ISO/IEC 27001:2022

Análisis de Brecha de Seguridad de la Información

12 categorías · 43 preguntas · Resultado inmediato

Datos de la organización

0 de 0 respondidas
0%
5.GOB Gobernanza y Organización
¿Existe una política de seguridad de la información aprobada por la dirección, publicada y comunicada a toda la organización? (Control 5.1)
¿Están claramente definidos y asignados los roles y responsabilidades de seguridad, incluyendo un responsable de seguridad de la información (CISO o equivalente)? (Control 5.2)
¿Existe segregación de funciones en tareas críticas para evitar conflictos de interés y acciones no autorizadas? (Control 5.3)
¿La dirección promueve activamente la seguridad de la información, integra la seguridad en los objetivos del negocio y revisa el desempeño del SGSI al menos una vez al año? (Control 5.4)
¿La seguridad de la información se integra desde el inicio en todos los proyectos y procesos de cambio organizacional? (Control 5.8)
¿Existen procedimientos operativos documentados para todas las actividades de procesamiento de información críticas? (Control 5.37)
5.AME Inteligencia de Amenazas Énfasis 2022
¿La organización recopila y analiza información sobre amenazas de ciberseguridad relevantes para su sector e industria? (Control 5.7 — NUEVO 2022)
¿Se utilizan fuentes externas de inteligencia (CERTs, ISACs, proveedores de threat intel) para mantenerse informado sobre nuevas amenazas y vulnerabilidades? (Control 5.7)
¿La información de amenazas se comparte con las áreas relevantes (TI, operaciones, dirección) de forma oportuna y accionable? (Control 5.7)
¿Se realizan evaluaciones periódicas de riesgos que incorporen el panorama actual de amenazas específicas del sector? (Control 5.7)
5.ACT Gestión de Activos e Información
¿Existe un inventario completo y actualizado de todos los activos de información, incluyendo datos, software, hardware, servicios y activos de nube? (Control 5.9)
¿Todos los activos tienen un propietario designado, responsable de su protección y del cumplimiento de las políticas aplicables? (Control 5.9)
¿Existe un esquema de clasificación de la información (ej. Público, Interno, Confidencial, Secreto) aplicado consistentemente en toda la organización? (Control 5.12)
¿Existen políticas y procedimientos para la eliminación segura e irreversible de información cuando ya no es necesaria o cuando se retiran equipos? (Control 8.10 — NUEVO 2022)
¿Se aplica enmascaramiento o anonimización de datos sensibles en entornos de prueba, analítica y en cualquier caso donde el acceso a datos reales no sea necesario? (Control 8.11 — NUEVO 2022)
5.ACC Control de Acceso e Identidades
¿Existe una política de control de acceso basada en el principio de mínimo privilegio, con procesos formales de solicitud, aprobación, revisión y revocación de accesos? (Control 5.15, 5.18)
¿Se gestiona el ciclo de vida completo de las identidades digitales: creación, modificación, revisión periódica y baja inmediata al desvincularse un empleado o cambiar de rol? (Control 5.16)
¿Se implementa autenticación multifactor (MFA) para todos los accesos remotos, sistemas críticos, cuentas privilegiadas y aplicaciones sensibles? (Control 8.5)
¿Se revisan formalmente los derechos de acceso de todos los usuarios al menos cada 6 meses, y de manera inmediata ante cambios de rol o desvinculación? (Control 5.18)
¿Existen controles para detectar y prevenir la fuga de datos (DLP) en canales como email, USB, impresión y transferencias a servicios en nube no autorizados? (Control 8.12 — NUEVO 2022)
5.TER Proveedores y Servicios en Nube Énfasis 2022
¿Todos los contratos con proveedores que acceden o procesan información de la organización incluyen requisitos explícitos de seguridad, confidencialidad y derecho a auditoría? (Control 5.20)
¿Se evalúan los riesgos de seguridad de los proveedores antes de contratarlos y se monitorea su cumplimiento durante toda la relación comercial? (Control 5.19, 5.22)
¿Existe una política específica para la adopción y uso seguro de servicios en la nube, que incluya evaluación de riesgos, clasificación de datos permitidos y controles de acceso? (Control 5.23 — NUEVO 2022)
¿Se gestionan activamente los riesgos de la cadena de suministro de TIC, incluyendo software de terceros, componentes de hardware y servicios gestionados? (Control 5.21)
5.INC Gestión de Incidentes
¿Existe un procedimiento documentado para la gestión de incidentes de seguridad que cubra detección, clasificación, respuesta, escalamiento y cierre? (Control 5.24)
¿Todos los empleados saben cómo reportar eventos o debilidades de seguridad, y existe un canal claro y accesible para hacerlo? (Control 6.8)
¿Se realizan análisis post-incidente (post-mortem) para identificar causas raíz, lecciones aprendidas y mejoras a los controles existentes? (Control 5.27)
¿Existe un proceso para preservar evidencia forense de incidentes de seguridad de forma que sea admisible y útil para investigaciones o acciones legales? (Control 5.28)
5.CON Continuidad y Resiliencia TIC
¿Existe un plan de continuidad del negocio (BCP) y recuperación ante desastres (DRP) que contemple específicamente la disponibilidad de los sistemas de información críticos? (Control 5.29)
¿La organización ha evaluado y planificado la resiliencia de sus sistemas TIC para garantizar la continuidad de operaciones ante ciberataques, fallos de infraestructura o desastres? (Control 5.30 — NUEVO 2022)
¿Los planes de continuidad y recuperación se prueban con simulacros o ejercicios al menos una vez al año, y se actualizan en función de los resultados? (Control 5.29)
¿Los sistemas críticos tienen redundancia (alta disponibilidad, failover) y los tiempos de recuperación (RTO/RPO) están definidos y son alcanzables? (Control 8.14)
5.CMP Cumplimiento y Privacidad
¿Se han identificado todas las leyes, regulaciones y obligaciones contractuales aplicables a la seguridad y privacidad de la información (GDPR, Ley 1581, etc.)? (Control 5.31)
¿Existe una política y controles específicos para la protección de datos personales, incluyendo derechos del titular, bases legales de tratamiento y notificación de brechas? (Control 5.34)
¿Se realizan auditorías internas o revisiones independientes del SGSI al menos una vez al año para verificar el cumplimiento de controles? (Control 5.35)
¿Se protege activamente la propiedad intelectual y se controla el uso de software licenciado, evitando la instalación de software no autorizado? (Control 5.32)
6.PER Seguridad del Personal
¿Se realizan verificaciones de antecedentes (penales, laborales, académicos) proporcionales al nivel de acceso y sensibilidad del rol antes de contratar personal? (Control 6.1)
¿Los contratos de trabajo incluyen cláusulas de confidencialidad, responsabilidades de seguridad y consecuencias del incumplimiento? (Control 6.2, 6.6)
¿Todos los empleados reciben formación en seguridad de la información al incorporarse y de forma continua (al menos anual), incluyendo concienciación sobre phishing y ingeniería social? (Control 6.3)
¿Existe un proceso formal y sistemático de offboarding que incluye revocación inmediata de todos los accesos, recuperación de dispositivos y actualización de credenciales compartidas? (Control 6.5)
¿Existen políticas y controles de seguridad específicos para el trabajo remoto y dispositivos móviles, incluyendo VPN, cifrado de disco y gestión de dispositivos (MDM)? (Control 6.7)
7.FIS Seguridad Física y Ambiental
¿Las áreas que contienen información sensible o infraestructura crítica tienen perímetros de seguridad física con control de acceso (tarjetas, biometría, cámaras)? (Control 7.1, 7.2)
¿Se monitorea continuamente la seguridad física de las instalaciones mediante sistemas de videovigilancia, alarmas u otros mecanismos de detección? (Control 7.4 — NUEVO 2022)
¿Los equipos están protegidos contra amenazas físicas y ambientales como incendio, inundación, temperatura extrema y cortes de energía (UPS, sistemas de extinción)? (Control 7.5, 7.11)
¿Existe control de entrada y salida de equipos, medios de almacenamiento y documentos sensibles de las instalaciones, con registros auditables? (Control 7.10)
¿Los equipos dados de baja son sometidos a un proceso certificado de borrado seguro de datos antes de su reutilización, donación o reciclaje? (Control 7.14)
8.OPS Operaciones y Ciberseguridad
¿Existe un proceso de gestión de vulnerabilidades técnicas que incluye escaneo periódico, priorización basada en riesgo y aplicación de parches dentro de plazos definidos? (Control 8.8)
¿Existe un proceso formal de gestión de configuración que asegura que los sistemas se despliegan con configuraciones seguras (hardening) y que los cambios son controlados? (Control 8.9 — NUEVO 2022)
¿Se generan, protegen y analizan logs de seguridad de todos los sistemas críticos, con retención suficiente para investigaciones forenses y con alertas sobre eventos anómalos? (Control 8.15, 8.16 — NUEVO 2022)
¿Se utiliza filtrado web para bloquear acceso a sitios maliciosos, categorías de riesgo y descarga de contenido no autorizado desde la red corporativa? (Control 8.23 — NUEVO 2022)
¿Las copias de seguridad se realizan con frecuencia adecuada, se almacenan en ubicación separada (offsite/nube), están cifradas y se prueban periódicamente para verificar su restauración? (Control 8.13)
¿Las redes están segmentadas (producción, desarrollo, usuarios, invitados, OT/IoT) y se controla el tráfico entre segmentos mediante firewalls o microsegmentación? (Control 8.22)
¿Se utiliza cifrado para proteger información sensible tanto en tránsito (TLS 1.2+) como en reposo, con gestión adecuada de claves criptográficas? (Control 8.24)
8.DES Desarrollo y Código Seguro
¿Los requisitos de seguridad se definen y documentan desde las fases iniciales del ciclo de vida del desarrollo de software (Security by Design)? (Control 8.25, 8.26)
¿Los desarrolladores siguen estándares de codificación segura (OWASP, CERT) y reciben formación específica en desarrollo seguro para evitar vulnerabilidades como inyección SQL, XSS y desserialización? (Control 8.28 — NUEVO 2022)
¿Se realizan pruebas de seguridad (SAST, DAST, pentesting) antes de llevar cualquier aplicación o cambio significativo a producción? (Control 8.29)
¿Los entornos de desarrollo, pruebas y producción están completamente separados, con controles para evitar que datos reales sean usados en entornos no productivos? (Control 8.31)
¿Se gestiona la seguridad del desarrollo externalizado o de componentes de terceros (librerías, APIs, SDKs), incluyendo análisis de composición de software (SCA)? (Control 8.30)