IT Controls (Including IS) Plus Control Review Matrix - 2017 NEW v2

CONTROL REVIEW MATRIX 2018
Name Control Number and Short Name Control cycle Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Type
DIT-04 DIT-04 - Production Approval Ad Hoc SOX
DIT-05 DIT-05 - Change Testing Ad Hoc SOX
DIT-09 DIT-09 - Production Release Review / Vendor Access Semi Annually & Ad Hoc ok ok SOX
DIT-10 DIT-10 - Application User Re-certification Quarterly ok ok-p ok-p Solictado SOX
DIT-11 DIT-11 - Create or Update Application User Access Ad Hoc SOX
DIT-12 DIT-12 - Remove Application User Access Ad Hoc SOX
DIT-13 DIT-13 - Application Administrator Review Semi-Annually ok ok SOX
DIT-14 DIT-14 - Direct Access to Financial Application Databases Semi-Annually ok ok SOX
DIT-15 DIT-15 - Application Passwords Semi-Annually ok ok SOX
MIT-05 MIT-05 - Create or Update Network User Access Ad Hoc SOX
MIT-06 MIT-06 - Remove Network User Access Ad Hoc SOX
MIT-07 MIT-07 - Network User Re-certification Semi-Annually ok ok SOX
MIT-08 MIT-08 - Network Administrator Review Semi-Annually ok ok SOX
MIT-09 MIT-09 - Network Passwords (if not on IPG AD) Semi-Annually ok ok SOX
MIT-10 MIT-10 - Active Directory Exceptions Ad Hoc SOX
IA-IT.01 IA-IT.01 - Backup Plan Annually ok IA
IA-IT.02 IA-IT.02 - Review backup logs Daily IA
IA-IT.03 IA-IT.03 - Data Restore Test Semi-Annually ok ok IA
IA-IT.14 IA-IT.14 - Media Storage, Retention and Movement Annually ok IA
IA-IT.04 IA-IT.04 - Review Server Rooms Access Semi-Annually ok ok IA
IA-IT.06 IA-IT.06 - Environmental Controls Annually ok IA
IA-IT.07 IA-IT.07 - Intrusion Detection System (if not on IPG AD) Daily / Weekly IA
IA-IT.08 IA-IT.08 - OS Patches Ad Hoc IA
IA-IT.09 IA-IT.09 - Anti-Virus Ad Hoc IA
IA-IT.11 IA-IT.11 - DRP Annually IA
IA-IT.13 IA-IT.13 - Software License Monitoring Ad Hoc IA
IA-IT.15 IA-IT.15 - Information Security Policy Annually IA
IA-IT.16 IA-IT.16 - User Registration Ad Hoc IA
IA-IT.17 IA-IT.17 - User Password Management Semi-Annually ok ok IA
IA-IT.18 IA-IT.18 - Review of User and Administrative / Privileged User Semi-Annually ok ok IA
Access Rights
IA-IT.19 IA-IT.19 - Unattended User Equipment Ad Hoc IA
IA-IT.20 IA-IT.20 - Management of Network Services (if not on IPG AD) Annually IA
IA-IT.21 IA-IT.21 - Encryption Ad Hoc IA
IA-IT.24 IA-IT.24 - Return of Assets Ad Hoc IA
IA-IT.30 IA-IT.30 - Create Network Non-User Access Ad Hoc IA
IA-IT.31 IA-IT.31 - Network Non-User Re-certification Semi-Annually ok ok IA
IA-IT.32 IA-IT.32 - Sensitive HR/Finance Share Drive Access Semi-Annually ok ok IA
IA-HR-01 IA-HR-01 Clear Desk Policy Ad Hoc IA
IS-01 IS-01 - New Client Contracts IT Review Ad Hoc IS
IS-02 IS-02 - Data Inventory Process Annually IS
IS-03 IS-03 - Treatment of Level 1 Data Ad Hoc IS
Eduardo Reinoso Colombia

Español
Name Process Español Control Number and
Short Name
DIT-04 Develop, Integrate and DIT-04 - Production Aprobación de
Maintain IT Business Approval producción
Applications
DIT-05 Develop, Integrate and DIT-05 - Change Testing DIT-05 - Prueba de
Maintain IT Business cambio
Applications
DIT-09 Develop, Integrate and DIT-09 - Production DIT-09 - Publicación de
Maintain IT Business Release / Vendor producción / Acceso de
Applications Access proveedores
DIT-10 Develop, Integrate and DIT-10 - Application
Maintain IT Business User Re-certification
Applications
DIT-11 Develop, Integrate and DIT-11 - Create or DIT-11 - Crear o
Maintain IT Business Update Application actualizar el acceso de
Applications User Access usuario de la aplicación
DIT-12 Develop, Integrate and DIT-12 - Remove
Maintain IT Business Application User Access
Applications
DIT-13 Develop, Integrate and DIT-13 - Application DIT-13 - Revisión del
Maintain IT Business Administrator Review administrador de la
Applications aplicación
DIT-14 Develop, Integrate and DIT-14 - Direct Access DIT-14 - Acceso directo
Maintain IT Business to Financial Application a bases de datos de
Applications Databases aplicaciones financieras
DIT-15 Develop, Integrate and DIT-15 - Application DIT-15 - Contraseñas de
Maintain IT Business Passwords aplicación
Applications
Name Process Español Control Number and

Short Name
Español
MIT-05 IT Operations and MIT-05 - Create MIT-05 - Crear acceso
Infrastructure Network User Access de usuario de red
MIT-06 IT Operations and Operaciones de TI e MIT-06 - Remove MIT-06 - Eliminar
Infrastructure Infraestructura Network User Access acceso de usuario de
red
MIT-07 IT Operations and MIT-07 - Network User
Infrastructure Re-certification MIT-07 - Recertificación
de usuario de red
MIT-08 IT Operations and MIT-08 - Network MIT-08 - Revisión del
Infrastructure Administrator Review administrador de red
MIT-09 IT Operations and MIT-09 - Network MIT-09 - Contraseñas
Infrastructure Passwords de red
MIT-10 IT Operations and MIT-10 - Active MIT-10 - Excepciones
Infrastructure Directory Exceptions de Active Directory
Control Activity
Before changes are applied to the financial Antes de que los cambios se apliquen al
application production environment, there entorno de producción de la aplicación
must be approval and sign-off by financiera, debe haber aprobación y
appropriate business personnel. aprobación por parte del personal de
negocios apropiado.
Appropriate application testing is Las pruebas de aplicación apropiadas se
performed, documented (e.g. scripts, test realizan, documentan (por ejemplo, scripts,
cases, test case results, etc.), and reviewed casos de prueba, resultados de casos de
by the appropriate business or IT personnel prueba, etc.) y son revisadas por el personal
prior to implementation. Any exceptions de negocios o de TI adecuado antes de la
identified during testing are documented implementación. Cualquier excepción
and resolved (or evaluated and deferred). identificada durante las pruebas se
See additional guidance for appropriate documenta y resuelve (o se evalúa y
testing requirements. difiere). Consulte la guía adicional para los
requisitos de prueba apropiados.
Cuando no se requiere ninguna prueba en

When no testing is required at all, the absoluto, el personal de negocios
rationale not to test must be documented apropiado debe documentar y revisar la
and reviewed by the appropriate business razón para no realizar la prueba antes de la
personnel prior to implementation. implementación.
Si el cambio afecta los datos, entonces se

desarrolla y aprueba un plan de conciliación
If the change affects the data, then a data de datos antes de la implementación y se
reconciliation plan is developed and ejecuta después de la implementación.
approved pre-implementation and
executed post-implementation.
When changes to the financial application Cuando los cambios en la aplicación
are to be rolled out to the production financiera se implementen en el entorno de
environment, only authorized individuals producción, solo los individuos autorizados
(internal staff/vendors) can perform the (personal interno / proveedores) pueden
implementation of the change. A system realizar la implementación del cambio. Una
generated list of these individuals is lista generada por el sistema de estas
approved semi-annually by appropriate personas se aprueba cada seis meses por el
business personnel. personal de negocios apropiado.
If temporary access is granted to perform Si se otorga acceso temporal para realizar la

the change migration, the access is migración de cambios, el acceso se
documented, approved by the appropriate documenta, es aprobado por el personal
personnel (IT or Finance management), and apropiado (administración de TI o finanzas)
removed immediately after the change has y se elimina inmediatamente después de
been implemented. que se haya implementado el cambio.
If application developers and/or vendors Si los desarrolladores de aplicaciones y / o

have permanent access to migrate changes los proveedores tienen acceso permanente
to production, monitoring must be para migrar los cambios a la producción, se
performed to confirm that activity is debe realizar un monitoreo para confirmar
appropriate. This monitoring is documented que la actividad es apropiada. Este
and reviewed by IT or Finance management monitoreo es documentado y revisado por
on a quarterly basis. la gerencia de TI o Finanzas
trimestralmente.
Generic/default/shared accounts are

prohibited. If there is a need for a Las cuentas genéricas / por defecto /
generic/default/shared account, approval compartidas están prohibidas. Si se
must be obtained from the CISO. Refer to necesita una cuenta genérica /
the Request for Exceptions section on page predeterminada / compartida, se debe
8 of the M&P Guide. obtener la aprobación del CISO. Consulte la
sección Solicitud de excepciones en la
página 8 de la Guía M&P.
Access to applications is limited to El acceso a las aplicaciones está limitado al
appropriate, active personnel. A system personal apropiado y activo. Una lista de
generated list of users is maintained, and usuarios generada por el sistema es
approved (at least quarterly) by the mantenida y aprobada (al menos
appropriate business personnel. trimestralmente) por el personal de
negocios apropiado.
Changes to financial application access for
users are: Los cambios en el acceso a la aplicación
financiera para los usuarios son:
a) solicitada por escrito,

(a) requested in writing,
(b) aprobado por el personal de negocios
apropiado o HR, y
(b) approved by the appropriate business (c) debidamente establecido en el sistema.

personnel or HR, and
(c) appropriately established in the system.

Revocations of financial application access
are:
(a) requested in writing,
(b) approved by the appropriate business

personnel or HR; and
(c) revoked timely in the system, and the

date of revocation noted.
A system generated list of users with Una lista de usuarios generada por el
administrator access to the system, or users sistema con acceso de administrador al
authorized to contact the vendor, must be sistema, o usuarios autorizados para
documented and reviewed by appropriate ponerse en contacto con el proveedor, debe
business management on a semi-annual ser documentada y revisada por la
basis. (For any IPG Enterprise applications, administración comercial correspondiente
this list can be approved by Enterprise de forma semestral. (Para cualquier
application management, IT Director or aplicación IPG Enterprise, esta lista puede
higher.) ser aprobada por la Administración de
aplicaciones empresariales, Director de TI o
superior).
Generic/default/shared accounts are Las cuentas genéricas / por defecto /

prohibited. If there is a need for a compartidas están prohibidas. Si se
generic/default/shared account, approval necesita una cuenta genérica /
must be obtained from the CISO. Refer to predeterminada / compartida, se debe
the Request for Exceptions section on page obtener la aprobación del CISO. Consulte la
8 of the M&P Guide. sección Solicitud de excepciones en la
Este acceso elevado al sistema debe estar

This elevated access to the system must be limitado a personas clave. Cuando las
limited to key individuals. When business necesidades / limitaciones de un negocio
needs/limitations require a member of the requieren que un miembro de Finanzas
Finance to be assigned administrator tenga asignadas responsabilidades de
responsibilities, these controls are also administrador, estos controles también se
applied: aplican:
1. La gerencia superior de Finanzas debe

producir, revisar y aprobar mensualmente
1. A report of the administrator activity un informe de la actividad del
must be produced, reviewed and approved administrador. El revisor NO debe ser
by senior Finance management on a también un administrador del sistema.
monthly basis. The reviewer must NOT also
be an administrator of the system. 2. Si la aplicación de finanzas no puede
producir un informe de la actividad del
administrador, la gerencia superior de
Finanzas debe asegurarse de que exista un
A system generated list of all users who Una lista generada por el sistema de todos
have direct write access to the production los usuarios que tienen acceso directo de
environment must be maintained and escritura al entorno de producción debe
approved (at least semi-annually) by the mantenerse y aprobarse (al menos
appropriate level of business or IT semestralmente) por el nivel apropiado de
management. administración de TI o de negocios.
This includes any users who can change or Esto incluye a cualquier usuario que pueda
delete data directly in the database of any cambiar o eliminar datos directamente en
financial application as well as Database la base de datos de cualquier aplicación
Administrators. financiera, así como a los administradores
de bases de datos.

8. obtener la aprobación del CISO. Consulte la
página 8.
Password parameters comply with policy Los parámetros de la contraseña cumplen
for user and system administrator accounts. con la política de cuentas de usuario y
This must be reviewed and approved (semi- administrador del sistema. Esto debe ser
annually) by the application administrator. revisado y aprobado (semestralmente) por
el administrador de la aplicación.
Las contraseñas deben:

Passwords must:
(a) tener como mínimo 8 caracteres,
(a) at minimum have 8 characters,
(b) contienen lo siguiente: numérico, letra
mayúscula y un símbolo (cuando sea
posible), y
(b) contain the following: numeric,
uppercase letter, and a symbol (where (c) cambiado al menos cada 60 días.
possible), and
A partir de 2018, el símbolo será un
requisito, no opcional, como se indica
actualmente en (b).
(c) changed at least every 60 days.
Si las limitaciones del sistema prohíben el
cumplimiento de la política de contraseñas
de IPG, se debe obtener la aprobación del
Beginning 2018, the symbol will be a CISO. Consulte la sección Solicitud de
requirement, not optional as currently excepciones en la página 8 de la Guía M&P.
stated in (b).
If system limitations prohibit compliance to

IPG’s password policy, approval must be
obtained from the CISO. Refer to the
Request for Exceptions section on page 8 of
the M&P Guide.
Control Activity
Español
Creation of user network accounts are: La creación de cuentas de red de usuario
son:
(a) requested in writing, and
(a) solicitada por escrito, y
(b) approved by the appropriate business or

HR personnel. (b) Aprobado por la empresa apropiada o el
personal de Recursos Humanos.
Revocations to Local Area Network Las revocaciones a la autenticación de la
authentication or file server access for red de área local o al acceso al servidor de
terminated users are: archivos para usuarios finalizados son:
(a) requested in writing, a) solicitada por escrito,
(b) authorized by the appropriate business (b) autorizado por la empresa apropiada o
or HR personnel and personal de recursos humanos y
(c) revoked timely in the system and the (c) Revocado oportunamente en el sistema
date of revocation noted. y la fecha de la revocación señalada.
A system generated list of network user Una lista generada por el sistema de
accounts is maintained by IT and validated cuentas de usuarios de la red es mantenida
(semi-annually) by HR or appropriate por TI y validada (semestralmente) por
business personnel. recursos humanos o personal de negocios
apropiado.

For each managed OU a system generated Para cada unidad organizativa gestionada,
report of Full and User Admins (including un informe de los administradores
nested groups) is reviewed and approved completos y de usuarios (incluidos los
(at least semi-annually) by appropriate grupos anidados) es revisado y aprobado (al
business or IT personnel. menos semestralmente) por el personal de
negocios o de TI apropiado.
System administrator and super user

privileges must be restricted to a limited Los privilegios de administrador de sistema
number of key users. y de superusuario deben estar restringidos
a un número limitado de usuarios clave.

Password parameters must comply with Los parámetros de contraseña deben
policy for user and system administrator cumplir con la política de cuentas de
accounts. This must be reviewed and administrador de usuarios y del sistema.
approved (at least semi-annually) by IT. Esto debe ser revisado y aprobado (al
menos semestralmente) por TI.
Passwords must:
Las contraseñas deben:
(a) at minimum have 8 characters,
(a) tener como mínimo 8 caracteres,
(b) contain the following: numeric,

uppercase letter, and a symbol, and (b) contiene lo siguiente: numérico, letra
mayúscula y un símbolo, y
(c) changed at least every 60 days.

(c) cambiado al menos cada 60 días.
If system limitations prohibit compliance to

IPG’s password policy, approval must be Si las limitaciones del sistema prohíben el
obtained from the CISO. cumplimiento de la política de contraseñas
de IPG, se debe obtener la aprobación del
CISO.
Enabled Active Directory (AD) user objects
are in compliance with the IPG Active Los objetos de usuario de Active Directory
Directory Security Standards. (AD) habilitados cumplen con los
estándares de seguridad de Active Directory
de IPG.
If the AD Security Standards cannot be

adhered to, approval must be obtained
from the CISO. Refer to the Request for Si no se pueden cumplir los estándares de
Exceptions section on page 8 of the M&P seguridad de AD, se debe obtener la
Guide. aprobación del CISO. Consulte la sección
Solicitud de excepciones en la página 8 de
la Guía M&P.
Test Steps
For the sample of changes selected in DIT-05: Para la muestra de cambios seleccionados en DIT-05:
1) Verify that the financial application changes, to be 1) Verifique que los cambios en la aplicación financiera,
moved into production, were approved by appropriate que se moverán a la producción, fueron aprobados por
business personnel prior to the implementation date. el personal de negocios apropiado antes de la fecha de
(Note: For emergency changes, the documentation implementación. (Nota: para cambios de emergencia, la
must be completed within 24-hours after the change is documentación debe completarse dentro de las 24
applied to production.) horas posteriores a la aplicación del cambio a la
producción).
1) Obtain the population of financial application and/or 1) Obtener la población de aplicaciones financieras y / o
system changes implemented during the audit period. cambios en el sistema implementados durante el
This could be done by reviewing system generated período de auditoría. Esto podría hacerse revisando los
change logs if available, change activity in ticketing registros de cambios generados por el sistema, si están
system and/or emails, and/or review of timestamp on disponibles, la actividad de cambios en el sistema de
last change date of executable files. emisión de boletos y / o los correos electrónicos, y / o la
revisión de la fecha y hora de la última fecha de cambio
de los archivos ejecutables.
a) If no changes were implemented during the audit a) Si no se implementaron cambios durante el período
period, obtain system generated evidence (e.g. date of de auditoría, obtenga evidencia generada por el sistema
executable file, application version number) to confirm (por ejemplo, fecha del archivo ejecutable, número de
that no changes were implemented during the audit versión de la aplicación) para confirmar que no se
period. implementaron cambios durante el período de
auditoría.
b) Si se implementaron cambios durante el período de

b) If changes were implemented during the audit auditoría, seleccione una muestra de los cambios en
period, select a sample of changes based on ad hoc base a la guía de muestreo de controles ad hoc.
controls sampling guidance.
2) Para cada muestra seleccionada, verifique lo
siguiente:
2) For each sample selected, verify the following: a) Las pruebas apropiadas se realizaron según el tipo de
cambio (por ejemplo, interfaz, UAT, QAT, reconciliación
de datos, funcional). Consulte la guía adicional para los
requisitos de prueba apropiados.
a) Appropriate testing was performed based on the
type of change (e.g. interface, UAT, QAT, data b) La prueba del cambio fue documentada (por
reconciliation, functional). See additional guidance for ejemplo, scripts, casos de prueba, resultados de casos
appropriate testing requirements. de prueba, etc.) y revisada por el personal de negocios
o de TI apropiado antes de la implementación.
c) Las excepciones de prueba se documentaron,

b) Testing of the change was documented (e.g. scripts, resolvieron y volvieron a probar (o evaluaron y
test cases, test case results, etc.) and reviewed by the aplazaron) de manera apropiada antes de la fecha de
appropriate business or IT personnel prior to implementación.
implementation.
1) Confirm when the last review was performed prior to 1) Confirme cuándo se realizó la última revisión antes
the current testing period to ensure appropriate del período de prueba actual para garantizar la
frequency. frecuencia adecuada.
2) Verifique que una lista de personas autorizadas para

implementar / migrar los cambios de la aplicación
2) Verify that a list of individuals authorized to financiera desde el desarrollo / control de calidad al
implement/migrate financial application changes from entorno de producción fue aprobada semestralmente
development/QA into the production environment was por el personal de negocios apropiado. Si el revisor
approved on a semi-annual basis by appropriate también tiene acceso para introducir cambios en la
business personnel. If the reviewer also has access to producción, verifique que un revisor secundario
push changes into production, verify that a secondary también haya cerrado la sesión.
reviewer has also signed-off.
3) Verifique que las acciones correctivas apropiadas
fueron tomadas por TI, como se evidencia a través de
un listado actual.
3) Verify that appropriate corrective actions were taken
by IT, as evidenced via a current listing. 4) Obtenga una lista actual de personas que están
autorizadas para migrar cambios al entorno de
producción y confirme que los desarrolladores /
proveedores de aplicaciones no tienen acceso al
4) Obtain a current list of individuals who are entorno de producción. Verifique que el informe
authorized to migrate changes to the production autorizado se reconcilie con los administradores
environment and confirm that application actuales presentes en el sistema. Si se identifican
developers/vendors do not have access to the discrepancias, verifique que los administradores
production environment. Verify that the authorized adicionales se agregaron después de la revisión y que el
report reconciles to the current admins present in the acceso sea apropiado.
system. If discrepancies are identified, verify that the
additional admins were added subsequent to the 5) Si a los usuarios con acceso de desarrollador se les ha
review and that the access is appropriate. otorgado acceso temporal para migrar los cambios al
entorno de producción, para la muestra de cambios
seleccionados en DIT-05:
5) If users with developer access have been given a) Verifique que exista evidencia que demuestre que el
temporary access to migrate changes to the production desarrollador / proveedor de la aplicación recibió un
environment, for the sample of changes selected in DIT- acceso limitado por tiempo limitado por cada cambio.
05:
b) Verifique que para cada solicitud de acceso, se haya
2) Para aplicaciones Enterprise y para cualquier

aplicación donde la lista de usuarios esté dividida y
2) For Enterprise applications and for any application distribuida, de acuerdo con la guía de muestreo ad hoc,
where the list of users is divided and distributed, based seleccione una muestra de la lista de distribución y
on the ad hoc sampling guidance, select a sample from verifique que esas muestras se volvieron a certificar
the distribution list and verify that those samples were para determinar la integridad del proceso. Si la lista de
re-certified to determine completeness of the process. usuarios no está dividida y distribuida, vaya al paso 3.
If the list of users is not divided and distributed, go to
step-3. Seleccione una muestra de recertificaciones
trimestrales de usuario y realice lo siguiente:
3) Verifique que un informe o lista de

Select a sample of quarterly user re-certifications and usuarios de cada aplicación financiera haya
perform the following: sido revisado, al menos trimestralmente, por
el personal de negocios apropiado. Es
altamente recomendable 1) el informe
3) Verify that a report or list of users of each financial contiene los roles o privilegios asociados con
application was reviewed, at least quarterly, by cada usuario y 2) los roles y privilegios
appropriate business personnel. It is highly deben definirse, documentarse e incluirse en
recommended 1) the report contains the roles or la revisión. Si el revisor también está en el
privileges associated with each user and 2) roles and
privileges must be defined, documented and included informe, verifique que un revisor secundario
with the review. If the reviewer is also on the report, también haya cerrado la sesión.
verify that a secondary reviewer has also signed-off.
Para las aplicaciones a las que todos los
empleados tienen acceso (por ejemplo, las
aplicaciones de seguimiento de tiempo y
For applications that all employees have access to (e.g.
time tracking and payroll applications), only users with nómina), solo los usuarios con acceso
elevated access above standard/default privileges are elevado por encima de los privilegios
required to be reviewed. For example, users with more estándar / predeterminados deben ser
than time-entry only access are required to be reviewed revisados. Por ejemplo, los usuarios con
for the timesheet application. acceso más que solo de entrada de tiempo
1) Obtain a current system generated list of users 1) Obtenga una lista actual del sistema de usuarios
created during the audit period. Based on ad hoc creados durante el período de auditoría. Sobre la base
controls sampling guidance, select a sample of new de la guía de muestreo de controles ad hoc, seleccione
users. una muestra de nuevos usuarios.
Para las aplicaciones a las que todos los empleados

tienen acceso (por ejemplo, las aplicaciones de
For applications that all employees have access to (e.g. seguimiento de tiempo y nómina), solo los usuarios con
time tracking and payroll applications), only users with acceso elevado por encima de los privilegios estándar /
elevated access above standard/default privileges are predeterminados deben ser aprobados. Por ejemplo, se
required to be approved. For example, users with more requiere que los usuarios con acceso más que solo de
than time-entry only access are required to be entrada de tiempo sean aprobados para la aplicación de
approved for the timesheet application. la hoja de tiempo.
Si NO se puede proporcionar una lista de usuarios

nuevos generada por el sistema, compare la última lista
If a system generated list of new users CANNOT be de usuarios certificada nuevamente (DIT-10) realizada
provided, compare the last re-certified list of users (DIT- antes del período de auditoría con la lista actual de
10) performed before the audit period to the current usuarios (lista generada por el sistema, si es posible).
list of users (system generated list if possible). Any users Todos los usuarios presentes en el sistema que no
present in the system that were not on the last re- estaban en la última lista recertificada representan a los
certified list represent the users that were added to the usuarios que se agregaron al sistema. Sobre la base de
system. Based on ad hoc controls sampling guidance, la guía de muestreo de controles ad hoc, seleccione una
select a sample of new users. muestra de nuevos usuarios.
2) Para cada muestra, verifique lo siguiente:
2) For each sample, verify the following: a) Se documentó una solicitud de acceso.
b) La solicitud de acceso fue aprobada por el personal

de negocios correspondiente.
a) An access request was documented.
c) La solicitud de acceso se configuró adecuadamente
en el sistema, como se observó en el sistema.
b) The access request was approved by appropriate

business personnel.
1) Obtain a current system generated list of users
revoked during the audit period.
a) If a system generated list of revoked users cannot be

provided, compare the last re-certified list of users (DIT-
10) performed before the audit period to the current
list of users (system generated list, if possible). Any
users not on the current list but present on the last re-
certified list represent the users that were revoked from
the system.
b) Obtain a current system generated list of users and a

system generated list of terminated employees from
HR. Compare the two lists. Users appearing on both lists
represent the population of users with financial
application access and have left the company, but
whose access has not been revoked.
c) Select all users in step 1b along with ad hoc sampling

from step 1a.
For applications that all employees have access to (e.g.

time tracking and payroll applications), only users with
elevated access above standard/default privileges are
required to be approved. For example, users with more
than time-entry only access are required to be
approved for the timesheet application.
Seleccione una muestra de recertificaciones de

administrador y realice lo siguiente:
Select a sample of administrator re-certifications and
perform the following: 2) Verifique que el informe o la lista de usuarios con
privilegios de administrador para cada aplicación
financiera haya sido aprobado por el personal de
negocios apropiado en forma semestral. Si el revisor
2) Verify that the report or list of users with también tiene privilegios de administrador, verifique
administrator privileges for each financial application que un revisor secundario también haya cerrado la
was approved by appropriate business personnel on a sesión.
semi-annual basis. If the reviewer also has
administrator privileges, verify that a secondary Si la función administrativa es administrada por el
reviewer has also signed-off. proveedor (es decir, los usuarios locales están
autorizados para comunicarse con el proveedor para
agregar / eliminar / modificar el acceso de los usuarios),
obtenga la revisión semestral aprobada. La agencia
If the administrative function is managed by the vendor debería haber solicitado una lista de contactos
(i.e. local users are authorized to contact the vendor to autorizados del proveedor para revisar.
add/remove/modify user access), obtain the approved
semi-annual review. The agency should have requested 3) Verifique que un informe o lista de usuarios con
a list of authorized contacts from the vendor to review. privilegios de administrador para cada aplicación
financiera se revisó dentro de los 30 días calendario
posteriores a la generación del informe.
3) Verify that a report or list of users with administrator 4) Verifique que TI haya tomado las medidas correctivas
privileges for each financial application was reviewed adecuadas, como se evidencia a través de un listado de
within 30 calendar days of report generation. administradores de la aplicación actual.
5) Verifique que el acceso administrativo esté
restringido a un número limitado de personas clave y
4) Verify that appropriate corrective actions were taken valide que las personas con acceso administrativo
by IT, as evidenced via a current application admin tengan dos cuentas, una con privilegios de
listing. administrador y otra sin.
2) Verifique que se genere una lista de usuarios con

acceso directo de escritura a la base de datos de la
2) Verify a list of users with direct write access to the aplicación financiera. Consulte la guía adicional para los
financial application database is generated. See tipos de roles, privilegios, etc. que deben revisarse.
additional guidance for types of roles, privileges, etc.
that need to be reviewed. 3) Verifique que la lista haya sido revisada y aprobada
por el personal de negocios o de TI adecuado. Si el
revisor también tiene acceso a la base de datos,
verifique que un revisor secundario también haya
3) Verify the list has been reviewed and approved by cerrado la sesión.
the appropriate business or IT personnel. If the
reviewer also has database access verify that a 4) Verificar que IT tomó las medidas correctivas
secondary reviewer has also signed-off. adecuadas, como se demuestra a través de una lista de
usuarios de la base de datos actual.
5) Verifique que no se utilicen cuentas genéricas /

4) Verify that appropriate corrective actions were taken predeterminadas / compartidas.
by IT, as evidenced via a current database user listing.
6) Verifique que el informe aprobado se reconcilie con
los administradores actuales presentes en el sistema. Si
se identifican discrepancias, verifique que los
5) Verify that generic/default/shared accounts are not administradores adicionales se agregaron después de la
utilized. revisión y que el acceso sea apropiado.
6) Verify that the approved report reconciles to the

current admins present in the system. If discrepancies
are identified, verify that the additional admins were
added subsequent to the review and that the access is
appropriate.
1) Confirm when the last review was performed prior to 1) Confirm when the last review was performed prior to
the current testing period to ensure appropriate the current testing period to ensure appropriate
frequency. frequency.
2) If the application is integrated with Active Directory,

inspect (i.e. walkthrough) the password configuration
2) If the application is integrated with Active Directory, settings to confirm that it is integrated.
inspect (i.e. walkthrough) the password configuration
settings to confirm that it is integrated. If the application is not integrated with Active Directory
OR if the application allows local logins:
3) Verify passwords are at least 8 characters in length.

If the application is not integrated with Active Directory
OR if the application allows local logins: 4) Verify passwords require at least one of the
following: numeric character, uppercase, non-alpha or
punctuation (where not limited by the system).
3) Verify passwords are at least 8 characters in length. 5) Verify that users are required to change their
passwords at least every 60 days.
4) Verify passwords require at least one of the 6) Verify the password parameter settings are reviewed
following: numeric character, uppercase, non-alpha or and approved, semi-annually, by the application
punctuation (where not limited by the system). administrator.
5) Verify that users are required to change their

passwords at least every 60 days.
6) Verify the password parameter settings are reviewed

and approved, semi-annually, by the application
administrator.
Test Steps
Español
1) Obtain a system generated AD listing with creation 1) Obtenga una lista de anuncios generados por el
dates to identify new user accounts or HR listing of new sistema con fechas de creación para identificar nuevas
hires (which includes employees, temps, freelancers, cuentas de usuario o listas de recursos humanos de
and contractors) and determine appropriate sample nuevas contrataciones (que incluye empleados,
size. Verify that each sampled user’s access request was empleados temporales, autónomos y contratistas) y
documented. determinar el tamaño de muestra apropiado. Verifique
que se documentó la solicitud de acceso de cada
usuario muestreado.
2) Verify that the access request was approved by the

appropriate business or HR personnel.
2) Verifique que la solicitud de acceso haya sido
aprobada por la empresa apropiada o el personal de
Recursos Humanos.
1) Obtain a HR listing of terminations (which includes 1) Obtenga una lista de terminaciones de RR. HH. (Que
temps, freelancers and contractors) to determine incluye empleados temporales, autónomos y
appropriate sample size. contratistas) para determinar el tamaño de muestra
adecuado. 2) Para cada muestra, verifique
que el usuario haya sido revocado oportunamente en el
sistema. 3) Si el usuario no es
2) For each sample, verify that the user was revoked revocado oportunamente en el sistema: a) Obtenga
timely in the system. la última fecha de inicio de sesión de los usuarios de la
red. b) Confirmar si el acceso a la aplicación financiera
del usuario fue revocado. c) Si la última fecha de
inicio de sesión de la red o de la aplicación financiera
3) If the user is not revoked timely in the system: cae después de la fecha de finalización, inspeccione los
registros para determinar la actividad.
a) Obtain the users last login date from the network.
b) Confirm if the user’s financial application access

was revoked.
c) If the network or financial application last login date

falls after the termination date, inspect the logs for
activity.
Based on a semi-annual controls sampling guidance, Sobre la base de una guía de muestreo de controles
select a sample of user re-certifications and perform semestral, seleccione una muestra de recertificaciones
the following: de usuario y realice lo siguiente:
2) Verify that a list of authorized users for the network 2) Verifique que una lista de usuarios autorizados para
is reviewed, at least semi-annually, and approved by HR la red se revise, al menos semestralmente, y sea
or appropriate business personnel. aprobada por RH o el personal de negocios apropiado.
3) Verify that the network user listing was approved 3) Verifique que la lista de usuarios de la red se aprobó
within 30 calendar days of report generation. Note: The dentro de los 30 días calendario posteriores a la
report’s generation date must be documented on the generación del informe. Nota: La fecha de generación
report. del informe debe estar documentada en el informe.
4) Verify that appropriate corrective actions were taken 4) Verifique que el departamento de TI haya tomado las
by IT, as evidenced via a current network user listing. medidas correctivas adecuadas, como lo demuestra la
lista actual de usuarios de la red.
5) Verify that for a sample of agency executives, the

"password never expires" option is not selected, within 5) Verifique que, para una muestra de ejecutivos de la
their AD object properties. agencia, la opción "la contraseña nunca caduque" no
esté seleccionada, dentro de sus propiedades de objeto
AD.
1) Confirm when the last review was performed prior to
the current testing period to ensure appropriate 1) Confirme cuándo se realizó la última revisión antes
frequency. del período de prueba actual para garantizar la
frecuencia adecuada.
2) Verify that a system report or list of users with

administrator and/or super user privileges for each 2) Verifique que un informe del sistema o una lista de
network/operating system is documented (either usuarios con privilegios de administrador y / o
system generated or manually maintained). superusuario para cada red / sistema operativo esté
documentado (ya sea generado por el sistema o
mantenido manualmente).
3) Verify that the system report or list of users with

administrator and/or super user privileges for each
network/operating system was approved at least semi- 3) Verifique que el informe del sistema o la lista de
annually by the appropriate business or IT personnel usuarios con privilegios de administrador y / o
(administrators must NOT be approving their own superusuario para cada red / sistema operativo haya
access). sido aprobado al menos una vez al año por el personal
de TI o de la empresa correspondiente (los
administradores NO deben aprobar su propio acceso).
4) Verify that the latest reviewed re-certification

reconciles to the admins present in the system. If an
admin was added since the re-certification, confirm that 4) Verifique que la última recertificación revisada
the access is appropriate. concilie con los administradores presentes en el
sistema. Si se agregó un administrador desde la
recertificación, confirme que el acceso sea apropiado.
5) Verify that administrative access is restricted to a

limited number of key individuals, and validate that
individuals with administrative access have two 5) Verifique que el acceso administrativo esté
accounts – one with admin privileges and one without. restringido a un número limitado de personas clave y
valide que las personas con acceso administrativo
tengan dos cuentas, una con privilegios de
administrador y otra sin.
6) Verify that generic/default/shared accounts are not
utilized.
1) Verify passwords are at least 8 characters in length. 1) Verifique que las contraseñas tengan al menos 8
caracteres de longitud.
2) Verify passwords require at least one of the

following: numeric character, uppercase, non-alpha, or 2) Verifique que las contraseñas requieran al menos
punctuation. uno de los siguientes: caracteres numéricos,
mayúsculas, no alfa o puntuación.
3) Verify that users are required to change their

passwords at least every 60 days. 3) Verifique que los usuarios deban cambiar sus
contraseñas al menos cada 60 días.
4) Verify the network password parameter settings are

reviewed and approved by IT, semi-annually. 4) Verifique que las configuraciones de los parámetros
de la contraseña de la red sean revisadas y aprobadas
por TI, semestralmente.
1) Obtain the latest AD Exceptions Report for all OU’s 1) Obtenga el último Informe de excepciones de AD
managed by the agency. para todas las unidades organizativas administradas por
la agencia.
2) Review the report to ensure that:

2) Revise el informe para asegurarse de que:
a) all enabled accounts have a valid value for EA7

(Ex1). a) todas las cuentas habilitadas tienen un valor válido
para EA7 (Ex1).
b) passwords are required for all enabled account

types (Ex 2) b) Se requieren contraseñas para todos los tipos de
cuenta habilitados (Ej. 2)
c) all enabled account types expire except “S” (Service)

(Ex 3) c) todos los tipos de cuenta habilitados caducan
excepto "S" (Servicio) (Ej 3)
d) accounts CR, EQ, 2, SM are disabled (Ex 4)

d) las cuentas CR, EQ, 2, SM están deshabilitadas (Ej. 4)
***Note: Step 2d is piloted in 2017, and will be
formalized in 2018. An audit issue will not be noted *** Nota: El Paso 2d se pone a prueba en 2017 y se
should the agency/entity fail the test step in 2017. formalizará en 2018. No se notará un problema de
auditoría si la agencia / entidad no pasa el paso de
prueba en 2017.
e) there are no instances of passwords or sensitive
information stored in Notes/Description fields (Ex7)
e) no hay instancias de contraseñas o información
confidencial almacenada en los campos de Notas /
Descripción (Ex7)
See table in Additional Guidance for the AD Security
Guidance for Narrative Preparer
Evidence / Documentation:
Approval and sign-off by appropriate business personnel.
Additional Guidance:
Once management is satisfied that a change can be implemented,

the request is approved and signed-off by the appropriate business
personnel.
Note: If the change request was initiated by an end-user,

appropriate business personnel approval is also required in addition
to IT personnel approval.
Where the term “appropriate business personnel” is used, those

parties should be defined in business specific narratives.
This control also applies when scripts are executed directly against
Documentation showing the population of changes implemented

during the audit period:
• System generated change log, if possible
• Change activity from the agency’s ticketing tool OR emails
• Review of last change timestamp on the executable files (if there

are no changes made)
Documented test scripts, cases, and results showing approval by

appropriate business or IT personnel.
If data reconciliation testing was necessary:
• Data reconciliation plan, test results, and approval by appropriate

business or IT personnel.
If testing was not required, a documented rationale clearly

indicating the decision and approval by appropriate business or IT
personnel must be produced.
Additional Guidance:
Appropriate testing must be performed depending on the change

itself. The following tests must be performed if these conditions
exist:
Corrective actions must be performed within 15 calendar days of

review completion. There must be evidence of a complete review –
for example, if groups are used, then all groups must be reviewed
even if those groups contain 1) the same names as others, 2) no
entries, or 3) or are ‘enterprise groups’ (e.g. from GIS).
The default administrator account must not be utilized. The

migrator must have a unique login account and must not be sharing
accounts. Admins that are also users must have two accounts – one
with admin privileges and one without. If the migrator is a Finance
personnel, in addition to reviewing the user’s activity, the
justification for this must be documented (and signed-off annually).
Individuals authorized to migrate financial application changes

must be independent from the individuals that develop changes to
the application. This may not be possible in every environment. If a
developer has access to the production system, alternative controls
must be used to minimize the risk of inappropriate activity.
If application developers/vendors have permanent access to

migrate changes to production, monitoring must be performed to
confirm that activity is appropriate. This scenario should be rare
and vetted/approved first with the CISO.
Large IT Operations where segregation of duties can be enforced:
• Compare the user list of individuals who have access to move

changes to production to the developer list to verify segregation of
A list of users with access to each finance application - preferably a

report generated from the application.
This has to be reviewed and signed by appropriate business

personnel.
Guidance to Narrative Preparer:
The following procedures are required:
• A list of current users in the finance application is produced by

the application administrator on a quarterly basis.
• The list is reviewed and explicitly signed off by authorized

appropriate business personnel in a timely manner. This is defined
as follows:
o 45 calendar days from report generation for Enterprise

applications (refer to page 6 of the M&P Guide for the complete list
of applications).
Evidence / Documentation: Completed access forms approved by
appropriate business personnel.
Where specific rights are not documented on the new user request,
a document on how rights are assigned must be maintained.
• Authorized individual sends completed access form to add user

access to the financial application security administrator.
• Access is added based on the instructions on the form (e.g.

specific roles within the application), or through the agreed
process.
• If an agency is utilizing a role based matrix for granting users

default access to the financial application, this matrix must be
reviewed and approved by appropriate business personnel at least
annually and/or whenever there is a change to the
roles/permissions within the matrix.
• User is notified when the request has been processed.
Emails or other written request may be used if a form does not

exist.
Evidence / Documentation: Revocation access request including
term/transfer date and the action date for revoking access from the
application.
System generated evidence when possible; if not, then evidence

from the time the revocation occurred.
Guidance to Narrative Preparer: There are various procedures for

executing this control objective. Each business unit must determine
the best procedure for their environment:
• Manual process:
o Authorized individual sends completed access form to revoke

user access to the security administrator/IT/Helpdesk.
o Access is revoked based on the instructions on the form.

Revocation may include either of the following methods: password
reset, expiration, disabling or deletion of the user account from the
application.
o The date of revocation action must be noted.
o Revocation must be completed within 15 calendar days of the

termination or transfer date.
• System generated termination report:
o Security administrator/IT/Helpdesk receives termination reports.

o Revocations are processed in a timely manner (15 calendar days).
Emails or other written request may be used if a form does not

exist.
Evidence / Documentation: A system-generated list of application
administrators must be generated from the application, or a list of
authorized contacts from the vendor.
If a Finance user has administrator access, a report detailing the

administrator’s activity has been reviewed by senior Finance
management.
If the system cannot generate an activity report, then an alternate

control environment must be in place and documented to ensure
that the Finance user’s administrator activity is appropriate. This
documentation must be reviewed and signed on a monthly basis.
An “administrator” is defined as any individual that has the ability

to add/remove/modify user access or user ID’s within the
application.
A report or list of the users who have administrator access

privileges within the finance application must be approved by
management in a timely manner (within 30 calendar days of report
generation). If the reviewer also has administrator privileges, verify
that a secondary reviewer has also signed-off. Corrective actions
Evidence / Documentation: A system-generated list of all users who
have direct write access to the financial production database must
be printed from the database environment, where possible.
Guidance to Narrative Preparer: The default administrator account

must not be utilized for database access (e.g. the ‘sa’ account in a
SQL server environment). Database Admins must have a unique
login account and must not be sharing accounts. Admins that are
also users must have two accounts – one with admin privileges and
one without. If the Database Admin is a Finance personnel, in
addition to reviewing the user’s activity, the justification for this
must be documented (and signed-off annually).
The following roles for each database type/application must also be

reviewed, in addition to those users with direct database access:
SQL Database Oracle Database SAP* PeopleSoft
• sysadmin
• datawriter
• dbowner (dbo)
• “security admin” roles “DBA” role or privilege Those with access

to execute the following programs within SAP:
• RSDU_EXEC_SQL
• RSDD_EXEC_SQL
• RSDU_EXEC_SQL (System Status)

Evidence / Documentation: Printout of password settings.
Guidance to Narrative Preparer: If the financial application’s setting

cannot be modified to adhere to IPG’s password policy, approval
must be obtained from the CISO. Refer to the Request for
Exceptions section on page 8 of the M&P Guide.
All applications whether in-house or vendor provided/SaaS are in

scope for this control. In addition,
for financial applications that are vendor supplied and supported

that cannot meet the above controls, Management must perform
the following:
• Management is to review their current situation and make a

determination if the financial application can be/should be
replaced. If the plan is to implement a new financial application,
then the timeframe of implementation must meet compliance
target dates.
• Use a complex screensaver password and local area network sign-

on password in addition to the financial system login:
o A “complex” password is one which consists of a mix of letters,

numeric, and non-alphabetic characters and contains at least 8
characters.
• Implement another sign-on requirement with strong password
controls before a user can logon to the financial application.
• If the application allows for multiple sets of password parameters

(e.g. in a roles-based environment) all sets of passwords must be
reviewed as part of this control.
Orientación para el preparador de narrativa.

System generated AD listing or HR listing of new hires
Completed access forms approved by appropriate business

personnel (HR or user’s direct supervisor).
• Authorized individual sends completed user-access request form,

to add user access, to the local area network or file server security
administrator.
• Access is added based on the instructions on the form and the

form or other documentation is signed, dated and saved.
The new user listing must incorporate the following types of users:
regular employees, temps, freelancers, vendors and contractors.
Email, electronic forms or other written documents are acceptable

forms of evidence.
HR listing of terminations
User’s leave date and the date of revocation of access from the
network.
• Authorized individual sends completed access form to revoke

user access to the local network or file server to the security
administrator.
• Access is revoked based on the instructions provided in a timely

fashion and the form or other documentation is signed, dated and
saved.
• Revocation of account requires that the account is made

unusable by the individual – this includes expiring, disabling or
deleting the user account, or resetting the account password.
• Timely is defined as within 15 calendar days of an employee’s

termination date.
• Email, electronic forms, or other written documents are

acceptable forms of evidence.
Report reviewed by IT highlighting corrections
or
Approved report validated by HR or appropriate business personnel
• Generic/default/shared user accounts must not be utilized. Users

must have a unique login account and must not be sharing
with admin privileges and one without.
• Reviews of network users must be performed semi-annually (6

months apart) to verify all current users are appropriate. The list
must be generated within the period being reviewed.
• Reviews must be validated explicitly by HR or appropriate

business personnel in a timely manner, which is defined as within
30 calendar days of the network user list being produced.
• Corrective actions must be performed within 15 calendar days of
review completion.
A system generated report of user accounts in the local area

network who have administrative rights (e.g. Full and User Admins
for EACH managed OU on the IPG Active Directory), approved by
appropriate business or IT personnel.
• The default administrator account must not be utilized. Admins

must have a unique login account and must not be sharing
with admin privileges and one without.
• The administrators of the network must be limited to appropriate

IT individuals.
• If GIS users are listed as local admins on your local network, they
need to be validated.
• Management must review ‘Full Admin’ and ‘User Admin’ groups

for ALL the OUs managed to ensure completeness. This must
include any “nested” groups within the ‘Full Admin’ and ‘User
Admin’ groups. Where individuals have been added to the OUs by
other parties, obtain the approval to validate their continued access
is appropriate.
• For those sites NOT on IPG AD, the review needs to cover all
administrator accounts (e.g. domain admins). If there are service
accounts, the agency must document the business justification for
the use of the account.
Printout of password parameters, reviewed by IT.
• For offices on the IPG Active Directory (AD), IPG IT Global Active
Directory Services sets password parameters.
• Offices not part of the IPG AD must print out their Local Area
Network default password parameters.
• The password parameter settings must be reviewed and approved

by IT in a timely manner (within 30 calendar days of report
generation).
• For additional information, please reach out to Enterprise Service

Desk ([email protected]) or Noah Humphrey
([email protected]).
Active Directory Exceptions Report, filtered for OU’s managed by

the agency
Approved CISO Exceptions (if any)

Evidencia / Documentación:
Aprobación y aprobación por parte del personal comercial

correspondiente.
Orientación adicional:
Una vez que la gerencia está convencida de que se puede

implementar un cambio, la solicitud es aprobada y firmada por el
personal de negocios apropiado.
Nota: Si la solicitud de cambio fue iniciada por un usuario final,

también se requiere la aprobación apropiada del personal de
negocios además de la aprobación del personal de TI.
Cuando se utiliza el término "personal de negocios apropiado",
esas partes deben definirse en narrativas específicas de negocios.
Este control también se aplica cuando los scripts se ejecutan

directamente en la base de datos de producción. Estos cambios
deben tener la aprobación de producción documentada y seguir el
proceso de control de cambios aplicable.
Documentación que muestra la población de cambios

implementados durante el período de auditoría:
• Registro de cambios generado por el sistema, si es posible
• Cambiar la actividad de la herramienta de emisión de boletos de

la agencia O correos electrónicos
• Revisión de la marca de tiempo del último cambio en los archivos

ejecutables (si no hay cambios realizados)
Scripts de prueba, casos y resultados documentados que muestran

la aprobación por parte de las empresas o el personal de TI
adecuado.
Si la prueba de conciliación de datos era necesaria:
• Plan de conciliación de datos, resultados de pruebas y aprobación

por parte de las empresas o el personal de TI adecuado.
Si no se requirieron pruebas, se debe producir una justificación

documentada que indique claramente la decisión y la aprobación
por parte de las empresas o el personal de TI.
Deben realizarse pruebas apropiadas dependiendo del cambio en

sí. Deben realizarse las siguientes pruebas si existen estas
condiciones:
• Pruebas de integración: apropiadas si el cambio afecta el
movimiento de datos de un sistema a otro. También se llama
prueba de interfaz
• Pruebas de aceptación del usuario: apropiadas si el cambio afecta

la funcionalidad del usuario final o la interfaz del usuario
Las acciones correctivas deben realizarse dentro de los 15 días

calendario posteriores a la finalización de la revisión. Debe haber
evidencia de una revisión completa; por ejemplo, si se usan grupos,
entonces todos los grupos deben revisarse incluso si esos grupos
contienen 1) los mismos nombres que otros, 2) no hay entradas, o
3) o son 'grupos empresariales' (por ejemplo, desde GIS).
La cuenta de administrador predeterminada no debe ser utilizada.

El migrador debe tener una cuenta de inicio de sesión única y no
debe compartir cuentas. Los administradores que también son
usuarios deben tener dos cuentas, una con privilegios de
administrador y otra sin. Si el migrador es un personal de finanzas,
además de revisar la actividad del usuario, la justificación de esto
debe documentarse (y aprobarse anualmente).
Las personas autorizadas para migrar los cambios de la aplicación

financiera deben ser independientes de las personas que
desarrollan cambios en la aplicación. Esto puede no ser posible en
todos los entornos. Si un desarrollador tiene acceso al sistema de
producción, deben usarse controles alternativos para minimizar el
riesgo de una actividad inapropiada.
Si los desarrolladores / proveedores de aplicaciones tienen acceso

permanente para migrar los cambios a la producción, se debe
realizar un monitoreo para confirmar que la actividad es apropiada.
Este escenario debe ser raro y aprobado / aprobado primero con el
CISO.
Operaciones de TI grandes donde se puede hacer cumplir la

segregación de tareas:
• Compare la lista de usuarios de personas que tienen acceso para

mover los cambios a la producción a la lista de desarrolladores para
verificar la separación de tareas.
Operaciones de TI pequeñas (número limitado de personal de TI):

Documentación que muestra la población de cambios
implementados durante el período de auditoría:
Evidencia / Documentación: formularios de acceso completos
aprobados por el personal de negocios apropiado.
Cuando no se documenten derechos específicos en la solicitud del

nuevo usuario, se debe mantener un documento sobre cómo se
asignan los derechos.
Orientación al preparador de narrativa:
Se requieren los siguientes procedimientos:
• La persona autorizada envía un formulario de acceso completado

para agregar el acceso del usuario al administrador de seguridad de
la aplicación financiera.
• El acceso se agrega según las instrucciones en el formulario (por

ejemplo, roles específicos dentro de la aplicación), o mediante el
proceso acordado.
• Si una agencia está utilizando una matriz basada en roles para

otorgar a los usuarios acceso predeterminado a la aplicación
financiera, esta plantilla debe ser revisada y aprobada por el
personal de negocios apropiado al menos una vez al año y / o
siempre que haya un cambio en los roles / permisos dentro de la
matriz. .
• El usuario es notificado cuando la solicitud ha sido procesada.
Se pueden usar correos electrónicos u otra solicitud por escrito si

no existe un formulario.
• Registro de cambios generado por el sistema, si es posible
Evidencia / Documentación: Una lista generada por el sistema de
administradores de la aplicación debe generarse desde la
aplicación, o una lista de contactos autorizados del proveedor.
Si un usuario de Finanzas tiene acceso de administrador, la

administración superior de Finanzas ha revisado un informe que
detalla la actividad del administrador.
Si el sistema no puede generar un informe de actividad, entonces

debe existir un entorno de control alternativo que esté
implementado y documentado para garantizar que la actividad del
administrador del usuario de Finanzas sea adecuada. Esta
documentación debe ser revisada y firmada mensualmente.
Un "administrador" se define como cualquier persona que tiene la

capacidad de agregar / eliminar / modificar el acceso de usuario o
la identificación de usuario dentro de la aplicación.
Un informe o lista de los usuarios que tienen privilegios de acceso

de administrador dentro de la aplicación de finanzas deben ser
aprobados por la administración de manera oportuna (dentro de
los 30 días calendario posteriores a la generación del informe). Si el
revisor también tiene privilegios de administrador, verifique que un
revisor secundario también haya cerrado la sesión. Las acciones
correctivas deben realizarse dentro de los 15 días calendario
posteriores a la finalización de la revisión. Debe haber evidencia de
una revisión completa; por ejemplo, si se usan grupos, entonces
todos los grupos deben revisarse incluso si esos grupos contienen
1) los mismos nombres que otros, 2) no hay entradas, o 3) o son
'grupos empresariales' (por ejemplo, desde GIS).
Cuando el sistema no puede generar un informe de los

administradores y se mantiene una lista manual, la administración
debe asegurarse de que la lista manual se reconcilia con la
aplicación cuando se realiza una revisión.
Evidencia / Documentación: una lista generada por el sistema de
todos los usuarios que tienen acceso directo de escritura a la base
de datos de producción financiera debe imprimirse desde el
entorno de la base de datos, cuando sea posible.
Orientación para el preparador de narrativas: la cuenta de

administrador predeterminada no debe utilizarse para el acceso a
la base de datos (por ejemplo, la cuenta "sa" en un entorno de
servidor SQL). Los administradores de bases de datos deben tener
una cuenta de inicio de sesión única y no deben compartir cuentas.
Los administradores que también son usuarios deben tener dos
cuentas, una con privilegios de administrador y otra sin. Si el
administrador de la base de datos es un personal de finanzas,
además de revisar la actividad del usuario, la justificación de esto
debe documentarse (y aprobarse anualmente).
Los siguientes roles para cada tipo de base de datos / aplicación

también deben revisarse, además de aquellos usuarios con acceso
directo a la base de datos:
Base de datos SQL Oracle Database SAP * PeopleSoft
• administrador del sistema
• escritor de datos
• dbowner (dbo)
• roles de "administrador de seguridad" rol o privilegio de "DBA"

Aquellos con acceso para ejecutar los siguientes programas dentro
de SAP:
• RSDU_EXEC_SQL
• RSDD_EXEC_SQL
Evidencia / Documentación: Impresión de la configuración de la
contraseña.
Guía para el preparador de narrativas: si la configuración de la

aplicación financiera no se puede modificar para cumplir con la
política de contraseñas de IPG, se debe obtener la aprobación del
CISO. Consulte la sección Solicitud de excepciones en la página 8 de
la Guía M&P.
Todas las aplicaciones, ya sean internas o suministradas por el

proveedor / SaaS, están dentro del alcance de este control.
Adicionalmente,
para las aplicaciones financieras que son suministradas por el

proveedor y compatibles que no pueden cumplir con los controles
anteriores, la Administración debe realizar lo siguiente:
• La administración debe revisar su situación actual y determinar si

la aplicación financiera puede ser / debería ser reemplazada. Si el
plan es implementar una nueva aplicación financiera, entonces el
plazo de implementación debe cumplir con las fechas límite de
cumplimiento.
• Utilice una contraseña de salvapantallas compleja y una

contraseña de inicio de sesión en la red de área local además del
inicio de sesión del sistema financiero:
o Una contraseña "compleja" es aquella que consiste en una

combinación de letras, caracteres numéricos y no alfabéticos y
contiene al menos 8 caracteres.
• Implemente otro requisito de inicio de sesión con controles de
contraseña sólidos antes de que un usuario pueda iniciar sesión en
la aplicación financiera.
• Si la aplicación permite múltiples conjuntos de parámetros de

contraseña (por ejemplo, en un entorno basado en roles), todos los
conjuntos
• Revisiónde decontraseñas
la marca de deben
tiemporevisarse como
del último parteen
cambio delos
este
archivos ejecutables (si no hay cambios realizados)
Scripts de prueba, casos y resultados documentados que muestran
la aprobación por parte de las empresas o el personal de TI
adecuado.
Si la prueba de conciliación de datos era necesaria:
• Plan de conciliación de datos, resultados de pruebas y aprobación
por parte de las empresas o el personal de TI adecuado.
Si no se requirieron pruebas, se debe producir una justificación docum
Deben realizarse pruebas apropiadas dependiendo del cambio en sí. D
• Pruebas de integración: apropiadas si el cambio afecta el movimiento de datos de un sistema a otro. También se llama prueb
• Pruebas de aceptación del usuario: apropiadas si el cambio afecta la
• Prueba de reconciliación de datos: apropiada si los cambios afectan

• También se podrían realizar pruebas funcionales, de regresión y / o de garantía de calidad para determinar si el cambio cump
La documentación de la prueba debe ser revisada y aprobada por el p

• El desarrollo y la creación de scripts de prueba, con los resultados es
• La ejecución de los scripts de prueba debe completarse para probar

• Las excepciones identificadas durante las pruebas son documentadas, resueltas o evaluadas y diferidas, firmadas y fechadas
Si la reconciliación de datos es necesaria, la documentación debe incluir:
• Comparación del total de registros a migrar a la cantidad real de registros migrados a la nueva aplicación.
• La comparación de los totales o informes financieros antes y después del cambio para confirmar los resultados no ha cambia
• La comparación de una muestra de registros de datos antes y después del cambio para confirmar que los registros no han cam
Evidence Evidencia
Approval and sign-off by appropriate Aprobación y aprobación por parte del

business personnel. personal comercial correspondiente.
Documentation showing the population of Documentación que muestra la población de
changes implemented during the audit period: cambios implementados durante el período de
• System generated change log, if possible auditoría:
• Change activity from the agency’s ticketing • Registro de cambios generado por el sistema,
tool OR emails si es posible
• Review of last change timestamp on the • Cambiar la actividad de la herramienta de
executable files (if there are no changes made)emisión de boletos de la agencia O correos
electrónicos
Documented test scripts, cases, and results • Revisión de la marca de tiempo del último
showing approval by appropriate business or IT cambio en los archivos ejecutables (si no hay
personnel. cambios realizados)
If data reconciliation testing was necessary: Scripts de prueba, casos y resultados

• Data reconciliation plan, test results, and documentados que muestran la aprobación
approval by appropriate business or IT por parte de las empresas o el personal de TI
personnel. adecuado.
If testing was not required, a documented Si la prueba de conciliación de datos era

rationale clearly indicating the decision and necesaria:
approval by appropriate business or IT • Plan de conciliación de datos, resultados de
personnel must be produced. pruebas y aprobación por parte de las
empresas o el personal de TI adecuado.
Si no se requirieron pruebas, se debe producir

una justificación documentada que indique
claramente la decisión y la aprobación por
parte de las empresas o el personal de TI.
A system generated list of individuals (internal Una lista generada por el sistema de individuos
staff/vendors) who are authorized to make (personal / proveedores internos) que están
changes to the production environment. autorizados para realizar cambios en el
entorno de producción.
Access request forms for temporary access,
including timely revocation, to the production Acceda a los formularios de solicitud de acceso
environment. temporal, incluida la revocación oportuna, al
entorno de producción.
Monitoring documentation if permanent access
is given to application developers/vendors. Supervisar la documentación si se otorga
acceso permanente a los desarrolladores /
proveedores de aplicaciones.
The re-certified list of users with access to each La lista nuevamente certificada de usuarios con
finance application - preferably a report acceso a cada aplicación financiera,
generated from the application. preferiblemente un informe generado desde la
aplicación.
The current, system generated, list of users with
access to each financial application (for La lista actual, generada por el sistema, de
comparison). usuarios con acceso a cada aplicación
financiera (para comparación).
Terminated employee listing for the testing
period from HR system of record. Lista de empleados terminados para el período
de prueba del sistema de registro de recursos
humanos.
Completed access forms approved by Completar los formularios de acceso
appropriate business personnel. aprobados por el personal comercial
apropiado.
Where specific rights are not documented on
the new user request, a document on how Cuando no se documenten derechos
rights are assigned must be maintained. específicos en la solicitud del nuevo usuario, se
debe mantener un documento sobre cómo se
asignan los derechos.
Revocation access request including
term/transfer date and the action date for
revoking access from the application.
System generated evidence when possible; if

not, then evidence from the time the revocation
occurred.
A system-generated list of application Se debe generar una lista de administradores
administrators must be generated from the de aplicaciones generada por el sistema a
application, or a list of authorized contacts from partir de la aplicación, o una lista de contactos
the vendor. autorizados del proveedor.
If a Finance user has administrator access, a Si un usuario de Finanzas tiene acceso de

report detailing the administrator’s activity has administrador, la administración superior de
been reviewed by senior Finance management. Finanzas ha revisado un informe que detalla la
actividad del administrador.
If the system cannot generate an activity report,
then an alternate control environment must be Si el sistema no puede generar un informe de
in place and documented to ensure that the actividad, entonces debe existir un entorno de
Finance user’s administrator activity is control alternativo que esté implementado y
appropriate. This documentation must be documentado para garantizar que la actividad
reviewed and signed on a monthly basis. del administrador del usuario de Finanzas sea
adecuada. Esta documentación debe ser
revisada y firmada mensualmente.
A system-generated list of all users who have Una lista generada por el sistema de todos los
direct write access to the financial production usuarios que tienen acceso directo de escritura
database must be printed from the database a la base de datos de producción financiera
environment, where possible. debe imprimirse desde el entorno de la base
de datos, cuando sea posible.
Printout of password settings. Impresión de la configuración de la contraseña.
Evidence Evidencia
Español
System generated AD listing or HR listing of new Sistema generado listado de anuncios o
hires registro de recursos humanos de nuevas
Sistema generado listado de anuncios o
Completed access forms approved by registro de recursos humanos de nuevas
appropriate business personnel (HR or user’s contrataciones
direct supervisor).
Formularios de acceso completos aprobados
por el personal de negocios apropiado (RH o
supervisor directo del usuario).contrataciones
HR listing of terminations HR listado de terminaciones
User’s leave date and the date of revocation of La fecha de licencia del usuario y la fecha de
access from the network. revocación del acceso desde la red.
Report reviewed by IT highlighting corrections
Informe revisado por TI destacando
or correcciones
Approved report validated by HR or appropriate o

business personnel
Informe aprobado validado por RH o personal
de negocios apropiado
A system generated report of user accounts in Un informe generado por el sistema de
the local area network who have administrative cuentas de usuario en la red de área local que
rights (e.g. Full and User Admins for EACH tienen derechos administrativos (por ejemplo,
managed OU on the IPG Active Directory), Administradores completos y de usuario para
approved by appropriate business or IT CADA OU administrada en el Directorio activo
personnel. de IPG), aprobado por el personal de TI o de
negocios apropiado.
Printout of password parameters, reviewed by
IT. Impresión de parámetros de contraseña,
revisada por IT.
Active Directory Exceptions Report, filtered for Informe de excepciones de Active Directory,
OU’s managed by the agency filtrado para las unidades organizativas
administradas por la agencia
Approved CISO Exceptions (if any)
Excepciones CISO aprobadas (si las hay)
e debe producir una justificación documentada que indique claramente la dec
piadas dependiendo del cambio en sí. Deben realizarse las siguientes pruebas
el movimiento de datos de un sistema a otro. También se llama prueba de interfaz
uario: apropiadas si el cambio afecta la funcionalidad del usuario final o la int
atos: apropiada si los cambios afectan los registros de datos

gresión y / o de garantía de calidad para determinar si el cambio cumple con todos los requisitos establecidos.
a debe ser revisada y aprobada por el personal de negocios apropiado y debe

scripts de prueba, con los resultados esperados (si es posible). Los scripts de
prueba debe completarse para probar la calidad técnica de la aplicación. La

documentadas, resueltas o evaluadas y diferidas, firmadas y fechadas por el personal de TI antes de la fecha de implementación de "puesta
ión debe incluir:
ad real de registros migrados a la nueva aplicación.
ntes y después del cambio para confirmar los resultados no ha cambiado o es explicable / esperado.
antes y después del cambio para confirmar que los registros no han cambiado o los resultados son explicables / esperados.
claramente la decisión y la aprobación por parte de las empresas o el persona
iguientes pruebas si existen estas condiciones:
uario final o la interfaz del usuario
apropiado y debe incluir:

e). Los scripts de prueba son documentos que contienen los pasos y procedim
la aplicación. La ejecución del script de prueba debe documentarse con los r

de implementación de "puesta en marcha".
s / esperados.
resas o el personal de TI.
s pasos y procedimientos que deben realizarse para verificar que el cambio se
mentarse con los resultados reales de las pruebas.

que el cambio se haya implementado correctamente.
Español
Name Process Control Number and Short

Name
IA-IT.01 IA IT - Non-SOX IA-IT.01 - Backup Plan
IA-IT.02 IA IT - Non-SOX IA-IT.02 - Review backup IA-IT.02 - Revisar el registro
logs de copia de seguridad
IA-IT.03 IA IT - Non-SOX IA-IT.03 - Data Restore Test IA-IT.03 - Prueba de
restauración de datos
IA-IT.04 IA IT - Non-SOX IA-IT.04 - Review Server IA-IT.04 - Revisar el acceso
Rooms Access a las habitaciones del
servidor
IA-IT.06 IA IT - Non-SOX IA-IT.06 - Environmental IA-IT.06 - Controles
Controls Ambientales
IA-IT.07 IA IT - Non-SOX IA-IT.07 - Intrusion IA-IT.07 - Sistema de
Detection System detección de intrusos
IA-IT.08 IA IT - Non-SOX IA-IT.08 - OS Patches IA-IT.08 - Parches del
sistema operativo
IA-IT.09 IA IT - Non-SOX IA-IT.09 - Anti-Virus IA-IT.09 - Anti-Virus
IA-IT.11 IA IT - Non-SOX IA-IT.11 - DRP
IA-IT.13 IA IT - Non-SOX IA-IT.13 - Software License IA-IT.13 - Monitoreo de
Monitoring licencias de software
IA-IT.14 IA IT - Non-SOX IA-IT.14 - Backup Media IA-IT.14 - Copia de
Storage, Retention and seguridad de
Movement almacenamiento, retención
y movimiento de medios
IA-IT.15 IA IT - Non-SOX IA-IT.15 - Information IA-IT.15 - Política de
Security Policy seguridad de la información
IA-IT.16 IA IT - Non-SOX IA-IT.16 - User Registration IA-IT.16 - Registro de
usuario
IA-IT.17 IA IT - Non-SOX IA-IT.17 - User Password IA-IT.17 - Gestión de
Management contraseña de usuario
IA-IT.18 IA IT - Non-SOX IA-IT.18 - Review of User IA-IT.18 - Revisión de los
and Administrative / derechos de acceso del
Privileged User Access usuario y del usuario
Rights administrativo /
privilegiado
IA-IT.19 IA IT - Non-SOX IA-IT.19 - Unattended User IA-IT.19 - Equipo de usuario
Equipment desatendido
IA-IT.20 IA IT - Non-SOX IA-IT.20 - Management of IA-IT.20 - Gestión de
Network Services servicios de red
IA-IT.21 IA IT - Non-SOX IA-IT.21 - Encryption IA-IT.21 - Cifrado
IA-IT.24 IA IT - Non-SOX IA-IT.24 - Return of Assets IA-IT.24 - Devolución de
Activos
IS-01 Information IS-01 - New Client Contracts IS-01 - Revisión de TI de
Security IT Review nuevos contratos de
clientes
IS-02 Information IS-02 - Data Inventory IS-02 - Proceso de
Security Process inventario de datos
IS-03 Information IS-03 - Treatment of IS-03 - Tratamiento de
Security Restricted, Confidential, datos restringidos,
and Proprietary Data confidenciales y de
propiedad exclusiva
Español
Control Activity
A backup plan is maintained by the El nivel adecuado de administración de TI

appropriate level of IT management for all mantiene un plan de respaldo para todos
data and applications. It must include a list los datos y aplicaciones. Debe incluir una
of all financial applications (if applicable) lista de todas las aplicaciones financieras
and servers, as well as, backup media (si corresponde) y servidores, así como el
usage and movement strategy. This must uso de medios de respaldo y la estrategia
be reviewed and approved (at least de movimiento. Esto debe ser revisado y
annually) by the IT Manager or above. aprobado (al menos anualmente) por el
Gerente de TI o superior.
Backup procedures are:
Los procedimientos de copia de seguridad
(a) executed as per the plan, son:
(a) ejecutado según el plan,
(b) analyzed to ensure all backups were

completed successfully,
(b) analizado para garantizar que todas las
copias de seguridad se completaron con
éxito,
(c) All backup failures, errors, and/or
warnings are documented, investigated,
and resolved by IT prior to the next
scheduled backup or, if not cleared by that (c) Todas las fallas, errores y / o
time, status of anticipated resolution is advertencias de la copia de seguridad son
documented. documentadas, investigadas y resueltas
por el departamento de TI antes de la
próxima copia de seguridad programada o,
si no se borra en ese momento, se
documenta el estado de la resolución
anticipada.
Regular testing of media stored off-site is Se realizan pruebas periódicas de los
carried out to verify that the contents of medios almacenados fuera del sitio para
the media are readable (at least semi- verificar que el contenido de los medios
annually). If financial applications are sea legible (al menos semestralmente). Si
hosted, testing will include the successful las aplicaciones financieras están alojadas,
restoration of the financial data. Testing las pruebas incluirán la restauración
results must be reviewed and approved by exitosa de los datos financieros. Los
the appropriate IT personnel. resultados de las pruebas deben ser
revisados y aprobados por el personal de
TI apropiado.
A system generated list of individuals with
authorization to access the data Una lista generada por el sistema de
center/server room is maintained, and personas con autorización para acceder al
reviewed (at least semi-annually) by the centro de datos / sala de servidores se
appropriate level of IT. mantiene y revisa (al menos cada dos
meses) por el nivel apropiado de TI.
A visitor log must be maintained,

validating the approved access of visitors Se debe mantener un registro de visitantes
to the data center/server room. que valide el acceso aprobado de los
visitantes al centro de datos / sala de
servidores.
The environmental controls checklist is La lista de verificación de los controles
completed on an annual basis and signed ambientales se completa anualmente y es
off by IT Management attesting that the aprobada por la Administración de TI que
following items exist and are being certifica que los siguientes elementos
maintained: existen y se mantienen:
- All business critical equipment (servers, - Todos los equipos críticos para el negocio
routers, switches, etc.) are connected to (servidores, enrutadores, conmutadores,
uninterruptible power supply(s). etc.) están conectados a una fuente de
alimentación ininterrumpible.
- The data center/server room is equipped

with smoke/fire detection and fire - El centro de datos / sala de servidores
suppression system. está equipado con un sistema de
detección de humo / incendio y supresión
de incendios.
- The data center/server room is

monitored for temperature, water leaks
and moisture fluctuations. - El centro de datos / sala de servidores es
monitoreado por temperatura, fugas de
agua y fluctuaciones de humedad.
A system (IDS - Intrusion Detection System Existe un sistema (IDS - Sistema de
or Firewall) exists to monitor unauthorized detección de intrusos o Firewall) para
attempts to the network and/or monitorear intentos no autorizados a la
information assets. This system: red y / o activos de información. Este
sistema:
(a) records all such attempts in a log;
(a) registra todos esos intentos en un
registro;
(b) can produce a detailed report suitable

for IT/Management review;
(b) puede producir un informe detallado
adecuado para la revisión de TI /
Administración;
(c) reports are reviewed regularly by IT
and/or appropriate business management;
(c) los informes son revisados

regularmente por TI y / o la administración
(d) high severity/priority unauthorized comercial apropiada;
access attempts are escalated to
IT/Management, documented and
resolved, as necessary.
(d) los intentos de acceso no autorizado de
alta severidad / prioridad se escalan a TI /
Administración, se documentan y
resuelven, según sea necesario.
The operating system patch updates are
installed on at least 95% of the Las actualizaciones de parches del sistema
workstations (Macs and PCs) and servers operativo se instalan en al menos el 95%
to minimize exposure to potential de las estaciones de trabajo (Mac y PC) y
operating system weaknesses. servidores para minimizar la exposición a
posibles debilidades del sistema operativo.
100% of the workstations and server

Operating Systems as well as server El 100% de las estaciones de trabajo y los
software must be a version that is sistemas operativos del servidor, así como
supported by the vendor. el software del servidor, debe ser una
versión compatible con el proveedor.
Anti-virus protection has been installed on Se ha instalado la protección antivirus en
all network servers and end-user todos los servidores de red y en las
workstation/laptop platforms (Mac/PC). plataformas de estaciones de trabajo /
Anti-virus software program and definition portátiles de usuario final (Mac / PC). El
file software is kept current per company software antivirus y el software de
policy. archivos de definición se mantienen
actualizados según la política de la
empresa
An IT Disaster Recovery Plan is maintained
and reviewed at least annually by IT Un plan de recuperación de desastres de
management and must be integrated with TI se mantiene y revisa al menos
the Business Continuity Plan of the anualmente por la administración de TI y
organization. debe integrarse con el plan de continuidad
de negocios de la organización.
The plan must identify the actions that will

be taken by IT in the event of a significant El plan debe identificar las acciones que
business disruption to systems that tomará el departamento de TI en caso de
support key business functions and the una interrupción importante del negocio
recovery of critical IT services. en los sistemas que admitan las funciones
clave del negocio y la recuperación de
servicios de TI críticos.
The agency monitors the software licenses La agencia supervisa las licencias de
for the various applications installed on software para las diversas aplicaciones
servers and workstations. instaladas en servidores y estaciones de
trabajo.
Regular verification that the media storage Verificación regular de que el
and movement plan is followed according almacenamiento de medios y el plan de
to the backup and recovery plan. movimiento se siguen de acuerdo con el
plan de copia de seguridad y recuperación.
For agencies using replication, the

following must be performed: Para las agencias que utilizan la
replicación, se debe realizar lo siguiente:
(a) On an annual basis, IT must confirm
that the available backups within the (a) Anualmente, el departamento de TI
replication tool reconcile with the debe confirmar que las copias de
expected backups as per the Backup Plan. seguridad disponibles dentro de la
herramienta de replicación se reconcilian
con las copias de seguridad esperadas
según el Plan de copias de seguridad.
(b) Encryption of the backup tool has been
enabled.
(b) Se ha habilitado el cifrado de la

herramienta de copia de seguridad.
For agencies using backup tapes, the
following must be performed:
(a) backup media are stored on- or off-site Para las agencias que utilizan cintas de
as appropriate, and a log of media tape copia de seguridad, se debe realizar lo
movements maintained siguiente:
(a) los medios de copia de seguridad se

almacenan en el sitio o fuera del sitio,
(b) backup media for Finance applications según corresponda, y se mantiene un
and critical data are sent off-site and kept registro de los movimientos de la cinta de
off-site (at least month end copy) medios
(c) in compliance with the off-site media (b) los medios de respaldo para
retention schedule aplicaciones de Finanzas y datos críticos se
IPG Information Security policies are made
available to employees. Las políticas de seguridad de la
información de IPG se ponen a disposición
de los empleados.
Policies must be communicated to the

user community at least annually or
whenever there are changes. Las políticas deben comunicarse a la
comunidad de usuarios al menos una vez
al año o siempre que haya cambios.
A process is in place to grant and revoke Se implementa un proceso para otorgar y
user access to applications/systems which revocar el acceso de los usuarios a las
contain, store or process Restricted, aplicaciones / sistemas que contienen,
Confidential, and Proprietary data as almacenan o procesan datos Restringidos,
defined in SP&P 625 Data Classification Confidenciales y Propietarios, tal como se
Policy. define en la Política de Clasificación de
Datos SP&P 625.
Applications/systems which contain, store Las aplicaciones / sistemas que contienen,
or process Restricted, Confidential, and almacenan o procesan datos restringidos,
Proprietary data as defined in SP&P 625 confidenciales y patentados, tal como se
Data Classification Policy, require a user definen en la Política de clasificación de
name and password. datos SP&P 625, requieren un nombre de
usuario y una contraseña.
Password parameters comply with policy

or client contract/MSA, whichever is more Los parámetros de la contraseña cumplen
stringent, and is reviewed on an annual con la política o el contrato del cliente /
basis by appropriate business personnel. MSA, el que sea más estricto, y es revisado
anualmente por el personal de negocios
apropiado.
If system limitations prohibit compliance

to IPG’s password policy, approval must be
obtained from the CISO. Refer to the Si las limitaciones del sistema prohíben el
Request for Exceptions section on page 8 cumplimiento de la política de contraseñas
of the M&P Guide. de IPG, se debe obtener la aprobación del
CISO. Consulte la sección Solicitud de
excepciones en la página 8 de la Guía
M&P.
A system generated list of user and Una lista generada por el sistema de
administrative and/or privileged access usuarios y derechos de acceso privilegiado
rights of applications/systems, which y administrativo de aplicaciones /
contain, store or process Restricted, sistemas, que contienen, almacenan o
Confidential, and Proprietary data as procesan datos Restringidos,
defined in SP&P 625 Data Classification Confidenciales y Propiedad según lo
Policy, must be reviewed and approved by definido en la Política de Clasificación de
the business owner of the Datos SP&P 625, debe ser revisada y
application/system semi-annually (policy aprobada por el propietario del negocio de
or client contract/MSA, whichever is more la aplicación / sistema semestralmente
stringent). (política o contrato del cliente / MSA, lo
que sea más estricto).
User equipment (laptops, workstations El equipo del usuario (computadoras
and other computing devices) must be portátiles, estaciones de trabajo y otros
using the standard IPG GPO (group policy dispositivos informáticos) debe utilizar la
object) policy requiring the use of a política estándar de IPG GPO (objeto de
screensaver with password protection. política de grupo) que requiere el uso de
un protector de pantalla con protección
por contraseña.
If the control location is not using the

standard IPG GPO policy, approval must be
obtained from the CISO. Refer to the Si la ubicación de control no utiliza la
Request for Exceptions section on page 8 política estándar de GPO de IPG, se debe
of the M&P Guide. obtener la aprobación del CISO. Consulte
la sección Solicitud de excepciones en la
Management must ensure formal La gerencia debe garantizar que se
procedures are implemented concerning implementen procedimientos formales
the use of networks and network services. relacionados con el uso de redes y
These procedures must cover the servicios de red. Estos procedimientos
following: deben cubrir lo siguiente:
1) Los recursos de la red y cómo deben ser

accedidos.
1) Network resources and how they are to
be accessed 2) Procedimientos de autorización para
determinar a quién se le permite acceder
a qué red (por ejemplo, la administración
del acceso de proveedor / invitado)
2) Authorization procedures for
determining who is allowed to access 3) Controles de administración para
which network (e.g. management of proteger el acceso a las conexiones de red
vendor/guest access) (por ejemplo, los controles alrededor de
conexiones de acceso remoto o Wi-Fi)
3) Management controls to protect access

to network connections (e.g. the controls
around Wi-Fi or remote access
connections)
At least 92% of Windows laptops are Al menos el 92% de las computadoras
encrypted with BitLocker. portátiles con Windows están cifradas con
BitLocker.
Al menos el 85% de las computadoras

At least 85% of Mac laptops are encrypted portátiles Mac están cifradas con FileVault.
with FileVault.
Employees, contractors or third parties Los empleados, contratistas o terceros
must return all organization's IT assets deben devolver todos los activos de TI de
upon termination of their employment, la organización al término de su empleo,
contract or agreement. contrato o acuerdo.
A process is in place to select and review
new client contracts including renewals Existe un proceso para seleccionar y
that specifically include sections on revisar los nuevos contratos de clientes,
“security controls for data”, “data incluidas las renovaciones que incluyen
security”, “measures to secure data”, “data específicamente secciones sobre
security safeguards” or similar "controles de seguridad de datos",
terminology, by agency IT or the CISO prior "seguridad de datos", "medidas para
to being signed. proteger datos", "salvaguardias de
seguridad de datos" o terminología similar,
por agencia de TI o el CISO antes de ser
firmado.
A process is in place to review the data Se implementa un proceso para revisar el
inventory annually. inventario de datos anualmente.
Tenga en cuenta que el inventario de datos

debe incluir, entre otros, datos de clientes,
Please note the data inventory must datos de empleados, datos de
include, but is not limited to, client data, proveedores, etc., tanto en formato
employee data, vendor data, etc., in both estructurado como no estructurado.
structured and unstructured formats.
All Restricted, Confidential, and
Proprietary data are treated in accordance Todos los datos restringidos,
to SP&P 625. Specific to client data, data confidenciales y de propiedad exclusiva se
treatment adheres to the policy or the tratan de acuerdo con SP&P 625. Los datos
client contract, whichever terms are more específicos se adhieren a la política o al
restrictive. contrato del cliente, independientemente
de los términos que sean más restrictivos.
Test Steps
1) Confirm when the last review was performed prior to the

current testing period to ensure appropriate frequency.
2) Verify that the Backup Plan is documented and includes

the following elements:
a) Key Personnel, Roles, and Responsibilities
b) List of critical servers, systems, storage networks and

applications being backed up including:
a) Backup schedule including frequency

(daily/weekly/monthly) and type (incremental/full)
b) Backup solution type (tape/local replication/cloud etc.)
c) Offsite rotation schedule
d) Revision & Approval history
3) Compare the agency backup server listing from step 1 to

agency server inventory to identify which servers are not
being backed up.
4) Verify that the Backup Plan was, reviewed and approved

by the IT Manager or above (at least annually).
1) Based on the documented Backup Plan and ad hoc
controls sampling guidance, select a sample of backups and
verify that the backups were performed as planned.
2) For each sample, confirm that a report or log documented

the results of the backup to verify completion status
(including any failures, errors, and warnings).
a) For the Commvault tool, the following are considered

failures (Completed with errors, Killed, Unsuccessful, and No
Run).
3) For each sample, verify that backup failures, errors, and

warnings were resolved prior to the next scheduled backup,
or investigated, resolved, and documented by IT.
2) Verify that a backup media restoration test was performed

(at least semi-annually) using media stored at an off-site
location and included the restoration of financial data (if
applicable).
3) Verify that evidence of the backup media restoration test

was successfully performed and approved by IT personnel.
2) Verify that a list of individuals with authorization to access

the data center/server room is maintained either manually
or systematically. If the list is maintained manually, verify
that all individuals with access rights in the system are
included in the manual list. Inquire with IT management on
the appropriateness of individuals on the access list.
3) Verify that a list of individuals with authorization to access

the data center/server room is reviewed and approved by
appropriate personnel (at least semi-annually).
4) Observe the data center/server room and verify that

access is restricted by an appropriate security mechanism.
5) Observe the data center/server room and verify that a

visitor log is maintained for the data center/server room.
2) Verify that the environmental controls checklist has been

completed and approved by the appropriate level of IT
management.
3) Observe the data center/server room and verify that

environmental control mechanisms exist.
4) If the data center/server room does not comply with

environmental controls requirements, obtain evidence that
the resolution of the issue is documented or that Agency
management is aware and has approved the risk of non-
compliance.
1) Determine whether the intrusion detection system or
firewall(s) in the location are managed by:
a) IPG IT Network Security Group – control complete.
b) Locally – complete steps 2-5.
2) Verify that a system exists to monitor and log all

unauthorized access attempts to the network and/or
information resources.
3) Inquire if a process has been established to inform all

appropriate IT and business management of high
severity/priority unauthorized access attempts.
4) Automated: If the system is configured to alert IT of high

severity/priority incidents, inspect the system configuration
to verify the appropriateness of the configuration.
Obtain a report of alerts categorized as a high

severity/priority incident. Based on ad hoc controls sampling
guidance, select a sample of alerts.
Verify that the alert was escalated to the appropriate IT and

business management and that resolution of the issue was
documented.
For Windows:
1) Obtain a current LANDesk 'Security Compliance Summary

by Location' report for critical patches and compare the
LANDesk report to the workstation and server inventory for
reasonableness.
a) Review the level of patching for the OS to ensure that at

least 95% of the workstation and server population have all
required critical patches.
b) Review the operating system versions to ensure there are

no instances of unsupported OS versions (e.g. Windows XP,
Windows 2003 Servers) or server software (e.g. Exchange
2003, SQL server 2005, etc.)
For Macs:
2) Obtain a current JAMF report for critical patches and

compare the report to the workstation and server inventory
for reasonableness.
a) Review the level of patching for the operating system to

ensure that at least 95% of the workstation and server
population have the latest patching version (Mac OS versions
are identified in the format of x.y.z and the patch level is
considered to be the “z” component).
1) Determine if the anti-virus software maintenance in the
location is maintained:
a) IPG IT Anti-Virus Group patch solutions – complete test

step 2.
b) Locally - complete test steps 3 5.
2) IPG IT Anti-Virus Group:
a) Obtain a current report, from the SEP console, and

confirm that the agency has the IPG-supported anti-virus
application (Symantec) installed. Review the anti-virus
definition status to ensure that the virus definition files, for
workstations and servers, are not older than 15 calendar
days of the review.
b) Compare the SEP console report to the workstation and

server inventory and confirm that a sample of workstations
and servers in the inventory are managed by the SEP
console. If there are workstations or servers not being
managed by the SEP console, follow the local test
procedures for those workstations and servers.
c) If a report cannot be produced from the SEP console,

obtain a current listing of all workstations and servers. Based
on ad hoc controls sampling guidance, select a sample of
workstations and servers and obtain screenshots of the anti-
virus client to verify that virus definition files are not older
than 15 calendar days of the review. For Macs, where JAMF
2) Inquire if a Business Continuity Plan is documented in the

IPG BC Planning tool.
If so, inspect the disaster recovery sections (Section 6a &

6b).
If not, determine if a disaster recovery plan is maintained

outside of the IPG BC Planning tool and obtain a copy of the
plan.
3) If the disaster recovery plan is documented, verify that the

plan includes the following elements:
a) Key Personnel, Roles & Responsibilities (see the DR Team

in Section 6b);
b) List of critical servers, systems and applications (see the

Systems Table in Section 1);
c) Recovery guidelines that address all critical systems and

with recovery time frames that align with business
requirements as articulated in the business continuity plan;
1) Inquire if a process has been established to maintain
software licensing.
2) Verify that the location maintains a list of all software

installed at the site, either by use of a centrally managed tool
or manually.
3) Based on ad hoc controls sampling guidance, select a

sample of servers and workstations and verify that the
software installed has been properly licensed.
Note: The below test step is piloted in2017, will be

formalized in 2018. Audit issues will not be noted should the
agency/entity fail the test step in 2017.
4) Obtain a list of any virtual servers (e.g. on prem VM’s,

cloud based server instances, etc.) and repeat step 3.
For agencies using replication, the following must be
performed:
1) Obtain the annual review that IT performed to confirm

the available backups within the replication tool reconcile
with the expected backups as per the Backup Plan.
2) Inspect the backup tool configuration settings to ensure

that encryption has been enabled.
3) Inspect the replication settings to verify that the off-site

schedule is in line with policy (no more than 15-months of
retention unless otherwise documented business need
exists).
For agencies using backup tapes, the following must be

performed:
1) Verify that the media was properly recorded and stored

either on-site in a protected and secured area (e.g. fireproof
vault, server room protected by fire suppression system) or
off-site, as specified by the Backup Plan.
2) Inspect the backup tool configuration settings to ensure

that encryption has been enabled.
1) Inquire with the HR Manager on how employees are
made aware of IPG Information Security policies and their
location. (e.g. inside.interpublic.com and periodic emails
from the Chief Risk Officer).
2) Inquire with the IT Manager or HR if any local information

security policies exist, which complement the IPG ISP, and
how they are shared with employees.
3) If local information security policies exist, confirm that

they are reviewed on a regular basis to ensure that the
policy still meets business needs, current requirements, legal
considerations, technical requirements, etc.
4) Obtain the most recent annual communication of the

information security policies to employees.
5) Confirm when the last employee communication was

distributed prior to the current testing period to ensure
appropriate frequency.
1) Obtain a list of applications/systems, which contain, store
or process Restricted, Confidential, and Proprietary data.
Select a representative cross section of these
applications/systems.
For each selected application or system, perform steps 2-5:
2) Inquire if a formal process exists to add and remove users

to the application/system.
3) If a formal process exists, obtain system generated lists of

users created and revoked during the audit period.
If a system generated list of new or revoked users CANNOT

be provided, inquire whether alternate evidence exists to
determine which users were added or removed from the
application/system during the audit period (e.g. periodic
user access re-certification, HR listings).
Based on ad hoc controls sampling guidance, select a sample

of new users and a sample of revoked users.
4) For each selected new user, verify that the access add
request was approved by appropriate business or HR
personnel.
For each application or system selected in IA-IT.16:
1) Verify that the application or system enforces unique IDs

and passwords.
If the application or system has been developed to work with

Active Directory synching, then the control is complete.
2) Obtain the password configurations for the application or

system. If the contract/MSA specifies password
requirements, verify that the password configuration comply
with the contract/MSA. If the contract/MSA does not specify
password requirements, verify that the application or system
password configuration complies with IPG policy (as stated in
DIT-15).
3) Verify that the password parameters were reviewed by

appropriate business personnel in the last 12 months.
For each application or system selected in IA-IT.16:
2) Obtain a report of all users and their access rights,

including users with read-only access, administrators, super
users or other 'elevated' privileges.
3) Compare the report to the application/system user listing

and verify that the reports contain access levels for all users.
4) For each application, verify that a report or list of all users

was approved by the business owner of the application on a
semi-annual basis.
5) For each system, inspect the report with the appropriate

level of business management (e.g. business owner of the
system) and verify that all access rights are appropriate and
commensurate with users’ job responsibilities.
6) Review the contract/MSA obtained in IA-IT.16 and verify

that granted access does not conflict with contractual
obligations (e.g. access must be restricted to the Account
team).
1) Obtain a current list of workstations from the asset
inventory.
2) Determine if the unattended user equipment policy is

managed by a central tool (e.g. JAMF or Group Policy Object
(GPO)) or manually:
a) Central – complete step 3 and step 4.
b) Manual – complete step 5.
3) Central (Windows) –
a) Obtain a GPO report or equivalent from the Active

Directory which displays the screensaver policy settings for
all OU’s in scope. Verify that the “Screen saver timeout” is
set to 15 minutes and that the “Password protect the screen
saver” is enabled.
b) Select a sample 1.5% of workstations (minimum of 3). For

each sample, run the following commands from the
command line:
Windows 7 – "GPResult /H GPReport.HTML."
c) Inspect the results and verify that the workstations are

managed by the GPO report in step a.
1) Determine if the site’s network, remote, wireless, and
vendor/guest access is managed by:
a) IPG IT ESD Group – Inquire whether the control location is

aware of and following IPG IT standards. If so, control is
complete. If not, complete steps 2 5.
b) Locally – complete steps 2-5.
2) Inquire if policies/procedures exist regarding network

access that ensures access is restricted to authorized
services.
3) Inquire if policies/procedures exist to ensure remote

access is restricted to authorized individuals.
4) Inquire if policies/procedures exist to ensure wireless

access is restricted to authorized individuals.
5) Inquire if policies/procedures exist such that vendors and

guests receive an IP address from a separate network and
can access the internet only.
1) Obtain the current Windows and Mac laptop inventories.
For Windows:
2) If the laptops are on the IPG AD, obtain the current

BitLocker report.
a) Compare the BitLocker report to the laptop inventory and

confirm that all Windows laptops are included in the report.
b) Determine if the BitLocker compliance for Windows

laptops meets or exceeds 92% coverage.
If laptops are not on the IPG AD:
3) Based on ad hoc sampling guidance, select a sample of

Windows laptops and obtain evidence that:
a) The 'BitLocker Recovery Key' exists within the System

Object Properties in Active Directory or within a secure
alternative environment.
b) The BitLocker compliance for the sampled laptops meets

or exceeds 92% coverage.
For Macs:
2) Obtain the JAMF report with FileVault encryption status.

1) Inquire with HR and/or IT on the process of tracking the
return of company’s IT assets.
2) Obtain a list of employee terminations. Select one

terminated employee and verify that documentation exists
to support the return of company’s IT assets (e.g. a checklist
or ticket).
3) Verify that the IT asset inventory has been updated to

reflect the current status of the returned equipment for the
selected sample.
1) Inquire of IT, Controller, Business Development, Legal
and/or Account Team leads to determine whether new client
contracts including renewals containing specific sections
related to “securing or safeguarding data” or “data security”,
are reviewed by agency IT or CISO, prior to being signed.
2) If a process exists, obtain the population of all new and

renewed client contracts from the aforementioned
individuals which were signed during the audit period. Select
a sample of new and renewed client contracts based on the
ad hoc controls sampling guidance, to confirm that the
contracts were reviewed by agency IT or the CISO.
2) Obtain the data inventory from the data custodian(s) and

confirm that data is classified and reviewed on an annual
basis.
3) Inspect data inventory for completeness and

reasonableness. See Additional Guidance for required
inventory attributes.
1) Based on the ad hoc controls sampling guidance, select a
sample from the data inventory. Identify whether the sample
is client or non-client data. For each sample selected:
Non-client data:
2) Verify that the data is treated in accordance with SP&P

625A and SP&P 625B.
Client data:
3) Obtain the client contract. Determine if the contract

indicates how the client data is treated.
a) If there is a clause for data treatment in the client

contract, compare the contract requirements with SP&P
625A and 625B, and verify that the data is treated to
whichever term is more restrictive.
b) If there is no data treatment clause in the client contract,

verify that the client data is treated in accordance with SP&P
625A and 625B.
Español
1) Confirme cuándo se realizó la última revisión antes del

período de prueba actual para garantizar la frecuencia
adecuada.
2) Verifique que el plan de respaldo esté documentado e

incluya los siguientes elementos:
a) Personal clave, roles y responsabilidades
b) Lista de servidores críticos, sistemas, redes de

almacenamiento y aplicaciones que se respaldan,
incluyendo:
a) Programa de copia de seguridad que incluye la frecuencia

(diaria / semanal / mensual) y el tipo (incremental /
completo)
b) Tipo de solución de copia de seguridad (cinta / replicación

local / nube, etc.)
c) Horario de rotación fuera del sitio
d) Historial de revisiones y aprobaciones
3) Compare la lista de servidores de respaldo de la agencia

del paso 1 con el inventario de servidores de la agencia para
identificar qué servidores no están siendo respaldados.
1) De acuerdo con el Plan de copia de seguridad
documentado y la guía de muestreo de controles ad hoc,
seleccione una muestra de copias de seguridad y verifique
que las copias de seguridad se realizaron según lo planeado.
2) Para cada muestra, confirme que un informe o registro

documente los resultados de la copia de seguridad para
verificar el estado de finalización (incluidas las fallas, errores
y advertencias).
a) Para la herramienta Commvault, las siguientes se

consideran fallas (completadas con errores, eliminadas, sin
éxito y sin ejecución).
3) Para cada muestra, verifique que las fallas, los errores y

las advertencias de las copias de seguridad se resolvieron
antes de la próxima copia de seguridad programada, o se
investigaron, resolvieron y documentaron en TI.
adecuada.
2) Verifique que se haya realizado una prueba de

restauración de medios de respaldo (al menos
semestralmente) utilizando medios almacenados en una
ubicación fuera del sitio e incluyó el restablecimiento de
datos financieros (si corresponde).
3) Verifique que la evidencia de la prueba de restauración de

medios de respaldo se realizó y aprobó con éxito por el
personal de TI.
adecuada.
2) Verifique que una lista de personas con autorización para

acceder al centro de datos / sala de servidores se mantenga
de forma manual o sistemática. Si la lista se mantiene
manualmente, verifique que todas las personas con
derechos de acceso en el sistema estén incluidas en la lista
del manual. Consulte con la administración de TI sobre la
idoneidad de los individuos en la lista de acceso.
3) Verifique que una lista de personas con autorización para

acceder al centro de datos / sala de servidores sea revisada y
aprobada por el personal apropiado (al menos
semestralmente).
4) Observe el centro de datos / sala de servidores y verifique

que el acceso esté restringido por un mecanismo de
seguridad apropiado.

que se mantenga un registro de visitantes para el centro de
datos / sala de servidores.
adecuada.
2) Verifique que la lista de verificación de controles

ambientales haya sido completada y aprobada por el nivel
apropiado de administración de TI.

que existan mecanismos de control ambiental.
4) Si el centro de datos / sala de servidores no cumple con

los requisitos de control ambiental, obtenga evidencia de
que la resolución del problema está documentada o que la
administración de la Agencia tiene conocimiento y ha
aprobado el riesgo de incumplimiento.
1) Determine si el sistema de detección de intrusos o los
firewall en la ubicación son administrados por:
a) Grupo de seguridad de red de TI de IPG: control completo.
b) Localmente - complete los pasos 2-5.
2) Verifique que exista un sistema para monitorear y registrar

todos los intentos de acceso no autorizados a la red y / o
recursos de información.
3) Averigüe si se ha establecido un proceso para informar a

todos los administradores de TI y de negocios apropiados
sobre intentos de acceso no autorizado de alta severidad /
prioridad.
4) Automatizado: si el sistema está configurado para alertar a

la TI de incidentes de alta severidad / prioridad, inspeccione
la configuración del sistema para verificar si la configuración
es apropiada.
Obtenga un informe de alertas categorizadas como un
incidente de alta severidad / prioridad. Sobre la base de la
guía de muestreo de controles ad hoc, seleccione una
muestra de alertas.
Verifique que la alerta se haya escalado a la administración

de TI y de negocios adecuada y que se haya documentado la
Para ventanas:
1) Obtenga un informe actual de 'Resumen de cumplimiento

de seguridad por ubicación' de LANDesk para parches
críticos y compare el informe de LANDesk con el inventario
de la estación de trabajo y el servidor por razones
razonables.
a) Revise el nivel de parches para el sistema operativo para

asegurarse de que al menos el 95% de la estación de trabajo
y la población del servidor tengan todos los parches críticos
requeridos.
b) Revise las versiones del sistema operativo para asegurarse

de que no haya instancias de versiones de SO no
compatibles (por ejemplo, Windows XP, servidores de
Windows 2003) o software de servidor (por ejemplo,
Exchange 2003, SQL Server 2005, etc.)
Para Macs:
2) Obtenga un informe JAMF actual para parches críticos y

compare el informe con la estación de trabajo y el inventario
del servidor por razones razonables.
a) Revise el nivel de parches para el sistema operativo para

asegurarse de que al menos el 95% de la estación de trabajo
y la población del servidor tengan la última versión de
parches (las versiones de Mac OS se identifican en el
formato de xyz y se considera que el nivel de parches es el "
1) Determine si el mantenimiento del software antivirus en
la ubicación se mantiene:
a) Soluciones de parches IPG IT Anti-Virus Group: complete

el paso de prueba 2.
b) Localmente - complete los pasos de prueba 3 5.
2) IPG IT Anti-Virus Group:
a) Obtenga un informe actual, desde la consola de SEP, y

confirme que la agencia tiene instalada la aplicación
antivirus compatible con IPG (Symantec). Revise el estado de
la definición de antivirus para asegurarse de que los archivos
de definición de virus, para estaciones de trabajo y
servidores, no tengan más de 15 días calendario de la
revisión.
b) Compare el informe de la consola SEP con el inventario de

la estación de trabajo y el servidor y confirme que una
muestra de estaciones de trabajo y servidores en el
inventario son administrados por la consola de la SEP. Si hay
estaciones de trabajo o servidores que no son administrados
por la consola de SEP, siga los procedimientos de prueba
locales para esas estaciones de trabajo y servidores.
c) Si no se puede generar un informe desde la consola SEP,

obtenga una lista actualizada de todas las estaciones de
trabajo y servidores. De acuerdo con la guía de muestreo de
controles ad hoc, seleccione una muestra de estaciones de
adecuada.
2) Pregunte si un plan de continuidad del negocio está

documentado en la herramienta de planificación de IPG BC.
Si es así, inspeccione las secciones de recuperación de

desastres (Sección 6a y 6b).
De lo contrario, determine si un plan de recuperación de

desastres se mantiene fuera de la herramienta de
planificación de IPG BC y obtenga una copia del plan.
3) Si el plan de recuperación de desastres está

documentado, verifique que el plan incluya los siguientes
elementos:
a) Personal clave, roles y responsabilidades (consulte el

Equipo de DR en la Sección 6b);
b) Lista de servidores, sistemas y aplicaciones críticos

(consulte la Tabla de sistemas en la Sección 1);
c) Pautas de recuperación que abordan todos los sistemas

críticos y con marcos de tiempo de recuperación que se
1) Preguntar si se ha establecido un proceso para mantener
las licencias de software.
2) Verifique que la ubicación mantenga una lista de todo el

software instalado en el sitio, ya sea mediante el uso de una
herramienta administrada centralmente o manualmente.
3) Según una guía de muestreo de controles ad hoc,

seleccione una muestra de servidores y estaciones de
trabajo y verifique que el software instalado tenga la licencia
adecuada.
Nota: El siguiente paso de prueba se realizará de manera

piloto en2017, se formalizará en 2018. No se notarán los
problemas de auditoría en caso de que la agencia / entidad
no apruebe el paso de prueba en 2017.
4) Obtenga una lista de los servidores virtuales (por ejemplo,

en máquinas virtuales, instancias de servidores basados en
la nube, etc.) y repita el paso 3.
Para las agencias que utilizan la replicación, se debe realizar
lo siguiente:
1) Obtenga la revisión anual que TI realizó para confirmar

que las copias de seguridad disponibles dentro de la
herramienta de replicación se reconcilian con las copias de
seguridad esperadas según el Plan de copias de seguridad.
2) Inspeccione los ajustes de configuración de la herramienta

de copia de seguridad para asegurarse de que se haya
habilitado el cifrado.
3) Inspeccione la configuración de replicación para verificar

que la programación fuera del sitio esté en línea con la
política (no más de 15 meses de retención, a menos que
exista una necesidad comercial documentada de otra
manera).
Para las agencias que utilizan cintas de copia de seguridad,

se debe realizar lo siguiente:
1) Verifique que los medios se registraron y almacenaron

correctamente en el sitio en un área protegida y protegida
(por ejemplo, bóveda a prueba de incendios, sala de
servidores protegida por el sistema de extinción de
incendios) o fuera del sitio, según lo especificado por el plan
de respaldo.
1) Consulte con el Gerente de Recursos Humanos sobre
cómo los empleados conocen las políticas de seguridad de la
información de IPG y su ubicación. (por ejemplo,
inside.interpublic.com y correos electrónicos periódicos del
Director de Riesgos).
2) Pregunte al Gerente de TI o al Departamento de Recursos

Humanos si existen políticas locales de seguridad de la
información, que complementen al ISP de IPG y cómo se
comparten con los empleados.
3) Si existen políticas locales de seguridad de la información,

confirme que se revisen periódicamente para garantizar que
la política sigue cumpliendo con las necesidades
comerciales, los requisitos actuales, las consideraciones
legales, los requisitos técnicos, etc.
4) Obtener la comunicación anual más reciente de las

políticas de seguridad de la información a los empleados.
5) Confirme cuándo se distribuyó la última comunicación del

empleado antes del período de prueba actual para garantizar
la frecuencia adecuada.
1) Obtenga una lista de aplicaciones / sistemas, que
contienen, almacenan o procesan datos restringidos,
confidenciales y de propiedad. Seleccione una sección
representativa de estas aplicaciones / sistemas.
Para cada aplicación o sistema seleccionado, realice los

pasos 2-5:
2) Pregunte si existe un proceso formal para agregar y

eliminar usuarios a la aplicación / sistema.
3) Si existe un proceso formal, obtenga listas generadas por

el sistema de usuarios creados y revocados durante el
período de auditoría.
Si NO se puede proporcionar una lista de usuarios nuevos o

revocados generados por el sistema, pregunte si existe
evidencia alternativa para determinar qué usuarios se
agregaron o eliminaron de la aplicación / sistema durante el
período de auditoría (por ejemplo, re-certificación periódica
de acceso de usuarios, listas de recursos humanos).
Sobre la base de la guía de muestreo de controles ad hoc,
seleccione una muestra de usuarios nuevos y una muestra
de usuarios revocados.
4) Para cada nuevo usuario seleccionado, verifique que la

solicitud de adición de acceso haya sido aprobada por la
empresa o el personal de recursos humanos adecuado.
5) Para cada usuario revocado seleccionado, verifique que el

acceso del usuario fue revocado desde la aplicación /
sistema dentro de los 15 días calendario desde la
aplicación / sistema. Si el usuario no fue revocado a tiempo,
obtenga la última fecha de inicio de sesión del usuario.
Para cada aplicación o sistema seleccionado en IA-IT.16:
1) Verifique que la aplicación o el sistema aplique ID y

contraseñas únicas.
Si la aplicación o el sistema se ha desarrollado para

funcionar con la sincronización de Active Directory, entonces
el control está completo.
2) Obtenga las configuraciones de contraseña para la

aplicación o sistema. Si el contrato / MSA especifica los
requisitos de contraseña, verifique que la configuración de la
contraseña cumpla con el contrato / MSA. Si el contrato /
MSA no especifica los requisitos de contraseña, verifique
que la configuración de la contraseña de la aplicación o del
sistema cumpla con la política de IPG (como se indica en el
DIT-15).
3) Verifique que los parámetros de contraseña hayan sido

revisados por el personal de negocios apropiado en los
últimos 12 meses.
adecuada.
Para cada aplicación o sistema seleccionado en IA-IT.16:
2) Obtenga un informe de todos los usuarios y sus derechos

de acceso, incluidos los usuarios con acceso de solo lectura,
administradores, superusuarios u otros privilegios
"elevados".
3) Compare el informe con la lista de usuarios de la

aplicación / sistema y verifique que los informes contengan
niveles de acceso para todos los usuarios.
4) Para cada solicitud, verifique que un informe o lista de

todos los usuarios haya sido aprobado por el propietario de
la empresa de forma semestral.
5) Para cada sistema, inspeccione el informe con el nivel

apropiado de administración comercial (por ejemplo, el
propietario comercial del sistema) y verifique que todos los
derechos de acceso sean apropiados y proporcionales a las
responsabilidades laborales de los usuarios.
6) Revise el contrato / MSA obtenido en IA-IT.16 y verifique

que el acceso otorgado no entre en conflicto con las
obligaciones contractuales (por ejemplo, el acceso debe
estar restringido al equipo de la Cuenta)
1) Obtenga una lista actual de estaciones de trabajo del
inventario de activos.
2) Determine si la política de equipo de usuario desatendido

es administrada por una herramienta central (por ejemplo,
JAMF u objeto de política de grupo (GPO)) o manualmente:
a) Central - completa el paso 3 y el paso 4.
b) Manual - completa el paso 5.
3) Central (Windows) -
a) Obtenga un informe de GPO o equivalente del Directorio

activo que muestra la configuración de la política del
protector de pantalla para todas las unidades organizativas
en el ámbito. Verifique que el "Tiempo de espera del
protector de pantalla" esté establecido en 15 minutos y que
la opción "Proteger con contraseña el protector de pantalla"
esté habilitada.
b) Seleccione una muestra del 1.5% de las estaciones de

trabajo (mínimo de 3). Para cada muestra, ejecute los
siguientes comandos desde la línea de comandos:
Windows 7 - "GPResult / H GPReport.HTML".
c) Inspeccione los resultados y verifique que las estaciones

de trabajo estén administradas por el informe de GPO en el
paso a.
4) Central (Macs) -
a) Obtenga una captura de pantalla de la configuración de

Preferencias administradas de la herramienta JAMF.
Verifique que la configuración de "Solicitar contraseña" esté
establecida en 1 y que la configuración de "Tiempo de
inactividad" esté establecida en 15/20 minutos.
1) Determine si la red del sitio, el acceso remoto, el
inalámbrico y el acceso del vendedor / invitado se gestionan
mediante:
a) Grupo de IPG IT ESD: pregunte si la ubicación de control

conoce y sigue los estándares de IPG IT. Si es así, el control
está completo. Si no, completa los pasos 2 5.
b) Localmente - complete los pasos 2-5.
2) Pregunte si existen políticas / procedimientos con

respecto al acceso a la red que aseguren que el acceso esté
restringido a los servicios autorizados.
3) Pregunte si existen políticas / procedimientos para

garantizar que el acceso remoto esté restringido a personas
autorizadas.
4) Pregunte si existen políticas / procedimientos para

garantizar que el acceso inalámbrico esté restringido a
personas autorizadas.
5) Pregunte si existen políticas / procedimientos tales que los

proveedores e invitados reciban una dirección IP de una red
separada y puedan acceder a Internet solamente
1) Obtenga los inventarios actuales de computadoras
portátiles con Windows y Mac.
Para ventanas:
2) Si las computadoras portátiles están en IPG AD, obtenga el

informe actual de BitLocker.
a) Compare el informe de BitLocker con el inventario de

computadoras portátiles y confirme que todas las
computadoras portátiles con Windows estén incluidas en el
informe.
b) Determine si el cumplimiento de BitLocker para

computadoras portátiles con Windows cumple o excede el
92% de cobertura.
Si las computadoras portátiles no están en el IPG AD:
3) Según una guía de muestreo ad hoc, seleccione una

muestra de computadoras portátiles con Windows y obtenga
evidencia de que:
a) La 'Clave de recuperación de BitLocker' existe dentro de

las Propiedades del objeto del sistema en Active Directory o
dentro de un entorno alternativo seguro.
b) El cumplimiento de BitLocker para las computadoras

portátiles de muestra cumple o excede el 92% de cobertura.
Para Macs:
2) Obtenga el informe JAMF con el estado de cifrado de
FileVault.
a) Compare el informe JAMF con el inventario de

computadoras portátiles y confirme que todas las
computadoras portátiles Mac estén incluidas en el informe.
1) Consulte con Recursos Humanos y / o TI sobre el proceso
de seguimiento del retorno de los activos de TI de la
empresa.
2) Obtener una lista de despidos de empleados. Seleccione

un empleado despedido y verifique que exista
documentación que respalde la devolución de los activos de
TI de la empresa (por ejemplo, una lista de verificación o un
boleto).
3) Verifique que el inventario de activos de TI se haya

actualizado para reflejar el estado actual del equipo devuelto
para la muestra seleccionada
1) Preguntar a los líderes de TI, Controladores, Desarrollo de
negocios, Legal y / o Equipo de cuentas para determinar si
los contratos de nuevos clientes, incluidas las renovaciones
que contienen secciones específicas relacionadas con
"asegurar o proteger datos" o "seguridad de datos", son
revisados por la agencia de TI o CISO , antes de ser firmado.
2) Si existe un proceso, obtenga la población de todos los

contratos de clientes nuevos y renovados de las personas
mencionadas anteriormente que se firmaron durante el
período de auditoría. Seleccione una muestra de contratos
de clientes nuevos y renovados basados en la guía de
muestreo de controles ad hoc, para confirmar que los
contratos fueron revisados por la agencia de TI o el CISO.
adecuada.
2) Obtenga el inventario de datos de los custodios de los

datos y confirme que los datos se clasifican y revisan
anualmente.
3) Inspeccione el inventario de datos para verificar que esté

completo y sea razonable. Consulte la Guía adicional para los
atributos de inventario requeridos.
1) Sobre la base de la guía de muestreo de controles ad hoc,
seleccione una muestra del inventario de datos. Identifique
si la muestra son datos de clientes o no clientes. Para cada
muestra seleccionada:
Datos no de cliente:
2) Verifique que los datos se traten de acuerdo con SP&P

625A y SP&P 625B.
Datos del cliente:
3) Obtener el contrato del cliente. Determine si el contrato

indica cómo se tratan los datos del cliente.
a) Si hay una cláusula para el tratamiento de datos en el

contrato del cliente, compare los requisitos del contrato con
SP&P 625A y 625B, y verifique que los datos se traten según
el término que sea más restrictivo.
b) Si no hay una cláusula de tratamiento de datos en el

contrato del cliente, verifique que los datos del cliente se
traten de acuerdo con SP&P 625A y 625B.
from the IPG IT Storage Team)
- List of servers and the associated backup volumes
- Volume screenshots (to be requested by the Agency from

the IPG IT Storage Team)
Screenshot/report of backup schedule from the backup tool
• Backups of applications, systems, data stores, etc. are

considered out-of-scope for this control if a third party is
responsible for the backup. This is often the case with hosted
application solutions (e.g. Egnyte, Box, MediaOcean), but is
usually NOT the case with hosted infrastructure solutions (e.g.
AWS, Rackspace).
In 2018, hosted infrastructure solutions (e.g. AWS, Rackspace,

etc.) will be in scope for this control.
Screenshot of backup job settings
Backup logs
Evidence of resolution for failed backups
Twinstrata (Evidence must be requested by the Agency from

the IPG IT Storage Team):
- Screenshots of Snapshot settings
- Screenshots of Snapshot history
- Email notifications of failed snapshots (if any)

AWS, Rackspace).
Data restore test results with IT management review and

approval.
Twinstrata: Remedy ticket and additional emails to the IPG IT

Storage Team covering the snapshot restore process. Final IT
approval sent to the SOX mailbox

AWS, Rackspace).
In 2018, hosted infrastructure solutions (e.g. AWS, Rackspace,

etc.) will be in scope for this control.
• For tape based back-up the restore test must be completed

using media from the off-site storage location.
A system generated list of individuals who are authorized to

access the data center/server room is reviewed and approved
by appropriate personnel.
Visitor log.
• Access to the data center/server room must be controlled by

an appropriate security mechanism – examples can include
physical lock, keypad, and magnetic card system.
• A report of individuals who have access to the data

center/server room needs to be maintained.
o The list must include appropriate IT/Facilities/Security

personnel and the following would not be expected to have
access: Senior Executives/Finance/HR/Operations. Typically,
this review is performed by IT management, however, if IT
management has access, the signed re-certification must be
sent to the individual’s immediate supervisor for notification
purposes.
o If access is administered through a central management and

logging tool (e.g. magnetic swipe card log), the review must be
performed using the access listing generated from the tool.
• When an individual who has access leaves the organization,

A completed and signed off copy of the Environmental

Controls Checklist completed and approved by IT
management.
Evidence of resolution or approval pertaining to non-

compliance.
• Ensure that all relevant environmental systems for your data

center/server room are identified within the Environmental
Controls checklist.
• Complete the Environmental Controls checklist, as noted.
• Ensure the appropriate level of regular maintenance is being

performed for all the environmental systems.
Evidence that an IDS or similar tool is used to detect

unauthorized attempts to access the network and/or
information systems
IDS software logs & management’s review of the information
Evidence that all relevant issues are communicated to the

appropriate level of management (relevancy is established
based on policy or previously agreed upon criteria)
The purpose of an intrusion detection system is to detect and

notify all unauthorized attempts to gain access to the agency
networks and/or user workstations.
All IPG agencies that are connected to the IPG IT Network

backbone and are following the Firewall standard and the
Router Standard are covered in this control. For locations
which are not managed by the IPG IT:
• Ensure an IDS or firewall system is configured and able to

Compliance Summary by Location' report
JAMF Computer Inventory Report
Note: The evidence below is needed for trial test step #3:
List of any virtual servers (e.g. on prem VM’s, cloud based

server instances, etc.)
Per SP&P 600 section 6, IPG mandates the creation and

maintenance of an inventory list and ownership of these
computing hardware and software assets.
This control applies to all workstations, regardless of platform

(Mac & PC). Also, the control applies to all servers, regardless
of environment (Development, Test, and Production). The 5%
variance accounts for new non-configured laptops, traveling
users, etc. Anything above the 5% variance is considered a
control failure.
An anti-virus management strategy.
Evidence that the virus definition files are up to date for all
servers and workstations.
• Per SP&P 600 section 6, IPG mandates the creation and

• This control applies to all workstations and servers,

regardless of platform. Also, the control applies to all servers,
regardless of environment (Development, Test, and
Production).
• An issue for this control must only be identified if there are

workstations/servers non-compliant that exceed the 5%
tolerance level, across the population. The 5% variance
accounts for new non-configured laptops, traveling users, etc.
Anything above the 5% variance is considered a control failure.
• There is one approved IPG-supported anti-virus applications
- Symantec Anti-Virus. IPG maintains a centralized
management tool to distribute, manage and report via the
Symantec Server Console (SSC)
• The LANDesk tool provides a report of the latest anti-virus

A formally documented and approved disaster recovery plan

which details out the actions needed to be taken by IT
Management in the event of a disaster.
Evidence of periodic testing of the DR plan.
• A Business Continuity Plan (BCP) and a Disaster Recovery

Plan (DRP) are two distinct plans. The BCP covers how a
business should operate in case of a disaster, while a DRP
describes how IT should recover systems from a disaster. This
control only considers the DRP.
• Agencies generating $10M USD or higher are required to use

the proprietary tool on inside.interpublic.com in order to
develop and maintain a business continuity plan.
• Disaster recovery is an important part of the planning

process. If your offices is below the $10M threshold and a
business continuity plan is not expected or required, the
agency is still required to have a DR plan that documents:
o Individuals responsible for invoking or declaring a disaster

which initiates a plan of action
A list of all software deployed on servers and workstations.
A software license inventory managed via a central tool or

manually.

• All software running on servers and workstations needs to

be licensed. While IPG corporate covers some software
licenses through enterprise agreements, agencies need to
maintain licenses for all other software. Please note, IPG
agencies are oftentimes part of Enterprise Agreements with
vendors. Check with your regional CIO or Global CIO for a list
of these products (they vary by network and region).
• For certain enterprise agreements (e.g. Microsoft), proper

licensing evidence may be obtained via the annual True Up
process.
• Alternative controls can include installing software centrally

and revoking admin rights on their workstations. However,
agencies that lock-down workstations, still need to maintain
software license inventory for locally acquired licenses.
Media movement log
Media inventory log
Off-site schedule for media retention
Off-site media inventory
Receipt from vendor for all media which has been returned or
destroyed
Backup encryption:
If software based: backup tool configuration settings
If hardware based: configuration settings, or vendor product

information indicating encryption
Twinstrata: Screenshots of snapshot inventory, snapshot

scheduler, and Cloud Provider details (for proof of encryption).
Local Information Security policy document (if applicable).
Evidence of the most recent annual communication of the

information security policies to employees.
• The Information Security Policy must be easily accessible for

all users to view. Links within intranet sites can also be used to
provide users with easy access to the latest version of the local
ISP, or reference the IPG SP&P Policies.
• The Code of Conduct (containing Information Security-

related topics) and the quarterly policy updates
communication email are sufficient to meet the control
requirements
If local information security policies exist, the following

questions must be addressed:
• Does the policy address protection of access to data,

network and systems?
• Does the policy address use of office equipment for personal

A system generated list of applications/systems which contain,

store or process Restricted, Confidential, and Proprietary data
as defined in SP&P 625 Data Classification Policy.
Procedures on how users are added and removed from these

applications/systems.
Completed access request/revocation forms approved by

appropriate business personnel.
• Authorized individual sends completed access form to add,

update, or revoke user access to the security administrator.
• Access is added, updated, or revoked based on the

instructions on the form, or through the agreed process.
• User is notified that the request has been processed. Emails
or other written request may be used if a form does not exist.
• Examples of systems include: SharePoint, Box, Dropbox,

Egnyte, and file servers.
List of applications/systems which contain, store or process

Restricted, Confidential, and Proprietary data as defined in
SP&P 625 Data Classification Policy (same list as for IA-IT.16).
Configuration report or screenshot of application/systems’

password parameters.
• Password protections and other necessary controls must

exist to adequately restrict access to applications/systems
which contain, store or process Restricted, Confidential,
and/or Proprietary data. Password requirements include:
o Minimum length = 8 characters
o Password expiration = 60 days (for all users)
o Include the following: numeric, uppercase letter, and a

symbol.
• If access is controlled via the Active Directory, the network
password re-certification (MIT-09) suffices
Refer to Data Classification Definitions on page 6 of the M&P

Guide for a description of each classification level.
A system generated list showing user level access rights to

applications/systems, which contain, store or process
Restricted, Confidential, and Proprietary data as defined in
SP&P 625 Data Classification Policy.
Review of the user and administrative/privileged user access

rights by appropriate level of business management (e.g.
application/system owner).
• The administrators of the application/systems must be

limited to appropriate individuals, e.g. owner of the
application/system.
• All administrators must have unique ID’s.
• Examples of systems include: SharePoint, Box, Dropbox,

Egnyte, and file servers.
The default administrator account must not be utilized. User

Admins must have a unique login account and must not be
sharing accounts. Admins that are also users must have two
accounts – one with admin privileges and one without. If the
Screenshot/system report showing the following:
• A screensaver has been enabled and set to 15 (Windows) or

15/20 minutes (Macs)
• A password is required to deactivate the screensaver

• If a GPO or centralized tool like JAMF is available, it must be

utilized to manage this control.
• A process must be implemented to ensure that all

workstations, if left unattended for more than 15 minutes,
require a password to deactivate the screensaver. If a system
limitation exists and the screensaver cannot be configured to
15 minutes, then 20 minutes is permissible.
• Agencies are responsible for confirming ongoing compliance.
• All agencies that are on the IPG Active Directory can have
the GPO policy applied to their OUs automatically. To setup a
GPO, please contact the Enterprise Service Desk
([email protected]) to implement for your respective OUs.
Documented policies and procedures addressing network

usage.
• The IPG IT Networking Services team provides control over

the network to apply IPG policy for network access, remote
access, and vendor/guest access. If the agency is not using the
IPG IT networking services standards for their network
equipment or Wi-Fi, then the agency needs to ensure they
have created their own policies.
• If a network is not managed by IPG IT Networking Services,

agencies need to show evidence of local policies/processes
covering network, remote, wireless and vendor/guest access
and include:
o Networks and network services which are allowed to be

accessed by different users
o Authorization procedures and the means used to access
networks and network services such as IP addresses, guest IDs
and temporary passwords
List of Windows and Mac laptops.
For Windows:
Screenshot of the BitLocker recovery key.
Bitlocker report.
For Macs:
JAMF report with FileVault encryption status.

• The 85%/92% requirement accounts for new non-configured

laptops, traveling users, etc. Anything below the 85%/92%
requirement is considered a control failure.
Return of asset procedure.
Leaver form with IT asset details or an asset return form.
IT asset inventory.
Per SP&P 600 section 6, IPG mandates the creation and

• When a user leaves the organization, a process needs to be

in place to collect all their respective IT assets. This involves
either of the following:
o HR providing details of the equipment owned by the

employee to IT; or
o The request from HR requires IT to identify the equipment to

be returned.
• In addition, the process must document the steps taken to

re-commission/decommission equipment.
NEW client contracts, including renewals (updates/addendums

to existing contracts are out of scope).
Email correspondence between the agency IT or the CISO.
• All NEW and renewed contracts are considered in-scope for

this control, regardless of dollar threshold
(updates/addendums to existing contracts are deemed out of
scope for now).
• Email correspondence suffices as evidence to show that

agency IT or CISO have reviewed the contract. It is not
required to obtain a “sign-off” from the respective parties.
• The agency IT or CISO review must be performed prior to the

contract being signed.
NEW client contracts, including renewals (updates/addendums

to existing contracts are out of scope).
Email correspondence between the agency IT or the CISO.
• All NEW and renewed contracts are considered in-scope for

this control, regardless of dollar threshold
(updates/addendums to existing contracts are deemed out of
scope for now).
• Email correspondence suffices as evidence to show that

agency IT or CISO have reviewed the contract. It is not
required to obtain a “sign-off” from the respective parties.
• The agency IT or CISO review must be performed prior to the

contract being signed.
Client Contract (if sampled)
Configuration settings, screenshots, emails, reports, etc.
• If a complete and reasonable data inventory (IS-02) cannot

be provided, IS-03 fails.
• Please see SP&P 625A – Data Classification Standard for

further guidance.
Español
• Las copias de seguridad de aplicaciones, sistemas,

almacenes de datos, etc. se consideran fuera del alcance de
este control si un tercero es responsable de la copia de
seguridad. Este suele ser el caso de las soluciones de
aplicaciones alojadas (por ejemplo, Egnyte, Box, MediaOcean),
pero generalmente NO es el caso de las soluciones de
infraestructura alojadas (por ejemplo, AWS, Rackspace).
En 2018, las soluciones de infraestructura alojada (por

ejemplo, AWS, Rackspace, etc.) estarán dentro del alcance de
este control.
• El plan de copia de seguridad se refiere a la estrategia

documentada para realizar copias de seguridad de los datos e
incluye las frecuencias, los medios utilizados y la estrategia de
movimiento de medios a una ubicación fuera del sitio. El plan
de respaldo debe usarse para programar la herramienta de
respaldo. El programa de copia de seguridad se refiere a la
configuración dentro de la herramienta de copia de seguridad.
La administración debe asegurarse de que el programa de
copia de seguridad incluya todas las copias de seguridad
documentadas en el plan de copia de seguridad.
• Las copias de seguridad pueden pertenecer a cinta, disco,

NAS, SAN, nube, etc.
Captura de pantalla de la configuración del trabajo de copia de

seguridad
Registros de copia de seguridad
Evidencia de resolución para copias de seguridad fallidas
Twinstrata (La evidencia debe ser solicitada por la Agencia al

equipo de almacenamiento de TI de IPG):
- Capturas de pantalla de ajustes de instantáneas
- Capturas de pantalla del historial de instantáneas
- Notificaciones por correo electrónico de instantáneas

fallidas (si las hay)



este control.
• Para la copia de seguridad basada en cinta, la prueba de

restauración debe completarse con medios de la ubicación de
almacenamiento fuera del sitio.
• Para las copias de seguridad basadas en la nube, la prueba

de restauración debe completarse utilizando datos de la nube
y NO de la memoria caché local.
• Los datos de los medios externos deben recuperarse (no es

necesario que sea una recuperación completa).
• La evidencia de la recuperación de datos debe mantenerse
(por ejemplo, a través de un registro de tarea de restauración
o un ticket de solución).
• La restauración exitosa de los datos debe ser revisada por el

personal de TI.
Una lista generada por el sistema de personas que están
autorizadas para acceder al centro de datos / sala de
servidores es revisada y aprobada por el personal apropiado.
Registro de visitantes.
• El acceso al centro de datos / sala de servidores debe estar

controlado por un mecanismo de seguridad adecuado; los
ejemplos pueden incluir el bloqueo físico, el teclado y el
sistema de tarjeta magnética.
• Se debe mantener un informe de las personas que tienen

acceso al centro de datos / sala de servidores.
o La lista debe incluir el personal de TI / Instalaciones /

Seguridad apropiado y no se espera que tenga acceso a los
siguientes: Ejecutivos superiores / Finanzas / Recursos
humanos / Operaciones. Normalmente, esta revisión es
realizada por la administración de TI, sin embargo, si la
administración de TI tiene acceso, la nueva certificación
firmada debe enviarse al supervisor inmediato de la persona
para fines de notificación.
o Si el acceso se administra a través de una herramienta
central de administración y registro (por ejemplo, registro de
tarjeta magnética), la revisión debe realizarse utilizando la lista
de acceso generada por la herramienta.
• Cuando una persona que tiene acceso abandona la

organización, su acceso debe ser revocado y la lista
Una copia completa y firmada de la Lista de verificación de

controles ambientales completada y aprobada por la gerencia
de TI.
Evidencia de resolución o aprobación de incumplimiento.
• Asegúrese de que todos los sistemas ambientales relevantes

para su centro de datos / sala de servidores estén
identificados en la lista de verificación de Controles
ambientales.
• Complete la lista de verificación de controles ambientales,

como se indica.
• Asegúrese de que se está realizando el nivel adecuado de

mantenimiento regular para todos los sistemas ambientales.
Evidencia de que se utiliza un IDS o una herramienta similar

para detectar intentos no autorizados de acceso a la red y / o
sistemas de información
Los registros de software de IDS y la revisión de la

administración de la información
Evidencia de que todas las cuestiones relevantes se comunican

al nivel apropiado de gestión (la relevancia se establece en
función de la política o los criterios previamente acordados)
El propósito de un sistema de detección de intrusos es

detectar y notificar todos los intentos no autorizados de
obtener acceso a las redes de la agencia y / o estaciones de
trabajo de los usuarios.
Todas las agencias de IPG que están conectadas a la red

troncal de la red de TI de IPG y que siguen el estándar de
Firewall y el Estándar de Enrutador están cubiertas en este
control. Para las ubicaciones que no son administradas por IPG
Informe de resumen de cumplimiento por ubicación
Informe de inventario de computadora JAMF
Nota: la evidencia a continuación es necesaria para la prueba

de prueba, paso 3:
Lista de cualquier servidor virtual (por ejemplo, en máquinas

virtuales anteriores, instancias de servidor basadas en la nube,
etc.)

Según la sección 6 de SP&P 600, IPG exige la creación y el
mantenimiento de una lista de inventario y la propiedad de
estos activos informáticos de hardware y software.
Este control se aplica a todas las estaciones de trabajo,

independientemente de la plataforma (Mac y PC). Además, el
control se aplica a todos los servidores, independientemente
del entorno (Desarrollo, Prueba y Producción). La variación del
5% explica las nuevas computadoras portátiles no
configuradas, los usuarios que viajan, etc. Cualquier cosa por
encima de la variación del 5% se considera una falla de
control.
IPG utiliza dos herramientas centralizadas para la

administración de los sistemas operativos Windows y Apple:
LANDesk y JAMF (anteriormente llamado Casper). Un equipo
dedicado en Omaha, prueba todos los lanzamientos de
software de Microsoft y Apple mensualmente y una vez
probados, estos se envían a la infraestructura de LANDesk /
JAMF para su distribución.
• Los detalles de todos los parches y actualizaciones y sus

pruebas se pueden ver en el portal de LANDesk.
• La herramienta LANDesk proporciona un informe de los

Una estrategia de gestión antivirus.
Evidencia de que los archivos de definición de virus están

actualizados para todos los servidores y estaciones de trabajo.
• Según la sección 6 de SP&P 600, IPG exige la creación y el

estos activos de software y hardware de computación.
• Este control se aplica a todas las estaciones de trabajo y

servidores, independientemente de la plataforma. Además, el
control se aplica a todos los servidores, independientemente
del entorno (Desarrollo, Prueba y Producción).
• Un problema para este control solo debe identificarse si hay

estaciones de trabajo / servidores que no cumplen con los
requisitos y que superan el nivel de tolerancia del 5% en toda
la población. La variación del 5% explica las nuevas
computadoras portátiles no configuradas, los usuarios que
viajan, etc. Cualquier cosa por encima de la variación del 5%
se considera una falla de control.
• Hay una aplicación aprobada de antivirus compatible con

IPG: Symantec Anti-Virus. IPG mantiene una herramienta de
administración centralizada para distribuir, administrar e
informar a través de la Consola de Servidor de Symantec (SSC)
Un plan de recuperación ante desastres formalmente

documentado y aprobado que detalla las acciones que debe
tomar la Administración de TI en caso de un desastre.
Evidencia de pruebas periódicas del plan de RD.
• Un Plan de Continuidad de Negocio (BCP) y un Plan de

Recuperación de Desastres (DRP) son dos planes distintos. El
BCP cubre cómo una empresa debe operar en caso de un
desastre, mientras que un DRP describe cómo la TI debe
recuperar los sistemas de un desastre. Este control solo
considera el DRP.
• Se requiere que las agencias que generan $ 10M USD o más

utilicen la herramienta patentada en inside.interpublic.com
para desarrollar y mantener un plan de continuidad comercial.
• La recuperación de desastres es una parte importante del
proceso de planificación. Si sus oficinas están por debajo del
umbral de $ 10M y no se espera o no se requiere un plan de
continuidad comercial, aún se requiere que la agencia tenga
un plan de DR que documente:
o Personas responsables de invocar o declarar un desastre que

Una lista de todo el software implementado en servidores y

estaciones de trabajo.
Un inventario de licencias de software gestionado a través de

una herramienta central o manualmente.

• Todo el software que se ejecuta en servidores y estaciones

de trabajo debe tener licencia. Si bien IPG Corporate cubre
algunas licencias de software a través de acuerdos
empresariales, las agencias deben mantener licencias para
todos los demás programas. Tenga en cuenta que las agencias
de IPG son a menudo parte de los acuerdos empresariales con
proveedores. Consulte con su CIO regional o CIO global para
obtener una lista de estos productos (varían según la red y la
región).
• Para ciertos acuerdos empresariales (por ejemplo,
Microsoft), se puede obtener evidencia de licencia adecuada a
través del proceso anual True Up.
• Los controles alternativos pueden incluir la instalación

central de software y la revocación de derechos de
Registro de movimiento de medios
Registro de inventario de medios
Horario externo para la retención de medios
Inventario de medios fuera del sitio
Recibo del proveedor de todos los medios que han sido

devueltos o destruidos
Cifrado de respaldo:
Si está basado en software: configuración de la herramienta

de copia de seguridad
Si se basa en hardware: los ajustes de configuración o la

información del producto del proveedor que indica el cifrado
Twinstrata: Capturas de pantalla de inventario de

instantáneas, planificador de instantáneas y detalles del
proveedor de la nube (para prueba de cifrado). Estas capturas
de pantalla deben ser solicitadas por la Agencia al equipo de
almacenamiento de TI de IPG. Concilie el inventario de
instantáneas con la política de retención como se indica en las
copias de seguridad esperadas.


Documento de política de seguridad de información local (si

corresponde).
Evidencia de la comunicación anual más reciente de las

políticas de seguridad de la información a los empleados.
• La Política de seguridad de la información debe ser

fácilmente accesible para que todos los usuarios la vean. Los
enlaces dentro de los sitios de la intranet también se pueden
usar para proporcionar a los usuarios un acceso fácil a la
última versión del ISP local o hacer referencia a las Políticas
IPG SP&P.
• El Código de conducta (que contiene temas relacionados con

la seguridad de la información) y el correo electrónico de
comunicación de actualizaciones de políticas trimestrales son
suficientes para cumplir con los requisitos de control
Si existen políticas locales de seguridad de la información, se

deben abordar las siguientes preguntas:
• ¿La política aborda la protección del acceso a datos, redes y

Una lista generada por el sistema de aplicaciones / sistemas
que contienen, almacenan o procesan datos restringidos,
confidenciales y patentados, tal como se define en la Política
de clasificación de datos SP&P 625.
Procedimientos sobre cómo los usuarios se agregan y eliminan

de estas aplicaciones / sistemas.
Formularios de solicitud / revocación de acceso completados

aprobados por el personal de negocios apropiado.
Se requieren los siguientes procedimientos:
• El individuo autorizado envía un formulario de acceso

completado para agregar, actualizar o revocar el acceso de los
usuarios al administrador de seguridad.
• El acceso se agrega, actualiza o revoca de acuerdo con las

instrucciones del formulario o mediante el proceso acordado.
• Se notifica al usuario que la solicitud ha sido procesada. Se

pueden usar correos electrónicos u otra solicitud por escrito si
no existe un formulario.
• Los ejemplos de sistemas incluyen: SharePoint, Box,

Dropbox, Egnyte y servidores de archivos.
Si el acceso se controla a través de Active Directory, los

controles de administración de usuarios de la red (MIT-05 y
06) son suficientes.
Consulte las Definiciones de clasificación de datos en la página

6 de la Guía M&P para obtener una descripción de cada nivel
de clasificación.
Lista de aplicaciones / sistemas que contienen, almacenan o

procesan datos restringidos, confidenciales y patentados, tal
como se definen en la Política de clasificación de datos SP&P
625 (la misma lista que para IA-IT.16).
Informe de configuración o captura de pantalla de los

parámetros de contraseña de la aplicación / sistemas.
• Deben existir protecciones de contraseña y otros controles

necesarios para restringir adecuadamente el acceso a las
aplicaciones / sistemas que contienen, almacenan o procesan
datos Restringidos, Confidenciales y / o Propietarios. Los
requisitos de contraseña incluyen:
o Longitud mínima = 8 caracteres
o Caducidad de la contraseña = 60 días (para todos los

usuarios)
o Incluya lo siguiente: numérico, mayúscula y un símbolo.
• Si el acceso se controla a través de Active Directory, la

recertificación de la contraseña de red (MIT-09) es suficiente

de clasificación.
Una lista generada por el sistema que muestra los derechos de

acceso de nivel de usuario a las aplicaciones / sistemas, que
contienen, almacenan o procesan datos restringidos,
confidenciales y patentados, tal como se define en la Política
de clasificación de datos de SP&P 625.
Revisión del usuario y de los derechos de acceso del usuario

administrativo / privilegiado por el nivel apropiado de gestión
empresarial (por ejemplo, propietario de la aplicación /
sistema).
• Los administradores de la aplicación / sistemas deben estar

limitados a los individuos apropiados, por ejemplo, Propietario
de la aplicación / sistema.
• Todos los administradores deben tener una identificación

única.
• Los ejemplos de sistemas incluyen: SharePoint, Box,

Dropbox, Egnyte y servidores de archivos.
La cuenta de administrador predeterminada no debe ser

utilizada. Los administradores de usuarios deben tener una
cuenta de inicio de sesión única y no deben compartir
cuentas. Los administradores que también son usuarios deben
tener dos cuentas, una con privilegios de administrador y otra
sin. Si el Administrador de usuarios es un personal de
Finanzas, además de revisar la actividad del usuario, la
justificación de esto debe documentarse (y aprobarse
anualmente).

de clasificación.
Captura de pantalla / informe del sistema que muestra lo

siguiente:
• Se ha habilitado un protector de pantalla y se ha establecido
en 15 (Windows) o 15/20 minutos (Mac)
• Se requiere una contraseña para desactivar el protector de

pantalla

• Si un GPO o una herramienta centralizada como JAMF está

disponible, debe utilizarse para administrar este control.
• Se debe implementar un proceso para garantizar que todas

las estaciones de trabajo, si se dejan desatendidas durante
más de 15 minutos, requieren una contraseña para desactivar
el protector de pantalla. Si existe una limitación del sistema y
el protector de pantalla no se puede configurar en 15 minutos,
entonces se permiten 20 minutos.
• Las agencias son responsables de confirmar el cumplimiento

continuo.
• Todas las agencias que están en el Active Directory de IPG

pueden tener la política de GPO aplicada a sus unidades
organizativas automáticamente. Para configurar un GPO,
comuníquese con Enterprise Service Desk
([email protected]) para implementar para sus respectivas
unidades organizativas.
• Para validar la política se ha aplicado en estaciones de

trabajo Windows; puede ejecutar el comando GPResult.
Políticas y procedimientos documentados que abordan el uso

de la red.
• El equipo de Servicios de red de TI de IPG proporciona

control sobre la red para aplicar la política de IPG para el
acceso a la red, el acceso remoto y el acceso de proveedor /
invitado. Si la agencia no está utilizando los estándares de
servicios de redes de TI de IPG para sus equipos de red o Wi-
Fi, entonces la agencia debe asegurarse de que han creado sus
propias políticas.
• Si una red no es administrada por IPG IT Networking

Services, las agencias deben mostrar evidencia de políticas /
procesos locales que cubran el acceso a la red, remoto,
inalámbrico y de proveedores / invitados, e incluyen:
o Redes y servicios de red a los que pueden acceder diferentes

usuarios.
o Procedimientos de autorización y los medios utilizados para

acceder a las redes y servicios de red tales como direcciones
IP, ID de invitados y contraseñas temporales
Lista de portátiles con Windows y Mac.
Para ventanas:
Captura de pantalla de la clave de recuperación de BitLocker.

Informe bitlocker.
Para Macs:
Informe JAMF con estado de encriptación de FileVault.

• El requisito del 85% / 92% representa nuevas computadoras

portátiles no configuradas, usuarios que viajan, etc. Cualquier
cosa por debajo del requisito del 85% / 92% se considera una
falla de control.
• Se requiere que todas las computadoras portátiles con

Windows estén encriptadas a través de BitLocker, la solución
aprobada por IPG para estaciones de trabajo con Windows.
• BitLocker se proporciona como parte de Windows, y donde

las computadoras portátiles son compatibles con el conjunto
de chips TPM (módulo de plataforma confiable), se pueden
usar para cifrar el disco duro.
• Para todas las computadoras portátiles con cifrado de

Windows, las claves de cifrado también deben almacenarse
dentro de las respectivas cuentas AD de los individuos.
• Si una agencia no almacena las claves de cifrado en AD, se

Procedimiento de devolución de activos.
Lea el formulario con detalles de activos de TI o un formulario

de devolución de activos.
Inventario de activos de TI.

Según la sección 6 de SP&P 600, IPG exige la creación y el

estos activos informáticos de hardware y software.
• Cuando un usuario abandona la organización, debe existir un

proceso para recopilar todos sus activos de TI respectivos. Esto
implica cualquiera de los siguientes:
o RR.HH. que proporciona detalles de los equipos que posee

el empleado para TI; o
o La solicitud de Recursos Humanos requiere que TI

identifique el equipo a devolver.
• Además, el proceso debe documentar los pasos tomados

para volver a poner en servicio / retirar el equipo.
• Se debe mantener un inventario de activos de todos los

equipos de TI, identificando los activos utilizados por cada
empleado. TI debe asegurarse de que el inventario de activos
se actualice para reflejar cualquier cambio.
NUEVOS contratos de clientes, incluidas las renovaciones (las

actualizaciones / adiciones a los contratos existentes están
fuera de alcance).
Correspondencia por correo electrónico entre la agencia IT o

el CISO.
• Todos los contratos NUEVOS y renovados se consideran

dentro del alcance de este control, independientemente del
umbral de dinero (las actualizaciones / adiciones a los
contratos existentes se consideran fuera de alcance por
ahora).
• La correspondencia por correo electrónico es suficiente

como evidencia para demostrar que la agencia de TI o CISO
han revisado el contrato. No se requiere obtener una
"aprobación" de las partes respectivas.
• La revisión de la agencia de TI o CISO debe realizarse antes

de que se firme el contrato.
NUEVOS contratos de clientes, incluidas las renovaciones (las

actualizaciones / adiciones a los contratos existentes están
fuera de alcance).
Correspondencia por correo electrónico entre la agencia IT o

el CISO.
• Todos los contratos NUEVOS y renovados se consideran

dentro del alcance de este control, independientemente del
umbral de dinero (las actualizaciones / adiciones a los
contratos existentes se consideran fuera de alcance por
ahora).
• La correspondencia por correo electrónico es suficiente

como evidencia para demostrar que la agencia de TI o CISO
han revisado el contrato. No se requiere obtener una
"aprobación" de las partes respectivas.
• La revisión de la agencia de TI o CISO debe realizarse antes

de que se firme el contrato.
Contrato del cliente (si se muestra)
Ajustes de configuración, capturas de pantalla, correos

electrónicos, informes, etc.
• Si no se puede proporcionar un inventario de datos

completo y razonable (IS-02), IS-03 falla.
• Consulte SP&P 625A - Estándar de clasificación de datos

para obtener más información.
Español
Evidence
Backup Plan with review and approval by IT

management Plan de respaldo con revisión y aprobación por la
gerencia de TI.
Agency server inventory
Inventario del servidor de la agencia
Screenshot/report of backup schedule from the
backup tool Captura de pantalla / informe del programa de
copia de seguridad de la herramienta de copia
Twinstrata: de seguridad
- Local IT to document Twinstrata in their
Backup Plan Twinstrata:
- Screenshot of snapshot calendar and settings - TI local para documentar Twinstrata en su plan
(to be requested by the Agency from the IPG IT de respaldo
Storage Team) - Captura de pantalla del calendario y la
- List of servers and the associated backup configuración de las instantáneas (para ser
volumes solicitadas por la Agencia al equipo de
- Volume screenshots (to be requested by the almacenamiento de TI de IPG)
Agency from the IPG IT Storage Team) - Lista de servidores y los volúmenes de copia
de seguridad asociados.
- Capturas de pantalla de volúmenes (que
solicitará la Agencia al equipo de
almacenamiento de TI de IPG)
Screenshot of backup job settings Captura de pantalla de la configuración del
trabajo de copia de seguridad
Backup logs
Registros de copia de seguridad
Evidence of resolution for failed backups
Evidencia de resolución para copias de seguridad
Twinstrata (Evidence must be requested by the fallidas
Agency from the IPG IT Storage Team):
- Screenshots of Snapshot settings Twinstrata (La evidencia debe ser solicitada por
- Screenshots of Snapshot history la Agencia al equipo de almacenamiento de TI de
- Email notifications of failed snapshots (if any) IPG):
- Capturas de pantalla de ajustes de
instantáneas
- Capturas de pantalla del historial de
instantáneas
- Notificaciones por correo electrónico de
instantáneas fallidas (si las hay)
Data restore test results with IT management Resultados de pruebas de restauración de datos
review and approval. con la revisión y aprobación de la administración
de TI.
Twinstrata: Remedy ticket and additional emails
to the IPG IT Storage Team covering the snapshot Twinstrata: ticket de solución y correos
restore process. Final IT approval sent to the SOX electrónicos adicionales para el equipo de
mailbox almacenamiento de TI de IPG que cubre el
proceso de restauración de instantáneas.
Aprobación final de TI enviada al buzón SOX
A system generated list of individuals who are Una lista generada por el sistema de personas
authorized to access the data center/server que están autorizadas para acceder al centro de
room is reviewed and approved by appropriate datos / sala de servidores es revisada y aprobada
personnel. por el personal apropiado.
Visitor log. Registro de visitantes.

A completed and signed off copy of the Una copia completa y firmada de la Lista de
Environmental Controls Checklist completed and verificación de controles ambientales
approved by IT management. completada y aprobada por la gerencia de TI.
Evidence of resolution or approval pertaining to Evidencia de resolución o aprobación de

non-compliance. incumplimiento.
Evidence that an IDS or similar tool is used to
detect unauthorized attempts to access the Evidencia de que se utiliza un IDS o una
network and/or information systems herramienta similar para detectar intentos no
autorizados de acceso a la red y / o sistemas de
IDS software logs & management’s review of the información
information
Los registros de software de IDS y la revisión de
Evidence that all relevant issues are la administración de la información
communicated to the appropriate level of
management (relevancy is established based on Evidencia de que todas las cuestiones relevantes
policy or previously agreed upon criteria) se comunican al nivel apropiado de gestión (la
relevancia se establece en función de la política
o los criterios previamente acordados)
Current inventory of servers and workstations. Inventario actual de servidores y estaciones de
trabajo.
Operating system patch
implementation/installation schedule (if patch Implementación del parche del sistema
implementation is managed by local office). operativo / programa de instalación (si la
implementación del parche es administrada por
LANDesk 'Security Compliance Summary by la oficina local).
Location' report
Informe de LANDesk 'Resumen de cumplimiento
JAMF Computer Inventory Report de seguridad por ubicación'
Note: The evidence below is needed for trial test Informe de inventario de computadora JAMF
step #3:
List of any virtual servers (e.g. on prem VM’s, Nota: la evidencia a continuación es necesaria
cloud based server instances, etc.) para la prueba de prueba, paso 3:
Lista de cualquier servidor virtual (por ejemplo,
en máquinas virtuales anteriores, instancias de
servidor basadas en la nube, etc.)
An anti-virus management strategy. Una estrategia de gestión antivirus.
Evidence that the virus definition files are up to Evidencia de que los archivos de definición de
date for all servers and workstations. virus están actualizados para todos los servidores
y estaciones de trabajo.
Note: The evidence below is needed for trial test
step #7. Nota: La evidencia a continuación es necesaria
List of any virtual servers (e.g. on prem VM’s, para la prueba de prueba paso # 7.
cloud based server instances, etc.) Lista de cualquier servidor virtual (por ejemplo,
A formally documented and approved disaster Un plan de recuperación ante desastres
recovery plan which details out the actions formalmente documentado y aprobado que
needed to be taken by IT Management in the detalla las acciones que debe tomar la
event of a disaster. Administración de TI en caso de un desastre.
Evidence of periodic testing of the DR plan. Evidencia de pruebas periódicas del plan de RD.
A list of all software deployed on servers and Una lista de todo el software implementado en
workstations. servidores y estaciones de trabajo.
A software license inventory managed via a Un inventario de licencias de software

central tool or manually. gestionado a través de una herramienta central o
manualmente.
Note: The evidence below is needed for trial test
step #4. Nota: La evidencia a continuación es necesaria
List of any virtual servers (e.g. on prem VM’s, para el paso de prueba de prueba # 4.
cloud based server instances, etc.) Lista de cualquier servidor virtual (por ejemplo,
Media movement log Registro de movimiento de medios
Media inventory log Registro de inventario de medios
Off-site schedule for media retention Horario externo para la retención de medios
Off-site media inventory Inventario de medios fuera del sitio
Receipt from vendor for all media which has Recibo del proveedor de todos los medios que
been returned or destroyed han sido devueltos o destruidos
Backup encryption: Cifrado de respaldo:

If software based: backup tool configuration Si está basado en software: configuración de la
settings herramienta de copia de seguridad
If hardware based: configuration settings, or Si se basa en hardware: los ajustes de

vendor product information indicating configuración o la información del producto del
encryption proveedor que indica el cifrado
Twinstrata: Screenshots of snapshot inventory, Twinstrata: Capturas de pantalla de inventario de

snapshot scheduler, and Cloud Provider details instantáneas, planificador de instantáneas y
(for proof of encryption). These screenshots detalles del proveedor de la nube (para prueba
must be requested by the Agency from the IPG IT de cifrado). Estas capturas de pantalla deben ser
Storage team. Reconcile snapshot inventory to solicitadas por la Agencia al equipo de
the retention policy as stated in the expected almacenamiento de TI de IPG. Concilie el
backups. inventario de instantáneas con la política de
retención como se indica en las copias de
seguridad esperadas.
Local Information Security policy document (if Documento de política de seguridad de
applicable). información local (si corresponde).
Evidence of the most recent annual Evidencia de la comunicación anual más reciente
communication of the information security de las políticas de seguridad de la información a
policies to employees. los empleados.
A system generated list of applications/systems Una lista generada por el sistema de aplicaciones
which contain, store or process Restricted, / sistemas que contienen, almacenan o procesan
Confidential, and Proprietary data as defined in datos restringidos, confidenciales y patentados,
SP&P 625 Data Classification Policy. tal como se define en la Política de clasificación
de datos SP&P 625.
Procedures on how users are added and
removed from these applications/systems. Procedimientos sobre cómo los usuarios se
agregan y eliminan de estas aplicaciones /
Completed access request/revocation forms sistemas.
approved by appropriate business personnel.
Formularios de solicitud / revocación de acceso
completos aprobados por el personal de
negocios apropiado.
List of applications/systems which contain, store
or process Restricted, Confidential, and Lista de aplicaciones / sistemas que contienen,
Proprietary data as defined in SP&P 625 Data almacenan o procesan datos restringidos,
Classification Policy (same list as for IA-IT.16). confidenciales y patentados, tal como se definen
en la Política de clasificación de datos SP&P 625
Configuration report or screenshot of (la misma lista que para IA-IT.16).
application/systems’ password parameters.
Informe de configuración o captura de pantalla
de los parámetros de contraseña de la aplicación
/ sistemas.
A system generated list showing user level accessUna lista generada por el sistema que muestra
rights to applications/systems, which contain, los derechos de acceso de nivel de usuario a las
store or process Restricted, Confidential, and aplicaciones / sistemas, que contienen,
Proprietary data as defined in SP&P 625 Data almacenan o procesan datos restringidos,
Classification Policy. confidenciales y patentados, tal como se define
en la Política de clasificación de datos de SP&P
Review of the user and administrative/privileged 625.
user access rights by appropriate level of
business management (e.g. application/system Revisión del usuario y de los derechos de acceso
owner). del usuario administrativo / privilegiado por el
nivel apropiado de gestión empresarial (por
ejemplo, propietario de la aplicación / sistema).
Screenshot/system report showing the following: Captura de pantalla / informe del sistema que
muestra lo siguiente:
• A screensaver has been enabled and set to 15
(Windows) or 15/20 minutes (Macs) • Se ha habilitado un protector de pantalla y se
• A password is required to deactivate the ha establecido en 15 (Windows) o 15/20 minutos
screensaver (Mac)
• Se requiere una contraseña para desactivar el
protector de pantalla
Documented policies and procedures addressing Políticas y procedimientos documentados que
network usage abordan el uso de la red.
List of Windows and Mac laptops. Lista de portátiles con Windows y Mac.
For Windows: Para ventanas:

Screenshot of the BitLocker recovery key. Captura de pantalla de la clave de recuperación
de BitLocker.
Bitlocker report.
Informe bitlocker.
For Macs:
JAMF report with FileVault encryption status. Para Macs:
Informe JAMF con estado de encriptación de
FileVault.
Return of asset procedure. Procedimiento de devolución de activos.
Leaver form with IT asset details or an asset Lea el formulario con detalles de activos de TI o
return form. un formulario de devolución de activos.
IT asset inventory. Inventario de activos de TI.

NEW client contracts, including renewals NUEVOS contratos de clientes, incluidas las
(updates/addendums to existing contracts are renovaciones (las actualizaciones / adiciones a
out of scope). los contratos existentes están fuera de alcance).
Email correspondence between the agency IT or Correspondencia por correo electrónico entre la
the CISO. agencia IT o el CISO.
Data inventory (any format, e.g., MS Excel
spreadsheet) Inventario de datos (cualquier formato, por
ejemplo, hoja de cálculo de MS Excel)
Documented evidence of review by appropriate
Management Evidencia documentada de revisión por la
gerencia apropiada
Client Contract (if sampled) Contrato del cliente (si se muestra)
Configuration settings, screenshots, emails, Ajustes de configuración, capturas de pantalla,

reports, etc. correos electrónicos, informes, etc.
Español
Control Activity
IA-IT.30
La creación de cuentas de red que no sean de

Creation of non-user network accounts (e.g.
usuario (por ejemplo, Servicio, Secundaria,
Service, Secondary, Shared Mailbox, etc.) are Buzón compartido, etc.) se solicita por
requested in writing. escrito.
Control Activity
IA-IT.31
Una lista semanal de las cuentas de no usuario

habilitadas en la red generadas por el sistema es
A system generated list of enabled network non- mantenida, revisada y aprobada.
user accounts is maintained, reviewed and
approved by IT on a semi-annual basis.
Control Activity
IA-IT.32
El acceso a la solución de carpeta compartida /
Access to the primary HR and Finance shared unidad principal de Recursos Humanos y
folder/drive or cloud-based solution is reviewed Finanzas o la solución basada en la nube es
and approved (at least semi-annually) by revisado y aprobado (al menos semestralmente)
appropriate business personnel. Access must be por el personal de negocios apropiado. El
restricted to appropriate users. acceso debe estar restringido a usuarios
apropiados.
Español
Testing Procedures
1) Obtain a system generated AD listing with 1) Obtenga una lista de anuncios generados por
creation dates to identify new non-user accounts el sistema con fechas de creación para
and determine appropriate sample size. Verify that identificar nuevas cuentas de no usuarios y
each sampled user’s access request was determinar el tamaño de muestra adecuado.
documented. Verifique que se documentó la solicitud de
acceso de cada usuario muestreado.
2) Verifique que se documentó cada creación de

2) Verify that each sampled non-user account cuenta de no usuario muestreada, incluida la solicitud
creation was documented including appropriate apropiada del usuario final.
end-user request.
Testing Procedures
1) Confirm when the last review was performed 1) Confirme cuándo se realizó la última revisión
prior to the current testing period to ensure antes del período de prueba actual para garantizar
appropriate frequency. la frecuencia adecuada.
Select a sample of non-user re-certifications, and Seleccione una muestra de recertificaciones que
perform the following: no sean de usuario y realice lo siguiente:
2) Verify that a list of network non-users is 2) Verifique que una lista de no usuarios de la red
reviewed, at least semi-annually, and approved by se revise, al menos semestralmente, y sea
IT. aprobada por TI.
3) Verifique que los listados de la red se revisaron

3) Verify that the network listings were reviewed dentro de los 30 días calendario posteriores a la
within 30 calendar days of report generation. generación del informe. Nota: La fecha de
Note: The report’s generation date must be generación del informe debe estar documentada
documented on the report. en el informe.
4) Verify that appropriate corrective actions were 4) Verifique que la TI haya tomado las medidas
taken by IT, as evidenced via a current network correctivas adecuadas, como se evidencia a través
listing. de un listado de red actual.
Testing Procedures
1) Pregunte a los líderes de recursos humanos y
1) Inquire with the HR and Finance leads if a finanzas si se utiliza una carpeta / unidad
shared folder/drive or cloud-based solution is compartida o una solución basada en la nube para
utilized for sharing and storing files within their compartir y almacenar archivos dentro de sus
respective departments. respectivos departamentos.
2) Verify that the system-generated report of users 2) Verifique que el informe de negocios de los
with access to the primary HR and Finance share usuarios con acceso a la carpeta / unidad principal
folder/drive or cloud-based solution was reviewed de Recursos Humanos y Finanzas compartidas o la
and approved at least semi-annually by the solución basada en la nube fue revisado y
appropriate business personnel. If the reviewer aprobado al menos una vez al año por el personal
also has access to the folder(s), verify that a de negocios correspondiente. Si el revisor también
secondary reviewer has also signed-off. tiene acceso a la (s) carpeta (s), verifique que un
revisor secundario también haya cerrado la sesión.
Español
Evidence
System generated AD listing new non- Sistema generado por AD que incluye nuevas
user accounts cuentas de no usuarios.
Evidence of account creation for each Evidencia de la creación de la cuenta para cada
sampled non-user account cuenta de no usuario muestreada
Evidence
Report reviewed by IT highlighting Informe revisado por TI destacando las

corrections or approving the report correcciones o aprobando el informe
An approved system generated list of Un sistema aprobado genera una lista de

network non-user accounts cuentas de no usuarios de la red.
Evidence
Report of user accounts with access to Informe de cuentas de usuario con acceso a la
the primary HR/Finance share carpeta / unidad de recursos compartidos de
folder/drive or cloud-based solution, Recursos Humanos / Finanzas principal o
approved by appropriate business solución basada en la nube, aprobado por el
personnel. personal de negocios apropiado.
nforme de las cuentas de usuario con acceso a

Report of user accounts with access to
la carpeta / unidad de recursos compartidos de
the primary HR/Finance share Recursos Humanos / Finanzas principal o
folder/drive or cloud-based solution at solución basada en la nube en el momento de
the time of the testing. la prueba.

IT Controls (Including IS) Plus Control Review Matrix - 2017 NEW v2

Uploaded by

Document Informationclick to expand document information

Copyright:

Available Formats

IT Controls (Including IS) Plus Control Review Matrix - 2017 NEW v2

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

IT Controls (Including IS) Plus Control Review Matrix - 2017 NEW v2

Uploaded by

Copyright:

Available Formats

CONTROL REVIEW MATRIX 2018

Eduardo Reinoso Colombia

Name Process Español Control Number and

Cuando no se requiere ninguna prueba en

Si el cambio afecta los datos, entonces se

If temporary access is granted to perform Si se otorga acceso temporal para realizar la

If application developers and/or vendors Si los desarrolladores de aplicaciones y / o

Generic/default/shared accounts are

a) solicitada por escrito,

(b) approved by the appropriate business (c) debidamente establecido en el sistema.

(c) appropriately established in the system.

(a) requested in writing,

(b) approved by the appropriate business

(c) revoked timely in the system, and the

Generic/default/shared accounts are Las cuentas genéricas / por defecto /

Este acceso elevado al sistema debe estar

1. La gerencia superior de Finanzas debe

Generic/default/shared accounts are

Las contraseñas deben:

If system limitations prohibit compliance to

(b) approved by the appropriate business or

(a) requested in writing, a) solicitada por escrito,

Generic/default/shared accounts are

System administrator and super user

Generic/default/shared accounts are

(b) contain the following: numeric,

(c) changed at least every 60 days.

If system limitations prohibit compliance to

If the AD Security Standards cannot be

b) Si se implementaron cambios durante el período de

c) Las excepciones de prueba se documentaron,

2) Verifique que una lista de personas autorizadas para

2) Para aplicaciones Enterprise y para cualquier

3) Verifique que un informe o lista de

Para las aplicaciones a las que todos los empleados

Si NO se puede proporcionar una lista de usuarios

2) Para cada muestra, verifique lo siguiente:

b) La solicitud de acceso fue aprobada por el personal

b) The access request was approved by appropriate

a) If a system generated list of revoked users cannot be

b) Obtain a current system generated list of users and a

c) Select all users in step 1b along with ad hoc sampling

For applications that all employees have access to (e.g.

Seleccione una muestra de recertificaciones de

2) Verifique que se genere una lista de usuarios con

5) Verifique que no se utilicen cuentas genéricas /

6) Verify that the approved report reconciles to the

2) If the application is integrated with Active Directory,

3) Verify passwords are at least 8 characters in length.

5) Verify that users are required to change their

6) Verify the password parameter settings are reviewed

2) Verify that the access request was approved by the

b) Confirm if the user’s financial application access

c) If the network or financial application last login date

5) Verify that for a sample of agency executives, the

2) Verify that a system report or list of users with

3) Verify that the system report or list of users with

4) Verify that the latest reviewed re-certification