COR-3 - Evaluación Independiente basada en Riesgos
Control de auditorías internas y externas independientes de ciberseguridad
Definición de Control
Es necesario mantener programas de auditoría interna y externa con alcance definido según el perfil de riesgo, garantizando la independencia de los auditores y ejecutándolas con una frecuencia acorde a la criticidad de los sistemas evaluados. Es necesario contratar periódicamente evaluaciones de terceros independientes que incluyan pruebas técnicas y de madurez, presentando sus resultados a la alta dirección y planificando su ejecución para minimizar el impacto en producción. Es necesario gestionar de forma centralizada las evidencias de cumplimiento, y definir qué, cómo y cuándo se debe medir y evaluar el desempeño de la seguridad de la información.
Requisitos
Requisito 1
Definimos un programa de auditorías internas de ciberseguridad con alcance basado en el perfil de riesgo.
Requisito 2
Definimos un programa de auditorías externas de ciberseguridad con alcance basado en el perfil de riesgo.
Requisito 3
Ejecutamos auditorías internas con una frecuencia programada para los sistemas críticos.
Requisito 4
Ejecutamos auditorías externas con una frecuencia programada para los sistemas críticos.
Requisito 5
Planificamos las auditorías definiendo criterios de selección de alcance y procedimientos de evaluación.
Requisito 6
Garantizamos la independencia funcional de los auditores internos respecto a las áreas auditadas.
Requisito 7
Garantizamos la independencia funcional de los auditores externos respecto a la compañía.
Requisito 8
Contratamos periódicamente evaluaciones de ciberseguridad realizadas por terceros independientes y certificados.
Requisito 9
Cubrimos con las evaluaciones externas al menos los sistemas más críticos con una frecuencia programada o ante cambios significativos en el entorno tecnológico.
Requisito 10
Definimos en qué momentos se debe realizar el seguimiento y la medición de la seguridad de la información y ciberseguridad.
Requisito 11
Definimos en qué momentos se deben analizar y evaluar los resultados obtenidos del seguimiento y medición de la seguridad de la información y ciberseguridad.
Requisito 12
Mantenemos activos y actualizados uno o varios programas de auditoría interna.
Requisito 13
Planificamos con cuidado las pruebas de auditoría y otras actividades de evaluación en los sistemas en producción para minimizar el impacto.
Requisito 14
Acordamos previamente con los gestores responsables la realización de pruebas de auditoría y otras actividades de evaluación en los sistemas.
Requisito 15
Incluimos en las evaluaciones externas pruebas de penetración, revisiones de arquitectura y evaluaciones de madurez.
Requisito 16
Reportamos formalmente los hallazgos de auditoría.
Requisito 17
Presentamos los resultados de las evaluaciones externas a la alta dirección.