Matriz de riesgos

Criticidad	Promedio
Nula	0 - 0
Baja	0.1 - 3.9
Media	4.0 - 6.9
Alta	7.0 - 8.9
Crítica	9.0 - 10.0

¿Se cuenta con políticas de seguridad de la información en la organización?

¿Se cuenta con roles y responsabilidades de seguridad de la información?

¿La organización se asegura de segregar funciones en su sistema de información y que no haya conflictos de intereses entre las personas que tienes acceso a la información o sistemas?

¿La dirección exige a los empleados aplicar las políticas de seguridad de la información establecidos por la organización?

¿Existe contacto con las autoridades ante incidentes cibernéticos?

¿Existe contacto con especialistas de ciberseguridad?

¿La información relativa a amenazas de seguridad de la información es recopilada y analizada para producir inteligencia sobre amenazas?

¿Se cuenta con una metodología de seguridad de la información en la gestión de proyectos?

¿Los recursos y otros activos asociados para el tratamiento de la información están claramente identificados y en un inventario?

¿Se identifican, documentan e implementan reglas de uso aceptable de la información y de los activos para su tratamiento?

Si un empleado finaliza su empleo o contrato, ¿devuelve todos los activos que fueron entregados por la organización?

¿La información de la organización se clasifica en términos legales de sensibilidad y criticidad ante revelación o modificación no autorizada?

¿La organización cuenta con procedimientos para etiquetar la información de acuerdo con un esquema de clasificación adoptado?

¿Se establecen normas, procedimientos o acuerdos de transferencia de información dentro de la organización y otras partes?

¿Hay limitaciones de acceso a los recursos que contienen información de la organización?

¿Se cuenta con algún método de identificación de personas que acceden a información de activos en la organización?

¿Existe un proceso formal de gestión para la información secreta de autenticación?

¿Los derechos de acceso se proporcionan, revisan, modifican y eliminan de acuerdo a las políticas y reglas de la organización?

¿Se definen procesos y procedimientos para gestionar los riesgos de seguridad asociados al uso de los productos o servicios del proveedor?

¿Son establecidos y acordados los requisitos de seguridad con cada proveedor en función del tipo de relación con el mismo?

¿Son definidos y aplicados procesos y procedimientos para gestionar los riesgos de seguridad asociados a los productos y servicios TIC?

¿La organización supervisa, revisa, evalúa y gestiona periódicamente los cambios de las prácticas de seguridad y los servicios de los proveedores?

¿Los procesos de adquisición, uso, gestión y salida de los servicios de la nube son establecidos de acuerdo con los requisitos de seguridad de la información de la organización?

¿Existe una planificación y preparación para gestionar los incidentes de seguridad de la información definiendo y estableciendo procesos, funciones y responsabilidades?

¿La organización tiene mecanismos para evaluar los incidentes de seguridad de la información?

¿Se responde a los incidentes de seguridad de la información conforme a la documentación?

¿Los conocimientos de los incidentes de seguridad de la información son utilizados para reforzar y mejorar los controles de seguridad de la información?

¿Existen procedimientos para la identificación, recogida y conservación de pruebas sobre incidentes de seguridad de la información?

¿La organización tiene planificación para mantener la seguridad de la información a un nivel adecuado durante alguna interrupción?

¿Las TIC son planificadas, aplicadas, mantenidas y probadas en función de los objetivos de continuidad de las actividades?

¿Los requisitos legales, estatutarios, reglamentarios y contractuales relevantes para la seguridad de la información son identificados, documentados y se mantienen actualizados?

¿La organización aplica los procedimientos para proteger los derechos de propiedad intelectual?

¿Los registros son protegidos contra pérdidas, destrucción, falsificación, acceso no autorizado y divulgación no autorizada?

¿Son identificados y se cumplen los requisitos relativos a la preservación de la privacidad y protección de PII de acuerdo a leyes, reglamentos aplicables y los requisitos contractuales?

¿El enfoque de la organización para la gestión de la seguridad y su aplicación, incluidas las personas, los procesos y las tecnologías, son revisadas de forma independiente en intervalos planificados?

¿Se revisa periódicamente el cumplimiento de la política de seguridad, las reglas y las normas?

¿Se documentan y mantienen procedimientos operacionales y se ponen a disposición de todos los usuario que los necesiten?

¿Las comprobaciones de los antecedentes de todos los candidatos se llevan a cabo antes de su incorporación teniendo en cuenta las leyes, reglamentos y normas éticas?

¿Se establecen términos y condiciones en seguridad de la información en los contratos de trabajo?

¿Se cuenta con capacitación o concienciación periódica sobre las políticas de seguridad de la información de la organización?

¿La organización cuenta con acciones frente a empleados que hayan provocado alguna brecha de seguridad?

¿Se cuenta con responsabilidades y obligaciones en seguridad de la información después de una finalización de contrato?

¿Se identifican los acuerdos y documento de confidencialidad o no divulgación?

¿Se aplican medidas de seguridad en la organización en relación al teletrabajo?

¿Se tiene un mecanismo para que el personal notifique eventos de seguridad de la información?

¿Se protegen físicamente las áreas que contienen información sensible por medio de perímetros de seguridad?

¿Las áreas seguras se encuentran protegidas físicamente por controles de entrada y salida?

¿Las oficinas, despachos y recursos cuentan con seguridad física?

¿La organización es vigilada continuamente para evitar accesos físicos no autorizados?

¿Se cuenta con controles frente a daños estructurales ocasionados por el hombre o desastres naturales?

¿La organización cuenta con procedimientos para trabajar en áreas seguras?

¿Se encuentran definidas y aplicadas reglas de escritorio limpio para documentos y medios de almacenamiento extraíble?

¿Los equipos se encuentran situados en lugares que reducen los riesgos ambientales y amenazas, como también los accesos no autorizados?

¿Se aplican medidas de seguridad en los equipos situados fuera de las instalaciones de la organización?

¿Se cuenta con gestión de los medios de almacenamiento a lo largo de su ciclo de vida (adquisición, uso, transporte y eliminación)?

¿Los equipos se encuentran protegidos contra fallos de alimentación y otras alteraciones?

El cableado eléctrico y de telecomunicaciones que transmite datos o de soporte a los servicios de información, ¿se encuentra protegido?

¿Los equipos (por ejemplo, computadores) reciben mantenimiento correcto que asegure su disponibilidad e integridad?

¿La organización utiliza medidas de eliminación o sobrescritura segura de datos sensibles y programas informáticos con licencia antes de la eliminación o reutilización de los equipos que los contienen?

¿Cuentan con protección de la información de los dispositivos de punto final de usuario? (Por ejemplo, computadores)

¿La asignación y uso de los privilegios de acceso se encuentra restringida y controlada?

¿Se restringe el acceso a la información y a las funciones en aplicaciones según el rol en la organización?

¿Se administra adecuadamente el acceso de lectura y escritura al código fuente, herramientas de desarrollo y las bibliotecas de software?

¿Se aplican procedimientos para una autenticación segura en sus tecnologías?

¿Se supervisa y ajusta la utilización de recursos, así como realizar proyecciones de los requisitos futuros de capacidad, que garantizan el rendimiento requerido del sistema?

¿Se implementa y respalda la protección contra el malware mediante la conciencia adecuada del usuario?

¿Se obtiene información, se evalúa la exposición y se toman medidas con respecto a las vulnerabilidades técnicas de los sistemas de información en uso?

¿Las configuraciones de hardware, software, servicios y redes son establecidas, documentadas, aplicadas, controladas y revisadas?

¿La información almacenada en los sistemas de información, dispositivos o cualquier otro son eliminados cuando ya no son necesarios?

¿El enmascaramiento de datos es utilizado de acuerdo con la política de la organización, teniendo en cuenta la legislación?

En los sistemas, redes y otros dispositivos que procesen, almacenen o transmitan información sensible, ¿se le han aplicado medidas de prevención ante fuga de datos?

¿Se realizan y verifican periódicamente copias de seguridad de la información, del software y del sistema?

¿Las instalaciones de procesamiento de la información se implementaron con la redundancia suficiente para cumplir los requisitos de disponibilidad?

¿Se producen, almacenan, protegen y analizan registros que recogen actividades, excepciones, fallos y otros eventos relevantes?

¿Se supervisan las redes, los sistemas y las aplicaciones para detectar comportamientos anómalos y se toman medidas adecuadas para evaluar posibles incidentes de seguridad de la información?

¿Los relojes de todos los sistemas de tratamiento de la información se encuentran sincronizados con una única fuente de tiempo precisa y acordada?

¿Se restringe y controla el uso de utilidades que puedan ser capaces de invalidar los controles de sistema y de la aplicación?

¿Se implementan procedimiento y medidas para gestionar de forma segura la instalación de software en los sistemas operativos?

¿Las redes son gestionadas y controladas para proteger la información de los sistemas y aplicaciones?

¿Son identificados, aplicados y controlados los mecanismos de seguridad, los niveles y requisitos del servicio de red?

¿Los servicios de información, los usuarios y los sistemas de información están segregados en distintas redes?

¿Se gestiona el acceso a sitios web externos para reducir la exposición a contenidos maliciosos?

¿Se encuentran definidas e implementadas reglas para el uso eficaz de la criptografía?

¿Están establecidas políticas de seguridad para el desarrollo de aplicaciones y sistemas?

¿Los requisitos de seguridad son identificados, específicos y aprobados cuando se desarrollan o adquieren aplicaciones?

¿Se establecen, documentan y mantienen los principios para la ingeniería de sistemas seguros?

¿Se aplican principios de codificación segura en el desarrollo de software?

¿Se definen y aplican las pruebas de seguridad durante el desarrollo de software?

¿La organización dirige, controla y revisa el desarrollo de sistemas subcontratados?

¿Los entornos de desarrollo, prueba y producción se encuentran separados y protegidos?

¿Son controlados en la organización los cambios, los procesos de negocios, instalaciones de tratamiento de la información y los sistemas que afectan la seguridad de la información?

¿La información de las pruebas de seguridad es seleccionada, protegida y gestionada adecuadamente?

¿Se tiene una planificación para la protección de los sistemas durante las pruebas de auditoría?

Evaluación de riesgos