Conoce el nivel de madurez de tu organización EncuestaDatos generalesNombreApellidoCorreoMunicipalidadPolíticas de Seguridad1.- ¿Existen políticas publicadas, aprobadas por la dirección, para apoyar la seguridad de la información? Inexistente Insuficiente Regular Aceptable Completo2.- ¿Las políticas de seguridad de la información son revisadas y actualizadas? Inexistente Insuficiente Regular Aceptable CompletoOrganización de la Seguridad3.- ¿Están definidas todas las responsabilidades de seguridad de la información? Inexistente Insuficiente Regular Aceptable Completo4.- ¿Los deberes y las responsabilidades son correctamente segregadas teniendo en cuenta las situaciones de conflicto de intereses? Inexistente Insuficiente Regular Aceptable Completo5.- ¿Existen definidas contactos con las autoridades competentes? Inexistente Insuficiente Regular Aceptable Completo6.- ¿Existen definidos contactos con grupos de interés especial o asociaciones profesionales? Inexistente Insuficiente Regular Aceptable Completo7.- ¿Los proyectos consideran aspectos relacionados con la seguridad de la informacion? Inexistente Insuficiente Regular Aceptable Completo8.- ¿Existen definidas reglas para el manejo seguro de los dispositivos móviles? Inexistente Insuficiente Regular Aceptable Completo9.- ¿Existen reglas que definen cómo está protegida la información de la organización teniendo en cuenta el teletrabajo? Inexistente Insuficiente Regular Aceptable CompletoSeguridad Relativa a los Recursos Humanos10.- ¿La organización realiza verificaciones de antecedentes de los candidatos para el empleo o para los contratistas? Inexistente Insuficiente Regular Aceptable Completo11.- ¿Existen acuerdos con los empleados y contratistas donde se especifiquen las responsabilidades de seguridad de información? Inexistente Insuficiente Regular Aceptable Completo12.- ¿La dirección requiere activamente que todos los empleados y contratistas cumplan con las reglas de seguridad de la información? Inexistente Insuficiente Regular Aceptable Completo13.- ¿Los empleados y contratistas asisten a entrenamientos para realizar mejor sus tareas de seguridad, y existen programas de sensibilización? Inexistente Insuficiente Regular Aceptable Completo14.- ¿La organización tiene un proceso disciplinario? Inexistente Insuficiente Regular Aceptable Completo15.- ¿Existen acuerdos que cubren las responsabilidades de seguridad de información que siguen siendo válidas después de la terminación del empleo? Inexistente Insuficiente Regular Aceptable CompletoGestión de Activos16.- ¿Existe un inventario de activos? Inexistente Insuficiente Regular Aceptable Completo17.- ¿Todos los activos en el inventario de activos tienen un dueño designado? Inexistente Insuficiente Regular Aceptable Completo18.- ¿Existen definidas reglas para el manejo de activos y de información? Inexistente Insuficiente Regular Aceptable Completo19.- ¿Los activos de la organización son devueltos cuando los empleados y contratistas finalizan su contrato? Inexistente Insuficiente Regular Aceptable Completo20.- ¿Existen procedimientos que definen cómo etiquetar y manejar información clasificada? Inexistente Insuficiente Regular Aceptable Completo21.- ¿Existen procedimientos que definen cómo manejar activos? Inexistente Insuficiente Regular Aceptable Completo22.- ¿Existen procedimientos formales para la eliminación de medios? Inexistente Insuficiente Regular Aceptable Completo23.- ¿Son protegidos los medios que contienen información sensible durante el transporte? Inexistente Insuficiente Regular Aceptable CompletoControl de Acceso24.- ¿Existe una política de control de acceso? Inexistente Insuficiente Regular Aceptable Completo25.- ¿Los usuarios tienen acceso sólo a los recursos que se les permite? Inexistente Insuficiente Regular Aceptable Completo26.- ¿Los derechos de acceso son proporcionados mediante un proceso de registro formal? Inexistente Insuficiente Regular Aceptable Completo27.- ¿Existe un sistema de control de acceso formal para el inicio de sesión en sistemas de información? Inexistente Insuficiente Regular Aceptable Completo28.- ¿Los derechos de acceso privilegiado son manejados con especial cuidado? Inexistente Insuficiente Regular Aceptable Completo29.- ¿Las contraseñas, y otra información de autenticación secreta, es proporcionada de forma segura? Inexistente Insuficiente Regular Aceptable Completo30.- ¿Los propietarios de activos comprueban periódicamente todos los derechos de acceso privilegiado? Inexistente Insuficiente Regular Aceptable Completo31.- ¿Los derechos de acceso son actualizados cuando hay un cambio en la situación del usuario (por ejemplo: cambio organizacional o terminación)? Inexistente Insuficiente Regular Aceptable Completo32.- ¿Existen reglas para los usuarios sobre cómo proteger las contraseñas y otra información de autenticación? Inexistente Insuficiente Regular Aceptable Completo33.- ¿El acceso a la información en los sistemas es restringido según la política de control de acceso? Inexistente Insuficiente Regular Aceptable Completo34.- ¿Es requerido un sistema de login en los sistemas según la política de control de acceso? Inexistente Insuficiente Regular Aceptable Completo35.- ¿Los sistemas de gestión de contraseñas utilizados por los usuarios de la organización les ayuda a manejar de forma segura su información de autenticación? Inexistente Insuficiente Regular Aceptable Completo36.- ¿El uso de herramientas de utilidad es controlado y limitado a empleados específicos? Inexistente Insuficiente Regular Aceptable Completo37.- ¿El acceso al código fuente es restringido a personas autorizadas? Inexistente Insuficiente Regular Aceptable CompletoCriptografía38.- ¿Existe una política para regular la encriptación y existen otros controles criptográficos? Inexistente Insuficiente Regular Aceptable Completo39.- ¿Están debidamente protegidas las claves criptográficas? Inexistente Insuficiente Regular Aceptable CompletoSeguridad Física y del entorno40.- ¿Existen zonas seguras que protegen la información sensible? Inexistente Insuficiente Regular Aceptable Completo41.- ¿Es protegida la entrada a las zonas seguras? Inexistente Insuficiente Regular Aceptable Completo42.- ¿Las zonas seguras están ubicadas en un lugar protegido? Inexistente Insuficiente Regular Aceptable Completo43.- ¿Existen instaladas alarmas, sistemas de protección contra incendios y otros sistemas? Inexistente Insuficiente Regular Aceptable Completo44.- ¿Existen definidos procedimientos para las zonas seguras? Inexistente Insuficiente Regular Aceptable Completo45.- ¿Las zonas entrega y carga están protegidas? Inexistente Insuficiente Regular Aceptable Completo46.- ¿Los equipos son debidamente protegidos? Inexistente Insuficiente Regular Aceptable Completo47.- ¿Los equipos están protegidos contra las variaciones de energía? Inexistente Insuficiente Regular Aceptable Completo48.- ¿Están adecuadamente protegidos los cables de energía y telecomunicaciones? Inexistente Insuficiente Regular Aceptable Completo49.- ¿Existe mantenimiento de los equipos? Inexistente Insuficiente Regular Aceptable Completo50.- ¿La retirada de información y equipos fuera de la organización está controlada? Inexistente Insuficiente Regular Aceptable Completo51.- ¿Los activos de la organización son debidamente protegidos cuando no están en las instalaciones de la organización? Inexistente Insuficiente Regular Aceptable Completo52.- ¿Es correctamente eliminada la información de los equipos que se van a eliminar? Inexistente Insuficiente Regular Aceptable Completo53.- ¿Existen reglas para proteger los equipos cuando estos no estén siendo usados por los usuarios? Inexistente Insuficiente Regular Aceptable Completo54.- ¿Hay orientaciones a los usuarios sobre qué hacer cuando estos no están presentes en sus estaciones de trabajo? Inexistente Insuficiente Regular Aceptable CompletoSeguridad de las Operaciones55.- ¿Están documentados los procedimientos de TI? Inexistente Insuficiente Regular Aceptable Completo56.- ¿Los cambios que podrían afectar a la seguridad de la información son estrictamente controlados? Inexistente Insuficiente Regular Aceptable Completo57.- ¿Los recursos son monitoreados y se realizan planes para asegurar su capacidad para cumplir con la demanda de los usuarios? Inexistente Insuficiente Regular Aceptable Completo58.- ¿Se separan los entornos de desarrollo, pruebas y producción? Inexistente Insuficiente Regular Aceptable Completo59.- ¿El software antivirus y otros programas para la protección de malware se instalan y utilizan correctamente? Inexistente Insuficiente Regular Aceptable Completo60.- ¿Existe una política de backup definida y se lleva a cabo correctamente? Inexistente Insuficiente Regular Aceptable Completo61.- ¿Los eventos relevantes de los sistemas son verificando periódicamente? Inexistente Insuficiente Regular Aceptable Completo62.- ¿Los registros están protegidos adecuadamente? Inexistente Insuficiente Regular Aceptable Completo63.- ¿Están adecuadamente protegidos los logs de los administradores? Inexistente Insuficiente Regular Aceptable Completo64.- ¿Esta la hora de todos los sistemas de TI sincronizada? Inexistente Insuficiente Regular Aceptable Completo65.- ¿La instalación de software es estrictamente controlada? Inexistente Insuficiente Regular Aceptable Completo66.- ¿La información de análisis de vulnerabilidades es correctamente gestionada? Inexistente Insuficiente Regular Aceptable Completo67.- ¿Existen reglas para definir restricciones de instalación de software a los usuarios? Inexistente Insuficiente Regular Aceptable Completo68.- ¿Están las auditorías de sistemas de producción planeadas y se ejecutan correctamente? Inexistente Insuficiente Regular Aceptable CompletoSeguridad de las Comunicaciones69.- ¿Las redes son gestionadas para proteger la información de sistemas y aplicaciones? Inexistente Insuficiente Regular Aceptable Completo70.- ¿Los requisitos de seguridad para servicios de red están incluidas en los acuerdos? Inexistente Insuficiente Regular Aceptable Completo71.- ¿Existen redes segregadas considerando los riesgos y la clasificación de los activos? Inexistente Insuficiente Regular Aceptable Completo72.- ¿Las transferencias de información están debidamente protegidas? Inexistente Insuficiente Regular Aceptable Completo73.- ¿Los acuerdos con terceras partes consideran la seguridad durante la transferencia de información? Inexistente Insuficiente Regular Aceptable Completo74.- ¿Los mensajes que se intercambian sobre las redes están protegidos correctamente? Inexistente Insuficiente Regular Aceptable Completo75.- ¿La organización posee una lista con todas las cláusulas de confidencialidad que deben ser incluidos en los acuerdos con terceros? Inexistente Insuficiente Regular Aceptable CompletoAdquisición, desarrollo y mantenimiento de sistemas de información76.- ¿Se definen requisitos de seguridad para nuevos sistemas de información, o para cualquier cambio sobre ellos? Inexistente Insuficiente Regular Aceptable Completo77.- ¿La información de aplicaciones transferida a través de redes públicas es adecuadamente protegida? Inexistente Insuficiente Regular Aceptable Completo78.- ¿Las transacciones de información a través de redes públicas son adecuadamente protegidas? Inexistente Insuficiente Regular Aceptable Completo79.- ¿Existen definidas reglas para el desarrollo seguro de software y de los sistemas? Inexistente Insuficiente Regular Aceptable Completo80.- ¿Se controlan los cambios en los sistemas nuevos o existentes? Inexistente Insuficiente Regular Aceptable Completo81.- ¿Las aplicaciones críticas son debidamente probadas después de los cambios realizados en los sistemas operativos? Inexistente Insuficiente Regular Aceptable Completo82.- ¿Se realizan sólo los cambios necesarios a los sistemas de información? Inexistente Insuficiente Regular Aceptable Completo83.- ¿Los principios de ingeniería de sistemas seguros son aplicados al proceso de desarrollo de sistemas de la organización? Inexistente Insuficiente Regular Aceptable Completo84.- ¿Es seguro el entorno de desarrollo? Inexistente Insuficiente Regular Aceptable Completo85.- ¿Es monitorizado el desarrollo externalizado de sistemas? Inexistente Insuficiente Regular Aceptable Completo86.- ¿Existe definido un criterio para aceptar los sistemas? Inexistente Insuficiente Regular Aceptable Completo87.- ¿Los datos de prueba son cuidadosamente seleccionados y protegidos? Inexistente Insuficiente Regular Aceptable CompletoRelación con Proveedores88.- ¿Existe una política para el tratamiento de los riesgos relacionados con proveedores y socios? Inexistente Insuficiente Regular Aceptable Completo89.- ¿Los requisitos de seguridad son incluidos en los acuerdos con los proveedores y socios? Inexistente Insuficiente Regular Aceptable Completo90.- ¿Los acuerdos con los proveedores incluyen requisitos de seguridad? Inexistente Insuficiente Regular Aceptable Completo91.- ¿Son supervisados regularmente los proveedores? Inexistente Insuficiente Regular Aceptable Completo92.- ¿Los cambios relacionados con los acuerdos y contratos con proveedores y socios tienen en cuenta los riesgos existentes? Inexistente Insuficiente Regular Aceptable CompletoGestión de Incidentes de Seguridad de la Información93.- ¿Los incidentes son gestionados adecuadamente? Inexistente Insuficiente Regular Aceptable Completo94.- ¿Los eventos de seguridad son reportados adecuadamente? Inexistente Insuficiente Regular Aceptable Completo95.- ¿Los empleados y contratistas informan sobre las debilidades de seguridad? Inexistente Insuficiente Regular Aceptable Completo96.- ¿Los eventos de seguridad son evaluados y clasificados correctamente? Inexistente Insuficiente Regular Aceptable Completo97.- ¿Están documentados los procedimientos para dar respuesta a los incidentes? Inexistente Insuficiente Regular Aceptable Completo98.- ¿Se analizan los incidentes de seguridad correctamente? Inexistente Insuficiente Regular Aceptable Completo99.- ¿Existen procedimientos que definen cómo recopilar evidencias? Inexistente Insuficiente Regular Aceptable CompletoAspectos de seguridad de la información para la gestión de la continuidad del negocio100.- ¿Existen definidos requisitos para la continuidad de la seguridad de la información? Inexistente Insuficiente Regular Aceptable Completo101.- ¿Existen procedimientos que aseguren la continuidad de la seguridad de la información durante una crisis o un desastre? Inexistente Insuficiente Regular Aceptable Completo102.- ¿Se realizan tests y pruebas de continuidad? Inexistente Insuficiente Regular Aceptable Completo103.- ¿La infraestructura IT está redundada, incluyendo su planeamiento y operación? Inexistente Insuficiente Regular Aceptable CompletoCumplimiento104.- ¿Son conocidos los requisitos legislativos, regulatorios, contractuales y cualquier otro requisito relativo a seguridad? Inexistente Insuficiente Regular Aceptable Completo105.- ¿Existen procedimientos para proteger los derechos de propiedad intelectual? Inexistente Insuficiente Regular Aceptable Completo106.- ¿Los registros están protegidos adecuadamente? Inexistente Insuficiente Regular Aceptable Completo107.- ¿La información personal está protegida adecuadamente? Inexistente Insuficiente Regular Aceptable Completo108.- ¿Se utilizan controles criptográficos correctamente? Inexistente Insuficiente Regular Aceptable Completo109.- ¿La seguridad de la información es revisada regularmente por un auditor independiente? Inexistente Insuficiente Regular Aceptable Completo110.- ¿Los gerentes revisan regularmente si las políticas de seguridad y procedimientos son llevados a cabo adecuadamente en sus áreas de responsabilidad? Inexistente Insuficiente Regular Aceptable Completo111.- ¿Los sistemas de información son revisados regularmente para comprobar su cumplimiento con los estándares y las políticas de seguridad de la información? Inexistente Insuficiente Regular Aceptable CompletoTerminar encuesta
