CHECKLIST Proyecto: Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

Revisin 1.0

Septiembre de 2013

Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

Introduccin
El auditor deber aplicar el CheckList de modo que el auditado responda clara y estricta. Se deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre el mismo.

Propsito
El propsito del presente CheckList es facilitar a los auditores la identificacin y deteccin de anomalas en los procesos y productos auditados dentro del SITE de la laboratorio M de la Universidad Tecnolgica de Huejotzingo.

Alcance
El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria informtica dentro del rea del SITE del Edificio M de la Universidad Tecnolgica de Huejotzingo, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.

Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

CheckList de Seguridad Fsica

No. Criterio Existen polticas de seguridad de acceso a la informacin confidencial de los usuarios, servidores, router s y Switch de acuerdo a la norma ISO 27002? Cuentan con plan de prevencin en caso de algn desastre? Cuenta con extintores dentro de la rea del SITE de acuerdo a los estndares de prevencin de la norma STPS 2000? Los extintores con que se cuentan son de fuego clase C segn los criterios de estandarizacin de la norma STPS 1994? Cuenta con sealamientos de rutas de evacuacin en caso de contingencias? Estn documentadas las polticas de seguridad dentro del rea del SITE? Existe un control de las prdidas de informacin dentro del rea del SITE? Cuenta con alarmas de incendio de acuerdo a la norma STPS 2000 Y NOM 002? Las instalaciones cuentan con la iluminacin adecuada de un voltaje de 110v a 120v para el buen desempeo de sus trabajadores? Las reas de trabajo del SITE se encuentran seccionadas para cada responsable de rea? Proceso ITIL Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la continuidad de los servicios de TI Libro 1 Gestin financiera Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la seguridad de la informacin Libro 1 Gestin financiera Libro 2 Gestin de la continuidad de los servicios de TI Norma / Estndar ISO/IEC 27002 X Justificacin 17 NOM-003-SEGOB-2008 x Justificacin 1 NOM 002 STPS 2000 x Justificacin 9 NOM-100-SPTS-1994 x Justificacin 10 NOM-003-SEGOB-2008 X Justificacin 3 ISO/IEC 27002 X Justificacin 17 ISO/IEC 17799 X Justificacin 12 NOM-002-STPS-2000 X Justificacin 8 NOM 025 STPS 1994 X Justificacin 11 NOM 001 STPS 1999 x Justificacin 22 Cumple el criterio Si 1 No

10

Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

CheckList de Seguridad Lgica

No. Criterio Se realizan respaldos de informacin cada semana del sistema del SAIUT? Existe un administrador que controle las cuentas de los usuarios y estas se encuentran inventariadas? Existe algn estndar para la creacin de contraseas de acuerdo al estndar DES? El rea del SITE cuenta con un proceso para dar mantenimiento preventivo al software que se tiene instalado? El rea del SITE cuenta con un proceso para dar mantenimiento correctivo al software? Dentro del SITE se tienen software licenciado de antivirus instalados en los equipos de cmputo? Dentro del SITE se tienen instalados anti malware en los equipos de cmputo? Cuenta con licencias de software necesarias para el buen funcionamiento dentro del rea del SITE? Se sanciona al personal del rea si instala software no permitido en los servidores? Los usuarios de bajo nivel tienen restringido el acceso a las partes ms delicadas de las aplicaciones? Proceso ITIL Libro 2 Gestin de la seguridad de la informacin Libro 4 Gestin de Acceso a los Servicios TI Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la seguridad de la informacin Libro 3 Gestin de cambios Libro 3 Gestin de cambios Libro 2 Gestin de la seguridad de la informacin Libro 4 Gestin de Acceso a los Servicios TI Norma / Estndar ISO/IEC 17799 X Justificacin 2 ISO/IEC 17799 X Justificacin 5 Data Encryption Standard (DES) Justificacin 9 IEEE1219 X Justificacin 13 IEEE1219 X Justificacin 14 ISO 17799 X Justificacin 17 SGSI SISTESEG X Justificacin 18 ISO/IEC 19770 X Justificacin 19 NEG001 x Justificacin 22 ISO/IEC 17799 x Justificacin 5 Cumple el criterio Si 1 No

10

Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

CheckList de Seguridad en Redes

No. Criterio Las salidas de corriente elctrica son trifsicas y tiene un voltaje adecuado de 110v a 120v de acuerdo a las normas NOM 001 Y SCFI 1993? Los interruptores de energa estn debidamente protegidos y sin obstculos para alcanzarlos? La instalacin elctrica del equipo de cmputo es independiente de otras instalaciones elctricas alternas de alta tensin o industrial? El trfico de la red por medio inalmbrico se encuentra protegido (encriptado) de acuerdo a la norma IEEE 802.11? Los dispositivos inalmbricos intermediarios estn fsicamente protegidos de acuerdo a la norma IEEE 802.11? Cada servidor dentro del rea del SITE cuenta con un regulador de voltaje de 110v a 120v? El cableado del rea del SITE es accesible para una revisin fsica? Los cables de los equipos se encuentran debidamente aislados del paso de personas? Se cuenta con la adecuada instalacin de la red y la documentacin en cuanto se han hecho cambios en la misma y se encuentra registrados estos cambios hechos? El rea del SITE Se apega a algn estndar para asignar el cableado elctrico al inmueble? Proceso ITIL Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la seguridad de la informacin Libro 1 Gestin financiera Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la continuidad de los servicios de TI Norma / Estndar NOM-001-SCFI-1993 x Justificacin 4 NOM-001-SCFI-1993 X Justificacin 4 NOM-001-SCFI-1993 X Justificacin 4 IEEE 802.11 X Justificacin 2 IEEE 802.11 X Justificacin 2 NOM-001-SCFI-1993 X Justificacin 4 ANSI/EIA/TIA-569 X Justificacin 3 TIA/EIA-568 X Justificacin 7 ANSI/TIA/EIA-606 X Justificacin 8 NOM-001-SCFI-1993 X Justificacin 4 Cumple el criterio Si 1 No

10

Realizar una auditora de seguridad lgica y fsica de un SITEs de comunicaciones.

CheckList de Seguridad en Sistemas

No. Criterio Las bases de datos cuentan con un modelo o esquema de organizacin de los datos? Existe backup para informacin de las bases de datos realizndolo peridicamente del sistema del SAIUT? Se cuentan con un administrador del sistema para el control visitas dentro del rea del SITE? Cuenta con alguna pliza de seguro de seguridad en caso de fallas de los servidores dentro del rea del SITE? Las bases de datos son seguras conforme a privilegios establecidos a los usuarios? El sistema fue creado bajo un modelo para la mejora y evaluacin de los procesos de desarrollo y mantenimiento estipulado bajo la norma ISO 9001? Se cuenta con personal especializado para que monitoree el rendimiento de la o las bases de datos que se tienen alojadas en los servidores de SITE? Se realiza adecuadamente la documentacin del sistema, manuales de usuario, mantenimiento y recomendaciones en base a las normas de ISO 9001? Se utiliza encriptacin de la informacin que se almacena en las bases de datos para tener una mayor proteccin y evitar robos teniendo en cuenta la norma ISO 9001? El sistema y la base de datos del SITE son escalables para alojar nuevas aplicaciones que sean ser requeridas? Proceso ITIL Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la seguridad de la informacin Libro 2 Gestin de la continuidad de los servicios de TI Libro 2 Gestin de la seguridad de la informacin Libro 3 Gestin de entregas y despliegues Libro 2 Gestin de la seguridad de la informacin Libro 3 Gestin de entregas y despliegues Libro 2 Gestin de la seguridad de la informacin Libro 3 Gestin de entregas y despliegues Norma / Estndar ISO/IEC 27001 x Justificacin 1 ISO 9001 X Justificacin 2 ISO 9001 X Justificacin 2 ISO 9001 X Justificacin 2 ISO 9001 X Justificacin 2 ISO 9001 X Justificacin 2 ISO 9001 X Justificacin 2 ISO 9001 X Justificacin 2 ISO 9001 X Justificacin 2 ISO 9001 X Justificacin 2 Cumple el criterio Si No

10