Guía de Auditoria del Marco de Ciberseguridad 5.0

Cumplimiento normativo y revisión 

Conjunto de posible evidencia que permite probar el cumplimiento de cada requisito incluido en esta sección. 

Requisito CN.1 - Cumplir con los requisitos normativos.  

  1. Matriz de cumplimiento normativo, listado de obligaciones legales, informes legales internos, actas del CSI sobre cumplimiento o registros de revisión que evidencien la identificación de requerimientos relacionados con seguridad, privacidad, acceso a la información y propiedad intelectual. 

  1. Actas de reunión, correos de coordinación, informes conjuntos o evidencias de actividades compartidas que permitan verificar la interacción entre el delegado de protección de datos personales y el RSI y/o CSI. 

  1. Procedimiento de actualización normativa, flujo de evaluación de cambios regulatorios, designación de responsables o registros de incorporación reciente que evidencien cómo se actualizan las obligaciones legales o normativas. 

  1. Correos institucionales, actas de comité, informes de cumplimiento o registros de entrega que evidencien que los resultados de las revisiones normativas o cambios legales son comunicados al RSI y/o al CSI para su análisis y seguimiento. 

  1. Informes de auditoría, cronogramas ejecutados, hallazgos documentados o registros de planes de acción que evidencien la realización de auditorías internas sobre cumplimiento normativo y legal. 

  1. Planes de mejora, registros de decisiones estratégicas, versiones actualizadas de políticas o procedimientos y actas del comité de seguridad que evidencien que los hallazgos de cumplimiento se utilizan como insumo para mejorar y tomar decisiones estratégicas. 

 

 

 

Requisito CN.2 - Realizar auditorías independientes de seguridad de la información.  

  1. Informes de análisis de gap, matrices de madurez, listas de verificación de autoevaluación o actas del equipo de seguridad que evidencien que se ha realizado una evaluación comparando la situación actual frente a los requisitos del marco. 

  1. Listado de proyectos priorizados, presentaciones de planificación, cronogramas del plan de seguridad o actas del CSI que permitan verificar que las brechas detectadas alimentan el portafolio de iniciativas de seguridad. 

  1. Informes de auditoría interna, cronogramas ejecutados, actas de cierre o matrices de hallazgos que evidencien que se realiza anualmente una revisión formal interna del cumplimiento con el presente marco de seguridad. 

  1. Contratos con auditores externos, informes emitidos, planificaciones plurianuales o referencias en el programa de cumplimiento que evidencien la realización de auditorías externas del presente marco según una frecuencia establecida.  

  1. Planes de acción documentados, matrices de cumplimiento, tickets de implementación o reportes de seguimiento que permitan verificar que los hallazgos generan planes de acción y se realiza seguimiento hasta su cierre.  

  1. Informes de revisión de auditorías, encuestas de evaluación posteriores a su ejecución, análisis de cobertura o actas de mejora que evidencien que se analiza la efectividad y suficiencia de las auditorías como insumo para futuras mejoras. 

  1. Términos de referencia, planes de auditoría, informes de resultados o listas de chequeo utilizadas que evidencien que las auditorías incluyen la totalidad del sistema de gestión de seguridad: objetivos, políticas y controles. 

 

 

 

Requisito CN.3 - Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades.  

  1. Informes técnicos de revisión, contratos con terceros, actas de evaluación de sistemas o tickets internos que evidencien la realización de análisis puntuales sobre los sistemas de información. 

  1. Informes de pentest, cronogramas de pruebas, entregables de proveedores, actas de autorización o registros de ejecución que permitan verificar que se realizan pruebas de intrusión en sistemas críticos de forma periódica o tras cambios relevantes. 

  1. Correos de distribución de resultados, actas del CSI, registros de entrega de informes o minutas de reuniones que evidencien que los hallazgos de pruebas de seguridad son compartidos con los responsables correspondientes. 

  1. Procedimiento aprobado, manual de escaneo de vulnerabilidades, instructivos técnicos o flujos documentados que permitan verificar la existencia de un procedimiento formal con alcance a sistemas base y de aplicación. 

  1. Plan de escaneos, cronogramas ejecutados, logs de herramientas o entregables de pentest que evidencien que los escaneos se realizan cada 6 meses como máximo y las pruebas de intrusión anualmente en sistemas críticos. 

  1. Contratos o convenios con empresas especializadas, informes de terceros, certificaciones de ejecución o actas de coordinación que evidencien el involucramiento de especialistas externos en la revisión de vulnerabilidades y pruebas de intrusión. 

  1. Planes de acción derivados, ajustes documentados en configuraciones, versiones actualizadas de procedimientos o reportes de cierre que permitan constatar que los hallazgos se utilizan para fortalecer la seguridad de los sistemas. 

  1. Informes de revisión, listas de chequeo, hallazgos de auditoría interna o evidencias de monitoreo que demuestren que se verifica el cumplimiento del procedimiento de revisión periódica de vulnerabilidades. 

  1. Matriz de procesos de seguridad, cronogramas conjuntos o evidencias de coordinación operativa que permitan verificar que el procedimiento de revisión de vulnerabilidades forma parte activa de la gestión de seguridad de la información. 

 

 

Requisito CN.4 - Gestionar las licencias de software.  

  1. Inventarios de licencias, registros de instalación en servidores, reportes de herramientas de gestión de activos o planillas de control que evidencien el seguimiento del estado de licenciamiento del software en equipos servidores. 

  1. Actas de designación, matrices de roles y responsabilidades, políticas internas o documentos operativos que identifiquen claramente quiénes gestionan la adquisición, asignación, renovación y baja de licencias. 

  1. Registros de licencias por equipo, informes de auditoría de los equipos entregados al personal, herramientas de inventario de software o planillas con correspondencia entre usuarios y licencias asignadas. 

  1. Planillas consolidadas, listados actualizados de software instalado por equipo, registros de licencias activas y su asignación o actas de revisión que permitan verificar que existe una trazabilidad razonable entre las licencias disponibles y las instalaciones detectadas. 

  1. Informes de utilización, comparativas entre licencias adquiridas y activas, reportes de auditoría o acciones de optimización que evidencien que se detectan posibles sobrelicenciamientos o subutilización. 

  1. Reportes legales o de cumplimiento, validaciones cruzadas con contratos de software, evaluaciones internas o actas de revisión que permitan constatar que se verifica el uso conforme a los términos de licenciamiento. 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Políticas de Ciberseguridad Ciberseguridad Seguro te conectás Herramientas para organismos Política Digital del Uruguay