter personal.
COBERTURA CONTROL:
Aplica
¿Se realiza el tratamiento adecuado de los datos

SI NO
personales, según marca la legislación vigente?
123
Aplica
¿Están designados los responsables a cargo de la

protección de datos que oriente a los gerentes, usuarios y SI NO
prestadores de servicios acerca de sus responsabilidades
individuales y de los procedimientos específicos que
deben seguirse?
¿Están designados los propietarios de los datos? SI NO
[A.18.1.5] - Regulación de los controles criptográficos.
COBERTURA CONTROL:
Aplica
¿Está controlada la importación y/o exportación de

hardware y software para desempeñar funciones SI NO
criptográficas?
¿Está controlada la importación y/o exportación de
hardware y software diseñado para aceptar funciones SI NO
criptográficas?
¿Están definidos métodos obligatorios o discrecionales
de acceso de los países a la información cifrada por SI NO
hardware y software para proveer de confidencialidad al
contenido?
[A.18.2] - Revisiones de la seguridad de la información
124
[A.18.2.1] - Revisión independiente de la seguridad de la información.
COBERTURA CONTROL:
Aplica
¿El documento que fija la política de seguridad de la

información, establece la política y las responsabilidades SI NO
para la seguridad de la información de forma clara y
precisa, y ha sido revisado de forma independiente?
[A.18.2.2] - Cumplimiento de las políticas y normas de seguridad.
COBERTURA CONTROL:
Aplica
¿Se realiza una revisión periódica de los sistemas de

SI NO
información?
¿Se realiza una revisión periódica de los proveedores de
SI NO
sistemas?
¿Se realiza una revisión periódica de los propietarios de
información y de recursos de información? SI NO
¿Se realiza una revisión periódica de cumplimiento de

SI NO
política de seguridad por parte de los usuarios?
¿Se realiza una revisión periódica de cumplimiento de
SI NO
política de seguridad por parte de los gerentes?
125
[A.18.2.3] - Comprobación del cumplimiento técnico.
COBERTURA CONTROL:
Aplica
¿Se realiza una verificación periódica de controles Sw y

Hw, para determinar su correcta implementación SI NO
(verificación de cumplimiento)?
¿Se realizan pruebas de penetración para la verificación
SI NO
de compatibilidad técnica?
126
127

EMarismaArCHK TechSoluciones AU RH 20231128

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

EMarismaArCHK TechSoluciones AU RH 20231128

Cargado por

Copyright:

Formatos disponibles

INFORME ANÁLISIS PREVIO

VERSIÓN EXCLUSIVA PARA USO ACADÉMICO

Fecha 27/11/23 6:16

Patrón: SNT_08_001 - Patrón General 2013

Responsable: Alejandro Torres

Descripción: El objetivo principal del este proyecto es la

[A.5] - Políticas de Seguridad de la información

[A.5.1] - Directrices de gestión de la seguridad de la información

[A.5.1.1] - Políticas para la seguridad de la información

¿Existe apoyo de la dirección al plan de seguridad? SI SI

¿Se comunica la política de seguridad a los nuevos

[A.5.1.2] - Revisión de la política de seguridad de la información

¿La política de seguridad de la información es revisada a

¿Los datos de entrada (input) de la revisión gerencial

¿Los datos de entrada (input) de la revisión gerencial

¿Los datos de salida (output) de la revisión gerencial

¿Se mantiene un registro de la revisión gerencial? SI SI

¿Se obtiene la aprobación de la gerencia para la política

¿La revisión de la política de seguridad de la información

¿Existe un procedimiento de revisión gerencial? SI SI

¿El procedimiento de revisión gerencial incluye

¿Los datos de entrada (input) de la revisión gerencial

[A.6] - Organización de la seguridad de la información

[A.6.1] - Organización interna

[A.6.1.1] - Roles y responsabilidades en seguridad de la información

¿Las responsabilidades de la seguridad de la información

¿Existe un documento que especifique las funciones y

[A.6.1.2] - Segregación de tareas

¿Están correctamente separadas las actividades que

[A.6.1.3] - Contacto con las autoridades

¿Se tiene un procedimiento que indique cuándo y cuáles

[A.6.1.4] - Contacto con grupos de interés especial

¿Se mantienen contactos apropiados con grupos de

[A.6.1.5] - Seguridad de la información en la gestión de proyectos

¿Los objetivos de seguridad de la información estén

¿La seguridad de la información es parte de todas las

¿Se revisan periódicamente las implicaciones de

¿Las responsabilidades de seguridad de la información

[A.6.2] - Los dispositivos móviles y el teletrabajo

[A.6.2.1] - Política de dispositivos móviles

¿Existe una política y medidas de seguridad apropiadas

¿Los medios están respaldados contra el robo o pérdida

¿Los medios de computación móvil también están

¿El equipo que contiene información comercial

¿Cuando se utiliza medios de computación y

¿La política de computación móvil toma en cuenta los

¿Existen procedimientos contra los software maliciosos y

¿Se ha considerado la seguridad física existente en el

¿Se ha analizado el ambiente de trabajo remoto

¿Se ha considerado la amenaza de acceso no autorizado

¿Los controles comprenden la provisión de mobiliario

¿Los controles contemplan el horario de trabajo? NO NO

¿Los controles contemplan la clasificación de la

¿Los controles contemplan la seguridad física? NO NO

¿Los controles contemplan las reglas y orientación para

¿Los controles contemplan los procedimientos de copia

¿Los controles contemplan la auditoría y monitoreo de la

¿Antes de autorizar actividades de trabajo remoto se

[A.7] - Seguridad ligada a los recursos humanos

[A.7.1] - Antes del empleo

[A.7.1.1] - Investigación de antecedentes

2) ¿Existen controles de verificación del personal a la

¿Se estipula en los contratos con terceros, cuando estos