Identificador

Gestión de activos
1. Verificar si los dispositivos y sistemas están inventariados.
2. Verificar si los sistemas operativos y aplicaciones esta inventariadas.
3. Verificar si la red está mapeada.
4. Verificar si recursos como hardware, dispositivos, sistemas se priorizan
en función de su clasificación, criticidad y valor comercial.
5. Verificar si están establecidos los roles y responsabilidades de
ciberseguridad para los trabajadores y terceros interesados (clientes
externos o usuarios externos)
Ambiente de negocios
1. Verificar si el papel de la organización en la cadena de suministros (la
planificación de las actividades involucradas en la búsqueda,
obtención y transformación de los productos en bienes o servicios),
está identificada y es conocida por todos los involucrados.
2. (punto 3 en el excel) Verificar si se ha identificado y se han dado a
conocer las actividades para alcanzar la misión y objetivos de la
empresa.
3. Verificar si se establecen tareas y funciones a cada dependencia para
el funcionamiento de los servicios críticos.
4. Verificar si los requerimientos para el respaldar el funcionamiento de
los servicios críticos comprenden eventos como ataques,
recuperación y operaciones regulares.
Governance
1. Verificar si las políticas de ciberseguridad están establecidas y han
sido comunicadas a todo el personal involucrado.
2. Verificar si os roles y responsabilidades con respecto a la
ciberseguridad han sido alineados con los roles internos y terceros
interesados.(Cada usuario conoce su rol y las tareas a realizar ante un
evento de ciberseguridad)
3. Verificar si se tienen en cuenta los requisitos legales con respecto a la
ciberseguridad, por ejemplo, como es manejada la privacidad y
libertades civiles de los ususarios.
4. Verificar si en los procesos de gobierno está comprendida la gestión
de riesgos de ciberseguridad.
Gestion de riesgos
1. Verificar si los procesos de gestión de riesgos están establecidos y
comunicados al personal.
Evaluacion de riesgos
1. Verificar si las vulnerabilidades de los activos del negocio han sido
identificadas y documentadas.
 2. Verificar si las amenazas internas y eternas están identificadas y
documentadas.
3. Verificar si han sido identificadas los impactos y probabilidades de
los riegos potenciales en la organización.
4. Verificar si las respuestas a los riesgos han sido identifiacas y
priorizadas.
Proteger
Gestion de identificación, autenticación y control de accesos
1. Verificar si las identificaciones o credenciales para dispositivos,
usuarios y procesos autorizados son administrados.
2. Verificar si el acceso físico a los activos de la empresa se gestionan y
se protegen.
3. Verificar si el acceso remoto es gestionado.
4. Verifica si los permisos de accesos están alineados a las funciones de
cada usuario.
5. La seguridad de la red es gestionada.
6. Se puede rastrear las tareas de los usuarios (bitácoras, registros, etc)
Seguridad de los datos
1. Verifica si la información compartida mediante medio digitales está
protegida.
2. Verificar si la información que navega en la red de la organización
está protegida (encriptación u otro tipo de seguridad).
3. Verificar si existe la capacidad y medidas adecuadas para garantizar
la disponibilidad de la red y los datos.
4. Verificar si se gestiona la protección por filtración de datos.
5. Verificar si se tiene implementado un entorno de desarrollo y pruebas
antes de llevar un producto o servicio al entorno de producción.
6. Verificar si los mecanismos de seguridad abarcan actividades para
verificar la integridad e identificación de hardware.
Seguridad de la información
1. Verificar si se tienen en cuenta principios de seguridad en el
desarrollo y control de sistemas.
2. Verificar si se llevan a cabo copias de seguridad y si estas pasan por
mantenimientos y se prueban regularmente.
3. Verificar si se cuenta con políticas de destrucción de los datos o
información.
4. Verificar si se tienen políticas de mejora de protección de la
información
5. Verificar si existen planes de respuesta en cuanto a la recuperación de
la información en caso sucedan incidentes que afecten a
esta(desastres,ataques,accidentes).
6. Verificar si la ciberseguridad está incluida en las prácticas del
personal(si las prácticas de ciberseguridad son conocidas y puesta en
práctica por el personal).
 7. Verificar si existe un plan de manejo de vulnerabilidades desarrollado
e implementado.
Mantenimiento
1. Verificar si las operaciones de mantenimiento y reparación de los
activos de la empresa se registran y se realizan con herramientas
probadas y controladas.
2. Verificar si el mantenimiento remoto de los activos e realiza y se
registra de tal manera que se evite el acceso no autorizado.
Tecnologia de la protección
1. Verificar si los registros de auditoria se documentan, implementan y
revisan de acuerdo a las políticas de la organización.
2. Verificar si los medios extraíbles se encuentran restringidos o
controlados de acuerdo a alguna política dentro de la empresa(log,
norma de seguridad, etc).
3. Verificar si la red y otras formas de comunicación están protegidas.
4. Verificar si se tienen mecanismos de equilibrio de carga, a prueba de
fallos, para lograr el normal funcionamiento ya sea en situaciones
normales o adversas(según me contaste creo que no hay).
Deteccion
Analisis y anomalía de eventos
1. Verificar si se tiene establecido un lineamiento base para las
operaciones de red y flujos de datos esperados para usuarios y
sistemas (de modo que se puedan reconocer eventos extraños dentro
de la red)
2. Verificar si existen mecanismos para la detección de eventos
3. Verificar si se tienen mecanismos de alerta contra incidentes o
eventos extraños dentro de la red. (algo parecido a seguridad en
puertos “por asi decirlo”)
4. El impacto de un posible evento potencial es conocido.
Monitoreo continuo de la seguridad
1. Verificar si se monitorea la red para detectar potenciales eventos de
ciberseguridad.
2. Verificar si se monitorea el entorno físico para detectar eventos de
ciberseguridad.
3. Verificar si se realiza monitoreo de personal no autorizado,
conexiones, dispositivos y software no identificado.
4. Verificar si la actividad de los proveedores externos de servicios
(internet por ejemplo) es monitoeado para detectar un posible evento
de ciberseguridad
5. Verificar si se realizan escaneos de seguridad regularmente