| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | PROGRAMA DE AUDITORÍA PARA SISTEMAS OPERATIVOS | |||||||||||||||||||||||||
2 | ||||||||||||||||||||||||||
3 | ||||||||||||||||||||||||||
4 | ||||||||||||||||||||||||||
5 | ||||||||||||||||||||||||||
6 | ||||||||||||||||||||||||||
7 | ||||||||||||||||||||||||||
8 | OBJETIVO | |||||||||||||||||||||||||
9 | El objetivo de este programa es evaluar y asegurar la efectividad, eficiencia, seguridad y conformidad de todos los sistemas operativos dentro de la organización. Esto incluye la revisión de las políticas y procedimientos de gestión de los sistemas operativos, la gestión de parches y actualizaciones, la gestión de accesos, la configuración de seguridad, el monitoreo y revisión de los registros de eventos, la resiliencia y la continuidad del negocio, la gestión de cambios, la capacitación y concientización en seguridad, y la conformidad con las políticas internas y estándares de la industria. Además, el programa de auditoría buscará identificar, evaluar y gestionar los riesgos asociados con los sistemas operativos para garantizar la integridad, confidencialidad y disponibilidad de los datos y servicios críticos para el negocio. | |||||||||||||||||||||||||
10 | ||||||||||||||||||||||||||
11 | ||||||||||||||||||||||||||
12 | Factor | Descripción | Método de revisión | Resultados esperados | Hallazgos | Acción correctiva | ||||||||||||||||||||
13 | ||||||||||||||||||||||||||
14 | 1 | Identificación de sistemas operativos Se debe identificar todos los sistemas operativos utilizados en la organización, incluyendo los que están en uso en servidores, computadoras de escritorio, dispositivos móviles y sistemas. Esto puede implicar un inventario de hardware y software para tener una imagen clara de qué sistemas operativos se están utilizando y dónde. | ||||||||||||||||||||||||
15 | ||||||||||||||||||||||||||
16 | Inventario de Sistemas Operativos | Crear un registro completo y actualizado de todos los sistemas operativos en uso. | Utilizar una herramienta de inventario de software automatizada y complementar con revisión manual si es necesario. Entrevistar al personal de TI para verificar y complementar la información. | Un inventario detallado y actualizado de todos los sistemas operativos en uso, incluyendo la ubicación, la finalidad y los responsables de cada sistema. | Observaciones basadas en la precisión, integridad y actualidad del inventario. | Actualizar el inventario si se encuentran discrepancias. Implementar o mejorar el proceso de actualización periódica del inventario. | ||||||||||||||||||||
17 | Tipos de Sistemas Operativos | Identificar los diferentes tipos de sistemas operativos (Windows, Linux, macOS, iOS, Android, etc.) y sus correspondientes versiones. | Revisar el inventario de sistemas operativos. Entrevistas con el personal de TI. | Una lista detallada de todos los tipos de sistemas operativos y sus versiones en uso. | Observaciones basadas en la diversidad de sistemas operativos, su actualización y soporte por parte de los fabricantes. | Recomendaciones para consolidar sistemas operativos similares, actualizar sistemas operativos desactualizados, o eliminar sistemas que ya no tienen soporte del fabricante. | ||||||||||||||||||||
18 | Uso de Sistemas Operativos | Comprender el propósito y el uso de cada sistema operativo (servidores, trabajo, dispositivos móviles, etc.) | Entrevistas con el personal de TI y con los usuarios. Revisión de la documentación existente. | Un documento que detalle el propósito y uso de cada sistema operativo en el inventario. | Observaciones basadas en la revisión del uso apropiado de los sistemas operativos en función de sus capacidades y requisitos de seguridad. | Recomendaciones para cambiar sistemas operativos en función del propósito, mejorar la gestión de los sistemas operativos, o implementar políticas de uso. | ||||||||||||||||||||
19 | Conformidad con las políticas de la empresa | Verificar si los sistemas operativos en uso cumplen con las políticas de la empresa en términos de licencias, actualizaciones, seguridad, etc. | Revisión de las políticas de la empresa. Comparar el inventario y las prácticas actuales con las políticas. | Confirmación de que todos los sistemas operativos cumplen con las políticas de la empresa. | Observaciones sobre cualquier incumplimiento de las políticas. | Implementar acciones correctivas para cumplir con las políticas. Esto puede incluir la actualización o el cambio de los sistemas operativos, la adquisición de licencias adecuadas, o la implementación de políticas de actualización y seguridad. | ||||||||||||||||||||
20 | ||||||||||||||||||||||||||
21 | ||||||||||||||||||||||||||
22 | Factor | Descripción | Método de revisión | Resultados esperados | Hallazgos | Acción correctiva | ||||||||||||||||||||
23 | ||||||||||||||||||||||||||
24 | 2 | Evaluación de la gestión de parches Se debe evaluar el proceso de gestión de parches para verificar si las actualizaciones y parches de seguridad se están aplicando de manera oportuna y efectiva. Este proceso debería incluir un análisis de la velocidad a la que se aplican los parches, la forma en que se prueban antes de la implementación, y si los parches son adecuados para la versión específica del sistema operativo. | ||||||||||||||||||||||||
25 | ||||||||||||||||||||||||||
26 | Política de gestión de parches | Examinar la política de la organización para la gestión de parches, para entender cómo se seleccionan, prueban e implementan los parches. | Revisión de la documentación de la política, entrevistas con el personal de TI. | Política documentada y entendida sobre la gestión de parches. | Observaciones basadas en la revisión de la política. | Recomendaciones para mejorar la política, si se encuentran deficiencias. | ||||||||||||||||||||
27 | Pruebas de parches | Evaluar cómo la organización prueba los parches antes de su implementación. | Entrevistas con el personal de TI, revisión de la documentación de las pruebas realizadas. | Evidencia documentada de pruebas antes de la implementación de parches. | Observaciones basadas en la revisión de las pruebas de parches. | Recomendaciones para mejorar el proceso de pruebas, si se encuentran deficiencias. | ||||||||||||||||||||
28 | Tiempo de implementación de parches | Evaluar el tiempo que tarda la organización en implementar los parches después de su liberación. | Revisión de los registros de implementación de parches, entrevistas con el personal de TI. | Registros detallados del tiempo de implementación de los parches. | Observaciones basadas en la revisión del tiempo de implementación. | Recomendaciones para mejorar el tiempo de implementación, si es demasiado largo. | ||||||||||||||||||||
29 | Adecuación de los parches | Evaluar si los parches implementados son adecuados para la versión específica del sistema operativo. | Revisión de los registros de implementación de parches, comparación con las recomendaciones del fabricante del sistema operativo. | Evidencia de que se han seleccionado e implementado los parches adecuados. | Observaciones basadas en la revisión de la adecuación de los parches. | Recomendaciones para mejorar la selección de parches, si se encuentran problemas. | ||||||||||||||||||||
30 | Registro y seguimiento de parches | Evaluar si la organización mantiene un registro detallado de los parches implementados y realiza un seguimiento de su efectividad. | Revisión de los registros de parches, entrevistas con el personal de TI. | Registros detallados de todos los parches implementados y seguimiento de su efectividad. | Observaciones basadas en la revisión de los registros de parches. | Recomendaciones para mejorar el registro y seguimiento de los parches, si se encuentran deficiencias. | ||||||||||||||||||||
31 | ||||||||||||||||||||||||||
32 | ||||||||||||||||||||||||||
33 | Factor | Descripción | Método de revisión | Resultados esperados | Hallazgos | Acción correctiva | ||||||||||||||||||||
34 | ||||||||||||||||||||||||||
35 | 3 | Revisión de la configuración de seguridad Se debe revisar la configuración de seguridad de cada sistema operativo, incluyendo la configuración de firewalls, sistemas de detección y prevención de intrusiones, control de acceso físico y lógico, cifrado, y otras medidas de protección. Esta revisión debería también evaluar cómo se configuran las cuentas de usuario y las políticas de contraseñas. | ||||||||||||||||||||||||
36 | ||||||||||||||||||||||||||
37 | Configuración de firewall | Revisar la configuración del firewall para asegurarse de que protege adecuadamente los sistemas operativos contra amenazas externas. | Revisar la configuración del firewall, compararla con las mejores prácticas, entrevistas con el personal de TI. | Documentación de la configuración actual del firewall y una evaluación de su efectividad. | Observaciones basadas en la revisión de la configuración del firewall. | Recomendaciones para mejorar la configuración del firewall, si se encuentran deficiencias. | ||||||||||||||||||||
38 | Sistemas de detección y prevención de intrusiones | Evaluar los sistemas implementados para detectar y prevenir intrusiones en los sistemas operativos. | Revisar la documentación de los sistemas, entrevistar al personal de TI, evaluar registros de detección de intrusiones. | Documentación de los sistemas de detección y prevención de intrusiones y una evaluación de su efectividad. | Observaciones basadas en la revisión de los sistemas. | Recomendaciones para mejorar los sistemas de detección y prevención de intrusiones, si se encuentran deficiencias. | ||||||||||||||||||||
39 | Control de acceso | Evaluar los controles de acceso físico y lógico a los sistemas operativos. | Revisar la política de control de acceso, la implementación de los controles, entrevistar al personal de TI. | Documentación de los controles de acceso y una evaluación de su efectividad. | Observaciones basadas en la revisión de los controles de acceso. | Recomendaciones para mejorar los controles de acceso, si se encuentran deficiencias. | ||||||||||||||||||||
40 | Configuración de cuentas de usuario y políticas de contraseñas | Revisar cómo se configuran las cuentas de usuario y las políticas de contraseñas. | Revisar la configuración de las cuentas y las políticas de contraseñas, compararlas con las mejores prácticas, entrevistar al personal de TI. | Documentación de las políticas y configuraciones actuales y una evaluación de su efectividad. | Observaciones basadas en la revisión de las políticas y configuraciones. | Recomendaciones para mejorar las políticas y configuraciones, si se encuentran deficiencias. | ||||||||||||||||||||
41 | Otras medidas de protección | Evaluar otras medidas de protección, como el cifrado, las políticas de seguridad, los procedimientos de respuesta a incidentes, etc. | Revisar las medidas de protección, compararlas con las mejores prácticas, entrevistar al personal de TI. | Documentación de las medidas de protección y una evaluación de su efectividad. | Observaciones basadas en la revisión de las medidas de protección. | Recomendaciones para mejorar las medidas de protección, si se encuentran deficiencias. | ||||||||||||||||||||
42 | ||||||||||||||||||||||||||
43 | ||||||||||||||||||||||||||
44 | Factor | Descripción | Método de revisión | Resultados esperados | Hallazgos | Acción correctiva | ||||||||||||||||||||
45 | ||||||||||||||||||||||||||
46 | 4 | Gestión de usuarios y accesos Se debe evaluar cómo se gestiona el acceso a los sistemas operativos, incluyendo quién tiene derechos de administrador, cómo se asignan y revisan estos derechos, y si las políticas de contraseñas son adecuadas y se siguen correctamente. Esto también puede implicar una revisión de cualquier sistema de gestión de identidades o sistemas de control de acceso basados en roles. | ||||||||||||||||||||||||
47 | ||||||||||||||||||||||||||
48 | Derechos de administrador | Evaluar quién tiene derechos de administrador y cómo se asignan y revisan estos derechos. | Revisar la lista de cuentas de administrador, la política de asignación de derechos, entrevistar al personal de TI. | Documentación de las cuentas de administrador y una evaluación de la política de asignación y revisión de derechos. | Observaciones basadas en la revisión de los derechos de administrador. | Recomendaciones para mejorar la gestión de los derechos de administrador, si se encuentran deficiencias. | ||||||||||||||||||||
49 | Políticas de contraseñas | Evaluar si las políticas de contraseñas son adecuadas y se siguen correctamente. | Revisar la política de contraseñas, entrevistar a los usuarios y al personal de TI, probar la fortaleza de las contraseñas. | Documentación de la política de contraseñas y una evaluación de su cumplimiento. | Observaciones basadas en la revisión de la política de contraseñas. | Recomendaciones para mejorar la política de contraseñas, si se encuentran deficiencias. | ||||||||||||||||||||
50 | Sistema de gestión de identidades | Evaluar cualquier sistema de gestión de identidades implementado para controlar el acceso a los sistemas operativos. | Revisar la configuración del sistema, entrevistar al personal de TI, probar el sistema. | Documentación del sistema de gestión de identidades y una evaluación de su efectividad. | Observaciones basadas en la revisión del sistema de gestión de identidades. | Recomendaciones para mejorar el sistema de gestión de identidades, si se encuentran deficiencias. | ||||||||||||||||||||
51 | Control de acceso basado en roles | Evaluar cualquier sistema de control de acceso basado en roles implementado. | Revisar la configuración del sistema, entrevistar al personal de TI, probar el sistema. | Documentación del sistema de control de accesos y una evaluación de su efectividad. | Observaciones basadas en la revisión del sistema de control de accesos. | Recomendaciones para mejorar el sistema de control de accesos, si se encuentran deficiencias. | ||||||||||||||||||||
52 | ||||||||||||||||||||||||||
53 | ||||||||||||||||||||||||||
54 | Factor | Descripción | Método de revisión | Resultados esperados | Hallazgos | Acción correctiva | ||||||||||||||||||||
55 | ||||||||||||||||||||||||||
56 | 5 | Auditoría de registros de eventos Se deben revisar los registros de eventos del sistema operativo para determinar qué eventos se están registrando, cómo se almacenan y protegen estos registros, y cómo se revisan y monitorizan. Esta revisión debería incluir también una evaluación de cómo se manejan los incidentes y las alertas. | ||||||||||||||||||||||||
57 | ||||||||||||||||||||||||||
58 | Tipos de eventos registrados | Evaluar qué eventos se están registrando en los sistemas operativos. | Revisar la configuración de registro de eventos, entrevistar al personal de TI. | Documentación de los tipos de eventos que se registran y una evaluación de si son los adecuados. | Observaciones basadas en la revisión de los tipos de eventos registrados. | Recomendaciones para mejorar el registro de eventos, si se encuentran deficiencias. | ||||||||||||||||||||
59 | Almacenamiento y protección de registros | Evaluar cómo se almacenan y protegen los registros de eventos. | Revisar la política de almacenamiento y protección de registros, entrevistar al personal de TI. | Documentación de la política de almacenamiento y protección de registros y una evaluación de su cumplimiento. | Observaciones basadas en la revisión del almacenamiento y protección de registros. | Recomendaciones para mejorar el almacenamiento y protección de registros, si se encuentran deficiencias. | ||||||||||||||||||||
60 | Revisión y monitoreo de registros | Evaluar cómo se revisan y monitorizan los registros de eventos. | Revisar la política de revisión y monitoreo de registros, entrevistar al personal de TI. | Documentación de la política de revisión y monitoreo de registros y una evaluación de su cumplimiento. | Observaciones basadas en la revisión de la revisión y monitoreo de registros. | Recomendaciones para mejorar la revisión y monitoreo de registros, si se encuentran deficiencias. | ||||||||||||||||||||
61 | Manejo de incidentes y alertas | Evaluar cómo se manejan los incidentes y las alertas que surgen de los registros de eventos. | Revisar la política de manejo de incidentes y alertas, entrevistar al personal de TI. | Documentación de la política de manejo de incidentes y alertas y una evaluación de su cumplimiento. | Observaciones basadas en la revisión del manejo de incidentes y alertas. | Recomendaciones para mejorar el manejo de incidentes y alertas, si se encuentran deficiencias. | ||||||||||||||||||||
62 | ||||||||||||||||||||||||||
63 | ||||||||||||||||||||||||||
64 | Factor | Descripción | Método de revisión | Resultados esperados | Hallazgos | Acción correctiva | ||||||||||||||||||||
65 | ||||||||||||||||||||||||||
66 | 6 | Resiliencia y continuidad de negocio Se debe evaluar los procedimientos establecidos para la recuperación de desastres y la continuidad del negocio en caso de un fallo del sistema operativo. Esto puede implicar la revisión de las políticas y prácticas de respaldo de datos, las pruebas de recuperación de desastres, y la planificación de la continuidad del negocio. | ||||||||||||||||||||||||
67 | ||||||||||||||||||||||||||
68 | Políticas y prácticas de respaldo de datos | Evaluar las políticas y prácticas establecidas para el respaldo de datos en los sistemas operativos. | Revisar la política de respaldo, entrevistar al personal de TI, revisar los registros de respaldo. | Documentación de la política de respaldo de datos y una evaluación de su cumplimiento. | Observaciones basadas en la revisión de las políticas y prácticas de respaldo. | Recomendaciones para mejorar las políticas y prácticas de respaldo de datos, si se encuentran deficiencias. | ||||||||||||||||||||
69 | Pruebas de recuperación de desastres | Evaluar cómo se prueban los procedimientos de recuperación de desastres para los sistemas operativos. | Revisar la política de pruebas de recuperación, entrevistar al personal de TI, revisar los registros de pruebas de recuperación. | Documentación de la política de pruebas de recuperación y una evaluación de su cumplimiento. | Observaciones basadas en la revisión de las pruebas de recuperación de desastres. | Recomendaciones para mejorar las pruebas de recuperación de desastres, si se encuentran deficiencias. | ||||||||||||||||||||
70 | Planificación de la continuidad del negocio | Evaluar cómo se planifica la continuidad del negocio en caso de un fallo del sistema operativo. | Revisar la política de continuidad del negocio, entrevistar al personal de TI, revisar los planes de continuidad del negocio. | Documentación de la política de continuidad del negocio y una evaluación de su cumplimiento. | Observaciones basadas en la revisión de la planificación de la continuidad del negocio. | Recomendaciones para mejorar la planificación de la continuidad del negocio, si se encuentran deficiencias. | ||||||||||||||||||||
71 | ||||||||||||||||||||||||||
72 | ||||||||||||||||||||||||||
73 | Factor | Descripción | Método de revisión | Resultados esperados | Hallazgos | Acción correctiva | ||||||||||||||||||||
74 | ||||||||||||||||||||||||||
75 | 7 | Gestión de cambios Se debe revisar cómo se manejan los cambios en los sistemas operativos, incluyendo si se documentan correctamente los cambios, cómo se prueban antes de la implementación, y si se comunican y manejan de manera adecuada los riesgos asociados con los cambios. | ||||||||||||||||||||||||
76 | ||||||||||||||||||||||||||
77 | Documentación de cambios | Evaluar si los cambios en los sistemas operativos se documentan de manera adecuada. | Revisar la política de documentación de cambios, entrevistar al personal de TI, revisar ejemplos de documentación de cambios. | Documentación de la política de documentación de cambios y una evaluación de su cumplimiento. | Observaciones basadas en la revisión de la documentación de cambios. | Recomendaciones para mejorar la documentación de cambios, si se encuentran deficiencias. | ||||||||||||||||||||
78 | Pruebas de cambios | Evaluar cómo se prueban los cambios en los sistemas operativos antes de la implementación. | Revisar la política de pruebas de cambios, entrevistar al personal de TI, revisar los registros de pruebas de cambios. | Documentación de la política de pruebas de cambios y una evaluación de su cumplimiento. | Observaciones basadas en la revisión de las pruebas de cambios. | Recomendaciones para mejorar las pruebas de cambios, si se encuentran deficiencias. | ||||||||||||||||||||
79 | Comunicación y manejo de riesgos | Evaluar cómo se comunican y manejan los riesgos asociados con los cambios en los sistemas operativos. | Revisar la política de comunicación de riesgos, entrevistar al personal de TI, revisar ejemplos de comunicaciones de riesgos. | Documentación de la política de comunicación y manejo de riesgos y una evaluación de su cumplimiento. | Observaciones basadas en la revisión de la comunicación y manejo de riesgos. | Recomendaciones para mejorar la comunicación y manejo de riesgos, si se encuentran deficiencias. | ||||||||||||||||||||
80 | ||||||||||||||||||||||||||
81 | ||||||||||||||||||||||||||
82 | Factor | Descripción | Método de revisión | Resultados esperados | Hallazgos | Acción correctiva | ||||||||||||||||||||
83 | ||||||||||||||||||||||||||
84 | 8 | Capacitación y concientización en seguridad Se debe evaluar si se está proporcionando a los usuarios del sistema operativo formación y sensibilización en seguridad adecuada. Esto puede implicar la revisión de los programas de formación, la frecuencia de la formación, y la forma en que se mide y monitoriza la efectividad de la formación. | ||||||||||||||||||||||||
85 | ||||||||||||||||||||||||||
86 | Programas de formación | Evaluar los programas de formación en seguridad para los usuarios del sistema operativo. | Revisar los materiales del programa de formación, entrevistar al personal de TI y a los usuarios del sistema operativo. | Documentación de los programas de formación en seguridad y una evaluación de su adecuación. | Observaciones basadas en la revisión de los programas de formación. | Recomendaciones para mejorar los programas de formación, si se encuentran deficiencias. | ||||||||||||||||||||
87 | Frecuencia de la formación | Evaluar la frecuencia con la que se proporciona la formación en seguridad. | Revisar los registros de formación, entrevistar al personal de TI y a los usuarios del sistema operativo. | Documentación de la frecuencia de la formación y una evaluación de su adecuación. | Observaciones basadas en la revisión de la frecuencia de la formación. | Recomendaciones para mejorar la frecuencia de la formación, si se encuentran deficiencias. | ||||||||||||||||||||
88 | Medición y monitoreo de la formación | Evaluar cómo se mide y monitoriza la efectividad de la formación en seguridad. | Revisar los métodos de medición y monitoreo, entrevistar al personal de TI y a los usuarios del sistema operativo. | Documentación de los métodos de medición y monitoreo y una evaluación de su efectividad. | Observaciones basadas en la revisión de la medición y monitoreo de la formación. | Recomendaciones para mejorar la medición y monitoreo de la formación, si se encuentran deficiencias. | ||||||||||||||||||||
89 | ||||||||||||||||||||||||||
90 | ||||||||||||||||||||||||||
91 | Factor | Descripción | Método de revisión | Resultados esperados | Hallazgos | Acción correctiva | ||||||||||||||||||||
92 | ||||||||||||||||||||||||||
93 | 9 | Cumplimiento de políticas y estándares Se debe verificar que los sistemas operativos cumplen con las políticas internas de la empresa y los estándares de la industria. Esto puede implicar una revisión de las políticas y procedimientos, las pruebas de cumplimiento, y la forma en que se manejan las desviaciones y los incidentes de cumplimiento. | ||||||||||||||||||||||||
94 | ||||||||||||||||||||||||||
95 | Cumplimiento de políticas internas | Evaluar el cumplimiento de las políticas internas relacionadas con el uso y gestión de los sistemas operativos. | Revisión de las políticas internas, pruebas de cumplimiento, entrevistas con el personal de TI y usuarios del sistema. | Documentación de las políticas internas y evidencia de su cumplimiento. | Observaciones basadas en la revisión del cumplimiento de las políticas internas. | Recomendaciones para mejorar el cumplimiento de las políticas internas, si se encuentran deficiencias. | ||||||||||||||||||||
96 | Cumplimiento de estándares de la industria | Evaluar el cumplimiento de los estándares de la industria aplicables. | Revisión de los estándares de la industria, pruebas de cumplimiento, entrevistas con el personal de TI. | Documentación de los estándares de la industria y evidencia de su cumplimiento. | Observaciones basadas en la revisión del cumplimiento de los estándares de la industria. | Recomendaciones para mejorar el cumplimiento de los estándares de la industria, si se encuentran deficiencias. | ||||||||||||||||||||
97 | Manejo de desviaciones y incidentes de cumplimiento | Evaluar cómo se manejan las desviaciones y los incidentes de cumplimiento. | Revisión de los procedimientos para manejar desviaciones e incidentes de cumplimiento, entrevistas con el personal de TI. | Documentación de los procedimientos y evidencia de su implementación efectiva. | Observaciones basadas en la revisión del manejo de desviaciones e incidentes de cumplimiento. | Recomendaciones para mejorar el manejo de desviaciones e incidentes de cumplimiento, si se encuentran deficiencias. | ||||||||||||||||||||
98 | ||||||||||||||||||||||||||
99 | ||||||||||||||||||||||||||
100 | Factor | Descripción | Método de revisión | Resultados esperados | Hallazgos | Acción correctiva | ||||||||||||||||||||