Autoevaluación ISO27001

No lo seNoParcialmenteSi
5.1 Políticas de seguridad de la información: ¿Dispone su organización de políticas de seguridad de la información formalmente aprobadas y comunicadas a todos los empleados?
No lo se
No
Parcialmente
Si
5.2 Roles y responsabilidades de seguridad de la información: ¿Están claramente definidos y asignados los roles y responsabilidades de seguridad de la información en su organización?
No lo se
No
Parcialmente
Si
5.3 Segregación de funciones: ¿Tiene su organización medidas para prevenir conflictos de interés y fraude mediante la segregación de funciones?
No lo se
No
Parcialmente
Si
5.4 Responsabilidades de gestión: ¿Se aseguran los gestores de aplicar las políticas y procedimientos de seguridad de la información en sus áreas respectivas?
No lo se
No
Parcialmente
Si
5.5 Contacto con autoridades: ¿Existen procedimientos establecidos para el contacto y comunicación con las autoridades pertinentes en caso de incidentes de seguridad?
No lo se
No
Parcialmente
Si
5.6 Contacto con grupos de interés especial: ¿Mantiene su organización relaciones con grupos de interés especial o comunidades de seguridad para mantenerse al día sobre las amenazas y mejores prácticas?
No lo se
No
Parcialmente
Si
5.7 Inteligencia de amenazas: ¿Utiliza su organización inteligencia de amenazas para anticipar y mitigar potenciales ataques de seguridad?
No lo se
No
Parcialmente
Si
5.8 Seguridad de la información en la gestión de proyectos: ¿Se integra la seguridad de la información en la gestión de proyectos de su organización desde su inicio?
No lo se
No
Parcialmente
Si
5.9 Inventario de información y otros activos asociados: ¿Mantiene su organización un inventario actualizado de todos los activos de información y otros activos asociados?
No lo se
No
Parcialmente
Si
5.10 Uso aceptable de la información y otros activos asociados: ¿Existen políticas de uso aceptable y son estas conocidas y seguidas por todos los usuarios?
No lo se
No
Parcialmente
Si
5.11 Devolución de activos: ¿Tiene procesos establecidos para la devolución de activos organizativos al terminar el empleo o en cambio de roles?
No lo se
No
Parcialmente
Si
5.12 Clasificación de la información: ¿Clasifica y maneja su organización la información basándose en su nivel de sensibilidad y criticidad?
No lo se
No
Parcialmente
Si
5.13 Etiquetado de la información: ¿Utiliza su organización etiquetas para clasificar la información y garantizar que se maneje adecuadamente?
No lo se
No
Parcialmente
Si
5.14 Transferencia de información: ¿Cuenta con controles y mecanismos para proteger la información durante su transferencia tanto interna como externamente?
No lo se
No
Parcialmente
Si
5.15 Control de acceso: ¿Implementa su organización controles de acceso adecuados para limitar el acceso a la información y los sistemas de información?
No lo se
No
Parcialmente
Si
5.16 Gestión de identidad: ¿Se gestionan las identidades digitales de manera que se pueda asegurar la autenticación y autorización apropiada?
No lo se
No
Parcialmente
Si
5.17 Información de autenticación: ¿asegura su organización la gestión adecuada de la información de autenticación de los usuarios?
No lo se
No
Parcialmente
Si
5.18 Derechos de acceso: ¿se asignan, revisan y eliminan los derechos de acceso en su organización?
No lo se
No
Parcialmente
Si
5.19 Seguridad de la información en las relaciones con proveedores: ¿Evalúa y gestiona su organización los riesgos de seguridad de la información relacionados con proveedores externos?
No lo se
No
Parcialmente
Si
5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores: ¿Incluyen sus contratos con proveedores cláusulas y requisitos claros de seguridad de la información?
No lo se
No
Parcialmente
Si
5.21 Gestión de la seguridad de la información en la cadena de suministro TIC: ¿asegura su organización que la cadena de suministro TIC cumple con sus políticas y estándares de seguridad?
No lo se
No
Parcialmente
Si
5.22 Monitoreo, revisión y gestión de cambios de los servicios de proveedores: ¿Cómo monitorea y gestiona su organización los cambios en los servicios prestados por proveedores?
No lo se
No
Parcialmente
Si
5.23 Seguridad de la información para el uso de servicios en la nube: ¿Se han evaluado y mitigado los riesgos asociados con el uso de servicios en la nube?
No lo se
No
Parcialmente
Si
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información: ¿Dispone su organización de un plan de respuesta ante incidentes de seguridad de la información?
No lo se
No
Parcialmente
Si
5.25 Evaluación y decisión sobre eventos de seguridad de la información: ¿Tiene procedimientos para evaluar y tomar decisiones ante eventos de seguridad?
No lo se
No
Parcialmente
Si
5.26 Respuesta a incidentes de seguridad de la información: ¿responde su organización a los incidentes de seguridad de la información?
No lo se
No
Parcialmente
Si
5.27 Aprendizaje de incidentes de seguridad de la información: ¿Existe un proceso para aprender y mejorar a partir de los incidentes de seguridad?
No lo se
No
Parcialmente
Si
5.28 Recolección de evidencia: ¿recolecta y preserva su organización evidencias en caso de un incidente de seguridad?
No lo se
No
Parcialmente
Si
5.29 Seguridad de la información durante interrupciones: ¿protege su organización la información durante interrupciones en la operatividad?
No lo se
No
Parcialmente
Si
5.30 Preparación TIC para la continuidad del negocio: ¿Está preparada su infraestructura TIC para respaldar la continuidad del negocio ante interrupciones?
No lo se
No
Parcialmente
Si
5.31 Requisitos legales, estatutarios, regulatorios y contractuales: ¿garantiza su organización el cumplimiento con las obligaciones legales y contractuales?
No lo se
No
Parcialmente
Si
5.32 Derechos de propiedad intelectual: ¿Tiene procesos para proteger los derechos de propiedad intelectual asociados con la información y los servicios TIC?
No lo se
No
Parcialmente
Si
5.33 Protección de registros: ¿asegura la protección de los registros de su organización contra pérdida, destrucción y falsificación?
No lo se
No
Parcialmente
Si
5.34 Privacidad y protección de PII: ¿Qué medidas aplica su organización para proteger la privacidad y la información personal identificable?
No lo se
No
Parcialmente
Si
5.35 Revisión independiente de la seguridad de la información: ¿se llevan a cabo las revisiones independientes de la seguridad de la información en su organización?
No lo se
No
Parcialmente
Si
5.36 Cumplimiento con políticas, reglas y estándares para la seguridad de la información: ¿verifica su organización el cumplimiento de las políticas, reglas y estándares de segurida
No lo se
No
Parcialmente
Si
No lo seNoParcialmenteSi
6.1 Evaluación previa: ¿Tiene su organización un proceso de evaluación previa para el personal antes de la contratación que incluye verificación de antecedentes?
No lo se
No
Parcialmente
Si
6.2 Términos y condiciones de empleo: ¿Están claramente definidos y comunicados los términos y condiciones de seguridad de la información en los contratos de empleo?
No lo se
No
Parcialmente
Si
6.3 Concienciación, educación y formación en seguridad de la información: ¿Proporciona su organización formación y sensibilización en seguridad de la información de manera regular a todos los empleados?
No lo se
No
Parcialmente
Si
6.4 Proceso disciplinario: ¿Existen procesos disciplinarios establecidos para las violaciones de las políticas de seguridad de la información?
No lo se
No
Parcialmente
Si
6.5 Responsabilidades después de la terminación o cambio de empleo: ¿Se informa y se gestionan adecuadamente las responsabilidades de seguridad de la información cuando un empleado deja la empresa o cambia de puesto?
No lo se
No
Parcialmente
Si
6.6 Acuerdos de confidencialidad o de no divulgación: ¿Requiere su organización que los empleados firmen acuerdos de confidencialidad o de no divulgación al iniciar su relación laboral?
No lo se
No
Parcialmente
Si
6.7 Trabajo remoto: ¿Tiene su organización políticas y controles de seguridad establecidos para el trabajo remoto?
No lo se
No
Parcialmente
Si
6.8 Reporte de eventos de seguridad de la información: ¿Existen mecanismos y procedimientos claramente establecidos para el reporte de eventos de seguridad de la información?
No lo se
No
Parcialmente
Si
No lo seNoParcialmenteSi
7.1 Perímetros de seguridad física: ¿Dispone su organización de barreras físicas y controles para proteger el perímetro de las instalaciones?
No lo se
No
Parcialmente
Si
7.2 Entrada física: ¿Se controla y se registra el acceso físico a las instalaciones de su organización?
No lo se
No
Parcialmente
Si
7.3 Aseguramiento de oficinas, habitaciones e instalaciones: ¿Están aseguradas adecuadamente las oficinas y otras áreas críticas para prevenir accesos no autorizados?
No lo se
No
Parcialmente
Si
7.4 Monitoreo de seguridad física: ¿Se monitorean las instalaciones para detectar y responder a actividades no autorizadas?
No lo se
No
Parcialmente
Si
7.5 Protección contra amenazas físicas y ambientales: ¿Están protegidas sus instalaciones contra amenazas físicas y ambientales como incendios, inundaciones y desastres naturales?
No lo se
No
Parcialmente
Si
7.6 Trabajo en áreas seguras: ¿Tiene su organización áreas seguras donde se maneja información sensible y se restringe el acceso solo al personal autorizado?
No lo se
No
Parcialmente
Si
7.7 Escritorio limpio y pantalla limpia: ¿Se promueve y cumple la política de escritorio limpio y pantalla limpia en su organización para reducir el riesgo de fuga de información?
No lo se
No
Parcialmente
Si
7.8 Ubicación y protección del equipo: ¿Está el equipo crítico ubicado en áreas seguras y protegido contra amenazas potenciales?
No lo se
No
Parcialmente
Si
7.9 Seguridad de los activos fuera de las instalaciones: ¿asegura su organización la seguridad de los activos cuando se encuentran fuera de las instalaciones?
No lo se
No
Parcialmente
Si
7.10 Medios de almacenamiento: ¿Se manejan y almacenan de manera segura los medios de almacenamiento que contienen información sensible?
No lo se
No
Parcialmente
Si
7.11 Utilidades de soporte: ¿Cuenta su organización con medidas para proteger las utilidades de soporte críticas como el suministro eléctrico y el agua?
No lo se
No
Parcialmente
Si
7.12 Seguridad del cableado: ¿Están protegidos los cables de red y de energía de su organización para evitar daños y accesos no autorizados?
No lo se
No
Parcialmente
Si
7.13 Mantenimiento del equipo: ¿Se realiza el mantenimiento regular del equipo para asegurar la continuidad y la seguridad de la información?
No lo se
No
Parcialmente
Si
7.14 Eliminación segura o reutilización del equipo: ¿Dispone su organización de procedimientos para la eliminación segura o la reutilización del equipo que eviten la fuga de información?
No lo se
No
Parcialmente
Si
No lo seNoParcialmenteSi
8.1 Dispositivos de punto final de usuario: ¿Tiene su organización políticas y controles para gestionar la seguridad de los dispositivos de punto final utilizados por los usuarios?
No lo se
No
Parcialmente
Si
8.2 Derechos de acceso privilegiado: ¿gestiona y supervisa su organización los derechos de acceso privilegiado para evitar abusos?
No lo se
No
Parcialmente
Si
8.3 Restricción de acceso a la información: ¿Están implementados mecanismos efectivos para restringir el acceso a la información sensible y asegurar que solo el personal autorizado puede acceder?
No lo se
No
Parcialmente
Si
8.4 Acceso al código fuente: ¿Se controla y se restringe adecuadamente el acceso al código fuente de las aplicaciones de la organización?
No lo se
No
Parcialmente
Si
8.5 Autenticación segura: ¿Utiliza su organización métodos de autenticación seguros para verificar la identidad de los usuarios antes de conceder acceso a los sistemas de información?
No lo se
No
Parcialmente
Si
8.6 Gestión de la capacidad: ¿Monitorea y gestiona su organización la capacidad de los recursos de TI para asegurar la continuidad y eficiencia del servicio?
No lo se
No
Parcialmente
Si
8.7 Protección contra malware: ¿Tiene su organización implementadas soluciones actualizadas de protección contra malware en todos los sistemas susceptibles?
No lo se
No
Parcialmente
Si
8.8 Gestión de vulnerabilidades técnicas: ¿identifica y gestiona su organización las vulnerabilidades técnicas en sus sistemas de información?
No lo se
No
Parcialmente
Si
8.9 Gestión de la configuración: ¿Dispone su organización de un proceso de gestión de la configuración para mantener la integridad de los sistemas de información a lo largo del tiempo?
No lo se
No
Parcialmente
Si
8.10 Eliminación de información: ¿Existen procedimientos establecidos para la eliminación segura de la información que ya no se necesita?
No lo se
No
Parcialmente
Si
8.11 Enmascaramiento de datos: ¿Se utilizan técnicas de enmascaramiento de datos cuando se muestra información sensible a usuarios no autorizados?
No lo se
No
Parcialmente
Si
8.12 Prevención de fuga de datos: ¿Emplea su organización herramientas y políticas para prevenir la fuga de datos confidenciales?
No lo se
No
Parcialmente
Si
8.13 Respaldo de información: ¿Se realizan y prueban regularmente copias de seguridad para asegurar la recuperación de la información en caso de pérdida?
No lo se
No
Parcialmente
Si
8.14 Redundancia de instalaciones de procesamiento de información: ¿Cuenta su organización con redundancia en las instalaciones críticas para el procesamiento de la información?
No lo se
No
Parcialmente
Si
8.15 Registro (Logging): ¿Se registran y monitorean las acciones clave en los sistemas de información para detectar y responder a actividades sospechosas?
No lo se
No
Parcialmente
Si
8.16 Actividades de monitoreo: ¿se monitorean las actividades en los sistemas y redes para asegurar la detección temprana de incidentes de seguridad?
No lo se
No
Parcialmente
Si
8.17 Sincronización de relojes: ¿Se sincronizan los relojes de los sistemas de información de su organización para garantizar registros consistentes para el análisis forense?
No lo se
No
Parcialmente
Si
8.18 Uso de programas de utilidad privilegiados: ¿controla su organización el uso de programas de utilidad con privilegios para evitar su mal uso?
No lo se
No
Parcialmente
Si
8.19 Instalación de software en sistemas operativos: ¿Existen controles para la instalación de software en sistemas operativos para prevenir la instalación de software malicioso o no autorizado?
No lo se
No
Parcialmente
Si
8.20 Seguridad de redes: ¿Están protegidas las redes de su organización contra accesos no autorizados y otras amenazas de seguridad?
No lo se
No
Parcialmente
Si
8.21 Seguridad de servicios de red: ¿se asegura la seguridad de los servicios de red que su organización ofrece o utiliza?
No lo se
No
Parcialmente
Si
8.22 Segregación de redes: ¿Se segregan las redes críticas para evitar el acceso no autorizado y para reducir el alcance de posibles incidentes de seguridad?
No lo se
No
Parcialmente
Si
8.23 Filtrado web: ¿Utiliza su organización filtrado web para controlar el acceso a contenido potencialmente malicioso o no deseado?
No lo se
No
Parcialmente
Si
8.24 Uso de criptografía: ¿Implementa su organización criptografía para proteger la confidencialidad, integridad y autenticidad de la información?
No lo se
No
Parcialmente
Si
8.25 Ciclo de vida de desarrollo seguro: ¿Se sigue un ciclo de vida de desarrollo seguro que incluye consideraciones de seguridad en cada etapa del desarrollo de sistemas de información?
No lo se
No
Parcialmente
Si
8.26 Requisitos de seguridad de aplicaciones: ¿se identifican y gestionan los requisitos de seguridad en el desarrollo y adquisición de aplicaciones de su organización?
No lo se
No
Parcialmente
Si
8.27 Arquitectura de sistemas segura y principios de ingeniería: ¿Se aplican principios de arquitectura y de ingeniería segura en el diseño e implementación de los sistemas de información?
No lo se
No
Parcialmente
Si
8.28 Codificación segura: ¿Adopta su organización prácticas de codificación segura para prevenir vulnerabilidades en el software?
No lo se
No
Parcialmente
Si
8.29 Pruebas de seguridad en desarrollo y aceptación: ¿Incluye su organización pruebas de seguridad en las fases de desarrollo y aceptación para identificar y remediar fallos de seguridad?
No lo se
No
Parcialmente
Si
8.30 Desarrollo subcontratado: ¿Gestiona su organización la seguridad de los desarrollos de software subcontratados para asegurar que cumplen con sus estándares de seguridad?
No lo se
No
Parcialmente
Si
8.31 Separación de entornos de desarrollo, prueba y producción: ¿Se separan claramente los entornos de desarrollo, prueba y producción para evitar impactos adversos en la producción?
No lo se
No
Parcialmente
Si
8.32 Gestión de cambios: ¿Cuenta su organización con un proceso formal de gestión de cambios para controlar modificaciones en los sistemas de información?
No lo se
No
Parcialmente
Si
8.33 Información de prueba: ¿Asegura su organización que la información de prueba es representativa pero no expone datos reales sensibles?
No lo se
No
Parcialmente
Si
8.34 Protección de sistemas de información durante auditorías de prueba: ¿Se protegen los sistemas de información durante las pruebas de auditoría para prevenir impactos en la operatividad?
No lo se
No
Parcialmente
Si