Capítulo 3: Auditoria de Aplicaciones

1. Inventario de Software existente

 ¿Existe un registro actualizado y completo de todo el software utilizado en la
empresa?
 ¿Se documentan las versiones de software instaladas en cada sistema?
 ¿Se mantiene un inventario centralizado que incluya detalles como proveedores,
fechas de adquisición, y usuarios asignados?
 ¿Se realizan actualizaciones periódicas del inventario de software para reflejar
cambios en las licencias, ya sean actualizaciones, instalaciones o desinstalaciones?
 ¿El inventario incluye software instalado en servidores, estaciones de trabajo y
dispositivos móviles?

2. Verificación de existencia de licenciamiento

 ¿Se cuenta con copias de licencias para todo el software utilizado por la empresa?
 ¿Se tienen políticas y procedimientos para gestionar y renovar licencias de software
antes de que expiren?
 ¿Se han identificado y documentado todas las excepciones de licencias, como
licencias temporales o de prueba?
 ¿Se lleva a cabo un seguimiento de las restricciones de uso de software, incluyendo
restricciones geográficas o de número de usuarios?
 ¿Se realiza una verificación periódica para asegurar que todas las aplicaciones
utilizadas cuentan con licencias válidas?
 ¿Se dispone de un proceso para mantener un registro actualizado de las licencias de
software, incluyendo las fechas de vencimiento y renovación?
 ¿Se verifica que la cantidad de licencias adquiridas coincida con el número de
instalaciones realizadas?

3. Auditoria de un sistema de la empresa

 ¿Cuentan con un Sistema informático?

 ¿Se ha realizado una revisión detallada de la seguridad y funcionamiento de dicho
sistema?
 ¿Existen registros detallados de accesos y actividades en el sistema seleccionado?
 ¿Se han identificado posibles vulnerabilidades o debilidades en el sistema?
 ¿Las políticas de seguridad de la información y ciberseguridad son aplicadas de manera
efectiva en este sistema?
 ¿El sistema seleccionado cumple con los estándares de seguridad establecidos por la
empresa?
 Capítulo 4: Ciberseguridad.
1. Medidas de seguridad que utiliza la empresa para proteger sus sistemas y datos de
ataques cibernéticos.

 ¿La empresa cuenta con políticas claras y actualizadas de seguridad de la información y

ciberseguridad que aborden aspectos como contraseñas seguras, acceso a datos
confidenciales, protección contra malware y phishing, entre otros?
 ¿Se realizan evaluaciones periódicas de riesgos de ciberseguridad para identificar
posibles vulnerabilidades en los sistemas y tomar medidas preventivas
correspondientes?
 ¿Existe un plan de respuesta a incidentes de ciberseguridad que establezca
procedimientos claros para detectar, investigar y mitigar ataques cibernéticos en caso de
que ocurran?
 ¿Se realizan pruebas de penetración y simulacros de incidentes de ciberseguridad para
evaluar la efectividad de las medidas de seguridad implementadas y la capacidad de
respuesta del personal ante posibles amenazas?
 ¿La empresa realiza auditorías internas y externas de ciberseguridad de manera
periódica para garantizar el cumplimiento de las políticas y estándares establecidos, así
como para identificar áreas de mejora
 ¿Se implementan controles de acceso adecuados para restringir el acceso a sistemas y
datos confidenciales solo a personal autorizado y se monitorea de manera continua el
acceso no autorizado?
 ¿La empresa cuenta con mecanismos de cifrado de datos para proteger la
confidencialidad e integridad de la información sensible tanto en reposo como en
tránsito?

2. Verificar si existe capacitación del personal y su nivel de conocimiento sobre

temas de ciberseguridad.

3. Modelado de amenazas.

 Realiza un modelado de amenazas para identificar posibles escenarios de riesgo?

 ¿Se han implementado medidas preventivas basadas en los resultados del modelado de
amenazas?
 ¿Existe un proceso para revisar y actualizar el modelado de amenazas conforme
evolucionan las amenazas cibernéticas?
 ¿Se utiliza el modelado de amenazas como base para ajustar las estrategias de seguridad
de la empresa?