Kudo

COR-3 - Evaluación Independiente basada en Riesgos

Control de auditorías internas y externas independientes de ciberseguridad

Definición de Control

Es necesario mantener programas de auditoría interna y externa con alcance definido según el perfil de riesgo, garantizando la independencia de los auditores y ejecutándolas con una frecuencia acorde a la criticidad de los sistemas evaluados. Es necesario contratar periódicamente evaluaciones de terceros independientes que incluyan pruebas técnicas y de madurez, presentando sus resultados a la alta dirección y planificando su ejecución para minimizar el impacto en producción. Es necesario gestionar de forma centralizada las evidencias de cumplimiento, y definir qué, cómo y cuándo se debe medir y evaluar el desempeño de la seguridad de la información.

Requisitos

Requisito 1

Definimos un programa de auditorías internas de ciberseguridad con alcance basado en el perfil de riesgo.

Requisito 2

Definimos un programa de auditorías externas de ciberseguridad con alcance basado en el perfil de riesgo.

Requisito 3

Ejecutamos auditorías internas con una frecuencia programada para los sistemas críticos.

Requisito 4

Ejecutamos auditorías externas con una frecuencia programada para los sistemas críticos.

Requisito 5

Planificamos las auditorías definiendo criterios de selección de alcance y procedimientos de evaluación.

Requisito 6

Garantizamos la independencia funcional de los auditores internos respecto a las áreas auditadas.

Requisito 7

Garantizamos la independencia funcional de los auditores externos respecto a la compañía.

Requisito 8

Contratamos periódicamente evaluaciones de ciberseguridad realizadas por terceros independientes y certificados.

Requisito 9

Cubrimos con las evaluaciones externas al menos los sistemas más críticos con una frecuencia programada o ante cambios significativos en el entorno tecnológico.

Requisito 10

Definimos en qué momentos se debe realizar el seguimiento y la medición de la seguridad de la información y ciberseguridad.

Requisito 11

Definimos en qué momentos se deben analizar y evaluar los resultados obtenidos del seguimiento y medición de la seguridad de la información y ciberseguridad.

Requisito 12

Mantenemos activos y actualizados uno o varios programas de auditoría interna.

Requisito 13

Planificamos con cuidado las pruebas de auditoría y otras actividades de evaluación en los sistemas en producción para minimizar el impacto.

Requisito 14

Acordamos previamente con los gestores responsables la realización de pruebas de auditoría y otras actividades de evaluación en los sistemas.

Requisito 15

Incluimos en las evaluaciones externas pruebas de penetración, revisiones de arquitectura y evaluaciones de madurez.

Requisito 16

Reportamos formalmente los hallazgos de auditoría.

Requisito 17

Presentamos los resultados de las evaluaciones externas a la alta dirección.

On this page