CHECK LIST Proyecto: Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

Revisin 1.0

Septiembre de 2013

Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

Introduccin
El auditor deber aplicar el Checklist de modo que el auditado responda clara y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre el mismo.

Propsito
El propsito del presente Checklist es facilitar a los auditores la identificacin y deteccin de anomalas en los procesos y productos auditados dentro del SITE de la laboratorio M de la Universidad Tecnolgica de Huejotzingo.

Alcance
El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria informtica, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.

Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

Checklist de Seguridad Fsica

No. Criterio Existen polticas de seguridad de la informacin? Cuentan con plan de prevencin en caso de algn desastre? Cuenta con extintores dentro de la organizacin? Los extintores con que se cuentan son de fuego clase C? Cuenta con sealamientos de rutas de evacuacin? Estn documentadas las polticas de seguridad? Existe un control de las prdidas de informacin dentro de la organizacin? Cuenta con alarmas de incendio? Las instalaciones cuentan con la iluminacin adecuada que permita a los trabajadores desempear su trabajo? Las reas de trabajo se encuentran delimitadas o seccionadas? Proceso ITIL Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la continuidad de los servicios de TI Libro 1 Gestin financiera Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la seguridad de la informacin Libro 1 Gestin financiera Libro 2 Gestin de la continuidad de los servicios de TI Norma / Estndar ISO/IEC 27002 Justificacin 17 NOM-003-SEGOB-2008 Justificacin 1 NOM 002 STPS 2000 Justificacin 9 NOM-100-SPTS-1994 Justificacin 10 NOM-003-SEGOB-2008 Justificacin 3 ISO/IEC 27002 Justificacin 17 ISO/IEC 17799 Justificacin 12 NOM-002-STPS-2000 Justificacin 8 NOM 025 STPS 1994 Justificacin 11 NOM 001 STPS 1999 Justificacin 22 Cumple el criterio Si No Observaciones

10

Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

Checklist de Seguridad Lgica

No. Criterio Se realizan respaldos de informacin peridicamente? Existe un administrador de sistemas que controle las cuentas de los usuarios? Existe algn estndar para la creacin de contraseas? La organizacin cuenta con un proceso para dar mantenimiento preventivo al software? La organizacin cuenta con un proceso para dar mantenimiento correctivo al software? Se tienen software antivirus instalados en los equipos de cmputo? Se tienen instalados anti malware en los equipos de cmputo? Cuenta con licencias de software? Se sanciona al integrante del departamento si instala software no permitido? Los usuarios de bajo nivel tienen restringido el acceso a las partes ms delicadas de las aplicaciones? Proceso ITIL Libro 2 Gestin de la seguridad de la informacin Libro 4 Gestin de Acceso a los Servicios TI Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la seguridad de la informacin Libro 3 Gestin de cambios Libro 3 Gestin de cambios Libro 2 Gestin de la seguridad de la informacin Libro 4 Gestin de Acceso a los Servicios TI Norma / Estndar ISO/IEC 17799 Justificacin 2 ISO/IEC 17799 Justificacin 5 Data Encryption Standard (DES) Justificacin 9 IEEE1219 Justificacin 13 IEEE1219 Justificacin 14 ISO 17799 Justificacin 17 SGSI SISTESEG Justificacin 18 ISO/IEC 19770 Justificacin 19 NEG001 Justificacin 22 ISO/IEC 17799 Justificacin 5 Cumple el criterio Si No Observaciones

10

Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

Checklist de Seguridad en Redes

No. Criterio Proceso ITIL Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la seguridad de la informacin Libro 1 Gestin financiera Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Norma / Estndar NOM-001-SCFI-1993 Justificacin 4 NOM-001-SCFI-1993 Justificacin 4 NOM-001-SCFI-1993 Justificacin 4 IEEE 802.11 Justificacin 2 IEEE 802.11 Justificacin 2 NOM-001-SCFI-1993 Justificacin 4 ANSI/EIA/TIA-569 Justificacin 3 TIA/EIA-568 Justificacin 7 ANSI/TIA/EIA-606 Justificacin 8 NOM-001-SCFI-1993 Justificacin 4 Cumple el criterio Si No Observaciones

Las salidas de corriente elctrica son trifsicas? Los interruptores de energa estn debidamente protegidos y sin obstculos para alcanzarlos? La instalacin elctrica del equipo de cmputo es independiente de otras instalaciones? El trfico de la red por medio inalmbrico se encuentra protegido (encriptado)? Los dispositivos inalmbricos intermediarios estn fsicamente protegidos? Cada PC cuenta con un regulador de energa? El cableado del edificio es accesible para una revisin fsica? Los cables de los equipos se encuentran debidamente aislados del paso de personas? Se cuenta con la administracin de la red y la documentacin en cuanto se han hecho cambios en la misma? Se apega a alguna estndar para asignar el cableado elctrico al inmueble?

10

Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

Checklist de Seguridad en Sistemas

No. Criterio Las bases cuentan con un modelo o esquema de organizacin de los datos? Existe backup para respaldar informacin de las bases de datos? El cuentan con un administrador del sistema? Cuenta con una pliza de seguridad en caso de fallos? Las bases de datos son seguras? El sistema fue creado bajo un modelo para la mejora y evaluacin de los procesos de desarrollo y mantenimiento de sistemas? Se cuenta con personal especializado para que monitoree el rendimiento del sistema? Se realiza adecuadamente la documentacin del sistema, manuales de usuario, mantenimiento y recomendaciones? Se utiliza encriptacin para la informacin que se almacena en las bases de datos? El sistema es escalable para nuevas aplicaciones? Proceso ITIL Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la seguridad de la informacin Libro 3 Gestin de entregas y despliegues Libro 2 Gestin de la seguridad de la informacin Libro 3 Gestin de entregas y despliegues Libro 2 Gestin de la seguridad de la informacin Libro 3 Gestin de entregas y despliegues Norma / Estndar ISO/IEC 27001 Justificacin 1 ISO 9001 Justificacin 2 ISO 9001 Justificacin 2 ISO 9001 Justificacin 2 ISO 9001 Justificacin 2 ISO 9001 Justificacin 2 ISO 9001 Justificacin 2 ISO 9001 Justificacin 2 ISO 9001 Justificacin 2 ISO 9001 Justificacin 2 Cumple el criterio Si No Observaciones

10