ISO/IEC 27001:2013 ISMS

Statement of Applicability
Controls Status (gap analysis
Introduction
This spreadsheet is used to record and track the status of your organization as you implement the mandatory and discretionary elements o

The main body of ISO/IEC 27001 formally specifies a number of mandatory requirements that must be fulfilled in order for an Information
mandatory requirements for certification concern the management system rather than the information security controls. For example,
assess them, decide how those risks are to be treated, treat them and monitor them, using the policies and procedures defined in the ISM
However, Annex A to '27001 outlines a suite of information security controls that the management system would typically be used to man
security risks). The security controls in Annex A are explained in much more detail in ISO/IEC 27002, and in various other standards, laws,
Instructions
1. Design and implement an ISMS complying with all the mandatory elements specified in the main body of ISO/IEC 27001, using the drop
record its status.
2. Identify and assess the information security risks facing those parts of the organization that are declared in scope for your ISMS, identif
column of the annex A controls sheet. Note: do not feel constrained by Annex A! Adapt the sheet, modifying the wording and adding ad
security risks and obligations (e.g. ISO 22301, privacy laws, PCI-DSS etc.). Annex A is merely a guide, a starting point.
3. Systematically check and record the status of your security risks and controls, updating the status column of Annex A sheet accordingly
4. Once your ISMS is operating normally, the metrics are looking good and you have amassed sufficient evidence ("records"), it can be for
that your ISMS fulfills the standard's mandatory requirements, and that your in-scope information security risks are being identified, treat
should both be maintained i.e. updated when the information security risks or controls change, and periodically reviewed/audited.
History and acknowledgements
Bala Ramanan donated the original ISO/IEC 27001:2005 version of the 27001 requirements worksheet. Joel Cort added the SoA workshee
Ed Hodgson updated the workbook for ISO/IEC 27001:2013. Gary Hinson fiddled with the wording and formatting, splitting out the metric
Jonatan Guaita translated the workbook to Spanish and added resource (Recurso) and questions (Preguntas) fields to serve a guideline for
ISO27k Toolkit.
Copyright
This work is copyright © 2014, ISO27k Forum, some rights reserved.  It is licensed under the Creative Commons Attribution-Noncommercia
works from this provided that (a) it is not sold or incorporated into a commercial product, (b) it is properly attributed to the ISO27k Forum
are subject the same copyright terms as this.
Note: you need licensed copies of both ISO/IEC 27001 and 27002 to make much sense of this, and other ISO27k standards are also highly
shortened the wording of the standards in ways that may not entirely fulfill their meaning or intent. The definitive references are the ISO2
Please visit ISO27001security.com for further advice and guidance on the ISO27k standards, including the ISO27k Forum and many other u
www.ISO27001security.com
https://www.iso27000.es/iso27002.html
 Estado de Implementación ISO 27001
Sección Requerimientos ISO 27001 Estado Recurso Preguntas
4 Contexto de la organización
4.1 Comprensión de la organización y de su contexto

¿Cuá les son las fuentes de riesgo?

¿Qué amenazas presenta?
Determinar los objetivos del SGSI de la organizació n y cualquier problema que pueda ¿Cuá l es el valor agregado de los activos de
4.1 afectar su eficacia Optimizado informació n para la Organizació n?
¿Có mo se implementaría la autenticació n y
la autorizació n dentro del sistema de
informació n?

4.2 Comprensión de las necesidades y expectativas de las partes interesadas

Identificar las partes interesadas incluyendo leyes aplicables, regulaciones, contratos, ¿Có mo podrían verse afectadas la
4.2 (a) Definido confidencialidad, la integridad y la
etc. disponibilidad de la informació n?

¿Có mo se gestiona el proveedor de riesgo

dentro de la seguridad de informació n?
¿Có mo maneja el proveedor los desastres
4.2 (b) Determinar los requerimientos y obligaciones relevantes de seguridad de la informació n Optimizado que afecten a los centros de datos o
conexiones?
¿Có mo aseguran que su personal trabaja con
medidas de seguridad?

4.3 Determinación del alcance del SGSI

¿Con qué base se preserva la seguridad de

informació n?
¿Qué impacto tendría una divulgació n
4.3 Determinar y documentar el alcande del SGSI Administrado involuntaria?
¿Cuá l sería el impacto de la pé rdida de
confianza en la integridad de su
informació n?

4.4 SGSI

¿Có mo mejorar de forma continua el sistema

de riesgo?
Establecer, implementar, mantener y mejorar de forma continua el SGSI acorde al ¿Con que tiempo determinado requiere la
4.4 estandar Administrado actualizació n de software?
¿Có mo se tiene monitoreado la
administració n dentro del centro de redes?

5 Liderazgo
5.1 Liderazgo y compromiso

5.1 La administració n debe demostrar liderazgo y compromiso por el SGSI ? Desconocido

5.2 Política

¿Qué plan de prevenció n cuenta la seguridad

ante algú n ataque de riesgo de informació n?
¿Cuá les serían las personas autorizadas para
5.2 Documentar la Política de Seguridad de la Informacion Optimizado el manejo de la informació n dentro del á rea?
¿Qué tipo de confidencialidad se tiene para
mantener la informació n en entornos
privados?

5.3 Roles, responsabilidades y autoridades en la organización

¿Qué roles tendría una persona para el
5.3 Asignar y comunicar los roles y responsabilidades de seguridad de la informació n Definido acceso a una informació n?

6 Planificación
6.1 Acciones para tratar los riesgos y oportunidades

¿Quié n es responsable de administrar los

riesgos de informació n y que tipo de
medidas implementa para prevenir algú n
6.1.1 Diseñ ar el SGSI para satisfacer los requerimientos, tratando riesgos e identificando Administrado ataque imprevisto?
oportunidades
En la parte de logística de redes ¿Qué
control tiene para complementar los
requisitos dentro del á rea de seguridad?

¿Qué tipo de procesos de gestió n de

configuració n se implementaría para
6.1.2 Definir e implementar un proceso de aná lisis de riesgos de seguridad de la informació n Administrado realizar cambios y aseguramiento de calidad
dentro del á rea de redes?

¿Qué mecanismo se implementa para

evaluar las vulnerabilidades y qué medidas
Documentar e implementar un proceso de tratamiento de riesgos de seguridad de la se toma frente a un mantenimiento
6.1.3 informació n Optimizado improvisado?
¿Qué proceso o política se tiene para realizar
la supervisió n y medició n del servicio?

6.2 Objetivos de seguridad de la información y planificación para su consecución

¿Qué tiempo determinado tiene cada

objetivo al establecer los procesos de
Establecer y documentar los planes y objetivos de la seguridad de la informació n seguridad en la informació n?
6.2 Administrado ¿Qué tipo de planes estraté gicos determina
la organizació n para probar los controles
internos dentro del á rea de redes?

7 Soporte
7.1 Recursos

¿Cuá l es la relevancia de cada recurso al ser

protegido?
7.1 Determinar y asignar los recursos necesarios para el SGSI Definido ¿Cuá les son las amenazas má s probables y
que control se usa para salvaguardar la
informació n?

7.2 Competencia

7.2 Determinar, documentar hacer disponibles las competencias necesarias ? Desconocido

7.3 Concienciación

¿Qué tipo de programa se implementaría

para mantener nuestra informació n de
forma segura sin intermediarios dentro de
las redes?
7.3 Implementar un programa de concianciació n de seguridad Optimizado ¿Qué aplicativo se usa para priorizar el
compartimiento de informació n dentro de
las computadoras que pertenecen a la
organizació n?

7.4 Comunicación

¿Qué permisos tiene cada usuario dentro de

la organizació n para visualizar la
informació n a la cual tienen acceso?
7.4 Determinar la necesidades de comunicació n internas y externas relacionadas al SGSI Administrado ¿Qué medios usan los usuarios para
compartir informació n dentro de la
organizació n?

7.5 Información documentada

7.5.1 Proveer documentacion requerida por el estandar má s la requerida por la organizació n ? Desconocido

7.5.2 Proveer un titulo, autor, formato consistente, revisió n y aprovacion a los documentos ? Desconocido

¿Qué documentos se digitalizan e indexan en

la Organizació n?
¿En qué periodo de monitorizació n se
7.5.3 Mantener un control adecuado de la documentació n Optimizado emplean los reportes para visualizar los
registros de actividad que presenta la
organizació n?

8 Operación
8.1 Planificación y control operacional

¿Qué implementació n de informació n se

necesita para prevenir errores de seguridad
Planificar, implementar, controlar y documentar el proceso de gestion de riesgos del SGSI informá tica?
8.1 (Tratamiento de riesgos) Administrado ¿Qué planes de contingencia se usaría para
tratar cualquier tipo de riesgo en caso de
pé rdida de informació n?

8.2 Apreciación de los riesgos de seguridad de la información

¿Qué tipo de evaluació n se debe contemplar

para tratar los riesgos dentro de la
organizació n?
8.2 Evaluar y documentar los riesgos de seguridad regularmente y cuando hay cambios Optimizado ¿Qué requisitos se debe tener al momento
de realizar algú n cambio dentro de la
infraestructura de redes al instante de
evaluar los riesgos?

8.3 Tratamiento de los riesgos de seguridad de la información

¿Qué plan de tratamiento de riesgos se

realizaría para obtener los mejores
resultados de mejoría dentro de la
8.3 Implementar un plan de tratamiento de riesgos y documentar los resultados Optimizado organizació n?
¿Qué medidas de seguridad se
implementarían para que la informació n no
entre en riesgo de terceros?

9 Evaluación del desempeño

9.1 Seguimiento, medición, análisis y evaluación

¿Cuá l es el grado de efectividad al realizar

un seguimiento dentro de la infraestructura
9.1 Realizar un seguimiento, medició n, aná lisis y evaluació n del SGSI y los controles Administrado de redes para verificar los aná lisis de
desempeñ o de la organizació n?

9.2 Auditoría interna

¿Qué procesos se debe tener en cuenta para

9.2 Planificar y realizar una auditoria interna del SGSI Optimizado formular una auditoria para examinar y
evaluar su actividad informá tica?

9.3 Revisión por la dirección

¿Qué periodo se necesita para la revisió n

9.3 La administració n realiza una revision periodica del SGSI Optimizado practica dentro de los recursos informá ticos
para evaluar el nivel de seguridad que hay
dentro de la organizació n?

10 Mejora
10.1 No conformidad y acciones correctivas
Identificar, arreglar y reaccionar ante no conformidades para evitar su recurrencia ? Desconocido
10.1 documentando todas las acciones
10.2 Mejora continua

¿Cuá les son los procesos para evaluar una

mejora continua dentro de la infraestructura
de redes?
10.2 Mejora continua del SGSI Optimizado ¿Qué se podría implementar para obtener
mejores resultados en la infraestructura de
redes?

27 Nú mero de requerimientos

09/02/2021 Page2 of 9
 Estado y Aplicabilidad de controles de Seguridad de la Información
Sección Controles de Seguridad de la Información Estado Recurso Preguntas
A5 Políticas de seguridad de la información
A5.1 Directrices de gestión de la seguridad de la información

¿Las políticas son razonablemente completas y cubren todos los riesgos de informació n y
á reas de control relevantes?
¿De que forma se autorizan, comunican, comprenden y aceptan las políticas?
¿Está n deacuerdo todos los trabajadores que deben cumplir ciertas politicas basadas en su
A5.1.1 Políticas para la seguridad de la informació n Optimizado areá ?
¿Hay referencias cruzadas a buenas prá cticas (como ISO27k, NIST SP800, CSC20 y otras
normas y directrices relevantes)?
¿Está n las políticas bien escritas, legible, razonable y viable?
¿Incorporan controles adecuados y suficientes?

¿Todas las políticas tienen un formato y estilo consistentes?

A5.1.2 Revisió n de las políticas para la seguridad de la informació n Administrado ¿El reporte de seguridad dentro del areá es crucialmente observada día a día?

A6 Organización de la seguridad de la información

A6.1 Organización interna

¿Se le da suficiente é nfasis a la seguridad y al riesgo de la informació n?

¿Hay apoyo de la administració n?
¿Existe un foro de alta gerencia para analizar el riesgo de la informació n y las políticas, los
riesgos y los problemas de seguridad?
¿Los roles y las responsabilidades está n claramente definidos y asignados a personas
adecuadamente capacitadas?
A6.1.1 Roles y responsabilidades en seguridad de la informació n Optimizado ¿Tiene cada rol una responsabilidad específica con respecto al riesgo y la seguridad de la
informació n?
¿Hay suficiente presupuesto para las actividades de seguridad y riesgo de la informació n?
¿Hay coordinació n dentro de la organizació n entre las unidades de negocio?
¿funciona efectivamente en la prá ctica?
¿Existe una conciencia y un apoyo adecuados para la estructura de riesgo y seguridad de la
informació n?

¿Se identifican y abordan los riesgos de la informació n y los requisitos de seguridad en todas
las etapas de todos los proyectos, incluidos todos los tipos de proyectos relacionados con la
A6.1.5 Seguridad de la informació n en la gestió n de proyectos Definido informació n, los nuevos desarrollos y los cambios / mejoras en los sistemas, aplicaciones y
procesos existentes?
¿La etapa del proyecto incluye actividades apropiadas?

A8 Gestión de activos
A8.3 Manipulación de los soportes

¿Existe un registro de activos completo y actualizado de CD / DVD, almacenamiento USB y

otros medios extraíbles?
A8.3.1 Gestió n de soportes extraíbles Administrado ¿Los medios extraíbles está n debidamente etiquetados y clasificados?
¿Los medios se mantienen y almacenan de forma adecuada?
¿Hay controles apropiados para mantener la confidencialidad de los datos almacenados?

¿Existe una política específica y documentació n de obligaciones contractuales, legales o

reglamentarias para la eliminació n de los medios?
¿Se documenta la aprobació n en cada etapa para la eliminació n de los medios?
A8.3.2 Eliminació n de soportes Administrado ¿Los datos que aú n deben conservarse se copian en otros medios y se verifican antes de su
eliminació n?
¿Los datos particularmente confidenciales se eliminan de forma segura (borrado
criptográ fico, desmagnetizació n o destrucció n física)?

A9 Control de acceso
A9.1 Requisitos de negocio para el control de acceso

¿Existe una política de control de acceso?

¿Es consistente con la política de clasificació n?
¿Hay una segregació n de deberes apropiada?
A9.1.1 Política de control de acceso Administrado ¿Existe un proceso documentado de aprobació n de acceso?
¿El proceso de aprobació n requiere que se involucre el propietario del sistema o la
informació n en cuestió n?

¿Se asegura que el acceso VPN e inalá mbrico es supervisado, controlados y autorizado?
¿Se utiliza autenticació n de mú ltiples-factor para acceso a redes, sistemas y aplicaciones
críticas, especialmente para los usuarios privilegiados?
A9.1.2 Acceso a las redes y a los servicios de red Optimizado ¿Có mo se monitoriza la red para detectar acceso no autorizado?
¿Los controles de seguridad de la red son evaluados y probados regularmente (Pentesting)?
¿La organizació n mide la identificació n y los tiempos de respuesta ante incidentes?

A9.2 Gestión de acceso de usuario

¿Se utiliza un ID de usuario ú nicos para cada usuario?

¿Se genera en funció n a una solicitud con aprobaciones y registros apropiados?
¿Se deshabilitan los ID de usuario de forma inmediata tras una baja o despido?
¿Existen una comunicació n eficiente ente la Administració n de Seguridad y Recursos
A9.2.1 Registro y baja de usuario Administrado Humanos?
¿Existe una revisió n / auditoría perió dica para identificar y deshabilitar los ID de usuario
redundantes?
¿Se eliminan los ID deshabilitados despué s de confirmar que ya no son necesarios?
¿Qué impide que los ID de usuario sean reasignados a otros usuarios?

¿El acceso a sistemas y servicios de informació n se basa en las necesidades del negocio?
¿Se garantiza que todo acceso que se concede se ajuste a las políticas de control de acceso y
A9.2.2 Provisió n de acceso de usuario Administrado segregació n de funciones?
¿Existe un registro documental de la solicitud y aprobació n de acceso?

¿Hay un proceso definido para realizar revisiones frecuentes y perió dicas de cuentas
privilegiadas para identificar y deshabilitar / eliminar cuentas con privilegios redundantes
y / o reducir los privilegios?
A9.2.3 Gestió n de privilegios de acceso Administrado ¿Se genera un ID de usuario separado para otorgar privilegios elevados?
¿Se ha establecido una caducidad para los ID de usuario con privilegios?
¿Se controlan las actividades de los usuarios privilegiados de forma má s detallada?

09/02/2021 Page 3 of 9
 Estado y Aplicabilidad de controles de Seguridad de la Información
Sección Controles de Seguridad de la Información Estado Recurso Preguntas

¿Se implementan controles técnicos, como la longitud mínima de la contraseñ a, reglas de

complejidad, cambio forzado de contraseñ as en el primer uso, autenticació n de mú ltiples
factores, datos biomé tricos, contraseñ as compartidas etc.?
¿Se verifica rutinariamente si hay contraseñ as dé biles?
¿Se requiere confirmar la identidad de los usuarios antes de proporcionarles contraseñ as
A9.2.4 Gestió n de la informació n secreta de autenticació n de los usuarios Administrado temporales nuevas?
¿Se transmite dicha informació n por medios seguros?
¿Se generan contraseñ as temporales suficientemente fuertes?
¿Se cambian las contraseñ as por defecto de los fabricantes?
¿Se recomienda a los usuarios usar el software adecuado de protecció n de contraseñ as?
¿Se almacenen de forma cifrada las contraseñ as en sistemas, dispositivos y aplicaciones?

¿Se hace una revisió n perió dica y documentada de los derechos de acceso de los usuarios en
sistemas y aplicaciones?
¿Participan en dicha revisió n los "propietarios" para verificar los cambios en las funciones de
A9.2.5 Revisió n de los derechos de acceso de usuario Administrado los usuarios?
¿Se revisan los derechos de acceso para usuarios con privilegios de forma má s exhaustiva y
frecuente?

¿Existe un proceso de ajuste de derechos de acceso?

¿Se tiene en cuenta a empleados, proveedores y contratistas al finalizar o cambiar su empleo,
contrato o acuerdo?
A9.2.6 Retirada o reasignació n de los derechos de acceso Definido ¿Incluye el acceso físico a las instalaciones y el acceso ló gico a la red?
En casos de los usan credenciales compartidas, ¿Se cambian las contraseñ as cuando ocurren
despidos de empleados que las usan?

A9.3 Responsabilidades del usuario

¿Có mo se asegura la confidencialidad de las credenciales de autenticació n?

A9.3.1 Uso de la informació n secreta de autenticació n Optimizado ¿Existe un proceso de cambio de contraseñ as en caso de ser comprometida?
¿Existen controles de seguridad relativas a las cuentas compartidas?

A9.4 Control de acceso a sistemas y aplicaciones

¿Existen controles de acceso adecuados?

¿Se identifican los usuarios de forma individual?
A9.4.1 Restricció n del acceso a la informació n Administrado ¿Có mo se definen, autorizan, asignan, revisan, gestionan y retiran los derechos de acceso, los
permisos y las reglas asociadas?

¿Se muestra una pantalla de advertencia en el proceso de inicio de sesió n para disuadir el
acceso no autorizado?
¿Có mo se autentican las identidades de usuario durante el proceso de inicio de sesió n?
¿Se utiliza autenticació n multifactor para sistemas / servicios / conexiones remotas críticas
a través de VPN s etc.?
A9.4.2 Procedimientos seguros de inicio de sesió n Optimizado ¿La informació n de inicio de sesió n solo se valida una vez imputadas las credenciales?
¿Las contraseñ as no vá lidas desencadenan demoras o bloqueos, entradas de registro y
alertas / alarmas?
¿Se registran los inicios de sesió n exitosos?
¿Se transmiten las contraseñ as de modo seguro mediante el uso de cifrado?

¿Los sistemas requieran una fortaleza de contraseñ as establecidos en las políticas y

está ndares corporativos?
¿Las reglas tienen en cuenta lo siguiente?
• Longitud mínima de la contraseñ a
A9.4.3 Sistema de gestió n de contraseñ as Optimizado • Evitan la reutilizació n de un nú mero específico de contraseñ as
• Imponen reglas de complejidad (mayú sculas, minú sculas, nú meros, símbolos, etc.)
• Requiere el cambio forzado de contraseñ as en el primer inicio de sesió n
• Esconde la contraseñ a durante la imputació n
¿Se almacenan y transmiten de forma segura (cifrado)?

¿Quié n controla los servicios privilegiados?

¿Quié n puede acceder a ellos, bajo qué condiciones y con qué fines?
A9.4.4 Uso de utilidades con privilegios del sistema Administrado ¿Se verifica que estas personas necesidad comercial para otorgar el acceso segú n su roles y
responsabilidades?
¿Existe un proceso auditable de aprobació n, y cada instancia de su uso está registrado?

¿El có digo fuente se almacena en una o má s bibliotecas de programas fuente o repositorios?

¿El entorno es seguro, con un acceso adecuado, control de versiones, monitoreo, registro,
etc.?
A9.4.5 Control de acceso al có digo fuente de los programas Optimizado ¿Có mo se modifica el có digo fuente?
¿Có mo se publica y se compila el có digo?
¿Se almacenan y revisan los registros de acceso y cambios?

A10 Criptografía
A10.1 Controles criptográficos

¿Existe una política que cubra el uso de controles criptográ ficos?

¿Cubre lo siguiente?
• Los casos en los que informació n debe ser protegida a través de la criptografía
• Normas que deben implementarse para la aplicació n efectiva
A10.1.1 Política de uso de los controles criptográ ficos Optimizado • Un proceso basado en el riesgo para determinar y especificar la protecció n requerida
• Uso de cifrado para informació n almacenada o transferida
• Los efectos de cifrado en la inspecció n de contenidos de software
• Cumplimiento de las leyes y normativas aplicables
¿Se cumple con la política y requerimientos de cifrado?

¿La política de criptografía abarca todo el ciclo de vida de la gestió n de claves (de principio a
fin)?
¿Se protege el equipo utilizado para generar, almacenar y archivar claves criptográ ficas?
¿Se generan claves diferentes para sistemas y aplicaciones?
¿Se evitan claves débiles?
A10.1.2 Gestió n de claves Administrado ¿Existen reglas sobre cambio / actualizació n de claves (ej. autorizar, emitir, comunicar e
instalar claves)?
¿Se hacen copias de respaldo de las claves?
¿Se registran las actividades clave de gestió n?
¿Có mo se cumplen todos estos requisitos?

A11 Seguridad física y del entorno

A11.1 Áreas seguras

¿Las instalaciones se encuentran en una zona de riesgo?

¿Se definen los perímetros de seguridad (edificios, oficinas, redes informá ticas, habitaciones,
armarios de red, archivos, salas de má quinas, etc.)?
A11.1.1 Perímetro de seguridad física Administrado ¿El techo exterior, las paredes y el suelo son de construcció n só lida?
¿Está n todos los puntos de acceso externos adecuadamente protegidos contra el acceso no
autorizado?
¿Se monitorea los puntos de acceso con cá maras para prevencion de intrusos?

09/02/2021 Page 4 of 9
 Estado y Aplicabilidad de controles de Seguridad de la Información
Sección Controles de Seguridad de la Información Estado Recurso Preguntas

¿Se utilizan sistemas de control de acceso adecuados (ej. Tarjetas de proximidad, biomé trico,
cerraduras de seguridad, monitorizació n CCTV, detecció n de intrusos)?
¿Hay procedimientos que cubran las siguientes á reas?
• Cambio regular có digo de acceso
• Inspecciones de las guardias de seguridad
• Visitantes siempre acompañ ados y registrados en el libro de visitantes
A11.1.2 Controles físicos de entrada Administrado • Registro de movimiento de material
• Entrada a á reas definidas del edificio segú n roles y responsabilidades (acceso a CPD, salas
de comunicació n y otras á reas críticas)
¿Se utiliza autenticació n multi-factor de autenticació n (ej. Biomé trico má s el có digo PIN)?
¿Se requiere para las á reas críticas?
¿Existe un registro de todas las entradas y salidas?

¿Está n los accesos (entrada y salida) de las instalaciones físicamente controlas (ej.
Detectores de proximidad, CCTV)?
¿Son proporcionados los controles de seguridad utilizados para salvaguardar las oficinas,
A11.1.3 Seguridad de oficinas, despachos y recursos Optimizado salas e instalaciones con respecto a los riesgos?
¿Se tiene en cuenta los activos de informació n almacenados, procesados o utilizados en
dichas ubicaciones?

¿Qué tipo de protecciones existen contra el fuego, el humo, inundaciones, rayos, intrusos,
vá ndalos, etc.?
A11.1.4 Protecció n contra las amenazas externas y ambientales Optimizado ¿Existe un procedimiento de recuperació n de informacion en consecuencia de algun
desastre?
¿Se contemplan sitios remotos?

¿Las entregas se hacen en un á rea segura con control de acceso y limitado a personal
autorizado?
A11.1.6 Á reas de carga y descarga Optimizado ¿Se verifica que el material recibido coincide con un nú mero de pedido autorizado?
¿Se registran los detalles de la recepció n de material segú n las políticas y procedimientos de
adquisició n, gestió n de activos y seguridad?

A11.2 Seguridad de los equipos

¿Las TIC y el equipo relacionado se encuentran en á reas adecuadamente protegidas?

¿Las pantallas de los equipos de trabajo, las impresoras y los teclados está n ubicados o
protegidos para evitar la visualizació n no autorizada?
¿Existen controles para minimizar los siguientes riesgos de amenazas físicas y
medioambientales?
A11.2.1 Emplazamiento y protecció n de equipos Optimizado • Agua / inundació n
• Fuego y humo
• Temperatura, humedad y suministro eléctrico
• Polvo
• Rayos, electricidad está tica y seguridad del personal
¿Se prueban estos controles perió dicamente y después de cambios importantes?

¿El sistema UPS proporciona una potencia adecuada, confiable y de alta calidad?
¿Hay una capacidad de UPS adecuada para abarcar todos los equipos esenciales durante un
período de tiempo suficiente?
¿Hay un plan de mantenimiento pare los UPS y generadores en acuerdo con las
especificaciones del fabricante?
¿Son probados con regularidad?
A11.2.2 Instalaciones de suministro Optimizado ¿Hay una red de suministro eléctrico redundante?
¿Se ven afectados los sistemas y servicios?
¿Hay sistemas de aire acondicionado para controlar entornos con equipos críticos?
¿Está n ubicados apropiadamente?
¿Hay una capacidad adecuada de A / C para soportar la carga de calor?
¿Hay unidades redundantes, de repuesto o portá tiles disponibles?
¿Hay detectores de temperatura con alarmas de temperatura?

¿Hay protecció n física adecuada para cables externos, cajas de conexiones?

¿Se separa el cableado de suministro elé ctrico del cableado de comunicaciones para evitar
A11.2.3 Seguridad del cableado Optimizado interferencias?
¿Se controla el acceso a los paneles de conexió n y las salas de cableado?
¿Existen procedimientos adecuados para todo ello?

¿Se asigna personal cualificado para realizar el mantenimiento de los equipos

(infraestructura y dispositivos de red, equipos de trabaja, portá tiles, equipos de seguridad y
servicios tales como detectores de humo, dispositivos de extinció n de incendios, HVAC,
A11.2.4 Mantenimiento de los equipos Optimizado control de acceso, CCTV, etc.)?
¿Hay programas de mantenimiento y registros / informes actualizados?
¿Con que regularidad hay un mantenimiento para cada equipo del aré a?

¿Existen procedimiento relativos al traslado de activos de informació n?

¿Hay aprobaciones o autorizaciones documentadas en los niveles apropiados?
A11.2.5 Retirada de materiales propiedad de la empresa Administrado ¿Existe un control para limitar el traslado de activos de informació n mediante el uso de
unidades de almacenamiento externo?
¿Existe un procedimiento para rastrear movimientos de activos de alto valor o alto riesgo?

¿Có mo evita la organizació n que se revele la informació n almacenada en equipos tras su

reasignació n o eliminació n?
A11.2.7 Reutilizació n o eliminació n segura de equipos Administrado ¿Se utiliza cifrado fuerte o borrado seguro?
¿Se mantienen registros adecuados de todos los medios que se eliminan?
¿La política y el proceso cubren todos los dispositivos y medios de TIC?

¿Existen políticas, normas, procedimientos y directrices para mantener las zonas de trabajo
limpias y despejadas?
¿Todos los dispositivos informá ticos tienen un salvapantallas o bloqueo con contraseñ a que
A11.2.9 Política de puesto de trabajo despejado y pantalla limpia Definido los empleados usan cuando se alejan de sus dispositivos?
¿Se activa automá ticamente tras de un tiempo inactivo definido?
¿Se mantienen las impresoras, fotocopiadoras, escá neres despejados?

A12 Seguridad de las operaciones

A12.1 Procedimientos y responsabilidades operacionales

¿Existe una política de gestió n de cambios?

¿Existen registros relacionados a la gestió n de cambios?
¿Se planifican y gestionan los cambios?
A12.1.2 Gestió n de cambios Administrado ¿Se evalú an los riesgos potenciales asociados con los cambios?
¿Los cambios está n debidamente documentados, justificados y autorizados por la
administració n?

A12.6 Gestión de la vulnerabilidad técnica

09/02/2021 Page 5 of 9
 Estado y Aplicabilidad de controles de Seguridad de la Información
Sección Controles de Seguridad de la Información Estado Recurso Preguntas

¿Existe una política la gestió n de vulnerabilidades té cnicas?

¿Có mo se escanean los sistemas para detectar vulnerabilidades de forma automatizada?
¿Có mo responde la organizació n ante vulnerabilidades té cnicas descubiertas en equipos,
servidores, aplicaciones, dispositivos de red y otros componentes?
A12.6.1 Gestió n de las vulnerabilidades técnicas Administrado ¿Existen procesos adecuados para verificar los inventarios de los sistemas e identificar si las
vulnerabilidades divulgadas son relevantes?
¿Se identifican cambios tales como amenazas emergentes, vulnerabilidades conocidas o
sospechadas, y consecuencias o impactos comerciales en evolució n?
¿Se emplea una administració n automatizada de parches?

A12.7 Consideraciones sobre la auditoria de sistemas de información

¿Existe una política que requiera auditorias de seguridad de la informació n?

¿Existe un programa definido y procedimientos para auditoría?
¿Las auditorías se planifican cuidadosamente y se acuerdan para minimizar el riesgo de
A12.7.1 Controles de auditoría de sistemas de informació n Administrado interrupciones en los procesos comerciales?
¿Se define el alcance de la auditoría en coordinació n con la administració n?
¿El acceso a las herramientas de auditoría de sistemas está n controladas para evitar el uso y
acceso no autorizado?

A13 Seguridad de las comunicaciones

A13.1 Gestión de la seguridad de las redes

¿Existen políticas de redes físicas e inalá mbricas?

¿Existe una separació n de la administració n de las operaciones de sistemas y la de
infraestructuras de red?
¿Existe un mecanismo de registro de monitorizació n de la red y los dispositivos que se
conectan ella?
A13.1.1 Controles de red Optimizado ¿Hay un sistema de autenticació n para todos los accesos a la red de la organizació n?
¿Los usuarios se autentican adecuadamente al inicio de sesió n?
¿Có mo se autentican los dispositivos de red?
¿Existe una segmentació n de red adecuada usando cortafuegos, VLAN, VPN, etc.?
¿Se controlan los puertos y servicios utilizados para funciones de administració n de
sistemas?

¿Se gestionan, clasifican y protegen los servicios de red de forma adecuada?

¿Existe un monitoreo de servicios de red?
¿Se mantiene un derecho a auditar servicios de red gestionados por terceros (contratos, SLA
A13.1.2 Seguridad de los servicios de red Optimizado y requisitos de informes de gestió n)?
¿Se emplean mecanismos de autenticació n en la red, cifrado de trá fico de red?
¿Se hace una revisió n perió dica de las configuraciones de cortafuegos, IDS / IPS, WAF, DAM?

¿Existe una política de segmentació n de red?

¿Qué tipo de segmentació n existe?
¿Es basada en la clasificació n, los niveles de confianza, dominios (pú blico, escritorios,
servidor, funciones, etc.)?
A13.1.3 Segregació n en redes Administrado ¿Có mo se monitorea y controla la segregació n?
¿Se segmenta la red inalá mbrica de la red física? ¿Y la red de invitados?
¿Có mo se controla la segmentació n con proveedores y clientes?
¿La seguridad es adecuada dados los riesgos y el apetito de riesgo de la organizació n?

A13.2 Intercambio de información

¿Existen políticas y procedimientos relacionados con la transmisió n segura de informació n?

¿Contempla mecanismos como correo electró nico, FTP y otras aplicaciones de transferencia
de datos y protocolos Web (ej. Los grupos / foros, Dropbox y servicios en la nube similares),
WiFi y Bluetooth, CD / DVD, almacenamiento externo USB, mensajería, etc.?
¿Está basado en la clasificació n de la informació n?
A13.2.1 Políticas y procedimientos de intercambio de informació n Optimizado ¿Existen controles de acceso adecuados para esos mecanismos?
¿Có mo se implementa el uso de criptografía para los mecanismos aceptados (ej. TLS, cifrado
de correo electró nico, ZIP codificados)?
¿Se sigue el principio de confidencialidad y privacidad?
¿Existen un programa de concientizació n, capacitació n y cumplimiento?

¿Qué tipos de comunicaciones se implementan las firmas digitales?

¿Qué tipo de responsabilidades se asocian a la perdida, corrupció n o divulgació n de datos?
A13.2.2 Acuerdos de intercambio de informació n Administrado ¿Existe una identificació n y sincronizació n de los niveles de clasificació n de informació n de
todas las partes involucradas?

¿Existe una política de mensajería que cubra controles de intercambio de datos por
comunicació n de red, incluyendo correo electró nico y FTP / SFTP, etc.?
¿Hay controles de seguridad adecuados (ej. cifrado de correo electró nico, la autenticidad, la
A13.2.3 Mensajería electró nica Definido confidencialidad y la irrenunciabilidad de mensajes, etc.)?
¿Existen controles de seguridad para la interacció n con sistemas Internet, Intranet
relacionados con foros y tableros de anuncios electró nicos?

¿Existen acuerdos de confidencialidad?

¿Han sido revisados y aprobados por el Departamento Legal?
¿Cuá ndo fueron revisados por ú ltima vez (perió dicos o basados en cambios)?
A13.2.4 Acuerdos de confidencialidad o no revelació n Optimizado ¿Han sido aprobados y firmados por las personas adecuadas?
¿Existen sanciones adecuadas y acciones esperadas en caso de incumplimiento y / o
beneficios por el cumplimiento (ej. una bonificació n de rendimiento)?

Adquisición, desarrollo y mantenimiento de los

A14 sistemas de información

A14.1 Requisitos de seguridad en los sistemas de información

¿Existen políticas, procedimientos y registros relacionados al aná lisis de requisitos de

seguridad para la adquisició n de sistemas y software?
¿Existen procedimientos para analizar riesgos, requisitos funcionales y técnicos,
arquitectura de seguridad, las pruebas de seguridad y la certificació n de sistemas y
desarrollo?
A14.1.1 Aná lisis de requisitos y especificaciones de seguridad de la informació n Administrado ¿Cuales son los procedimientos obligatorios para el desarrollos y cambio en los sistemas
existentes (ej. Actualizaciones de sistema operativo / aplicaciones en las actualizaciones,
cambios de criptografía, etc.)
¿Se aplican estos controles para sistemas / software comercial, incluidos los productos “a
medida” o personalizados?

09/02/2021 Page 6 of 9
 Estado y Aplicabilidad de controles de Seguridad de la Información
Sección Controles de Seguridad de la Información Estado Recurso Preguntas

¿La organizació n usa o proporciona aplicaciones web de comercio electró nico?

¿Se verifican los aspectos de seguridad como control de acceso y autenticació n de usuarios,
integridad de datos y la disponibilidad del servicio?
¿Contiene controles tales como validació n de datos de entrada, validació n de procesamiento,
A14.1.2 Asegurar los servicios de aplicaciones en redes pú blicas Optimizado encriptació n, autenticació n de mensajes e irrenunciabilidad?
¿Los sitios web pú blicos está n siendo monitoreados (ej. eventos, vulnerabilidades, etc.)?
¿Se analizan y documentan las amenazas de forma rutinaria?
¿Existe una gestió n de incidentes y cambios para tratarlos?

¿Las transacciones se realizan y almacenan en un entorno interno seguro o expuesto a

internet?
A14.1.3 Protecció n de las transacciones de servicios de aplicaciones Administrado ¿Se protege la informació n mediante el uso de protocolos seguros, cifrado, firma electró nica,
etc.?
¿Cumplen con todos los requisitos legales, regulatorios y de cumplimiento?

A15 Relación con proveedores

A15.1 Seguridad en las relaciones con proveedores

¿Existen políticas, procesos, prá cticas y registros relacionados con la gestió n de relaciones
con proveedores que involucran servicios de TI?
¿Incluyen servicios de nube, logística, servicios pú blicos, recursos humanos, médicos,
financieros, legales y otros servicios subcontratados de alto riesgo?
¿Los contratos y acuerdos abordan lo siguiente?
• Arreglos de gestió n de relaciones, incluyendo el riesgo de la informació n y los aspectos de
seguridad, la mé trica, el rendimiento, problemas, rutas de escalada
• Informació n / propiedad intelectual, y obligaciones / limitaciones derivadas
• Rendició n de cuentas y responsabilidades relacionadas con el riesgo y la seguridad de la
A15.1.1 Política de seguridad de la informació n en las relaciones con los proveedores Administrado informació n
• Requisitos legales y normativos, como el cumplimiento certificado de ISO 27001
• Identificació n de controles físicos y ló gicos
• Gestió n de eventos, incidentes y desastres incluyendo evaluació n, clasificació n,
priorizació n, notificació n, escalado, gestió n de respuesta y aspectos de continuidad del
negocio
• Habilitació n de seguridad de los empleados y concienciació n
• Derecho de auditoría de seguridad por parte de la organizació n
¿Existe una obligació n contractual de cumplimento?
¿Los proveedores de servicios externos son monitoreados rutinariamente y auditados para
cumplir con los requisitos de seguridad?

¿Los contratos o acuerdos formales con proveedores cubren lo siguiente?

• Gestió n de las relaciones, incluyendo riesgos
• Clá usulas de confidencialidad vinculantes
• Descripció n de la informació n que se maneja y el método de acceder a dicha informació n
A15.1.2 Requisitos de seguridad en contratos con terceros Administrado • Estructura de la clasificació n de la informació n a usar
• La Inmediata notificació n de incidentes de seguridad
• Aspectos de continuidad del negocio
• Subcontratació n y restricciones en las relaciones con otros proveedores
• Aspectos de personal y RRHH (ej. Rendimiento, antecedentes, “robo de empleados”, etc.)

¿Có mo se validan los requisitos de seguridad de los productos o servicios adquiridos?

Cadena de suministro de tecnología de la informació n y de las ¿Có mo se logra una capacidad de recuperació n cuando productos o servicios críticos son
A15.1.3
comunicaciones Optimizado suministrados por terceros?
¿Se puede rastrear el origen del producto o servicio?

A15.2 Gestión de la provisión de servicios del proveedor

¿Existe una monitorizació n de servicios y quien responsable de esta actividad?

¿Se llevan a cabo reuniones de revisió n del servicio, con qué frecuencia?
¿Se generan informes y / o métricas relacionadas a las reuniones y las decisiones tomadas?
A15.2.1 Control y revisió n de la provisió n de servicios del proveedor Administrado ¿Las reuniones abarcan riesgos, incidentes, políticas, cumplimiento e informes de auditoría?
¿Existen clá usulas de penalizació n o de bonificació n en el contrato relacionadas con el riesgo
de la informació n?

¿Có mo se comunican cambios en los servicios relacionados con la informació n, servicios

adicionales o cambios en la forma en que se prestan los servicios contratados?
A15.2.2 Gestió n de cambios en la provisió n del servicio del proveedor Administrado ¿Có mo se comunican cambios en las políticas y requerimientos legales de la organizació n?
¿Se actualizan los acuerdos relacionados con los cambios?

A16 Gestión de incidentes de seguridad de la información

A16.1 Gestión de incidentes de seguridad de la información y mejoras

¿Existen políticas, procedimientos e ITT´s para la gestió n de incidentes?

¿Qué cubre?
• I plan de respuesta a incidentes
• Puntos de contacto para la notificació n de incidentes, seguimiento y evaluació n
• Monitoreo, detecció n y reporte de eventos de seguridad
A16.1.1 Responsabilidades y procedimientos Administrado • Asignació n y escalado de incidentes (N1 > N2) incluyendo las respuestas de emergencia y
la continuidad de negocio
• Mé todo de recolecció n de evidencias y pruebas forenses digitales
• Revisió n post-evento de seguridad y procesos de aprendizaje / mejora
¿Existen evidencias de la notificació n de incidentes, registro, clasificació n, asignació n de
resolució n, la mitigació n y la confirmació n de cierre?

¿Có mo se informan los eventos de seguridad de la informació n?

A16.1.2 Notificació n de los eventos de seguridad de la informació n Definido ¿Son conscientes los trabajadores de la necesidad de informar de inmediato y lo hacen?
¿Se crean informes de seguimiento de los incidentes? Desde la detecció n a la resolució n.

¿Existe una obligació n contractual por parte de los empleados para reportar cualquier tipo
de ocurrencia inusual?
A16.1.3 Notificació n de puntos débiles de la seguridad Administrado ¿Las políticas prohíben explícitamente a los trabajadores 'verificar', 'explorar', 'validar' o
'confirmar' vulnerabilidades a menos que esté n expresamente autorizados para hacerlo?

¿Qué tipos de eventos se espera que informen los empleados?

¿Có mo se evalú an estos eventos para decidir si califican como incidentes?
A16.1.4 Evaluació n y decisió n sobre los eventos de seguridad de informació n Administrado ¿Existe una escala de clasificació n?
¿Hay un proceso de clasificació n y / o escalamiento para priorizar los incidentes graves?

09/02/2021 Page 7 of 9
 Estado y Aplicabilidad de controles de Seguridad de la Información
Sección Controles de Seguridad de la Información Estado Recurso Preguntas
¿Có mo se recolecta, almacena y evalú a la evidencia?
¿Hay una matriz de escalació n para usar segú n sea necesario?
A16.1.5 Respuesta a incidentes de seguridad de la informació n Administrado ¿Hay medios para comunicar informació n de tales incidentes a las organizaciones internas y
externas pertinentes?
¿Se documentan las acciones tomadas para resolver y finalmente cerrar un incidente?

¿Existe un proceso de evaluació n / investigació n para identificar incidentes de impacto

recurrentes?
A16.1.6 Aprendizaje de los incidentes de seguridad de la informació n Definido ¿Se aprovecha la informació n obtenida de la evaluació n de incidentes para evitar
recurrencias?
¿La organizació n cuenta con un proceso de gestió n de incidentes relativamente maduro?

¿La recolecció n de evidencias de hace de forma competente en la empresa o por terceros

especializados y capacitados en esta á rea?
¿Haya personal capacitado, competente y confiable con herramientas adecuadas y procesos
A16.1.7 Recopilació n de evidencias Administrado definidos para el rol?
¿Quié n decide emprender un aná lisis forense, y en qué criterio se base?
¿Existen obligaciones relacionadas con la jurisdicció n, las diferentes normas forenses y los
requisitos legales asociados?

A18 Cumplimiento
A18.2 Revisiones de la seguridad de la información

¿Có mo garantizar que todos los procedimientos de seguridad dentro de un á rea de

A18.2.2 Cumplimiento de las políticas y normas de seguridad Optimizado responsabilidad se llevan a cabo correctamente?
¿Se hace una verificació n perió dica?

¿Se llevan a cabo escaneos de vulnerabilidades de red y pruebas de Pentesting regulares?

¿Las pruebas son realizadas por profesionales debidamente cualificados, competentes y
confiables?
A18.2.3 Comprobació n del cumplimiento técnico Administrado ¿Có mo informa, analiza y utilizan los resultados de dichas pruebas?
¿La prioridad de tratamiento se basa en un aná lisis de riesgos?
¿Hay evidencias de medidas tomadas para abordar los problemas identificados?

61 Número de Controles

09/02/2021 Page 8 of 9
 Proporción de
Proporción de Controles de
requerimiento Seguridad de la
Estado de Implementación SGSI
Estado Significado s SGSI Información

? Desconocido No ha sido verificado 19% 0%

No se lleva a cabo el control de seguridad en

Inexistente los sistemas de informació n. 0% 0%
? Desconocido
Inexistente
Las salvaguardas existen, pero no se
Inicial
Repetible
Inicial gestionan, no existe un proceso formal para
realizarlas. Su éxito depende de la buena 0% 0%
Definido
suerte y de tener personal de la alta calidad.
Administrado
La medida de seguridad se realiza de un Optimizado
modo totalmente informal (con
No aplicable
Repetible procedimientos propios, informales). La
responsabilidad es individual. No hay
0% 0%
formació n.

El control se aplica conforme a un

Definido procedimiento documentado, pero no ha
sido aprobado ni por el Responsable de 11% 10%
Seguridad ni el Comité de Direcció n.

El control se lleva a cabo de acuerdo a un

Administrado procedimiento documentado, aprobado y 30% 54%
formalizado.

El control se aplica de acuerdo a un

procedimiento documentado, aprobado y
Optimizado formalizado, y su eficacia se mide 41% 36%
perió dicamente mediante indicadores.

A fin de certificar un SGSI ,todos los

No aplicable requerimientos principales de ISO/IEC
27001 son obligatorios. De otro modo,
pueden ser ignorados por la Administració n.
0% 0% Estado de Controles - Anexo A
Total 100% 100%

? Desconocido
Inexistente
Inicial
Repetible
Definido
Administrado
Optimizado
No aplicable