2. Gestión de activos no autorizados – ¿Existe un proceso semanal para identificar y aislar o eliminar activos no autorizados que se conecten a la red?

3. Inventario de software – ¿Se lleva un registro detallado de todo el software instalado, incluyendo versión, editor y propósito comercial?

4. Software no soportado – ¿Revisa mensualmente la lista de software para asegurarse de que sólo se utilice software actualmente soportado, y documenta excepciones cuando sea necesario?

5. Cifrado de datos en dispositivos – ¿Los dispositivos finales que manejan datos sensibles están cifrados (por ejemplo, BitLocker, FileVault o dm‑crypt)?

6. Bloqueo automático de sesión – ¿Los equipos (incluidos móviles) se bloquean automáticamente después de 15 min (PC) o 2 min (móvil) de inactividad?

7. Gestión de cuentas – ¿Realiza revisiones trimestrales (o más frecuentes) para validar que todas las cuentas activas estén autorizadas y elimina o desactiva cuentas inactivas después de 45 días?

8. Autenticación multifactor (MFA) – ¿Exige MFA para el acceso remoto a la red, para aplicaciones expuestas externamente y para todas las cuentas administrativas?

9. Parcheo de vulnerabilidades – ¿Aplica actualizaciones de sistema operativo y de aplicaciones mediante gestión automatizada de parches al menos mensualmente?

10. Concienciación y entrenamiento – ¿Realiza capacitación anual (y al ingreso) sobre seguridad, incluyendo reconocimiento de phishing, buenas prácticas de contraseñas y manejo seguro de datos?