Guía de Auditoria del Marco de Ciberseguridad 5.0

Organización y Gobernanza 

Conjunto de posible evidencia que permite probar el cumplimiento de cada requisito incluido en esta sección. 

Requisito PS.1 - Adoptar una Política de seguridad de la información 

  1. Resolución, registros u otro mecanismo que evidencie la aprobación de la Política de Seguridad de la Información por la dirección. 

  1. Registro de difusión de la Política de Seguridad de la Información (correo masivo, publicaciones, reuniones, actas, etc.). 

  1. Extracto de la Política de Seguridad de la Información que identifique los responsables de su cumplimiento y sus atribuciones. 

  1. Capturas de pantalla o enlaces activos en intranet, sistemas de gestión documental, wiki institucional o repositorio corporativo donde se encuentre accesible la Política de Seguridad de la Información. 

  1. Actas, minutas, correos u otros registros que documenten la revisión de la Política de Seguridad de la Información a partir de cambios normativos o del contexto organizacional. 

  1. Actas, presentaciones, correos o informes que demuestren que los resultados de la revisión de la Política de Seguridad de la Información fueron comunicados al Comité de Seguridad de la Información (CSI). 

  1. Registros de correos, actas, publicaciones internas u otros medios que evidencien la nueva difusión de la Política de Seguridad de la Información tras su modificación. 

  1. Registro documental, como la Política de Seguridad de la Información o manual de gestión, donde se indique expresamente la periodicidad con la que debe revisarse la Política de Seguridad de la Información. 

  1. Registro de revisión de la Política de Seguridad de la Información por parte de la Dirección (minutas, actas, correos, formularios, otros).  

  1. Política de Seguridad de la Información, actas del CSI, correos formales, informes técnicos u otros registros donde se definan indicadores para evaluar la efectividad de la política. 

 

Requisito OR.1 - Designar un Responsable de la Seguridad de la Información.  

  1. Documentación o comunicaciones internas (actas, correos, minutas) que indiquen quién cumple de hecho funciones de Responsable de Seguridad de la Información (RSI), aunque no exista aún una designación formal.  

  1. Correos, actas, minutas o planillas donde conste que el RSI coordina o ejecuta tareas vinculadas a la seguridad de la información. 

  1. Resolución, memorando, contrato u otro documento que formalice la designación del RSI en la organización. 

  1. Descripción de cargo, manual de funciones o documento oficial donde se detallen las responsabilidades del RSI, incluyendo gestión de seguridad, incidentes, riesgos, entre otras. 

  1. Difusión de la designación del rol de RSI (correo, sitio web, intranet, etc.).  

  1. Actas, planillas, correos o informes que evidencien que el RSI lidera o coordina las evaluaciones de riesgos, o delego dicha función a referentes designados. 

  1. Notificación de designación a Agesic (correo, etc.).  

  1. Actas, convocatorias, correos u otro registro que demuestre la participación del RSI en el Comité de Seguridad de la Información. 

  1. Planes anuales de seguridad firmados o presentados por el RSI, que incluyan objetivos, acciones e indicadores asociados. 

  1. Actas de reuniones estratégicas, correos de convocatoria, presentaciones o informes donde se evidencie la participación del RSI en procesos de planificación institucional o estratégica. 

Requisito OR.2 - Conformar un Comité de Seguridad de la Información.  

  1. Resolución, acta, memorando u otro documento que establezca formalmente la creación del Comité de Seguridad de la Información en la organización. 

  1. Actas, órdenes del día, minutas o registros de convocatoria que evidencien la realización periódica de reuniones del CSI con temas tratados y asistentes. 

  1. Documento aprobado por la dirección (resolución, manual, reglamento, acta, etc.) que incluya expresamente las responsabilidades y atribuciones del CSI. 

  1. Reglamento interno, manual de funcionamiento, acta de constitución u otro documento donde se detallen las reglas operativas del CSI, como frecuencia de reuniones, quórum, roles y forma de decisión. 

  1. Actas, presentaciones, correos u otros documentos que evidencien que el CSI interviene en la definición del nivel de riesgo aceptable. 

  1. Actas, presentaciones, correos u otros documentos que evidencien que el CSI aprueba el plan de tratamiento de riesgos. 

  1. Actas, minutas, informes, órdenes del día, entre otros mecanismos que evidencien que el CSI revisa planes y políticas de seguridad y aprueba sus actualizaciones. 

  1. Actas, resoluciones o presentaciones donde conste que el CSI aprueba o valida la planificación estratégica en materia de seguridad de la información. 

  1. Documento emitido por el CSI (como actas, informes, etc.) que incluya indicadores definidos para evaluar su desempeño. 

  1. Actas, reportes o presentaciones donde el CSI analice sus propios indicadores y defina acciones de mejora o ajustes en su forma de operar. 

 

Requisito OR.3 - Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta.  

  1. Resoluciones internas, documento de roles y responsabilidades del RSI o referente designado, actas de asignación de funciones, organigramas funcionales o comunicaciones institucionales que indiquen explícitamente quién es el punto de contacto oficial. 

  1. Listado oficial de contactos de autoridades y equipos externos relevantes (como CERTuy, URCDP, CSIRT sectoriales), incluyendo nombre, cargo, canal de contacto y condiciones de uso. 

  1. Comunicaciones institucionales, campañas internas de concientización, manuales de usuario, capacitaciones o encuestas al personal que evidencien que se ha difundido la identidad y función del punto de contacto oficial. 

  1. Procedimientos, anexos del plan de respuesta a incidentes o listas de contactos documentadas con información técnica y operativa para contacto con autoridades (incluyendo criterios de activación y medios de comunicación oficiales). 

  1. Versiones históricas de listados de contacto, registros de revisión (con fecha y responsable), actas de reunión o tickets de mantenimiento documental que evidencien que los contactos han sido verificados y actualizados en los últimos 12 meses. 

 

Requisito OR.4 - Abordar la seguridad de la información en la gestión de los proyectos.  

  1. Planilla, sistema de gestión de proyectos o documento institucional donde figure el listado de proyectos de la organización (en curso, finalizados y planificados), actualizado al momento de la auditoría. 

  1. Actas, correos o formularios donde se evidencie que el RSI, o quien él designe, interviene en la planificación o inicio de proyectos. 

  1. Contratos, pliegos, documentación del llamado u otros documentos vinculados a proyectos que incluyan cláusulas específicas sobre seguridad de la información. 

  1. Documentación de los proyectos (por ejemplo, acta de constitución del proyecto, lista inicial de requerimientos, etc.) que incluya requisitos de seguridad de la información requeridos.  

  1. Registros de realización y seguimiento de la evaluación de riesgos de los proyectos que incluyan riesgos relativos a la seguridad de la información.  

  1. Informes de avance de los proyectos donde se incluye puntos que tratan sobre la evaluación de los riesgos de seguridad de la información.  

  1. Actas de cierre, informes finales o listas de verificación donde se valide el cumplimiento de los requisitos de seguridad definidos para el proyecto. 

  1. Documentos de cierre de proyecto, informes retrospectivos o presentaciones que incluyan lecciones aprendidas relacionadas con la gestión de seguridad de la información.  

 

Requisito OR.5 - Pautar el uso de dispositivos móviles.  

  1. Planilla, sistema de gestión de activos, reporte u otro mecanismo que contenga el inventario actualizado de dispositivos móviles asignados por la organización. 

  1. Capturas de pantalla, archivos de configuración del sistema operativo u otros mecanismos que evidencien la aplicación de al menos un factor de autenticación en los dispositivos móviles de la organización. 

  1. Manual, instructivo, procedimientos u otros documentos internos que establezcan normas de uso, cuidado, y seguridad de los dispositivos móviles. 

  1. Registros de correos, actas, cartelería, plataforma de capacitación o firma de acuse de recibo que demuestren la difusión de las pautas de uso al personal.   

  1. Informes de revisión, reportes de MDM, o capturas que evidencien la implementación de los requisitos de seguridad (como antimalware, cifrado de disco, bloqueo automático, y versión mínima de sistema operativo) en los dispositivos móviles.  

  1. Capturas de pantalla, configuración exportada o informes de la herramienta MDM que evidencien la capacidad de ejecutar el borrado remoto de datos en dispositivos móviles. 

  1. Inventario o listado de dispositivos personales autorizados, con información sobre titular, fecha de aprobación y uso permitido, acompañado de la solicitud o autorización documentada (formulario, correo, sistema de tickets). 

  1. Informes de revisión, capturas de pantalla o reportes de MDM que evidencien la aplicación de los controles de seguridad definidos por la organización en los dispositivos personales registrados. 

  1. Resolución, registros u otro mecanismo que evidencie la aprobación de la Política de uso aceptable de dispositivos móviles por el CSI o la dirección. 

  1. Registros, minutas, actas, correos, formularios u otros documentos que evidencien que se realiza la revisión periódica y actualización de la Política de uso aceptable de dispositivos móviles.  

  1. Registros de actualización, actas u otros mecanismos que evidencien la revisión y mejora de procedimientos relacionados al uso seguro de dispositivos móviles.   

 

Requisito OR.6 - Establecer controles para proteger la información a la que se accede de forma remota.  

  1. Política, instructivo o procedimiento técnico que detalle los requisitos mínimos de seguridad exigidos para los dispositivos que acceden de forma remota. 

  1. Logs del sistema, registros del servidor VPN o plataforma de acceso remoto que incluyan, al menos, fecha, hora, usuario, dirección IP y recurso accedido. 

  1. Exportación de reglas del firewall, configuración de acceso VPN, ACLs (listas de control de acceso) o archivos de política de red donde se limite explícitamente el acceso remoto a un conjunto definido de recursos autorizados. 

  1. Registro de configuración de la solución Múltiple Factor de Autenticación (MFA) utilizada, capturas de pantalla del proceso de autenticación, o reportes de acceso donde se evidencie el uso de múltiples factores en los accesos remotos. 

  1. Formularios, correos o sistema de tickets, entre otros, donde conste que el responsable del activo aprueba explícitamente el acceso remoto solicitado antes de su habilitación. 

  1. Documento formal que describa el proceso para solicitar, evaluar, autorizar y revocar accesos remotos. 

  1. Resolución, descripción de roles o manual de funciones donde se designe quién tiene a cargo la asignación y control de accesos remotos. 

  1. Resolución, registros u otro mecanismo que evidencie la aprobación de la Política de control de acceso remoto por el CSI o la dirección.  

  1. Registros de accesos otorgados a proveedores con vencimiento explícito (fecha o evento) y evidencia de su revocación posterior (logs, tickets, expiración automática). 

  1. Manual de funciones, instructivo operativo, resolución, acta o flujo de proceso donde se indique que la gestión de accesos remotos se canaliza de forma centralizada a través de un área o responsable definido. 

  1. Informes de revisión, matrices de acceso, bitácoras de auditoría, tickets de revisión o planillas firmadas que evidencien la verificación periódica de los usuarios con acceso remoto, incluyendo la vigencia, necesidad del acceso, etc. 

  1. Actas, planes de mejora, ajustes de procedimientos u otras evidencias de toma de decisiones basadas en los resultados de las revisiones de accesos remotos. 

  1. Informes de auditoría interna, lista de verificación de control o reportes que verifiquen el cumplimiento efectivo de los procedimientos establecidos para el acceso remoto. 

 

Requisito OR.7 - Conocer el contexto de la organización   

  1. Listado de servicios críticos, matriz de criticidad, actas de validación de servicios esenciales, registros de continuidad de negocio o documentos del Sistema de Gestión de Seguridad de la Información (SGSI) que identifiquen servicios clave. 

  1. Inventario de partes interesadas, matriz de proveedores críticos, análisis de impacto de terceros, contratos clasificados por criticidad o informes de evaluación de dependencias externas. 

  1. Diagramas de procesos, mapas de procesos operativos y de soporte, documentación de procesos ISO u otras metodologías (BPM, SIPOC), con su respectivo responsable designado. 

  1. Documentos de análisis FODA, informes PESTEL, actas de revisión de contexto, informes estratégicos con mención a factores que impactan la seguridad de la información, o entregables del comité de riesgos o del RSI. 

  1. Matriz de dependencias, diagramas de relación entre procesos y servicios, análisis de impacto en cascada, modelos de continuidad de negocio (por ejemplo, BIA) que evidencien relaciones entre actores y funciones clave. 

  1. Actas de revisión de contexto, cronogramas de actualización anual, versiones comparativas de análisis FODA o PESTEL, informes de auditoría interna o planes de mejora que reflejen cambios y adecuaciones en el contexto organizacional. 

 

Requisito PL.1 - Establecer objetivos anuales con relación a la Seguridad de la Información.  

  1. Planes operativos, presentaciones institucionales, actas del CSI o de dirección donde se detallen objetivos anuales de seguridad de la información. 

  1. Planillas, planificaciones o mecanismos que detallen las acciones previstas para alcanzar los objetivos. 

  1. Objetivos de seguridad integrados en planes de acción institucionales, planes operativos anuales, cronogramas de ejecución, plataformas de seguimiento o presentaciones internas que vinculen objetivos con acciones, responsables y plazos. 

  1. Actas del CSI, minutas, correos de validación, registros en sistemas de gestión o presentaciones utilizadas en sesiones donde se haya discutido y aprobado formalmente el conjunto de objetivos anuales y su plan de ejecución 

  1. Correos masivos, publicaciones en intranet, presentaciones internas o constancias de reuniones donde se haya comunicado formalmente el contenido de los objetivos y sus metas asociadas. 

  1. Cronogramas de trabajo compartido, registros de reuniones, tickets o plataformas colaborativas donde se evidencie la participación de distintos sectores en la ejecución de acciones vinculadas a los objetivos. 

  1. Tableros de control, plantillas de indicadores, informes de seguimiento o secciones dentro del plan de acción que contengan métricas concretas asociadas a cada objetivo. 

  1. Cartera de proyectos, fichas técnicas, formularios de presentación, actas de aprobación u otros mecanismos donde se evidencie que los objetivos de seguridad se han transformado en proyectos específicos. 

  1. Informes de seguimiento, versionado del plan de acción, reportes de progreso o actas de revisión donde se analice el estado de cumplimiento de los objetivos y se ajusten las acciones según los resultados obtenidos. 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Políticas de Ciberseguridad Ciberseguridad Seguro te conectás Herramientas para organismos Política Digital del Uruguay