AUDITORÍA DE SEGURIDAD DE RED Created by ChecklistGuro (https://checklistguro.com) --- RESUMEN EJECUTIVO Y ALCANCE --- [ ] Declaración de los objetivos de la auditoría [ ] Descripción del alcance (Redes, Sistemas, Datos) [ ] Número de Localizaciones Incluidas en la Auditoría [ ] Fecha de inicio de la auditoría [ ] Fecha de finalización de la auditoría (estimada) [ ] Áreas de Negocio de Logística Incluidas (Almacenamiento, Transporte (Mercancías), Agencia de carga, Gestión de la Cadena de Suministro, Despacho aduanero ) [ ] Sistemas dentro del alcance (seleccione todas las opciones aplicables) (STM (Sistema de Gestión del Transporte), Sistema de Gestión de Almacenes, Sistemas de rastreo GPS, Sistema ERP , APIs personalizadas) [ ] Contacto principal para la auditoría [ ] Resumen de Riesgos Observados (Evaluación Inicial) --- EVALUACIÓN DE LA INFRAESTRUCTURA DE RED --- [ ] Número de cortafuegos en uso [ ] Proveedor de cortafuegos (Cisco, Palo Alto Networks, Fortinet, Punto de Control, Otros) [ ] Resumen de la Revisión del Conjunto de Reglas de Firewall [ ] Versión actual del firmware del router (Especificar para los routers clave) [ ] Número de VLANs en uso [ ] Segmentación de seguridad VLAN implementada (seleccione todas las que correspondan) (Cumplimiento de PCI DSS, Aislamiento de la red de invitados, Aislamiento departamental, Aislamiento de Datos Logísticos, Ninguno.) [ ] Última fecha de actualización del firmware del router (Especificar para routers clave) --- SEGURIDAD DE REDES INALÁMBRICAS --- [ ] Número de Puntos de Acceso Inalámbricos (PAsI) [ ] Protocolo de cifrado inalámbrico en uso (WEP, WPA, WPA2 , WPA3, TKIP, AES) [ ] Protocolos de seguridad de red inalámbrica habilitados. (Filtrado por dirección MAC, Autenticación RADIUS, Autenticación 802.1X, Portal cautivo , Aislamiento de la red para invitados) [ ] Método de autenticación de red inalámbrica (Abierto/a , Clave compartida , Radio) [ ] Descripción de la segmentación de la red inalámbrica (p. ej., invitados, empleados, vehículos) [ ] Archivos de configuración de red inalámbrica (p. ej., Puntos de acceso, Controlador) [ ] Fecha de la última evaluación de seguridad de la red inalámbrica [ ] SSID(s) en uso --- SEGURIDAD DE PUNTOS FINALES --- [ ] Número de Portátiles Facilitados por la Empresa [ ] Número de Dispositivos Móviles (Gestionados por la Empresa) [ ] Software de protección de terminales en uso (Microsoft Defender para Endpoint, CrowdStrike Falcon , Protección de Puntos Finales de Symantec, Otro (Especificar en TEXTO_LARGO)) [ ] Especificar software de protección de terminales Otros (si se seleccionó lo anterior) [ ] Características de seguridad habilitadas en los puntos finales (seleccione todas las que correspondan) (Antivirus, Cortafuegos, Prevención de Pérdida de Datos (DLP) , Cifrado de disco , Sistema de Prevención de Intrusiones basado en el Host (SPIH) , Lista blanca de aplicaciones) [ ] Proceso de Gestión de Parches de Puntos Finales (Automatizado y centralizado, Manual y Descentralizado, Combinación de ambos) [ ] Fecha de finalización del último ciclo de gestión de parches [ ] Describe el proceso para integrar nuevos puntos finales a la red. --- SEGURIDAD Y PRIVACIDAD DE LOS DATOS --- [ ] Cumplimiento de la Cifrado de Datos en Reposo (Totalmente conforme, Parcialmente conforme, No conforme. ) [ ] Cumplimiento de la Cifrado de Datos en Tránsito (Totalmente conforme. , Parcialmente conforme, No conforme.) [ ] Describa el esquema de clasificación de datos en uso (p. ej., Público, Confidencial, Restringido). [ ] Número aproximado de registros de clientes procesados anualmente. [ ] ¿Qué regulaciones de protección de datos se aplican a la organización? (Seleccione todas las que correspondan). (RGPD, CCPA, HIPAA, Otros (Especificar en TEXTO_LARGO) ) [ ] Describe las políticas y procedimientos de conservación de datos. ¿Durante cuánto tiempo se almacenan los datos? [ ] Suba una copia de la política de privacidad (si está disponible). [ ] Fecha de la última evaluación de impacto en la protección de datos (EIPD). --- CONTROL DE ACCESO Y GESTIÓN DE IDENTIDADES --- [ ] Implementación de Autenticación Multifactor (MFA) (Implementado completamente para todos los usuarios., Implementado Parcialmente (Roles Específicos) , No implementado ) [ ] Aplicación de la política de complejidad de contraseñas (Política estricta aplicada (Longitud, complejidad, rotación) , Política moderada aplicada, Política Débil o Inexistente) [ ] Umbral de Bloqueo de Cuenta (Intentos de Inicio de Sesión Fallidos) [ ] Prácticas de Gestión del Acceso con Privilegios (PAM) (Principio de Privilegio Mínimo Aplicado, Revisiones periódicas de accesos con privilegios realizadas, Elevación de privilegios Justo a Tiempo (JIT) , Solución PAM centralizada implementada.) [ ] Fecha de la última revisión de acceso del usuario [ ] Descripción de los Procedimientos de Incorporación y Desvinculación de Usuarios [ ] Uso de Proveedor de Identidad Centralizado (IdP) (Usando un IdP centralizado (p. ej., Azure AD, Okta), Usar cuentas de usuario locales, Enfoque híbrido) --- RESPUESTA A INCIDENTES Y CONTINUIDAD DEL NEGOCIO --- [ ] Objetivo de Tiempo de Recuperación Estimado (RTO) en Horas [ ] Objetivo de Punto de Recuperación Estimado (RPO) en Horas [ ] Describe el plan actual de respuesta a incidentes (PRAI). [ ] ¿Qué departamentos están involucrados en el proceso de respuesta a incidentes? (Él/Ella/Eso , Legal , Operaciones, Relaciones Públicas, Dirección Ejecutiva ) [ ] Fecha de la última revisión del plan de respuesta a incidentes. [ ] Resumir los ejercicios recientes de simulación de respuesta a incidentes (simulacros) y los hallazgos. [ ] Métodos de comunicación utilizados durante un incidente (seleccione uno) (Correo electrónico , Llamadas telefónicas, SMS, Plataforma dedicada a la comunicación de incidentes.) [ ] Suba una copia del Plan de Continuidad del Negocio (PCN). --- GESTIÓN DE RIESGOS DE PROVEEDORES --- [ ] ¿Se completaron los cuestionarios de seguridad de los proveedores? (Sí., No., En curso ) [ ] Número de proveedores auditados anualmente. [ ] Resumen de la Metodología de Evaluación de Riesgos de Proveedores [ ] Controles de seguridad verificados en acuerdos con proveedores (Seleccione todas las que correspondan) (Cifrado de Datos en Reposo, Cifrado de datos en tránsito, Autenticación multifactor , Auditorías de seguridad periódicas, Plan de Respuesta a Incidentes, Plan de Continuidad del Negocio, Procedimientos de Notificación de Violaciones de Datos) [ ] Fecha de la última auditoría de seguridad del proveedor [ ] ¿Se revisaron los informes de auditoría de seguridad de los proveedores? (Sí., No., N/A) [ ] Descripción de las políticas de retención de datos del proveedor --- SEGURIDAD FÍSICA Y PUNTOS DE ACCESO A LA RED. --- [ ] ¿Están las salas de red/salas de servidores físicamente aseguradas? (Sí, con sistema de control de acceso., Sí, con cerraduras y monitoreo., No, por falta de seguridad física., Indeciso. ) [ ] ¿Qué tipo de control de acceso se implementa? (Biometría (huella digital, escaneo de retina) , Tarjeta de acceso/Tarjeta de proximidad, Cerradura de combinación, Ninguno., Libro de Registro Manual ) [ ] Número de puntos de acceso a la red (routers, switches, firewalls) expuestos sin barreras físicas. [ ] Describa los procedimientos de acceso de visitantes a las áreas de la red. [ ] ¿Están los cuartos de cableado cerrados con llave? (Sí, No., Parcialmente (algunos armarios cerrados), No aplica.) [ ] Sube un diagrama de la distribución de la sala de equipos. [ ] ¿Hay videovigilancia de las áreas de la red? (Sí, y las grabaciones se conservan., Sí, pero las grabaciones no se conservan., No, Indeciso. ) [ ] Ubicación de la infraestructura de red principal (p. ej., sala de servidores, router principal). --- GESTIÓN Y MONITOREO DE REGISTROS --- [ ] Número de registros de seguridad generados diariamente [ ] ¿Se utiliza un sistema de registro centralizado? (Sí., No, Parcial) [ ] Descripción de la política de conservación de registros (duración, ubicación de almacenamiento, método de eliminación) [ ] ¿Qué fuentes de registro se están monitorizando actualmente? (Cortafuegos, Enrutadores, Servidores, Dispositivos de Extremo, Sistemas de detección y prevención de intrusiones, Solicitudes , Servicios en la nube) [ ] ¿Los registros están encriptados en reposo? (Sí., No., Parcial) [ ] Tiempo necesario para revisar los registros en busca de anomalías [ ] Describe el proceso para responder a las alertas generadas por los registros. [ ] ¿Están las alertas de registros integradas con un sistema de respuesta a incidentes? (Sí, No) --- END OF TEMPLATE --- Transform this text into a digital, automated, and trackable mobile app! Visit: https://checklistguro.com/templates/logistics/network-security-audit (Click "Install Template" to launch your digital inspection tool immediately)