ISO27k ISMS and controls status with SoA and gaps Spanish

Introduction This spreadsheet is used to record and track the status of your organization as you implement the mandatory and discretionary elements o Instructions History and acknowledgements Bala Ramanan donated the original ISO/IEC 27001:2005 version of the 27001 requirements worksheet. Joel Cort added the SoA workshee Ed Hodgson updated the workbook for ISO/IEC 27001:2013. Gary Hinson fiddled with the wording and formatting, splitting out the metrics Copyright Please visit ISO27001security.com for further advice and guidance on the ISO27k standards, including the ISO27k Forum and many other u ISO/IEC 27001:2013 ISMS Statement of Applicability Controls Status (gap analysis The main body of ISO/IEC 27001 formally specifies a number of mandatory requirements that must be fulfilled in order for an Information mandatory requirements for certification concern the management system rather than the information security controls. For example, t assess them, decide how those risks are to be treated, treat them and monitor them, using the policies and procedures defined in the ISMS However, Annex A to '27001 outlines a suite of information security controls that the management system would typically be used to mana security risks). The security controls in Annex A are explained in much more detail in ISO/IEC 27002, and in various other standards, laws, r 1. Design and implement an ISMS complying with all the mandatory elements specified in the main body of ISO/IEC 27001, using the drop record its status. 2. Identify and assess the information security risks facing those parts of the organization that are declared in scope for your ISMS, identify column of the annex A controls sheet . Note: do not feel constrained by Annex A! Adapt the sheet, modifying the wording and adding ad security risks and obligations ( e.g. ISO 22301, privacy laws, PCI-DSS etc .). Annex A is merely a guide, a starting point. 3. Systematically check and record the status of your security risks and controls, updating the status column of Annex A sheet accordingly. 4. Once your ISMS is operating normally, the metrics are looking good and you have amassed sufficient evidence ("records"), it can be form your ISMS fulfills the standard's mandatory requirements, and that your in-scope information security risks are being identified, treated an both be maintained i.e. updated when the information security risks or controls change, and periodically reviewed/audited. Jonatan Guaita translated the workbook to Spanish and added resource (Recurso) and questions (Preguntas) fields to serve a guideline for Toolkit. This work is copyright © 2014, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons Attribution-Noncommercia works from this provided that (a) it is not sold or incorporated into a commercial product, (b) it is properly attributed to the ISO27k Forum subject the same copyright terms as this. Note: you need licensed copies of both ISO/IEC 27001 and 27002 to make much sense of this , and other ISO27k standards are also highly shortened the wording of the standards in ways that may not entirely fulfill their meaning or intent. The definitive references are the ISO2 www.ISO27001security.com

11/20/2023 Page2 of 12 Estado de Implementación ISO 27001 Sección Requerimientos ISO 27001 Estado Recurso Preguntas 4 Contexto de la organización 4.1 Comprensión de la organización y de su contexto 4.1 Determinar los objetivos del SGSI de la organización y cualquier problema que pueda afectar su eficacia Repetible 4.2 Comprensión de las necesidades y expectativas de las partes interesadas 4.2 (a) Identificar las partes interesadas incluyendo leyes aplicables, regulaciones, contratos, etc. Inicial 4.2 (b) Determinar los requerimientos y oblicaciones relevantes de seguridad de la información Inicial 4.3 Determinación del alcance del SGSI 4.3 Determinar y documentar el alcande del SGSI Inexistente 4.4 SGSI 4.4 Establecer, implementar, mantener y mejorar de forma continua el SGSI acorde al estandar Inicial 5 Liderazgo 5.1 Liderazgo y compromiso 5.1 La administración debe demostrart liderazgo y compromiso por el SGSI Definido 5.2 Política 5.2 Documentar la Política de Seguridad de la Informacion Inicial 5.3 Roles, responsabilidades y autoridades en la organización 5.3 Asignar y comunicar los roles y responsabilidades de seguridad de la información Inicial 6 Planificación 6.1 Acciones para tratar los riesgos y oportunidades 6.1.1 Diseñar el SGSI para satisfacer los requerimientos, tratando riesgos e identificando oportinidades Inicial 6.1.2 Definir e implementar un proceso de análisis de riesgos de seguridad de la información Inexistente 6.1.3 Inexistente 6.2 Objetivos de seguridad de la información y planificación para su consecución 6.2 Inicial 7 Soporte 7.1 Recursos 7.1 Determinar y asignar los recursos necesaraios para el SGSI Repetible 7.2 Competencia 7.2 Inicial 7.3 Concienciación 7.3 Implementar un programa de concianciación de seguridad Inicial 7.4 Comunicación 7.4 Determinar la necesidades de comunicación internas y externas relacionadas al SGSI Inexistente 7.5 Información documentada 7.5.1 Proveer documentacion requerida por el estandar más la requerida por la organización Inexistente 7.5.2 Proveer un titulo, autor, formato consistente, revisión y aprovacion a los documentos Inexistente 7.5.3 Mantener un control adecuado de la documentación Inexistente 8 Operación 8.1 Planificación y control operacional 8.1 Inicial 8.2 Apreciación de los riesgos de seguridad de la información 8.2 Evaluar y documentar los riesgos de seguridad regularment y cuando hay cambios Inicial 8.3 Tratamiento de los riesgos de seguridad de la información 8.3 Implementar un plan de tratamiento de riesgos y documentar los resultados Inexistente 9 Evaluación del desempeño 9.1 Seguimiento, medición, análisis y evaluación 9.1 Realizar un seguimiento, medición, análisis y evaluación del SGSI y los controles Inexistente 9.2 Auditoría interna 9.2 Planificar y realizar una auditoria interna del SGSI Inexistente 9.3 Revisión por la dirección 9.3 La administración realiza una revision periodica del SGSI Inexistente 10 Mejora 10.1 No conformidad y acciones correctivas 10.1 Inicial 10.2 Mejora continua 10.2 Mejora continua del SGSI Inicial 27 Número de requerimientos Documentación obligatoria ¿Existe el documento? Documentación obligatoria ¿Existe el documento? Documentación obligatoria ¿Existe el documento? Documentar e implementar un proceso de tratamiento de riesgos de seguridad de la información Documentación obligatoria - Controles Anexo A ¿Existe el documento? Establecer y documentar los planes y objetivos de la seguridad de la información Documentación obligatoria ¿Existe el documento? Determinar, documentar hacer disponibles las competencias necesarias Documentación obligatoria ¿Existe el documento? Planificar, implementar, controlar y documentar el proceso de gestion de riesgos del SGSI (Tratamiento de riesgos) Documentación obligatoria ¿Existe el documento? Documentación obligatoria ¿Existe el documento? Documentación obligatoria ¿Existe el documento? Documentación obligatoria ¿Existe el documento? Documentación obligatoria ¿Existe el documento? Documentación obligatoria ¿Existe el documento? Identificar, arreglar y reaccionar ante no conformidades para evitar su recurrencia documentando todas las acciones Documentación obligatoria ¿Existe el documento?

11/20/2023 Page 4 of 12 Estado y Aplicabilidad de controles de Seguridad de la Información Sección Controles de Seguridad de la Información Estado Recurso Preguntas A7.2.2 Concienciación, educación y capacitación en seguridad de la información Inexistente A7.2.3 Proceso disciplinario Repetible A7.3 Finalización del empleo o cambio en el puesto de trabajo A7.3.1 Responsabilidades ante la finalización o cambio Repetible A8 Gestión de activos A8.1 Responsabilidad sobre los activos A8.1.1 Inventario de activos Definido A8.1.2 Propiedad de los activos Inicial A8.1.3 Uso aceptable de los activos Definido A8.1.4 Devolución de activos Definido A8.2 Clasificación de la información A8.2.1 Clasificación de la información Definido A8.2.2 Etiquetado de la información Inicial A8.2.3 Manipulado de la información Inicial A8.3 Manipulación de los soportes A8.3.1 Gestión de soportes extraíbles Inicial A8.3.2 Eliminación de soportes Inexistente A8.3.3 Soportes físicos en tránsito Inicial A9 Control de acceso ¿Están las competencias necesarias y los requisitos de capacitación / concienciación para los profesionales de seguridad de la información y otros con funciones y responsabilidades específicas identificadas explícitamente? ¿Existe un programa estructurado de sensibilización y capacitación sobre seguridad de la información para todos los tipos de trabajadores? ¿Existe una estrategia o plan de comunicación, que incluya folletos, carteles, correos electrónicos, gestión de aprendizaje online, cuestionarios, concursos, videos, redes sociales y otros métodos? ¿Se cubren los requisitos legales, reglamentarios, contractuales, políticos, responsabilidad personal, responsabilidades generales, puntos de contacto y otros recursos? ¿Se actualiza el contenido para reflejar los riesgos de la información en evolución, como las amenazas emergentes, las vulnerabilidades recientemente identificadas y los incidentes, y los cambios, como las políticas nuevas / revisadas? ¿Hay exámenes y ejercicios periódicos para verificar el nivel de conocimiento? ¿Hay acciones de seguimiento para cualquiera que tenga problemas en dichas pruebas? ¿Existe un proceso disciplinario para incidentes de seguridad de la información, violaciones a la privacidad, piratería informática, fraude y espionaje industrial por parte de los trabajadores? ¿Cómo se informa a los trabajadores sobre el proceso, incluidas las expectativas de la organización y sus derechos? ¿Está esto cubierto por contratos y acuerdos, capacitación inicial y conocimiento continuo? ¿Se actualiza el proceso de forma regular? ¿Existen políticas de revisión, estándares, procedimientos, directrices y registros relacionados con la seguridad de la información para los trabajadores que se mueven lateral o verticalmente dentro de la organización? ¿Se tienen en cuenta las promociones, degradaciones, cambios de roles, nuevas responsabilidades, nuevas prácticas de trabajo, renuncias, despidos? ¿Se tiene en cuenta la recuperación de los activos de información (documentos, datos, sistemas), las llaves, la eliminación de los derechos de acceso? ¿Hay un inventario de activos de la información? ¿Contiene la siguiente información? • Datos digitales • Información impresa • Software • Infraestructura • Servicios de información y proveedores de servicios • Seguridad física • Relaciones comerciales • Las personas ¿A quién pertenece el inventario? ¿Cómo se mantiene el inventario en una condición razonablemente completa, precisa y actualizada a pesar de los cambios de equipo / personal, nuevos sistemas, negocios y cambios de TI? ¿Es suficientemente detallado y está estructurado adecuadamente? ¿Los activos tienen propietario de riesgo? ¿Los activos tienen responsable técnico? ¿Cómo se asigna la propiedad poco después de crear o adquirir los activos críticos? ¿Cómo se etiquetan los activos? ¿Cómo se informa ante incidentes de seguridad de la información que los afectan? ¿Existe una política sobre el uso aceptable de los recursos tecnológicos, como el correo electrónico, la mensajería instantánea, el FTP, las responsabilidades de los usuarios, etc.? ¿Cubre el comportamiento del usuario en Internet y en las redes sociales? ¿Se permite el uso personal de los activos de la empresa? En caso afirmativo, ¿En qué medida y cómo se controla / asegura esto? ¿Se describe de forma explícita lo qué constituye un uso inapropiado? ¿Se distribuye esta información a toda la empresa? ¿El uso de la criptografía cumple con todas las leyes, acuerdos / contratos y normativas relevantes? ¿Existe un procedimiento para recuperar los activos tras una baja o despido? ¿Es un procedimiento automatizado o manual? Si es manual, ¿Cómo se garantiza que no haya desvíos? ¿Cómo se abordan los casos en los que los activos no han sido devueltos? ¿Existen políticas de revisión, estándares, procedimientos, directrices y registros asociados relacionados con la clasificación de la información? ¿La clasificación es impulsada por obligaciones legales o contractuales? ¿La clasificación se basa en los requisitos de confidencialidad, integridad y disponibilidad? ¿Se utilizan marcas apropiadas en los activos en función de la clasificación de la información que contienen? ¿El personal conoce los requisitos de seguridad correspondientes para el manejo de materiales clasificados? ¿Existe un procedimiento de etiquetado para la información tanto en forma física como electrónica? ¿Está sincronizado con la política de clasificación de la información? ¿Cómo se garantiza el correcto etiquetado? ¿Cómo se garantiza que solo aquellos con permisos de acceso aprobados accedan a la información de la clasificación relevante? ¿Cómo se garantiza que no haya acceso no autorizado? ¿Se revisan los niveles de clasificación en intervalos predefinidos? Más allá de A.8.2.1 ¿Están los niveles de clasificación adecuadamente asignados a los activos? ¿Se considera los gimiente? Método de etiquetado, transferencia, almacenamiento, manejo de medios extraíbles, eliminación de medios electrónicos y físicos, divulgación, intercambio, intercambio con terceros, etc. ¿Existe un registro de activos completo y actualizado de CD / DVD, almacenamiento USB y otros medios extraíbles? ¿Los medios extraíbles están debidamente etiquetados y clasificados? ¿Los medios se mantienen y almacenan de forma adecuada? ¿Hay controles apropiados para mantener la confidencialidad de los datos almacenados? Más allá de A.8.3.1 ¿Existen una política específica y documentación de obligaciones contractuales, legales o reglamentarias para la eliminación de los medios? ¿Se documenta la aprobación en cada etapa para la eliminación de los medios? ¿Los datos que aún deben conservarse se copian en otros medios y se verifican antes de su eliminación? ¿Se tiene en cuenta los periodos de retención? ¿Los datos particularmente confidenciales se eliminan de forma segura (borrado criptográfico, desmagnetización o destrucción física)? ¿Se utiliza un transporte o servicio de mensajería confiable? ¿Se utiliza un mecanismo de cifrado adecuado durante el proceso de transferencia? ¿Se verifica la recepción por el destino?

11/20/2023 Page 5 of 12 Estado y Aplicabilidad de controles de Seguridad de la Información Sección Controles de Seguridad de la Información Estado Recurso Preguntas A9.1 Requisitos de negocio para el control de acceso A9.1.1 Política de control de acceso Administrado A9.1.2 Acceso a las redes y a los servicios de red Administrado A9.2 Gestión de acceso de usuario A9.2.1 Registro y baja de usuario Definido A9.2.2 Provisión de acceso de usuario Definido A9.2.3 Gestión de privilegios de acceso Definido A9.2.4 Gestión de la información secreta de autenticación de los usuarios Definido A9.2.5 Revisión de los derechos de acceso de usuario Definido A9.2.6 Retirada o reasignación de los derechos de acceso Definido A9.3 Responsabilidades del usuario A9.3.1 Uso de la información secreta de autenticación Administrado A9.4 Control de acceso a sistemas y aplicaciones A9.4.1 Restricción del acceso a la información Administrado A9.4.2 Procedimientos seguros de inicio de sesión Administrado A9.4.3 Sistema de gestión de contraseñas Administrado A9.4.4 Uso de utilidades con privilegios del sistema Administrado A9.4.5 Control de acceso al código fuente de los programas Administrado A10 Criptografía A10.1 Controles criptográficos A10.1.1 Política de uso de los controles criptográficos Inicial ¿Existe una política de control de acceso? ¿Es consistente con la política de clasificación? ¿Hay una segregación de deberes apropiada? ¿Existe un proceso documentado de aprobación de acceso? ¿El proceso de aprobación requiere que se involucre el propietario del sistema o la información en cuestión? ¿Se asegura que el acceso VPN e inalámbrico es supervisado, controlados y autorizado? ¿Se utiliza autenticación de múltiples-factor para acceso a redes, sistemas y aplicaciones críticas, especialmente para los usuarios privilegiados? ¿Cómo monitoriza la red para detectar acceso no autorizado? ¿Los controles de seguridad de la red son evaluados y probados regularmente (Pentesting)? ¿La organización mide la identificación y los tiempos de respuesta ante incidentes? ¿Se utiliza un ID de usuario únicos para cada usuario? ¿Se genera en función a una solicitud con aprobaciones y registros apropiados? ¿Se deshabilitan los ID de usuario de forma inmediata tas una baja o despido? ¿Existen una comunicación eficiente ente la Administración de Seguridad y Recursos Humanos? ¿Existe una revisión / auditoría periódica para identificar y deshabilitar los ID de usuario redundantes? ¿Se eliminan los ID deshabilitados después de confirmar que ya no son necesarios? ¿Qué impide que los ID de usuario sean reasignados a otros usuarios? ¿El acceso a sistemas y servicios de información se basa en las necesidades del negocio? ¿Se garantiza que todo acceso que se concede se ajuste a las políticas de control de acceso y segregación de funciones? ¿Existe un registro documental de la solicitud y aprobación de acceso? Más allá de A.9.2.2 ¿Hay un proceso para realizar revisiones más frecuentes y periódicas de cuentas privilegiadas para identificar y deshabilitar / eliminar cuentas con privilegios redundantes y / o reducir los privilegios? ¿Se genera un ID de usuario separado para otorgar privilegios elevados? ¿Se ha establecido una caducidad para los ID de usuario con privilegios? ¿Se controlan las actividades de los usuarios privilegiados de forma más detallada? ¿Se implementan controles técnicos, como la longitud mínima de la contraseña, reglas de complejidad, cambio forzado de contraseñas en el primer uso, autenticación de múltiples factores, datos biométricos, contraseñas compartidas etc.? ¿Se verifica rutinariamente si hay contraseñas débiles? ¿Se requiere confirmar la identidad de los usuarios antes de proporcionarles contraseñas temporales nuevas? ¿Se transmite dicha información por medios seguros? ¿Se generan contraseñas temporales suficientemente fuertes? ¿Se cambian las contraseñas por defecto de los fabricantes? ¿Se recomienda a los usuarios usar el software adecuado de protección de contraseñas? ¿Se almacenen de forma cifrada las contraseñas en sistemas, dispositivos y aplicaciones? ¿Se hace una revisión periódica y documentada de los derechos de acceso de los usuarios en sistemas y aplicaciones? ¿Participan en dicha revisión los "propietarios" para verificar cambios en las funciones de los usuarios? ¿Se revisan los derechos de acceso para usuarios con privilegios de forma más exhaustiva y frecuente? ¿Existe un proceso de ajuste de derechos de acceso? ¿Tiene en cuenta empleados, proveedores y contratistas al finalizar o cambiar su empleo, contrato o acuerdo? ¿Incluye el acceso físico a las instalaciones y el acceso lógico a la red? En casos en los que se usan credenciales compartidas, ¿Se cambian las contraseñas cuando ocurren ceses o despidos de empleados que las usan? ¿Cómo se asegura la confidencialidad de las credenciales de autenticación? ¿Existe un proceso de cambio de contraseñas en caso de ser comprometida? ¿Existen controles de seguridad relativas a las cuentas compartidas? Más allá de A.9.2.2 ¿Existen controles de acceso adecuados? ¿Se identifican los usuarios de forma individual individuales? ¿Cómo se definen, autorizan, asignan, revisan, gestionan y retiran los derechos de acceso, los permisos y las reglas asociadas? ¿Se muestra una pantalla de advertencia en el proceso de inicio de sesión para disuadir el acceso no autorizado? ¿Cómo se autentican las identidades de usuario durante el proceso de inicio de sesión? ¿Se utiliza autenticación multifactor para sistemas / servicios / conexiones remotas críticas a través de VPN s etc.? ¿La información de inicio de sesión solo se valida una vez imputadas las credenciales? ¿Las contraseñas no válidas desencadenan demoras o bloqueos, entradas de registro y alertas / alarmas? ¿Se registran los inicios de sesión exitosos? ¿Se transmiten las contraseñas de modo seguro mediante el uso de cifrado? ¿Los sistemas requieran una fortaleza de contraseñas establecidos en las políticas y estándares corporativos? ¿Las reglas tienen en cuenta lo siguiente? • Longitud mínima de la contraseña • Evitan la reutilización de un número específico de contraseñas • Imponen reglas de complejidad (mayúsculas, minúsculas, números, símbolos, etc.) • Requiere el cambio forzado de contraseñas en el primer inicio de sesión • Esconde la contraseña durante la imputación ¿Se almacenan y transmiten de forma segura (cifrado)? ¿Quién controla los servicios privilegiados? ¿Quién puede acceder a ellos, bajo qué condiciones y con qué fines? ¿Se verifica que estas personas necesidad comercial para otorgar el acceso según su roles y responsabilidades? ¿Existe un proceso auditable de aprobación, y cada instancia de su uso está registrado? ¿Se tiene en cuenta la segregación de tareas? ¿El código fuente se almacena en una o más bibliotecas de programas fuente o repositorios? ¿El entorno es seguro, con un acceso adecuado, control de versiones, monitoreo, registro, etc.? ¿Cómo se modifica el código fuente? ¿Cómo se publica y se compila el código? ¿Se almacenan y revisan los registros de acceso y cambios? ¿Existe una política que cubra el uso de controles criptográficos? ¿Cubre lo siguiente? • Los casos en los que información debe ser protegida a través de la criptografía • Normas que deben aplicarse para la aplicación efectiva • Un proceso basado en el riesgo para determinar y especificar la protección requerida • Uso de cifrado para información almacenada o transferida • Los efectos de cifrado en la inspección de contenidos de software • Cumplimiento de las leyes y normativas aplicables ¿Se cumple con la política y requerimientos de cifrado?

11/20/2023 Page 7 of 12 Estado y Aplicabilidad de controles de Seguridad de la Información Sección Controles de Seguridad de la Información Estado Recurso Preguntas A11.2.7 Reutilización o eliminación segura de equipos Administrado A11.2.8 Equipo de usuario desatendido Administrado A11.2.9 Política de puesto de trabajo despejado y pantalla limpia Administrado A12 Seguridad de las operaciones A12.1 Procedimientos y responsabilidades operacionales A12.1.1 Documentación de procedimientos operacionales Definido A12.1.2 Gestión de cambios Definido A12.1.3 Gestión de capacidades Definido A12.1.4 Separación de los recursos de desarrollo, prueba y operación Definido A12.2 Protección contra el software malicioso (malware) A12.2.1 Controles contra el código malicioso Inicial A12.3 Copias de seguridad A12.3.1 Copias de seguridad de la información Repetible A12.4 Registros y supervisión ¿Cómo evita la organización que se revele la información almacenada en equipos tras su reasignación o eliminación? ¿Se utiliza cifrado fuerte o borrado seguro? ¿Se mantienen registros adecuados de todos los medios que se eliminan? ¿La política y el proceso cubren todos los dispositivos y medios de TIC? ¿Se suspenden / finalizan las sesiones a aplicaciones para evitar la pérdida de datos o la corrupción? ¿Se define un tiempo de inactividad adecuado los riesgos de acceso físico no autorizado? ¿Se protegen los bloqueos de pantalla con contraseña? ¿Se aplica a todos los servidores, equipos de trabajo, portátiles, teléfonos y otros dispositivos TIC? ¿Cómo se verifica el cumplimiento? ¿Existen políticas, normas, procedimientos y directrices para mantener las zonas de trabajo limpias y despejadas? ¿Funciona en la práctica? ¿Todos los dispositivos informáticos tienen un salvapantallas o bloqueo con contraseña que los empleados usan cuando se alejan de sus dispositivos? ¿Se activa automáticamente tras de un tiempo inactivo definido? ¿Se mantienen las impresoras, fotocopiadoras, escáneres despejados? ¿Existen procedimientos para las operaciones de TI, sistemas y gestión de redes, gestión de incidencias, la administración de TI, seguridad de TI, seguridad física, gestión de cambios, etc.? ¿Existe un conjunto completo de procedimientos de seguridad y cuándo se revisaron por última vez? ¿Los procesos son razonablemente seguros y están bien controlados? ¿Los roles y responsabilidades están bien definidos y se capacita adecuadamente al personal? ¿Se tienen en cuenta los cambios, configuraciones, versiones, capacidad, rendimiento, problemas, incidentes, copias de seguridad, almacenamiento, restauración, registros de auditoría, alarmas / alertas, endurecimiento, evaluaciones de vulnerabilidad, parches, configuración / actualizaciones de antivirus, encriptación, etc.)? ¿Los procedimientos están siendo revisados y mantenidos rutinariamente, autorizados / ordenados, compartidos y usados? ¿Existe una política de gestión de cambios? ¿Existen registros relacionados a la gestión de cambios? ¿Se planifican y gestionan los cambios? ¿Se evalúan los riesgos potenciales asociados con los cambios? ¿Los cambios están debidamente documentados, justificados y autorizados por la administración? ¿Existe una política de gestión de capacidad? ¿Existen registros relacionados a la gestión de capacidad? ¿Incluye aspectos tales como las SLA, seguimiento de las métricas relevantes (ej. uso de la CPU, almacenamiento y errores de página, capacidad de la red, demanda de RAM, la capacidad de aire acondicionado, espacio de rack, la utilización, etc.), alarmas / alertas en niveles críticos, la planificación hacia adelante? ¿Se basa la prioridad en asegurar el rendimiento y la disponibilidad de servicios críticos, servidores, infraestructura, aplicaciones, funciones en un análisis de riesgos? ¿Se segregan entornos de TIC de desarrollo, prueba y operacionales? ¿Cómo se logra la separación a un nivel de seguridad adecuado? ¿Existen controles adecuados para aislar cada entorno (ej. redes de producción, redes utilizadas para el desarrollo, redes de pruebas, la gestión)? ¿Se tienen acceso a través de perfiles de usuario debidamente diferenciados para cada uno de estos entornos? ¿Cómo se promueve y se lanza el software? ¿Se aplica la gestión de cambios a la autorización y migración de software, datos, metadatos y configuraciones entre entornos en cualquier dirección? ¿Se tiene en cuenta el riesgo de la información y los aspectos de seguridad que incluye el cumplimiento de privacidad si los datos personales se mueven a entornos menos seguros? ¿Se identifica un responsable de garantizar que el software nuevo / modificado no interrumpa las operaciones de otros sistemas o redes? ¿Existen políticas y procedimientos asociados a controles antimalware? ¿Se utilizan listas blancas o negras para controlar el uso de software autorizado y no autorizado? ¿Cómo se compila, gestiona y mantiene la lista y por quién? ¿Hay controles de antivirus de “escaneado en acceso” y “escaneo programático” en todos los dispositivos relevantes, incluidos servidores, portátiles, ordenadores de sobremesa y dispositivos integrados / IoT? ¿Se actualiza el software antivirus de forma automática? ¿Se general alertas accionables tras una detección? ¿Se toma acción de forma rápida y apropiada para minimizar sus efectos? ¿Cómo se gestionan las vulnerabilidades técnicas? ¿Existe una capacitación y una concienciación apropiada que cubra la detección, el informe y la resolución de malware para usuarios, gerentes y especialistas de soporte? ¿Existe un mecanismo de escalación para incidentes graves? ¿Existen políticas y procedimientos asociados a las copias de seguridad? ¿Existe un mandato basado en el riesgo para un registro preciso y completo de copias de seguridad cuya política de retención y frecuencia reflejen las necesidades del negocio? ¿Las copias de seguridad cubren los datos y metadatos, sistema y programas de aplicación y los parámetros de configuración de copias de seguridad para todos los sistemas, incluyendo servidores, ordenadores de sobremesa, teléfonos / sistemas de red, sistemas de gestión de red, portátiles, sistemas de control, sistemas de seguridad, etc.? ¿Los medios de respaldo están físicamente protegidos / asegurados al menos al mismo nivel que los datos operacionales? ¿Las copias de seguridad se almacenan en ubicaciones adecuadas, protegiendo contra desastres físicos y acceso indebido? ¿Se mantienen copias off-line para evitar una propagación de ransomware catastrófica? ¿Las copias de seguridad se prueban regularmente para garantizar que puedan restaurar? ¿Hay una clara adherencia a principios de confidencialidad, integridad y disponibilidad?

11/20/2023 Page 8 of 12 Estado y Aplicabilidad de controles de Seguridad de la Información Sección Controles de Seguridad de la Información Estado Recurso Preguntas A12.4.1 Registro de eventos Definido A12.4.2 Protección de la información del registro Definido A12.4.3 Registros de administración y operación Definido A12.4.4 Sincronización del reloj Definido A12.5 Control del software en explotación A12.5.1 Instalación del software en explotación Definido A12.6 Gestión de la vulnerabilidad técnica A12.6.1 Gestión de las vulnerabilidades técnicas Inicial A12.6.2 Restricción en la instalación de software Definido A12.7 Consideraciones sobre la auditoria de sistemas de información A12.7.1 Controles de auditoría de sistemas de información Inicial A13 Seguridad de las comunicaciones A13.1 Gestión de la seguridad de las redes A13.1.1 Controles de red Repetible A13.1.2 Seguridad de los servicios de red Repetible A13.1.3 Segregación en redes Repetible ¿Existen políticas y procedimientos para el registro de eventos? ¿Se monitorean y registran de manera consistente y segura todos los sistemas clave incluido el registro de eventos en sí? ¿Se registra lo siguiente? • cambios en los ID de usuario • permisos y controles de acceso • actividades privilegiadas del sistema • intentos de acceso exitosos y fallidos • inicio de sesión y cierre de sesión • identidades y ubicaciones de dispositivos • direcciones de red, puertos y protocolos • instalación de software • cambios a las configuraciones del sistema • uso de utilidades y aplicaciones del sistema • archivos accedidos y el tipo de acceso • filtros de acceso web ¿Quién es responsable de revisar y hacer un seguimiento de los eventos informados? ¿Cuál es el periodo de retención de eventos? ¿Existe un proceso para revisar y responder adecuadamente a las alertas de seguridad? ¿Los registros se almacenan / archivan en un formato seguro o mecanismo de control no-editable? ¿El acceso a los registros es adecuadamente controlado, autorizado y monitoreado? ¿Quién tiene o podría obtener acceso a leer / escribir / eliminar registros de eventos? ¿Hay suficiente capacidad de almacenamiento dado el volumen de registros que se generan y los requisitos de retención? ¿Existen copias de seguridad de los registros? Hay responsables identificados para la administración de acceso privilegiado al análisis de eventos (SIEM)? ¿Cómo se recogen, almacenan y aseguran, analizan los registros? ¿Existen limitaciones a la capacidad de dichas personas para interferir con los registros o, al menos, no sin generar alarmas de seguridad? ¿Existen políticas, arquitecturas o procedimientos relativos a la sincronización del reloj del sistema su precisión? ¿Hay un tiempo de referencia definido (ej. Reloj atómicos, GPS o NTP)? ¿El método para sincronizar relojes con la referencia cumple con los requisitos comerciales, de seguridad, operacionales, legales, regulatorios y contractuales? ¿Está implementado en todo el entorno TI, incluidos los sistemas de monitoreo tales como CCTV, sistemas de alerta, mecanismos de control de acceso, sistemas de auditoría y registro, etc.? ¿Existe una configuración de respaldo para la referencia de tiempo? ¿Existe una política acerca de la instalación de software? ¿Se asegura que todo software instalado es probado, aprobado, permitido y mantenido para su uso en producción? ¿Se verifica que ya no se utiliza software sin soporte (firmware, sistemas operativos, middleware, aplicaciones y utilidades)? ¿Se hace esta verificación en ordenadores de sobremesa, portátiles, servidores, bases de datos, etc.? ¿Existen controles para evitar instalaciones de software, excepto por administradores capacitados y autorizados? ¿Existe un monitoreo y alerta para detectar instalaciones de software no aprobadas? ¿Existe un control de cambio y aprobación adecuado para la aprobación de software? ¿Existe una política la gestión de vulnerabilidades técnicas? ¿Cómo se escanean los sistemas para detectar vulnerabilidades de forma automatizada? ¿Cómo responde la organización ante vulnerabilidades técnicas descubiertas en equipos, servidores, aplicaciones, dispositivos de red y otros componentes? ¿Existen procesos adecuados para verificar los inventarios de los sistemas e identificar si las vulnerabilidades divulgadas son relevantes? ¿Se ha realizado una evaluación integral de riesgos de los sistemas TIC? ¿Se han identificado los riesgos y se han tratado apropiadamente, se han priorizado según el riesgo? ¿Se identifican cambios tales como amenazas emergentes, vulnerabilidades conocidas o sospechadas, y consecuencias o impactos comerciales en evolución? ¿Los parches son evaluados por su aplicabilidad y riesgos antes de ser implementados? ¿Los procesos para implementar parches urgentes son adecuados? ¿Se emplea una administración automatizada de parches? ¿Existen registros de aprobación o rechazo de implementación de parchas asociado a vulnerabilidades (aceptación de riesgo) en los niveles de administración adecuados? ¿La instalación software en los sistemas está limitada personal autorizado con privilegios de sistema adecuados? ¿Los privilegios de instalación están divididos en categorías y permiten instalar tipos de sistemas específicos? ¿Los controles se aplican a parches, copias de seguridad y descargas de la web, así como a instalaciones de sistemas, servidores, etc.? ¿Existe una política que requiera auditorias de seguridad de la información? ¿Existe un programa definido y procedimientos para auditoría? ¿Las auditorías se planifican cuidadosamente y se acuerdan para minimizar el riesgo de interrupciones en los procesos comerciales? ¿Se define el alcance de la auditoría en coordinación con la administración? ¿El acceso a las herramientas de auditoría de sistemas están controladas para evitar el uso y acceso no autorizado? ¿Existen políticas de redes físicas e inalámbricas? ¿Existe una separación de la administración de las operaciones de sistemas y la de infraestructuras de red? ¿Existe un mecanismo de registro i monitorización de la red y los dispositivos que se conectan ella? ¿Hay un sistema de autenticación para todos los accesos a la red de la organización? ¿El sistema limita el acceso de personas autorizadas a aplicaciones / servicios legítimos? ¿Los usuarios se autentican adecuadamente al inicio de sesión? ¿Cómo se autentican los dispositivos de red? ¿Existe una segmentación de red adecuada usando cortafuegos, VLAN, VPN, etc.? ¿Se controlan los puertos y servicios utilizados para funciones de administración de sistemas? ¿Se gestionan, clasifican y protegen los servicios de red de forma adecuada? ¿Existe un monitoreo de servicios de red? ¿Se mantiene un derecho a auditar servicios de red gestionados por terceros (contratos, SLA y requisitos de informes de gestión)? ¿Se emplean mecanismos de autenticación en la red, cifrado de tráfico de red? ¿Se hace una revisión periódica de las configuraciones de cortafuegos, IDS / IPS, WAF, DAM? ¿Existe una política de segmentación de red? ¿Qué tipo de segmentación existe? ¿Es basada en la clasificación, los niveles de confianza, dominios (público, escritorios, servidor, funciones, etc.)? ¿Cómo se monitorea y controla la segregación? ¿Se segmenta la red inalámbrica de la red física? ¿Y la red de invitados? ¿Hay controles adecuados entre ellos? ¿Cómo se controla la segmentación con proveedores y clientes? ¿La seguridad es adecuada dados los riesgos y el apetito de riesgo de la organización?

11/20/2023 Page 10 of 12 Estado y Aplicabilidad de controles de Seguridad de la Información Sección Controles de Seguridad de la Información Estado Recurso Preguntas A14.3 Datos de prueba A14.3.1 Protección de los datos de prueba Administrado A15 Relación con proveedores A15.1 Seguridad en las relaciones con proveedores A15.1.1 Política de seguridad de la información en las relaciones con los proveedores Administrado A15.1.2 Requisitos de seguridad en contratos con terceros Administrado A15.1.3 Cadena de suministro de tecnología de la información y de las comunicaciones Administrado A15.2 Gestión de la provisión de servicios del proveedor A15.2.1 Control y revisión de la provisión de servicios del proveedor Administrado A15.2.2 Gestión de cambios en la provisión del servicio del proveedor Administrado A16 Gestión de incidentes de seguridad de la información A16.1 Gestión de incidentes de seguridad de la información y mejoras A16.1.1 Responsabilidades y procedimientos Definido A16.1.2 Notificación de los eventos de seguridad de la información Definido A16.1.3 Notificación de puntos débiles de la seguridad Definido A16.1.4 Evaluación y decisión sobre los eventos de seguridad de información Definido A16.1.5 Respuesta a incidentes de seguridad de la información Definido A16.1.6 Aprendizaje de los incidentes de seguridad de la información Definido A16.1.7 Recopilación de evidencias Definido A17 Aspectos de seguridad de la información para la gestión de la continuidad de negocio A17.1 Continuidad de la seguridad de la información ¿Se utilizan mecanismos para proteger datos de prueba como la seudonimización, enmascaramiento, datos falsos, borrado, etc.? ¿Existe un mecanismo de verificación y aprobación para el uso de datos no protegidos para pruebas? ¿Existen registros de estas actividades? ¿Existen políticas, procesos, prácticas y registros relacionados con la gestión de relaciones con proveedores que involucran servicios de TI? ¿Incluyen servicios de nube, logística, servicios públicos, recursos humanos, médicos, financieros, legales y otros servicios subcontratados de alto riesgo? ¿Los contratos y acuerdos abordan lo siguiente? • Arreglos de gestión de relaciones, incluyendo el riesgo de la información y los aspectos de seguridad, la métrica, el rendimiento, problemas, rutas de escalada • Información / propiedad intelectual, y obligaciones / limitaciones derivadas • Rendición de cuentas y responsabilidades relacionadas con el riesgo y la seguridad de la información • Requisitos legales y normativos, como el cumplimiento certificado de ISO 27001 • Identificación de controles físicos y lógicos • Gestión de eventos, incidentes y desastres incluyendo evaluación, clasificación, priorización, notificación, escalado, gestión de respuesta y aspectos de continuidad del negocio • Habilitación de seguridad de los empleados y concienciación • Derecho de auditoría de seguridad por parte de la organización ¿Existe una obligación contractual de cumplimento? ¿Los proveedores de servicios externos son monitoreados rutinariamente y auditados para cumplir con los requisitos de seguridad? ¿Los contratos o acuerdos formales con proveedores cubren lo siguiente? • Gestión de las relaciones, incluyendo riesgos • Cláusulas de confidencialidad vinculantes • Descripción de la información que se maneja y el método de acceder a dicha información • Estructura de la clasificación de la información a usar • La Inmediata notificación de incidentes de seguridad • Aspectos de continuidad del negocio • Subcontratación y restricciones en las relaciones con otros proveedores • Aspectos de personal y RRHH (ej. Rendimiento, antecedentes, “robo de empleados”, etc.) Más allá de A.15.1.1 y A.15.1.2 ¿Cómo se validan los requisitos de seguridad de los productos o servicios adquiridos? ¿Cómo se logra una capacidad de recuperación cuando productos o servicios críticos son suministrados por terceros? ¿Se puede rastrear el origen del producto o servicio? ¿Existe una monitorización de servicios y quien responsable de esta actividad? ¿Se llevan a cabo reuniones de revisión del servicio, con qué frecuencia? ¿Se generan informes y / o métricas relacionadas a las reuniones y las decisiones tomadas? ¿Las reuniones abarcan riesgos, incidentes, políticas, cumplimiento e informes de auditoría? ¿Existen cláusulas de penalización o de bonificación en el contrato relacionadas con el riesgo de la información? ¿Cómo se comunican cambios en los servicios relacionados con la información, servicios adicionales o cambios en la forma en que se prestan los servicios contratados? ¿Cómo se comunican cambios en las políticas y requerimientos legales de la organización? ¿Se actualizan los acuerdos relacionados con los cambios? ¿Existen políticas, procedimientos e ITT´s para la gestión de incidentes? ¿Qué cubre? • I plan de respuesta a incidentes • Puntos de contacto para la notificación de incidentes, seguimiento y evaluación • Monitoreo, detección y reporte de eventos de seguridad • Asignación y escalado de incidentes (N1 > N2) incluyendo las respuestas de emergencia y la continuidad de negocio • Método de recolección de evidencias y pruebas forenses digitales • Revisión post-evento de seguridad y procesos de aprendizaje / mejora ¿Existen evidencias de la notificación de incidentes, registro, clasificación, asignación de resolución, la mitigación y la confirmación de cierre? ¿Cómo se informan los eventos de seguridad de la información? ¿Son conscientes los trabajadores de la necesidad de informar de inmediato y lo hacen? ¿Se crean informes de seguimiento de los incidentes? Desde la detección a la resolución. ¿Qué pasa con esos informes? Más allá de A.16.1.2 ¿Existe una obligación contractual por parte de los empleados para reportar cualquier tipo de ocurrencia inusual? ¿Las políticas prohíben explícitamente a los trabajadores 'verificar', 'explorar', 'validar' o 'confirmar' vulnerabilidades a menos que estén expresamente autorizados para hacerlo? ¿Qué tipos de eventos se espera que informen los empleados? ¿A quién informan? ¿Cómo se evalúan estos eventos para decidir si califican como incidentes? ¿Hay una escala de clasificación? ¿Hay un proceso de clasificación y / o escalamiento para priorizar los incidentes graves? ¿En qué se basa? ¿Cómo se recolecta, almacena y evalúa la evidencia? ¿Hay una matriz de escalación para usar según sea necesario? ¿Hay medios para comunicar información de tales incidentes a las organizaciones internas y externas pertinentes? ¿Se documentan las acciones tomadas para resolver y finalmente cerrar un incidente? ¿Existe un proceso de evaluación / investigación para identificar incidentes de impacto recurrentes? ¿Se aprovecha la información obtenida de la evaluación de incidentes para evitar recurrencias? Además, ¿Se está utilizado para formación y concienciación? ¿La organización cuenta con un proceso de gestión de incidentes relativamente maduro? ¿Se está aprendiendo de forma proactiva de incidentes, mejorando los conocimientos de riesgo y los controles de seguridad? ¿La recolección de evidencias de hace de forma competente en la empresa o por terceros especializados y capacitados en esta área? ¿Haya personal capacitado, competente y confiable con herramientas adecuadas y procesos definidos para el rol? (cadena de evidencia rigurosamente mantenida, evidencia asegurada en almacenamiento, herramientas y técnicas) ¿Quién decide emprender un análisis forense, y en qué criterio se base? ¿Existen obligaciones relacionadas con la jurisdicción, las diferentes normas forenses y los requisitos legales asociados?

11/20/2023 Page 11 of 12 Estado y Aplicabilidad de controles de Seguridad de la Información Sección Controles de Seguridad de la Información Estado Recurso Preguntas A17.1.1 Planificación de la continuidad de la seguridad de la información Definido A17.1.2 Implementar la continuidad de la seguridad de la información Definido A17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información Definido A17.2 Redundancias A17.2.1 Disponibilidad de los recursos de tratamiento de la información Inicial A18 Cumplimiento A18.1 Cumplimiento de los requisitos legales y contractuales A18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales Definido A18.1.2 Derechos de Propiedad Intelectual (DPI) Definido A18.1.3 Protección de los registros de la organización Definido A18.1.4 Protección y privacidad de la información de carácter personal Definido A18.1.5 Regulación de los controles criptográficos Definido A18.2 Revisiones de la seguridad de la información A18.2.1 Revisión independiente de la seguridad de la información Repetible A18.2.2 Cumplimiento de las políticas y normas de seguridad Repetible A18.2.3 Comprobación del cumplimiento técnico Repetible 114 Número de Controles ¿Cómo se determinan los requisitos de continuidad del negocio? ¿Existe un plan de continuidad de negocio? ¿Existen un diseño adecuado de "alta disponibilidad" para sistemas de TI, redes y procesos críticos? ¿Se identifica el impacto potencial de los incidentes? ¿Se evalúan los planes de continuidad del negocio? ¿Se llevan a cabo ensayos de continuidad? ¿Los planes tienen plazos definidos para restaurar servicios tras una interrupción? ¿Los planes tienen en cuenta la identificación y el acuerdo de responsabilidades, la identificación de pérdidas aceptables, la implementación de procedimientos de recuperación y restauración, la documentación de procedimientos y las pruebas regulares? ¿La planificación de la continuidad es consistente e identifica las prioridades de restauración? ¿Tienen los miembros de los equipos de recuperación / gestión de crisis / incidentes conocimiento de los planes y tienen claro sus roles y responsabilidades? ¿Los controles de seguridad son adecuados en los sitios de recuperación de desastres remotos? ¿Existe un método de pruebas del plan de continuidad? ¿Con qué frecuencia se llevan a cabo dichas pruebas? ¿Hay evidencia de las pruebas reales y sus resultados? ¿Se han identificado deficiencias?, ¿Se han remediado? y ¿Se han vuelto a probar hasta que los resultados sean satisfactorios? ¿Cómo se identifican los requisitos de disponibilidad de servicios? ¿Se tienen en cuenta la capacidad de recuperación, la capacidad de rendimiento, el balanceo de carga? ¿Se tienen en cuenta servicios poco fiables, equipos, instalaciones, servidores, aplicaciones, enlaces, funciones, y la organización en sí? ¿Los controles clave de seguridad de la información están implementados y son funcionales en los sitios de recuperación de desastres? ¿Existe una política acerca del cumplimiento de requisitos legales? LOPD, GDPR, etc. ¿Se mantiene un registro o base de datos de cumplimiento enumerando todas las obligaciones, expectativas legales, reglamentarias y contractuales aplicables? ¿Hay una persona encargada de mantener, usar y controlar el registro? ¿Cómo se logra y se garantiza el cumplimiento? ¿Existen controles adecuados para cumplir con los requisitos? ¿Existen políticas y procedimientos relativos a la adquisición, el uso y licencias de propiedad intelectual, gestión de licencias y cumplimiento? ¿Existe una política que contemple lo siguiente? Clasificación, categorización, períodos de retención y medios de almacenamiento permitidos. ¿Se almacenan las firmas digitales de forma segura? ¿Se contempla la posibilidad de destrucción, falsificación y acceso no autorizado? ¿Se verifica periódicamente la integridad de los registros? ¿Se utilizan medios de almacenamiento de larga duración para el almacenamiento a largo plazo? ¿Hay un mecanismo para instruir al personal en el manejo de información de carácter personal? ¿Hay un responsable de privacidad en la organización? ¿Es el responsable conocedor de la información de carácter personal que es recopilado, procesado y almacenados por la organización? ¿Cuáles son los controles de acceso a información de carácter personal? ¿Cuál es el nivel de acceso y roles (de personal) que tienen acceso a estos activos? ¿Existe una política que cubra actividades relacionadas con importación / exportación de material criptográfico? ¿Estas actividades cumplen con los requisitos legales y reglamentarios? ¿Están las prioridades de implementación de controles alineadas con los riesgos a activos de información? ¿Los requisitos de auditoría de sistemas son cuidadosamente planificados, autorizados, implementados y controlados para minimizar los riesgos? ¿Están los objetivos y el alcance de auditoria autorizados por la gerencia? ¿Está adecuadamente controlado el acceso a las herramientas / software de auditoría del sistema de información? ¿Se documentan los hallazgos de auditoría y las actuaciones para solventarlos? ¿Cómo garantizar que todos los procedimientos de seguridad dentro de un área de responsabilidad se llevan a cabo correctamente? ¿Se hace una verificación periódica? ¿Se llevan a cabo escaneos de vulnerabilidades de red y pruebas de Pentesting regulares? ¿Las pruebas son realizadas por profesionales debidamente cualificados, competentes y confiables? ¿Cómo informa, analiza y utilizan los resultados de dichas pruebas? ¿La prioridad de tratamiento se basa en un análisis de riesgos? ¿Hay evidencias de medidas tomadas para abordar los problemas identificados?