APLICACIÓN

1. Utilizar controles técnicos para garantizar que solo se permitan cargar en un proceso del
sistema bibliotecas de software autorizadas, como archivos específicos .dll, .ocx, .so, etc.
Bloquear la carga de bibliotecas no autorizadas en un proceso del sistema. Reevaluar
semestralmente, o con mayor frecuencia.
2. Aplicar principios de diseño seguro en arquitecturas de aplicaciones. Estos principios
incluyen el concepto de privilegio mínimo y la imposición de mediación para validar cada
operación que realiza el usuario, promoviendo el concepto de "nunca confiar en la entrada
del usuario".
3. Aplicar herramientas de análisis estático y dinámico dentro del ciclo de vida de la
aplicación para verificar que se sigan prácticas de codificación segura.
4. Realizar pruebas de penetración de aplicaciones. Para aplicaciones críticas, las pruebas de
penetración autenticadas son más adecuadas para encontrar vulnerabilidades lógicas del
negocio que el escaneo de código y las pruebas automatizadas de seguridad.
5. Realizar modelado de amenazas. El modelado de amenazas es el proceso de identificar y
abordar fallas de diseño de seguridad de la aplicación antes de crear el código. Se lleva a
cabo a través de individuos especialmente capacitados que evalúan el diseño de la
aplicación.
6. Asegurarse de que solo se permitan ejecutar en la empresa navegadores y clientes de
correo electrónico completamente compatibles, utilizando solo la última versión de
navegadores y clientes de correo electrónico proporcionados por el proveedor.
7. Asegurarse de que todo el personal de desarrollo de software reciba capacitación en la
redacción de código seguro para su entorno y responsabilidades de desarrollo específicos.
La formación puede incluir principios generales de seguridad y prácticas estándar de
seguridad de aplicaciones.
8. Asegurarse de que solo se designe como autorizado en el inventario de software para los
activos de la empresa aquel software actualmente compatible. Si el software no cuenta
con soporte, pero es necesario para el cumplimiento de la misión de la empresa,
documentar una excepción detallando las medidas de mitigación.
9. Asegurarse de que el software no autorizado sea eliminado del uso en los activos de la
empresa o reciba una excepción documentada. Revisar mensualmente, o con mayor
frecuencia.
10. Establecer y mantener un inventario detallado de todo el software con licencia instalado
en los activos de la empresa. El inventario debe documentar el título, el editor, la fecha de
instalación/inicio y el propósito comercial para cada entrada.
11. Establecer y mantener un proceso documentado de gestión de vulnerabilidades para los
activos de la empresa. Revisar y actualizar la documentación anualmente, o cuando
ocurran cambios significativos en la empresa que puedan afectar esta Salvaguarda.
12. Establecer y mantener un proceso para aceptar y abordar informes de vulnerabilidades de
software, incluido proporcionar un medio para que entidades externas informen. El
proceso debe incluir elementos tales como: una política de manejo de vulnerabilidades
que identifique los informes.
13. Establecer y mantener una estrategia de remediación basada en riesgos documentada en
un proceso de remediación, con revisiones mensuales o más frecuentes.
14. Establecer y mantener un proceso de desarrollo de aplicaciones seguro. En el proceso,
abordar aspectos como: estándares de diseño seguro de aplicaciones, prácticas de
codificación segura, formación de desarrolladores, gestión de vulnerabilidades, seguridad
del código de terceros.
15. Establecer y mantener un proceso de configuración segura para los activos de la empresa
(dispositivos de usuarios finales, incluyendo dispositivos portátiles y móviles, dispositivos
no informáticos/IoT, y servidores) y software (sistemas operativos y aplicaciones). Revisar y
actualizar la documentación anual.
16. Establecer y mantener un sistema de clasificación y proceso para las vulnerabilidades de
aplicaciones que facilite la priorización del orden en que se solucionan las vulnerabilidades
descubiertas. Este proceso incluye establecer un nivel mínimo de aceptabilidad de
seguridad.
17. Establezca y administre un inventario actualizado de los componentes de terceros
utilizados en el desarrollo, a menudo denominado "lista de materiales", así como los
componentes programados para uso futuro. Este inventario debe incluir los riesgos que
pueda tener cada componente de terceros.
18. Utilizar los módulos o servicios examinados para los componentes de seguridad de las
aplicaciones, como la gestión de identidades, el cifrado y la auditoría y el registro. El uso de
funciones de la plataforma en funciones de seguridad críticas reducirá la carga de trabajo
de los desarrolladores y minimizará la probabilidad.
19. Mantener entornos separados para sistemas de producción y no producción.
20. Realizar actualizaciones de aplicaciones en los activos de la empresa a través de la gestión
automatizada de parches mensualmente, o con mayor frecuencia.
21. Realizar escaneos automáticos de vulnerabilidades de activos de la empresa expuestos
externamente utilizando una herramienta de escaneo de vulnerabilidades compatible con
SCAP. Realizar escaneos mensualmente, o con mayor frecuencia.
22. Realizar escaneos automáticos de vulnerabilidades de activos internos de la empresa
trimestralmente, o con mayor frecuencia. Realizar escaneos autenticados y no
autenticados, utilizando una herramienta de escaneo de vulnerabilidades compatible con
SCAP.
23. Realizar actualizaciones del sistema operativo en los activos de la empresa a través de la
gestión automatizada de parches mensualmente, o con mayor frecuencia.
24. Realizar análisis de causa raíz en vulnerabilidades de seguridad. Al revisar vulnerabilidades,
el análisis de causa raíz consiste en evaluar problemas subyacentes que crean
vulnerabilidades en el código y permite a los equipos de desarrollo ir más allá de
simplemente solucionar problemas individuales.
25. Remediar vulnerabilidades detectadas en el software a través de procesos y herramientas
mensuales, o con mayor frecuencia, según el proceso de remediacion.
26. Restringir, ya sea desinstalando o desactivando, cualquier complemento, extensión o
aplicación de navegador o cliente de correo electrónico no autorizado o innecesario.
27. Utilizar plantillas de configuración recomendadas por la industria para componentes de
infraestructura de aplicaciones. Esto incluye servidores subyacentes, bases de datos y
servidores web, y se aplica a contenedores en la nube, componentes de Plataforma como
Servicio (PaaS).
28. Utilizar controles técnicos, como la lista de permitidos de aplicaciones, para garantizar que
solo el software autorizado pueda ejecutarse o accederse. Reevaluar semestralmente, o
con mayor frecuencia.
29. Utilizar controles técnicos, como firmas digitales y control de versiones, para garantizar
que solo los scripts autorizados, como archivos específicos .ps1, .py, etc., puedan
ejecutarse. Bloquear la ejecución de scripts no autorizados. Reevaluar semestralmente, o
con mayor frecuencia.
30. Utilizar componentes de software de terceros actualizados y de confianza. Cuando sea
posible, elegir marcos y bibliotecas establecidos y probados que proporcionen una
seguridad adecuada. Adquirir estos componentes de fuentes confiables o evaluar el
software en busca de vulnerabilidades.
31. Utilizar herramientas de inventario de software, cuando sea posible, en toda la empresa
para automatizar el descubrimiento y la documentación del software instalado.

DATOS
32. Recopilar registros de proveedores de servicios, cuando sea compatible. Ejemplos de
implementaciones incluyen recopilar eventos de autenticación y autorización, eventos de
creación y eliminación de datos, y eventos de gestión de usuarios.
33. Configurar listas de control de acceso a datos basadas en la necesidad de conocer del
usuario. Aplicar listas de control de acceso a datos, también conocidas como permisos de
acceso, a sistemas de archivos locales y remotos, bases de datos y aplicaciones.
34. Definir y mantener el control de acceso basado en roles, determinando y documentando
los derechos de acceso necesarios para cada rol dentro de la empresa para llevar a cabo
con éxito sus funciones asignadas. Realizar revisiones de control de acceso de los activos
de la empresa para validar.
35. Documentar flujos de datos. La documentación de flujos de datos incluye flujos de datos
del proveedor de servicios y debe basarse en el proceso de gestión de datos de la
empresa. Revisar y actualizar la documentación anualmente o cuando se produzcan
cambios empresariales importantes que puedan afectarlos.
36. Encriptar datos en medios extraíbles.
37. Encriptar datos sensibles en reposo en servidores, aplicaciones y bases de datos que
contienen datos sensibles. La encriptación en el nivel de almacenamiento, también
conocida como encriptación en el lado del servidor, cumple con el requisito mínimo de
esta Salvaguarda.
38. Encriptar datos sensibles en tránsito. Ejemplos de implementaciones pueden incluir:
Transport Layer Security (TLS) y Open Secure Shell (OpenSSH).
39. Establecer y mantener un inventario de datos, basado en el proceso de gestión de datos de
la empresa. Incluir datos sensibles, como mínimo. Revisar y actualizar el inventario
anualmente, como mínimo, con prioridad en los datos sensibles.
40. Establecer y mantener un proceso de gestión de datos. En el proceso, abordar la
sensibilidad de los datos, el propietario de los datos, el manejo de los datos, los límites de
retención de datos y los requisitos de eliminación, basados en la sensibilidad y los
estándares de retención para la empresa.
41. Establecer y mantener un proceso de recuperación de datos. En el proceso, abordar el
alcance de las actividades de recuperación de datos, la priorización de la recuperación y la
seguridad de los datos de respaldo. Revisar y actualizar la documentación anualmente, o
cuando ocurran cambios significativos en la empresa.
42. Establecer y mantener una instancia aislada de datos de recuperación. Ejemplos de
implementaciones incluyen controlar las versiones de los destinos de respaldo a través de
sistemas o servicios fuera de línea, en la nube o fuera del sitio.
43. Establecer y mantener un esquema de clasificación general de datos para la empresa. Las
empresas pueden utilizar etiquetas como "Sensible", "Confidencial" y "Público" y clasificar
sus datos según esas etiquetas. Revisar y actualizar el esquema de clasificación.
44. Implementar una herramienta automatizada, como una herramienta de Prevención de
Pérdida de Datos (DLP) basada en el host, para identificar todos los datos sensibles
almacenados, procesados o transmitidos a través de los activos de la empresa, incluidos
aquellos ubicados en el lugar o en un proveedor de servicios remoto.
45. Registrar el acceso a datos sensibles, incluyendo la modificación y eliminación.
46. Supervisar a los proveedores de servicios de acuerdo con la política de gestión de
proveedores de servicios de la empresa. La supervisión puede incluir la reevaluación
periódica del cumplimiento del proveedor de servicios, la supervisión de las notas de
lanzamiento del proveedor de servicios y la supervisión en la dark web.
47. Realizar copias de seguridad automáticas de los activos de la empresa en el ámbito.
Realizar copias de seguridad semanalmente, o con mayor frecuencia, según la sensibilidad
de los datos.
48. Proteger los datos de recuperación con controles equivalentes a los del dato original.
Hacer referencia a la encriptación o separación de datos, según los requisitos.
49. Retener datos de acuerdo con el proceso de gestión de datos de la empresa. La retención
de datos debe incluir tanto límites mínimos como máximos de tiempo.
50. Descomisionar proveedores de servicios de forma segura. Consideraciones ejemplares
incluyen la desactivación de usuarios y cuentas de servicio, la terminación de flujos de
datos y la eliminación segura de datos empresariales dentro de los sistemas del proveedor
de servicios.
51. Desechar datos de forma segura según lo indicado en el proceso de gestión de datos de la
empresa. Asegurarse de que el proceso y el método de eliminación sean proporcionados
con la sensibilidad de los datos.
52. Probar la recuperación de copias de seguridad trimestralmente, o con mayor frecuencia,
para una muestra de los activos de la empresa en el ámbito.

DISPOSITIVOS
53. Implementar una solución de prevención de intrusiones basada en el host en los activos de
la empresa, cuando sea apropiado y/o compatible. Ejemplos de implementaciones
incluyen el uso de un cliente de Detección y Respuesta en el Punto Final (EDR) o un agente
de prevención de intrusiones basado en el host.
54. Gestionar de forma centralizada el software anti-malware.
55. Recopilar registros de auditoría de líneas de comandos. Ejemplos de implementaciones
incluyen recopilar registros de auditoría de PowerShell®, BASH™ y terminales
administrativas remotas.
56. Configurar el software anti-malware para escanear automáticamente medios extraíbles.
57. Configurar actualizaciones automáticas para los archivos de firma anti-malware en todos
los activos de la empresa.
58. Configurar servidores DNS de confianza en los activos de la empresa. Ejemplos de
implementaciones incluyen configurar activos para usar servidores DNS controlados por la
empresa y/o servidores DNS externos accesibles y reputados.
59. Implementar una solución de detección de intrusiones basada en el host en los activos de
la empresa, cuando sea apropiado y/o compatible.
60. Implementar y mantener software anti-malware en todos los activos de la empresa.
61. Implementar control de acceso a nivel de puerto. El control de acceso a nivel de puerto
utiliza 802.1x, u otros protocolos de control de acceso a la red similares, como certificados,
y puede incorporar autenticación de usuario y/o dispositivo.
62. Desactivar la funcionalidad de autoejecución y reproducción automática para medios
extraíbles.
63. Habilitar características anti-explotación en los activos y software de la empresa, cuando
sea posible, como Data Execution Prevention (DEP) de Microsoft®, Windows® Defender
Exploit Guard (WDEG) o System Integrity Protection (SIP) y Gatekeeper™ de Apple®.
64. Encriptar datos en dispositivos de usuario final que contengan datos sensibles. Ejemplos
de implementaciones pueden incluir BitLocker® de Windows, FileVault® de Apple, dm-
crypt de Linux®.
65. Imponer el bloqueo automático del dispositivo después de un umbral predeterminado de
intentos fallidos de autenticación local en dispositivos de usuario final portátiles, cuando
sea compatible. Para laptops, no permitir más de 20 intentos fallidos de autenticación;
para tablets y smartphones.
66. Asegurarse de que se utilicen espacios de trabajo empresariales separados en dispositivos
móviles de usuario final, cuando sea compatible. Ejemplos de implementaciones incluyen
el uso de un Perfil de Configuración de Apple® o un Perfil de Trabajo de Android™ para
separar las aplicaciones y datos empresariales de las aplicaciones.
67. Asegurarse de que exista un proceso para abordar activos no autorizados semanalmente.
La empresa puede optar por retirar el activo de la red, denegar la conexión remota del
activo a la red o poner el activo en cuarentena.
68. Establecer y mantener un inventario preciso, detallado y actualizado de todos los activos
de la empresa con potencial para almacenar o procesar datos, incluyendo: dispositivos de
usuario final (incluyendo dispositivos portátiles y móviles), dispositivos de red, dispositivos
no informáticos/IoT y servidores.
69. Establecer y mantener recursos informáticos dedicados, ya sea física o lógicamente
separados, para todas las tareas administrativas o tareas que requieran acceso
administrativo. Los recursos informáticos deben estar segmentados de la red principal de
la empresa.
70. Implementar y gestionar un firewall en servidores, cuando sea compatible. Ejemplos de
implementaciones incluyen un firewall virtual, firewall de sistema operativo o un agente de
firewall de terceros.
71. Implementar y gestionar un firewall basado en el host o una herramienta de filtrado de
puertos en dispositivos de usuario final, con una regla de denegación predeterminada que
descarte todo el tráfico excepto aquellos servicios y puertos que estén explícitamente
permitidos.
72. Gestionar el control de acceso para los activos que se conectan de forma remota a los
recursos de la empresa. Determinar la cantidad de acceso a los recursos de la empresa
basándose en: la instalación de software anti-malware actualizado, la conformidad de
configuración con el proceso de configuración segura de la empresa.
73. Eliminar de forma remota los datos empresariales de dispositivos portátiles de usuario
final propiedad de la empresa cuando sea apropiado, como en dispositivos perdidos o
robados, o cuando una persona ya no respalda a la empresa.
74. Requerir que los usuarios se autentiquen en la VPN gestionada por la empresa y en los
servicios de autenticación antes de acceder a los recursos de la empresa en dispositivos de
usuario final.
75. Desinstalar o desactivar servicios innecesarios en los activos y software
76. Utilizar una herramienta de descubrimiento pasivo para identificar activos conectados a la
red de la empresa. Revisar y utilizar escaneos para actualizar el inventario de activos de la
empresa al menos semanalmente, o con mayor frecuencia.
77. Utilizar software anti-malware basado en el comportamiento.
78. Utilizar registros DHCP en todos los servidores DHCP o herramientas de gestión de
direcciones de Protocolo de Internet (IP) para actualizar el inventario de activos de la
empresa. Revisar y utilizar los registros para actualizar el inventario de activos de la
empresa semanalmente, o con mayor frecuencia.
79. Utilizar una herramienta de descubrimiento activo para identificar activos conectados a la
red de la empresa. Configurar la herramienta de descubrimiento activo para ejecutarse
diariamente, o con mayor frecuencia.

RED
80. Bloquear tipos de archivos innecesarios que intenten ingresar a la puerta de enlace de
correo electrónico de la empresa.
81. Centralizar la autenticación, autorización y contabilidad de red (AAA).
82. Centralizar la alerta de eventos de seguridad en todos los activos de la empresa para la
correlación y análisis de registros. La implementación de mejores prácticas requiere el uso
de un SIEM, que incluye alertas de correlación de eventos definidas por el proveedor. Una
plataforma de análisis de registros configurada con seguridad.
83. Centralizar, en la medida de lo posible, la recopilación y retención de registros de auditoría
en todos los activos de la empresa.
84. Recopilar registros de auditoría. Asegurarse de que el registro, según el proceso de gestión
de registros de auditoría de la empresa, esté habilitado en todos los activos de la empresa.
85. Recopilar registros de auditoría de consultas DNS en los activos de la empresa, cuando sea
apropiado y compatible.
86. Recopilar registros de flujo de tráfico de red y/o tráfico de red para revisar y alertar desde
dispositivos de red.
87. Recopilar registros de auditoría de solicitudes de URL en los activos de la empresa, cuando
sea apropiado y compatible.
88. Realizar revisiones de registros de auditoría para detectar anomalías o eventos anormales
que puedan indicar una amenaza potencial.
89. Realizar revisiones semanalmente, o con mayor frecuencia, según sea necesario.
Configurar el registro detallado de auditoría para los activos de la empresa que contengan
datos sensibles. Incluir origen del evento, fecha, nombre de usuario, marca de tiempo,
direcciones de origen, direcciones de destino y otros elementos útiles que puedan ayudar
en una investigación forense.
90. Implementar una solución de detección de intrusiones en red en los activos de la empresa,
cuando sea apropiado. Ejemplos de implementaciones incluyen el uso de un Sistema de
Detección de Intrusiones en Red (NIDS) o un servicio equivalente de proveedor de
servicios en la nube (CSP).
91. Implementar una solución de prevención de intrusiones en red, cuando sea apropiado.
Ejemplos de implementaciones incluyen el uso de un Sistema de Prevención de Intrusiones
en Red (NIPS) o un servicio equivalente de CSP.
92. Implementar y mantener protecciones antivirus para servidores de correo electrónico,
como escaneo de archivos adjuntos y/o aislamiento.
93. Hacer cumplir y actualizar los filtros de URL basados en red para limitar que un activo de la
empresa se conecte a sitios web potencialmente maliciosos o no aprobados. Ejemplos de
implementaciones incluyen filtrado basado en categorías, filtrado basado en reputación o
mediante el uso de listas de bloqueo.
94. Asegurarse de que la infraestructura de red esté actualizada. Ejemplos de
implementaciones incluyen ejecutar la última versión estable del software y/o utilizar
ofertas de servicios de red respaldadas actualmente (NaaS). Revisar las versiones del
software mensualmente, o con mayor frecuencia.
95. Asegurarse de que los destinos de registro mantengan un almacenamiento adecuado para
cumplir con el proceso de gestión de registros de auditoría de la empresa.
96. Establecer y mantener un proceso de configuración segura para dispositivos de red.
Revisar y actualizar la documentación anualmente, o cuando ocurran cambios
significativos en la empresa que puedan afectar esta Salvaguarda.
97. Establecer y mantener una arquitectura de red segura. Una arquitectura de red segura
debe abordar la segmentación, el principio de menor privilegio y la disponibilidad, como
mínimo.
98. Establecer y mantener un proceso de gestión de registros de auditoría que defina los
requisitos de registro de la empresa. Como mínimo, abordar la recopilación, revisión y
retención de registros de auditoría para los activos de la empresa. Revisar y actualizar la
documentación anualmente, o cuando se realicen cambios.
99. Establecer y mantener diagramas de arquitectura y/o otra documentación del sistema de
red. Revisar y actualizar la documentación anualmente, o cuando ocurran cambios
significativos en la empresa que puedan afectar esta Salvaguarda.
100. Realizar filtrado de capa de aplicación. Ejemplos de implementaciones incluyen un
proxy de filtrado, un firewall de capa de aplicación o una puerta de enlace.
101. Realizar pruebas periódicas de penetración externa basadas en los requisitos del
programa, no menos de una vez al año. Las pruebas de penetración externa deben incluir
reconocimiento empresarial y ambiental para detectar información explotable. Las
pruebas de penetración requieren una atención especial.
102. Realizar filtrado de tráfico entre segmentos de red, cuando sea apropiado.
103. Remediar los hallazgos de pruebas de penetración según la política de la empresa
para el alcance y la priorización de la remediación.
104. Conservar registros de auditoría en todos los activos de la empresa durante un
mínimo de 90 días.
105. Administrar de forma segura los activos y el software de la empresa. Ejemplos de
implementaciones incluyen la gestión de la configuración a través de infraestructura como
código controlada por versiones y el acceso a interfaces administrativas a través de
protocolos de red seguros, como Secure Shell (SSH).
106. Administrar de forma segura la infraestructura de red. Ejemplos de
implementaciones incluyen la infraestructura como código controlada por versiones y el
uso de protocolos de red seguros, como SSH y HTTPS.
107. Segmentar el procesamiento y almacenamiento de datos según la sensibilidad de
los datos. No procesar datos sensibles en activos de la empresa destinados a datos de
menor sensibilidad.
108. Sincronizar el tiempo de manera estandarizada. Configurar al menos dos fuentes
de tiempo sincronizadas en todos los activos de la empresa, cuando sea compatible.
109. Para reducir la probabilidad de correos electrónicos falsificados o modificados de
dominios válidos, implementar la política y verificación DMARC, comenzando con la
implementación de los estándares Sender Policy Framework (SPF) y DomainKeys Identified
Mail (DKIM).
110. Ajustar mensualmente, o con mayor frecuencia, los umbrales de alerta de eventos
de seguridad.
111. Utilizar servicios de filtrado DNS en todos los activos de la empresa para bloquear
el acceso a dominios conocidos como maliciosos.
112. Utilizar protocolos seguros de gestión de redes y comunicación (por ejemplo,
802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise o superior).
113. Validar las medidas de seguridad después de cada prueba de penetración. Si es
necesario, modificar conjuntos de reglas y capacidades para detectar las técnicas utilizadas
durante las pruebas.

USUARIO
114. Centralizar el control de acceso para todos los activos de la empresa a través de un
servicio de directorio o proveedor de SSO (Single Sign-On), cuando sea compatible.
115. Centralizar la gestión de cuentas a través de un directorio o servicio de identidad.
116. Configurar el bloqueo automático de sesiones en los activos de la empresa
después de un período definido de inactividad. Para sistemas operativos de propósito
 general, el período no debe exceder los 15 minutos. Para dispositivos móviles de usuarios
finales, el período no debe exceder los 2 minutos.
117. Eliminar o deshabilitar cualquier cuenta inactiva después de un período de 45 días,
cuando sea compatible.
118. Establecer y seguir un proceso, preferiblemente automatizado, para otorgar acceso
a los activos de la empresa a nuevos empleados, concesión de derechos o cambio de rol de
un usuario.
119. Establecer y seguir un proceso, preferiblemente automatizado, para revocar el
acceso a los activos de la empresa, deshabilitando cuentas inmediatamente al término de
empleo, revocación de derechos o cambio de rol de un usuario. Deshabilitar cuentas, en
lugar de eliminarlas.
120. Establecer y mantener un inventario de todas las cuentas gestionadas en la
empresa. El inventario debe incluir tanto cuentas de usuarios como de administradores. El
inventario, como mínimo, debe contener el nombre de la persona, nombre de usuario,
fechas de inicio/fin y departamento.
121. Establecer y mantener un inventario de cuentas de servicio. El inventario, como
mínimo, debe contener el propietario del departamento, fecha de revisión y propósito.
Realizar revisiones de cuentas de servicio para validar que todas las cuentas activas estén
autorizadas, en un cronograma recurrente.
122. Establecer y mantener un inventario de los sistemas de autenticación y
autorización de la empresa, incluidos aquellos alojados en el sitio o en un proveedor de
servicios remoto. Revisar y actualizar el inventario, como mínimo, anualmente, o con
mayor frecuencia.

EVALUACION DE LA ADHERENCIA EN PORCENTAJE

Evaluación de la adherencia de Clean a los diferentes puntos del Control 1 de SANS CIS en
la sección de Aplicación es la siguiente:

1. Controles técnicos para cargar bibliotecas autorizadas:

 Adherencia: 90%
2. Aplicar principios de diseño seguro en arquitecturas de aplicaciones:
 Adherencia: 85%
3. Aplicar herramientas de análisis estático y dinámico en el ciclo de vida de la aplicación:
 Adherencia: 80%
4. Realizar pruebas de penetración de aplicaciones:
 Adherencia: 85%
5. Realizar modelado de amenazas:
 Adherencia: 90%
6. Asegurar la compatibilidad de navegadores y clientes de correo electrónico:
 Adherencia: 95%
7. Capacitación en redacción de código seguro para el personal de desarrollo:
 Adherencia: 85%
8. Autorización en el inventario de software solo para software compatible:
  Adherencia: 90%
9. Eliminar software no autorizado:
 Adherencia: 95%
10. Inventario detallado de software con licencia:
 Adherencia: 90%
11. Proceso de gestión de vulnerabilidades documentado:
 Adherencia: 85%
12. Proceso para aceptar y abordar informes de vulnerabilidades de software:
 Adherencia: 80%
13. Estrategia de remediación basada en riesgos:
 Adherencia: 85%
14. Proceso de desarrollo de aplicaciones seguro:
 Adherencia: 90%
15. Proceso de configuración segura para activos y software:
 Adherencia: 85%
16. Sistema de clasificación y proceso para vulnerabilidades de aplicaciones:
 Adherencia: 80%
17. Inventario actualizado de componentes de terceros:
 Adherencia: 85%
18. Uso de módulos o servicios examinados para componentes de seguridad:
 Adherencia: 90%
19. Mantenimiento de entornos separados para sistemas de producción y no producción:
 Adherencia: 95%
20. Actualizaciones de aplicaciones mediante gestión automatizada de parches:
 Adherencia: 90%
21. Escaneos automáticos de vulnerabilidades de activos expuestos externamente:
 Adherencia: 85%
22. Escaneos automáticos de vulnerabilidades de activos internos:
 Adherencia: 80%
23. Actualizaciones del sistema operativo mediante gestión automatizada de parches:
 Adherencia: 90%
24. Análisis de causa raíz en vulnerabilidades de seguridad:
 Adherencia: 85%
25. Remediación de vulnerabilidades detectadas en el software:
 Adherencia: 90%
26. Restricción de complementos no autorizados en navegadores o clientes de correo
electrónico:
 Adherencia: 95%
27. Uso de plantillas de configuración recomendadas por la industria:
 Adherencia: 85%
28. Controles técnicos para permitir solo software autorizado:
 Adherencia: 90%
29. Uso de controles técnicos para ejecución de scripts autorizados:
 Adherencia: 90%
30. Uso de componentes de software de terceros actualizados y de confianza:
 Adherencia: 85%
31. Uso de herramientas de inventario de software:
 Adherencia: 90%
Promedio de Adherencia: 88%
En términos generales, Clean muestra un alto nivel de adherencia a los controles del SANS
CIS en la sección de Aplicación, con un promedio del 88%. Sin embargo, se recomienda
realizar evaluaciones periódicas y ajustes continuos para mantener y mejorar aún más la
postura de seguridad de la empresa.

Ha sido evaluada en relación con los controles del SANS CIS en la sección de Datos. A
continuación, se presenta el porcentaje de adherencia hipotética a cada uno de los
controles, junto con un breve motivo:
32. Recopilar registros de proveedores de servicios:
 Adherencia: 90%
 Motivo: Clean ha implementado la recopilación de registros de proveedores de servicios
de manera efectiva, aunque se recomienda una mayor revisión semestral para garantizar la
continuidad y efectividad.
33. Configurar listas de control de acceso a datos:
 Adherencia: 85%
 Motivo: La configuración de listas de control de acceso es sólida, pero Clean podría
beneficiarse de revisiones más frecuentes para adaptarse a los cambios dinámicos en la
organización.
34. Definir y mantener el control de acceso basado en roles:
 Adherencia: 90%
 Motivo: Clean demuestra un sólido compromiso con la definición de roles y revisiones
periódicas de control de acceso.
35. Documentar flujos de datos:
 Adherencia: 85%
 Motivo: Aunque se documentan los flujos de datos, se sugiere una revisión más frecuente
para mantener la documentación actualizada.
36. Encriptar datos en medios extraíbles:
 Adherencia: 95%
 Motivo: Clean ha implementado con éxito la encriptación de datos en medios extraíbles,
proporcionando una capa adicional de seguridad.
37. Encriptar datos sensibles en reposo:
 Adherencia: 90%
 Motivo: La encriptación en reposo está bien implementada, pero se sugiere una revisión
periódica para garantizar la aplicación consistente.
38. Encriptar datos sensibles en tránsito:
 Adherencia: 95%
 Motivo: Clean utiliza protocolos seguros para la transmisión de datos sensibles,
garantizando la confidencialidad durante la transferencia.
39. Establecer y mantener un inventario de datos:
 Adherencia: 85%
 Motivo: Aunque existe un inventario, se recomienda revisar y actualizar con mayor
frecuencia, especialmente con respecto a datos sensibles.
40. Establecer y mantener un proceso de gestión de datos:
 Adherencia: 90%
 Motivo: Clean aborda aspectos críticos en la gestión de datos, aunque se sugiere una
revisión anual para garantizar la alineación con estándares cambiantes.
41. Establecer y mantener un proceso de recuperación de datos:
 Adherencia: 85%
 Motivo: Clean tiene un proceso definido, pero se recomienda una revisión anual para
adaptarse a cambios en la infraestructura y requisitos.
42. Establecer y mantener una instancia aislada de datos de recuperación:
 Adherencia: 90%
 Motivo: Clean ha implementado medidas para aislar datos de recuperación,
proporcionando seguridad adicional.
43. Establecer y mantener un esquema de clasificación general de datos:
 Adherencia: 95%
 Motivo: La empresa clasifica datos de manera efectiva, con una revisión y actualización
periódicas del esquema de clasificación.
44. Implementar una herramienta automatizada (DLP) para identificar datos sensibles:
 Adherencia: 90%
 Motivo: La implementación de una herramienta automatizada es sólida, aunque se sugiere
una revisión regular para mantener la eficacia.
45. Registrar el acceso a datos sensibles:
 Adherencia: 95%
 Motivo: Clean registra el acceso a datos sensibles de manera eficiente, garantizando la
trazabilidad de las actividades.
46. Supervisar a los proveedores de servicios:
 Adherencia: 85%
 Motivo: La supervisión de proveedores es adecuada, aunque se sugiere una reevaluación
más frecuente para adaptarse a cambios en los servicios contratados.
47. Realizar copias de seguridad automáticas de los activos de la empresa:
 Adherencia: 90%
 Motivo: Clean realiza copias de seguridad de manera consistente, aunque se recomienda
evaluar la frecuencia según la sensibilidad de los datos.
48. Proteger los datos de recuperación de manera equivalente al dato original:
 Adherencia: 95%
 Motivo: Los datos de recuperación están protegidos de manera adecuada, garantizando la
integridad y confidencialidad.
49. Retener datos según el proceso de gestión de datos:
 Adherencia: 90%
 Motivo: La retención de datos se ajusta al proceso establecido, con revisiones regulares
para adaptarse a cambios.
50. Descomisionar proveedores de servicios de forma segura:
 Adherencia: 90%
 Motivo: Clean sigue procesos seguros de descomisionamiento, aunque se sugiere una
revisión más detallada para garantizar la eliminación segura de datos.
51. Desechar datos de forma segura:
 Adherencia: 95%
 Motivo: Clean ha implementado procesos seguros de eliminación de datos, asegurando
que se realice de manera acorde con la sensibilidad de los datos.
52. Probar la recuperación de copias de seguridad trimestralmente:
 Adherencia: 90%
 Motivo: Las pruebas de recuperación son regulares, aunque se sugiere evaluar la
frecuencia según la criticidad de los activos.
Promedio de Adherencia: 91%
Clean, en su estrategia hipotética, exhibe un compromiso sólido con las buenas prácticas
de seguridad de SANS CIS en la sección de Datos, con un promedio de adherencia del 91%.
Se recomienda una revisión continua para mantener y mejorar la postura de seguridad en
el tiempo.

Ha sido evaluada en relación con los controles del SANS CIS en la sección de Dispositivos. A
continuación, se presenta el porcentaje de adherencia hipotética a cada uno de los
controles, junto con un breve motivo:
53. Implementar solución de prevención de intrusiones basada en el host:
 Adherencia: 90%
 Motivo: Clean ha implementado soluciones como EDR, aunque se sugiere una revisión
periódica para mantener la eficacia.
54. Gestionar centralizadamente el software anti-malware:
 Adherencia: 95%
 Motivo: La gestión centralizada del software anti-malware es efectiva, garantizando la
consistencia en todas las plataformas.
55. Recopilar registros de auditoría de líneas de comandos:
 Adherencia: 90%
 Motivo: La recopilación de registros de auditoría de líneas de comandos es sólida, aunque
se sugiere una revisión semestral para garantizar la cobertura completa.
56. Configurar software anti-malware para escanear automáticamente medios extraíbles:
 Adherencia: 95%
 Motivo: Clean ha configurado correctamente el software anti-malware para escanear
automáticamente medios extraíbles.
57. Configurar actualizaciones automáticas para archivos de firma anti-malware:
 Adherencia: 90%
 Motivo: Las actualizaciones automáticas están configuradas, aunque se sugiere una
revisión periódica para asegurar la actualización oportuna.
58. Configurar servidores DNS de confianza:
 Adherencia: 90%
 Motivo: Clean utiliza servidores DNS de confianza, aunque se sugiere una revisión
semestral para asegurar la validez continua.
59. Implementar solución de detección de intrusiones basada en el host:
 Adherencia: 90%
 Motivo: Clean ha implementado soluciones de detección de intrusiones en hosts, aunque
se sugiere una revisión periódica para garantizar la eficacia.
60. Implementar y mantener software anti-malware:
 Adherencia: 95%
 Motivo: La implementación y mantenimiento del software anti-malware es eficiente y
consistente.
61. Implementar control de acceso a nivel de puerto:
 Adherencia: 85%
 Motivo: Clean utiliza control de acceso a nivel de puerto, aunque se sugiere una revisión
periódica para adaptarse a cambios en la red.
62. Desactivar autoejecución y reproducción automática para medios extraíbles:
 Adherencia: 95%
 Motivo: Clean ha desactivado la funcionalidad de autoejecución y reproducción
automática de manera efectiva.
63. Habilitar características anti-explotación:
 Adherencia: 90%
 Motivo: Se han habilitado características anti-explotación, aunque se recomienda una
revisión periódica para asegurar la configuración adecuada.
64. Encriptar datos en dispositivos de usuario final:
 Adherencia: 95%
 Motivo: Clean encripta datos en dispositivos de usuario final de manera efectiva.
65. Bloqueo automático del dispositivo después de intentos fallidos:
 Adherencia: 90%
 Motivo: Se bloquean automáticamente los dispositivos después de un umbral
predeterminado, aunque se sugiere revisar y ajustar según sea necesario.
66. Uso de espacios de trabajo empresariales en dispositivos móviles:
 Adherencia: 95%
 Motivo: Clean utiliza espacios de trabajo empresariales en dispositivos móviles de manera
efectiva.
67. Proceso para abordar activos no autorizados:
 Adherencia: 90%
 Motivo: Clean demuestra un proceso establecido, aunque se sugiere una revisión más
frecuente para abordar activos no autorizados.
68. Inventario detallado y actualizado de todos los activos:
 Adherencia: 95%
 Motivo: Clean mantiene un inventario preciso y actualizado de todos los activos, aunque
se recomienda revisar y actualizar más frecuentemente.
69. Recursos informáticos dedicados para tareas administrativas:
 Adherencia: 90%
 Motivo: Los recursos informáticos dedicados están establecidos, aunque se sugiere una
revisión periódica para adaptarse a cambios en las tareas administrativas.
70. Implementar y gestionar firewall en servidores:
 Adherencia: 95%
 Motivo: Clean implementa y gestiona firewalls en servidores de manera efectiva.
71. Implementar firewall o herramienta de filtrado de puertos en dispositivos finales:
 Adherencia: 90%
 Motivo: La implementación de firewalls en dispositivos finales es sólida, aunque se sugiere
una revisión regular de las reglas de filtrado.
72. Control de acceso para activos que se conectan de forma remota:
 Adherencia: 85%
 Motivo: Clean utiliza criterios específicos para el control de acceso remoto, aunque se
sugiere una revisión más frecuente.
73. Eliminar de forma remota datos empresariales de dispositivos portátiles:
 Adherencia: 95%
 Motivo: Clean tiene un proceso establecido para eliminar datos de dispositivos portátiles
de forma remota.
74. Autenticación en VPN y servicios de autenticación para acceder a recursos:
 Adherencia: 90%
 Motivo: Se requiere autenticación en VPN y servicios de autenticación, aunque se sugiere
una revisión periódica.
75. Desinstalar o desactivar servicios innecesarios:
 Adherencia: 95%
 Motivo: Clean ha desinstalado o desactivado servicios innecesarios de manera efectiva.
76. Utilizar herramienta de descubrimiento pasivo para identificar activos:
 Adherencia: 90%
 Motivo: Clean utiliza herramientas de descubrimiento pasivo, aunque se sugiere una
revisión más frecuente para mantener el inventario actualizado.
77. Utilizar software anti-malware basado en el comportamiento:
 Adherencia: 90%
 Motivo: Clean utiliza software anti-malware basado en el comportamiento, aunque se
sugiere una revisión periódica para evaluar la eficacia.
78. Utilizar registros DHCP para actualizar inventario de activos:
 Adherencia: 95%
 Motivo: Los registros DHCP se utilizan de manera efectiva para actualizar el inventario de
activos.
79. Utilizar herramienta de descubrimiento activo para identificar activos:
 Adherencia: 90%
 Motivo: Clean utiliza herramientas de descubrimiento activo, aunque se sugiere una
revisión diaria para mantener el inventario actualizado.
Promedio de Adherencia: 92%
Clean, en su estrategia hipotética, demuestra un sólido compromiso con las buenas
prácticas de seguridad de SANS CIS en la sección de Dispositivos, con un promedio de
adherencia del 92%. Se recomienda una revisión continua para mantener y mejorar la
postura de seguridad en el tiempo.
 Ha sido evaluada en relación con los controles del SANS CIS en la sección de Red. A
continuación, se presenta el porcentaje de adherencia hipotética a cada uno de los
controles, junto con un breve motivo:
80. Bloquear tipos de archivos innecesarios en la puerta de enlace de correo electrónico:
 Adherencia: 90%
 Motivo: Se bloquean tipos de archivos innecesarios, aunque se sugiere una revisión
periódica para ajustar la configuración según las amenazas emergentes.
81. Centralizar la autenticación, autorización y contabilidad de red (AAA):
 Adherencia: 95%
 Motivo: Clean centraliza AAA de manera efectiva, garantizando una gestión unificada de la
seguridad.
82. Centralizar la alerta de eventos de seguridad en todos los activos:
 Adherencia: 90%
 Motivo: Clean utiliza un SIEM para centralizar alertas, aunque se sugiere una revisión
continua para asegurar la correlación eficaz de eventos.
83. Centralizar la recopilación y retención de registros de auditoría:
 Adherencia: 85%
 Motivo: La centralización de la recopilación de registros es sólida, aunque se recomienda
una revisión periódica para garantizar la cobertura completa.
84. Recopilar registros de auditoría en todos los activos:
 Adherencia: 95%
 Motivo: Clean asegura que los registros estén habilitados en todos los activos según el
proceso de gestión de registros de auditoría.
85. Recopilar registros de auditoría de consultas DNS:
 Adherencia: 90%
 Motivo: La recopilación de registros DNS es efectiva, aunque se sugiere una revisión
periódica para adaptarse a cambios en las amenazas.
86. Recopilar registros de flujo de tráfico de red y/o tráfico de red:
 Adherencia: 90%
 Motivo: Clean recopila registros de flujo de tráfico, aunque se sugiere una revisión regular
para una detección y alerta más efectivas.
87. Recopilar registros de auditoría de solicitudes de URL:
 Adherencia: 90%
 Motivo: Clean recopila registros de auditoría de solicitudes de URL, aunque se sugiere una
revisión periódica para adaptarse a cambios en las amenazas.
88. Realizar revisiones de registros de auditoría para detectar anomalías:
 Adherencia: 95%
 Motivo: Las revisiones de registros de auditoría son frecuentes y detalladas, garantizando
la detección temprana de anomalías.
89. Realizar revisiones semanales o más frecuentes:
 Adherencia: 90%
 Motivo: Las revisiones son consistentes, aunque se sugiere una revisión más frecuente
para activos con datos sensibles.
90. Implementar solución de detección de intrusiones en red:
 Adherencia: 90%
 Motivo: Clean implementa soluciones de detección de intrusiones en red, aunque se
sugiere una revisión periódica para garantizar la eficacia.
91. Implementar solución de prevención de intrusiones en red:
 Adherencia: 90%
 Motivo: Clean implementa soluciones de prevención de intrusiones en red, aunque se
sugiere una revisión periódica para garantizar la eficacia.
92. Implementar y mantener protecciones antivirus para servidores de correo electrónico:
 Adherencia: 95%
 Motivo: Clean implementa y mantiene protecciones antivirus efectivas para servidores de
correo electrónico.
93. Hacer cumplir y actualizar filtros de URL basados en red:
 Adherencia: 90%
 Motivo: Se hace cumplir y actualiza, aunque se sugiere una revisión regular para mantener
la eficacia contra las amenazas emergentes.
94. Asegurarse de que la infraestructura de red esté actualizada:
 Adherencia: 95%
 Motivo: Clean asegura que la infraestructura de red esté actualizada y revisa las versiones
mensualmente.
95. Asegurarse de que los destinos de registro mantengan almacenamiento adecuado:
 Adherencia: 90%
 Motivo: Clean asegura el almacenamiento adecuado, aunque se sugiere una revisión
regular para ajustarse a cambios en los requisitos.
96. Establecer y mantener un proceso de configuración segura para dispositivos de red:
 Adherencia: 85%
 Motivo: El proceso de configuración segura está establecido, aunque se sugiere una
revisión periódica para adaptarse a cambios.
97. Establecer y mantener una arquitectura de red segura:
 Adherencia: 90%
 Motivo: Clean mantiene una arquitectura de red segura, aunque se sugiere una revisión
regular para adaptarse a cambios.
98. Establecer y mantener un proceso de gestión de registros de auditoría:
 Adherencia: 85%
 Motivo: El proceso de gestión de registros está establecido, aunque se sugiere una revisión
periódica para adaptarse a cambios.
99. Establecer y mantener diagramas de arquitectura y/o otra documentación del sistema de
red:
 Adherencia: 90%
 Motivo: Clean mantiene documentación actualizada, aunque se sugiere una revisión
regular para adaptarse a cambios.
100. Realizar filtrado de capa de aplicación: - Adherencia: 90% - Motivo: Clean realiza
filtrado de capa de aplicación, aunque se sugiere una revisión regular para ajustarse a
cambios en las amenazas.
101. Realizar pruebas periódicas de penetración externa: - Adherencia: 90% - Motivo:
Se realizan pruebas de penetración externa, aunque se sugiere una revisión regular para
garantizar la efectividad contra las técnicas emergentes.
102. Realizar filtrado de tráfico entre segmentos de red: - Adherencia: 90% - Motivo:
Clean realiza filtrado de tráfico entre segmentos de red, aunque se sugiere una revisión
regular para garantizar la eficacia.
103. Remediar hallazgos de pruebas de penetración según la política: - Adherencia:
90% - Motivo: Clean remedia hallazgos de pruebas de penetración según la política,
aunque se sugiere una revisión regular para adaptarse a cambios.
104. Conservar registros de auditoría durante un mínimo de 90 días: - Adherencia:
95% - Motivo: Clean conserva registros durante el período especificado.
105. Administrar de forma segura activos y software de la empresa: - Adherencia: 95%
- Motivo: Clean administra activos y software de manera segura, utilizando infraestructura
como código y protocolos seguros.
106. Administrar de forma segura la infraestructura de red: - Adherencia: 90% -
Motivo: La administración de la infraestructura de red es segura, aunque se sugiere una
revisión regular para adaptarse a cambios.
107. Segmentar el procesamiento y almacenamiento de datos según la sensibilidad: -
Adherencia: 90% - Motivo: Clean segmenta el procesamiento y almacenamiento de datos
según la sensibilidad, aunque se sugiere una revisión regular para ajustarse a cambios.
108. Sincronizar el tiempo de manera estandarizada: - Adherencia: 95% - Motivo:
Clean sincroniza el tiempo de manera estandarizada con al menos dos fuentes,
garantizando la consistencia temporal.
109. Implementar política y verificación DMARC, SPF y DKIM: - Adherencia: 90% -
Motivo: Se implementan políticas de DMARC, SPF y DKIM, aunque se sugiere una revisión
regular para garantizar la efectividad contra la falsificación.
110. Ajustar mensualmente los umbrales de alerta de eventos de seguridad: -
Adherencia: 95% - Motivo: Clean ajusta los umbrales mensualmente para mantener la
sensibilidad a eventos de seguridad.
111. Utilizar servicios de filtrado DNS para bloquear acceso a dominios maliciosos: -
Adherencia: 95% - Motivo: Se utilizan servicios de filtrado DNS, garantizando la protección
contra dominios maliciosos conocidos.
112. Utilizar protocolos seguros de gestión de redes y comunicación: - Adherencia:
95% - Motivo: Clean utiliza protocolos seguros para la gestión de redes y comunicación.
113. Validar medidas de seguridad después de cada prueba de penetración: -
Adherencia: 90% - Motivo: Se validan medidas de seguridad después de las pruebas de
penetración, aunque se sugiere una revisión regular para adaptarse a cambios.
Promedio de Adherencia: 92%
Clean demuestra un sólido compromiso con las buenas prácticas de seguridad de SANS CIS
en la sección de Red, con un promedio de adherencia del 92%. Se recomienda una revisión
continua para mantener y mejorar la postura de seguridad en el tiempo.
 Ha sido evaluada hipotéticamente en relación con los controles del SANS CIS en la sección
de Usuario. A continuación, se presenta el porcentaje de adherencia hipotética a cada uno
de los controles, junto con un breve motivo:
114. Centralizar el control de acceso a través de un servicio de directorio o proveedor
de SSO:
 Adherencia: 95%
 Motivo: Clean centraliza el control de acceso, pero se sugiere una revisión periódica para
garantizar la compatibilidad continua.
115. Centralizar la gestión de cuentas a través de un directorio o servicio de identidad:
 Adherencia: 95%
 Motivo: La gestión de cuentas está centralizada, pero se sugiere una revisión regular para
mantener la compatibilidad.
116. Configurar el bloqueo automático de sesiones:
 Adherencia: 90%
 Motivo: Clean configura el bloqueo automático, aunque se sugiere una revisión para
garantizar la coherencia en todos los sistemas.
117. Eliminar o deshabilitar cuentas inactivas después de 45 días:
 Adherencia: 85%
 Motivo: Clean elimina o deshabilita cuentas inactivas, aunque se sugiere una revisión para
garantizar la coherencia en todos los sistemas.
118. Establecer y seguir un proceso automatizado para otorgar acceso a nuevos
empleados:
 Adherencia: 95%
 Motivo: Clean sigue un proceso automatizado, pero se sugiere una revisión regular para
ajustarse a cambios en la estructura organizativa.
119. Establecer y seguir un proceso automatizado para revocar el acceso al término de
empleo:
 Adherencia: 95%
 Motivo: Clean revoca el acceso automáticamente, deshabilitando cuentas al término de
empleo, pero se sugiere una revisión regular para ajustarse a cambios.
120. Establecer y mantener un inventario de todas las cuentas gestionadas:
 Adherencia: 90%
 Motivo: Clean mantiene un inventario de cuentas gestionadas, aunque se sugiere una
revisión periódica para garantizar la integridad del inventario.
121. Establecer y mantener un inventario de cuentas de servicio:
 Adherencia: 90%
 Motivo: Clean mantiene un inventario de cuentas de servicio, pero se sugiere una revisión
más frecuente para garantizar la autorización adecuada.
122. Establecer y mantener un inventario de sistemas de autenticación y autorización:
 Adherencia: 85%
 Motivo: Clean mantiene un inventario, aunque se sugiere una revisión periódica para
garantizar la actualización y la inclusión de sistemas remotos.
Promedio de Adherencia: 91%
Clean demuestra un sólido compromiso con las buenas prácticas de seguridad de SANS CIS
en la sección de Usuario, con un promedio de adherencia del 91%. Se recomienda una
revisión continua para mantener y mejorar la postura de seguridad en el tiempo.