¿Existe un registro actualizado y completo de todo el software utilizado en la empresa? ¿Se documentan las versiones de software instaladas en cada sistema? ¿Se mantiene un inventario centralizado que incluya detalles como proveedores, fechas de adquisición, y usuarios asignados? ¿Se realizan actualizaciones periódicas del inventario de software para reflejar cambios en las licencias, ya sean actualizaciones, instalaciones o desinstalaciones? ¿El inventario incluye software instalado en servidores, estaciones de trabajo y dispositivos móviles?
2. Verificación de existencia de licenciamiento
¿Se cuenta con copias de licencias para todo el software utilizado por la empresa? ¿Se tienen políticas y procedimientos para gestionar y renovar licencias de software antes de que expiren? ¿Se han identificado y documentado todas las excepciones de licencias, como licencias temporales o de prueba? ¿Se lleva a cabo un seguimiento de las restricciones de uso de software, incluyendo restricciones geográficas o de número de usuarios? ¿Se realiza una verificación periódica para asegurar que todas las aplicaciones utilizadas cuentan con licencias válidas? ¿Se dispone de un proceso para mantener un registro actualizado de las licencias de software, incluyendo las fechas de vencimiento y renovación? ¿Se verifica que la cantidad de licencias adquiridas coincida con el número de instalaciones realizadas?
3. Auditoria de un sistema de la empresa
¿Cuentan con un Sistema informático?
¿Se ha realizado una revisión detallada de la seguridad y funcionamiento de dicho sistema? ¿Existen registros detallados de accesos y actividades en el sistema seleccionado? ¿Se han identificado posibles vulnerabilidades o debilidades en el sistema? ¿Las políticas de seguridad de la información y ciberseguridad son aplicadas de manera efectiva en este sistema? ¿El sistema seleccionado cumple con los estándares de seguridad establecidos por la empresa? Capítulo 4: Ciberseguridad. 1. Medidas de seguridad que utiliza la empresa para proteger sus sistemas y datos de ataques cibernéticos.
¿La empresa cuenta con políticas claras y actualizadas de seguridad de la información y
ciberseguridad que aborden aspectos como contraseñas seguras, acceso a datos confidenciales, protección contra malware y phishing, entre otros? ¿Se realizan evaluaciones periódicas de riesgos de ciberseguridad para identificar posibles vulnerabilidades en los sistemas y tomar medidas preventivas correspondientes? ¿Existe un plan de respuesta a incidentes de ciberseguridad que establezca procedimientos claros para detectar, investigar y mitigar ataques cibernéticos en caso de que ocurran? ¿Se realizan pruebas de penetración y simulacros de incidentes de ciberseguridad para evaluar la efectividad de las medidas de seguridad implementadas y la capacidad de respuesta del personal ante posibles amenazas? ¿La empresa realiza auditorías internas y externas de ciberseguridad de manera periódica para garantizar el cumplimiento de las políticas y estándares establecidos, así como para identificar áreas de mejora ¿Se implementan controles de acceso adecuados para restringir el acceso a sistemas y datos confidenciales solo a personal autorizado y se monitorea de manera continua el acceso no autorizado? ¿La empresa cuenta con mecanismos de cifrado de datos para proteger la confidencialidad e integridad de la información sensible tanto en reposo como en tránsito?
2. Verificar si existe capacitación del personal y su nivel de conocimiento sobre
temas de ciberseguridad.
3. Modelado de amenazas.
Realiza un modelado de amenazas para identificar posibles escenarios de riesgo?
¿Se han implementado medidas preventivas basadas en los resultados del modelado de amenazas? ¿Existe un proceso para revisar y actualizar el modelado de amenazas conforme evolucionan las amenazas cibernéticas? ¿Se utiliza el modelado de amenazas como base para ajustar las estrategias de seguridad de la empresa?