155

VIII. ANEXOS
ANEXO 1
CONTROLES ISO 27001
1. POLITICA DE SEGURIDAD
La poltica documentada ayuda a planear las metas de seguridad de la organizacin.
Debe estar redactada claramente y debe ser comprensible para sus lectores. La
poltica ayuda a la administracin con el manejo de la seguridad de la informacin a
travs de la organizacin.
1.1 Poltica de seguridad de la informacin
1.1.1 Documento de poltica de seguridad de la informacin
1.1.2 Revisin de la poltica de seguridad de la informacin
2. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
Este control de seguridad define cmo la alta gerencia puede dirigir la
implementacin de seguridad de la informacin dentro de una organizacin.
2.1 Organizacin Interna
2.1.1 Compromiso de la alta direccin con la seguridad de la informacin
2.1.2 Coordinacin de la seguridad de la informacin
2.1.3 Asignacin de responsabilidades para la seguridad de la informacin
2.1.4 Procesos de autorizacin de recursos para tratamiento de la informacin
2.1.5 Acuerdos de Confidencialidad
2.1.6 Contacto con las autoridades
2.1.7 Contactos con grupos de inters especial
2.1.8 Revisin independiente de la seguridad de la informacin
156
2.2 Terceras partes
2.2.1 Identificacin de riesgos por el acceso de terceros
2.2.2 Consideracin de la seguridad en los tratos con clientes
2.2.3 Consideracin de la seguridad en contratos con terceros
3. GESTION DE ACTIVOS
Este control trata de la administracin de los activos fsicos e intelectuales de gran
importancia en la organizacin. Determina la responsabilidad de quin est a cargo
de los activos de la organizacin.
3.1 Responsabilidad sobre los activos
3.1.1 Inventario de activos
3.1.2 Propiedad de los activos
3.1.3 Uso adecuado de los activos
3.2 Clasificacin de la Informacin
3.2.1 Directrices de clasificacin
3.2.2 Marcado y tratamiento de la informacin
4. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
La evaluacin y asignacin de las responsabilidades de seguridad de los empleados
permite una correcta administracin de recursos humanos. Las responsabilidades de
la seguridad deben ser determinadas durante la incorporacin del personal, en el
periodo laboral y durante toda la permanencia del empleado en la compaa, hasta el
final.
4.1 Previo a la contratacin
4.1.1 Funciones y responsabilidades
4.1.2 Seleccin y verificacin de candidatos
4.1.3 Trminos y condiciones de la relacin laboral
157
4.2 Durante el desempeo de las funciones
4.2.1 Responsabilidades de la direccin
4.2.2 Concienciacin y formacin en seguridad informtica
4.2.3 Proceso disciplinario
4.3 Fin del contrato o cambio de funciones
4.3.1 Responsabilidades de fin de contrato
4.3.2 Restitucin de activos
4.3.3 Eliminacin de los derechos de acceso
5. SEGURIDAD FISICA Y DEL ENTORNO
Este control trata sobre el aseguramiento de las reas fsicas y los ambientes de
trabajo dentro de la organizacin, esto contribuye significativamente a la
administracin de la seguridad. Esto incluye a cualquier persona que se relaciona con
el establecimiento fsico de la organizacin, sean estos empleados, proveedores o
clientes, ya que todos ellos tienen un papel importante para determinar la proteccin
de seguridad organizacional.
5.1 reas seguras
5.1.1 Permetro de seguridad fsica
5.1.2 Controles fsicos de entrada
5.1.3 Seguridad de oficinas, despachos y recursos
5.1.4 Proteccin contra amenazas externas y ambientales
5.1.5 El trabajo en reas seguras
5.1.6 reas de acceso pblico, carga y descarga
5.2 Seguridad de los Equipos
5.2.1 Instalacin y proteccin de equipos
5.2.2 Suministros
5.2.3 Seguridad de cableado
5.2.4 Mantenimiento de equipos
5.2.5 Seguridad de equipos fuera de los locales de la organizacin
5.2.6 Seguridad en la reutilizacin o eliminacin de equipos
158
5.2.7 Traslado de activos fuera de la organizacin
6. GESTIN DE COMUNICACIONES Y OPERACIONES
Este control trata de la transmisin clara de instrucciones de seguridad a los
empleados, esto facilita la administracin de las operaciones diarias de los recursos
de procesamiento de informacin, esto implica el intercambio de informacin, la
proteccin contra cdigo malicioso o mvil, etc.
6.1 Procedimientos y responsabilidades de operacin
6.1.1 Documentacin de procedimientos operativos
6.1.2 Gestin de cambios
6.1.3 Segregacin de tareas
6.1.4 Separacin de los recursos para desarrollo, pruebas y produccin
6.2 Gestin de la provisin de servicios contratados a terceros
6.2.1 Provisin de servicios
6.2.2 Seguimiento y revisin de servicios de terceros
6.2.3 Gestin de cambios en servicios de terceros
6.3 Planificacin y aceptacin del sistema
6.3.1 Planificacin de capacidades
6.3.2 Aceptacin del sistema
6.4 Proteccin contra software malicioso y cdigo mvil
6.4.1 Medidas y controles contra software malicioso
6.4.2 Medidas y controles contra cdigo mvil
6.5 Copia de Seguridad
6.5.1 Copia de Seguridad de la informacin
6.6 Gestin de la seguridad de red
6.6.1 Controles de red
6.6.2 Seguridad en los servicios de red
159
6.7 Utilizacin de los soportes de informacin
6.7.1 Gestin de los soportes extrables
6.7.2 Eliminacin de soportes
6.7.3 Procedimientos de utilizacin de la informacin
6.7.4 Seguridad de la documentacin de sistemas
6.8 Intercambio de informacin
6.8.1 Polticas y procedimientos para el intercambio de informacin
6.8.2 Acuerdos de intercambio de informacin
6.8.3 Soportes fsicos en trnsito
6.8.4 Mensajera electrnica
6.8.5 Sistemas de informacin corporativos
6.9 Servicios de comercio electrnico
6.9.1 Comercio Electrnico
6.9.2 Transacciones en lnea
6.9.3 Informacin de difusin pblica
6.10 Seguimiento
6.10.1 Registros de auditoria
6.10.2 Seguimiento del uso de los sistemas
6.10.3 Proteccin de la informacin de registro
6.10.4 Registro de actividades de administradores y operadores
6.10.5 Registro de errores
6.10.6 Sincronizacin de relojes
7. CONTROL DE ACCESOS
Trata sobre la administracin de los niveles de acceso de todos los empleados, ayuda
a controlar la seguridad de la informacin en una organizacin. Controlar los niveles
de acceso a la red puede llegar a ser un factor crtico de xito cuando se protegen los
sistemas de documentacin o informacin en la red.
160
7.1 Requisitos de negocio
7.1.1 Poltica de control de accesos
7.2 Gestin de acceso de usuario
7.2.1 Registro de usuario
7.2.2 Gestin de privilegios
7.2.3 Gestin de contraseas de usuario
7.2.4 Revisin de los derechos de acceso de los usuarios
7.3 Responsabilidades del usuario
7.3.1 Uso de contrasea
7.3.2 Equipo informtico de usuario desatendido
7.3.3 Poltica de puesto de trabajo despejado y bloqueo de pantalla
7.4 Control de acceso en red
7.4.1 Poltica de uso de servicios de red
7.4.2 Autenticacin de usuario para conexiones externas
7.4.3 Identificacin de equipos en la red
7.4.4 Proteccin de puertos de configuracin y diagnstico remotos
7.4.5 Segregacin en las redes
7.4.6 Control de conexin a las redes
7.4.7 Control de encaminamiento en la red
7.5 Control de acceso al sistema operativo
7.5.1 Procedimientos de conexin segura
7.5.2 Identificacin y autenticacin de usuario
7.5.3 Sistema de gestin de contraseas
7.5.4 Uso de los servicios del sistema
7.5.5 Desconexin automtica de sesiones
7.5.6 Limitacin del tiempo de conexin
7.6 Control de acceso a informacin y aplicaciones
7.6.1 Restriccin de acceso a la informacin
7.6.2 Aislamiento de sistemas sensibles
161
7.7 informtica mvil y teletrabajo
7.7.1 Informtica y comunicaciones mviles
7.7.2 Teletrabajo
8. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACION
La administracin de la seguridad es imprescindible en el desarrollo, mantenimiento
y operacin exitosa de un sistema de informacin.
8.1 Requisitos de seguridad de los sistemas de informacin
8.1.1 Anlisis y especificacin de los requisitos de seguridad
8.2 Procesamiento correcto en aplicaciones
8.2.1 Validacin de los datos de entrada
8.2.2 Control de procesamiento interno
8.2.3 Integridad de mensajes
8.2.4 Validacin de los datos de salida
8.3 Controles criptogrficos
8.3.1 Poltica de uso de los controles criptogrficos
8.3.2 Gestin de claves
8.4 Seguridad de los ficheros del sistema
8.4.1 Control del software de explotacin
8.4.2 Proteccin de los datos de prueba del sistema
8.4.3 Control de acceso al cdigo fuente de los programas
8.5 Seguridad en los procesos de desarrollo y soporte
8.5.1 Procedimientos de control de cambios
8.5.2 Revisin tcnica de aplicaciones por cambios a los paquetes de software
8.5.3 Restricciones en los cambios a los paquetes de software
8.5.4 Fuga de informacin
8.5.5 Desarrollo externalizado del software
162
8.6 Gestin de vulnerabilidades tcnicas
8.6.1 Control de vulnerabilidades tcnicas
9. GESTION DE INSIDENTES DE SEGURIDAD DE LA INFORMACION
Este control trata sobre la administracin de los incidentes o mejoras en seguridad,
reportando eventos y debilidades de la seguridad.
9.1 Comunicacin de eventos de seguridad de la informacin
9.1.1 Comunicacin de eventos de seguridad de la informacin
9.1.2 Comunicacin de debilidades de seguridad
9.2 Gestin de incidencias y mejoras de la seguridad de la informacin
9.2.1 Responsabilidad y procedimientos
9.2.2 Aprendiendo de las incidencias de seguridad de la informacin
9.2.3 Recogida de pruebas
10 GESTION DE CONTINUIDAD DEL NEGOCIO
Se trata de utilizar los controles de seguridad contra desastres naturales,
interrupciones operacionales y fallas potenciales de seguridad, esto ayuda a fomentar
la continuidad de funciones del negocio.
10.1 Aspectos de seguridad de la informacin en la gestin de continuidad del
negocio
10.1.1 Inclusin de la seguridad de la informacin en el proceso de la gestin
de continuidad de negocio
10.1.2 Continuidad del negocio y evaluacin de riesgos
10.1.3 Redaccin e implantacin de planes de continuidad que incluyan la
seguridad de la informacin
10.1.4 Marco de planificacin para la continuidad del negocio
10.1.5 Prueba, mantenimiento y reevaluacin de planes de continuidad
163
11 CONFORMIDAD
El uso de asesores legales se est volviendo ms importante para asegurar el
cumplimiento de una organizacin con las obligaciones contractuales, la ley y
requisitos de seguridad.
11.1 Conformidad de los requisitos legales
11.1.1 Identificacin de la legislacin laborable
11.1.2 Derechos de propiedad intelectual
11.1.3 Proteccin de los registros de la organizacin
11.1.4 Proteccin de datos de carcter personal y de la intimidad de las
personas
11.1.5 Evitar mal uso de los dispositivos de tratamiento de la informacin
11.1.6 Reglamentacin de los controles de cifrados
11.2 Conformidad con polticas y normas de seguridad y conformidad tcnica
11.2.1 Conformidad con polticas y normas de seguridad
11.2.2 Comprobacin de la conformidad tcnica
11.3 Consideraciones sobre la auditoria de sistemas de informacin
11.3.1 Controles de auditoria de sistemas
11.3.2 Proteccin de las herramientas de auditoria
164
ANEXO 2
INFORMACIN OBTENIDA SOBRE LOS ACTIVOS
DE LA EMPRESA
1
6
5
1
6
6
1
6
7
1
6
8
T
a
b
l
a

1
3

L
i
s
t
a

d
e

a
c
t
i
v
o
s

d
e

l
a

e
m
p
r
e
s
a



169
ANEXO 3
INFORMACIN OBTENIDA MEDIANTE
CUESTIONARIOS
A continuacin presentamos los checklist que hemos elaborado para recolectar
infamacin sobre las vulnerabilidades de los activos de la empresa, el nombre de los
responsables no ser para mantener la confidencialidad.
CHECKLIST
REDES Y TELECOMUNICACIONES
Preguntas SI NO
Existe un inventario sobre los dispositivos de redes y telecomunicaciones, as
tambin como del personal a cargo de estos?
x
Activo: Router Datos, Router Internet
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Se sigui algn estndar para la ubicacin del dispositivo? (medidas) x
Este dispositivo esta en un lugar adecuado? (gabinete, cuarto de
telecomunicaciones, etc.)
x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades? (fugas de agua)
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Existe documentacin acerca de la configuracin actual del router? x
Posee un dispositivo similar a este almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
Se han borrado los usuarios y contraseas que vienen por defecto en el router? x
Los banners que se muestran en el router no muestran informacin propia de la x
170
empresa?
Existe alguna poltica para la administracin de contraseas de este dispositivo? x
La persona que realiza las configuraciones del router posee alguna certificacin? x
La persona que realiza las configuraciones del router tiene trabajo fijo en la
empresa?
x
Se han realizan pruebas de hackeo tico para identificar las vulnerabilidades de este
dispositivo?
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Activo: Firewall
Responsable: _____Ing. Fabin Bustamante____
Checklist
Preguntas SI NO
Se sigui algn estndar para la ubicacin del dispositivo? (medidas) x
Este dispositivo esta en un lugar adecuado? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades? (fugas de agua)
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Existe documentacin acerca de la configuracin actual del dispositivo? x
Posee un dispositivo similar a este almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
Se han borrado los usuarios y contraseas que vienen por defecto en el dispositivo? x
Existe alguna poltica para la administracin de contraseas de este dispositivo? x
La persona que realiza las configuraciones del firewall tiene conocimientos
especializados sobre el tema?
x
Poseen soporte tcnico de este dispositivo? x
Se realizan actualizaciones peridicas de este dispositivo? x
Se realizan pruebas peridicas sobre el funcionamiento de este dispositivo? x
Se han deshabilitado los protocolos que no estn siendo usados? x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Si el firewall es nicamente software se tiene copias de respaldo de este? x
Existe algn manual de instalacin del software? x
171
Activo: Switches
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Se sigui algn estndar para la ubicacin del dispositivo? (medidas) x
Este dispositivo esta en un lugar adecuado? (gabinete, cuarto de
telecomunicaciones, etc.)
x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades? (fugas de agua)
x
El dispositivo tiene una alimentacin de energa auxiliar? No todos los switches x
Existe documentacin acerca de la configuracin actual del switch? x
Posee un dispositivo similar a este almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
Se han borrado los usuarios y contraseas que vienen por defecto en el switch? x
Los banners que se muestran en el switch no muestran informacin propia de la
empresa?
x
Existe alguna poltica para la administracin de contraseas de este dispositivo? x
La persona que realiza las configuraciones del switch posee alguna certificacin? x
La persona que realiza las configuraciones del switch tiene trabajo fijo en la
empresa?
x
Se han realizan pruebas de hackeo tico para identificar las vulnerabilidades de este
dispositivo?
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Los puertos que no estn siendo usados estn correctamente bloqueados? x
Activo: Wireless
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
La conexin inalmbrica es ptima sin interrupciones? x
Este dispositivo esta en un lugar adecuado? ( proteccin fsica) x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades? (fugas de agua)
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Existe documentacin acerca de la configuracin actual del accesspoint? x
172
(contraseas)
Posee un dispositivo similar a este almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
Est habilitada algn tipo de autenticacin para este dispositivo? x
Existe alguna poltica para la administracin de contraseas de este dispositivo? x
Se han realizado pruebas de hackeo tico para identificar las vulnerabilidades de este
dispositivo?
x
La persona que realiza las configuraciones del dispositivo posee conocimientos
tcnicos a cerca de este?
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Activo: Manejador de llamadas (telefona ip)
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? (proteccin fsica) x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
La persona que realiza las configuraciones del dispositivo posee conocimientos
tcnicos a cerca de este?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Existe documentacin acerca de la configuracin actual del dispositivo? x
Posee un dispositivo similar a este almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Activo: Fax Server
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? (tiene proteccin fsica) x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
173
La persona que realiza las configuraciones del dispositivo posee conocimientos
tcnicos a cerca de este?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Existe documentacin acerca de la configuracin actual del dispositivo? x
Posee un dispositivo similar a este almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Activo: Centralilla Telefnica
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? (tenga proteccin fsica) x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
La persona que realiza las configuraciones del dispositivo posee conocimientos
tcnicos a cerca de este?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Existe documentacin acerca de la configuracin actual del dispositivo? x
Posee un dispositivo similar a este almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Activo: Cableado de datos en cobre y fibra ptica
Componentes pasivos de cableado estructurado
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Se ha seguido algn estndar para la implementacin de cableado estructurado? x
Se han realizado pruebas de cables certificados? x
Existen enlaces redundantes en los enlaces de mayor importancia? x
Existen puntos de acceso a la red que no estn debidamente protegidos? x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
174
Activo: Cableado de telfonos
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Se ha seguido algn estndar para la elaboracin de cableado? x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
HARDWARE
Preguntas SI NO
Existe un inventario sobre los dispositivos de hardware y el personal a cargo de
estos?
x
Activo: Servidor de Aplicaciones DB
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Posee un servidor similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza mantenimiento peridico a este equipo? x
Activo: Storage System
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
175
Posee un equipo similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Existe un respaldo de la informacin almacenada en este dispositivo? x
El personal que guarda la informacin ha firmado un contrato de no divulgacin? x
Se revisa con periodicidad la informacin que esta almacenada? x
Se realiza mantenimiento peridico a este equipo? x
Activo: Servidor de Correo Electrnico
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Posee un servidor similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza mantenimiento peridico a este equipo? x
Activo: File Server de Diseo Grafico
Responsable: __Ing._Omar Durazno_
hecklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Posee un servidor similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza mantenimiento peridico a este equipo? x
176
Activo: File & Print Server
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Posee un servidor similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Activo: Servidor Web
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Posee un servidor similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza mantenimiento peridico a este equipo? x
Activo: Servidor CCTV
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
177
El dispositivo tiene una alimentacin de energa auxiliar? x
Posee un servidor similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza mantenimiento peridico a este equipo? x
Activo: Cmaras IP para CCTV
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar seguro? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
Existen cmaras de respaldo en bodega? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza mantenimiento peridico a este equipo? x
Activo: Servidor de Aplicaciones Varias
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Posee un servidor similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza mantenimiento peridico a este equipo? x
178
Activo: Servidor de antivirus
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Existe documentacin acerca de la configuracin actual del servidor? x
Se realizan actualizaciones peridicas? x
Posee un servidor similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza mantenimiento peridico a este equipo? x
Activo: Computadoras de usuario
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar protegido de robo? x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Existe documentacin acerca de la configuracin actual del computador? x
Hay computadores de respaldo en caso de la ausencia de este? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza mantenimiento peridico a este equipo? x
Activo: Computadoras especiales para manejo de procesos
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar protegido de robo? x
179
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene una alimentacin de energa auxiliar? x
Existe documentacin acerca de la configuracin actual del computador? x
Hay computadores de respaldo en caso de la ausencia de este? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza mantenimiento peridico a este equipo? x
SOFTWARE
Activo: Software de aplicaciones Base de Datos
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Existe autenticacin para acceso al S.O.? x
Esta aplicacin esta autenticada? x
Se emplea alguna poltica para manejo de contraseas? x
Existe un respaldo de esta aplicacin en otro equipo? x
Poseen soporte tcnico para este software? x
Se dispone del cdigo fuente de la aplicacin? x
Existe documentacin del cdigo fuente? x
Si se realizan accesos remotos a esa mquina es segura esta conexin? (SSH, Telnet) x
Estn deshabilitados los puertos que no estn en uso? x
Existe alguna bitcora donde se registren los accesos a este servidor? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan respaldos frecuentes de la informacin almacenada? x
Posee instaladores de este software para una recuperacin inmediata?(cd, dvd) x
El instalador de este software esta resguardado fsicamente y solo tiene acceso a este
personal autorizado?
x
Los usuarios y contraseas que vienen por defecto en la Base de datos ha sido
cambiada?
x
El software es actualizado peridicamente? x
Existe alguna aplicacin que le proteja de virus, gusanos o troyanos? x
Existe un firewall configurado que ayude a la proteccin del S.O.? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
180
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
Se ha realizado un anlisis para la asignacin de roles y privilegios de usuarios? x
Se modifican peridicamente los roles y privilegios de usuarios al momento de
existir un cambio?
x
Existe alguna poltica para agregar o eliminar usuarios? x
Activo: Software de Correo Electrnico
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Existe autenticacin para acceso al S.O.? x
Esta aplicacin esta autenticada? x
Se emplea alguna poltica para manejo de contraseas? x
Existe un respaldo de esta aplicacin en otro equipo? x
Poseen soporte tcnico para este software? x
Se dispone del cdigo fuente de la aplicacin? x
Existe documentacin del cdigo fuente? x
Si se realizan accesos remotos a esa mquina es segura esta conexin? (SSH, Telnet) x
Estn deshabilitados los puertos que no estn en uso? x
Existe alguna bitcora donde se registren los accesos a este servicio? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan respaldos frecuentes de la informacin almacenada? x
Posee instaladores de este software para una recuperacin inmediata?(cd, dvd) x
El instalador de este software esta resguardado fsicamente y solo tiene acceso a este
personal autorizado?
x
Esta encriptado el usuario y contrasea para el acceso de usuarios? x
Se utiliza alguna aplicacin para filtrar el correo basura? x
El uso de correo electrnico es exclusivamente de uso laboral? x
Existe alguna herramienta que verifique el uso del correo electrnico? x
Se realizan revisiones peridicas para evaluar el funcionamiento de este software? x
El software es actualizado peridicamente? x
Existe alguna aplicacin que le proteja de virus, gusanos o troyanos? x
Existe un firewall configurado que ayude a la proteccin del S.O.? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
181
Activo: Sistemas Operativos Windows 2000, 2003 Server
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
El software y sus licencias estn bien guardados? x
Existen copias del S.O. para ser utilizadas en caso de emergencia? x
Poseen soporte tcnico para este software? x
En el caso de necesitarse una nueva licencia se tiene un proveedor que nos facilite
una rpidamente?
x
Tienen acceso al software y a las licencias nicamente personal autorizado? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan revisiones peridicas para evaluar el funcionamiento de este software? x
El software es actualizado peridicamente? x
Existe alguna aplicacin que le proteja de virus, gusanos o troyanos? x
Existe un firewall configurado que ayude a la proteccin del S.O.? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
Activo: Sistemas Operativos Windows XP
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
El software y sus licencias estn bien guardados? x
Existen copias del S.O. para ser utilizadas en caso de emergencia? x
Poseen soporte tcnico para este software? x
En el caso de necesitarse una nueva licencia se tiene un proveedor que le facilite una
rpidamente?
x
Tienen acceso al software y a las licencias nicamente personal autorizado? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan revisiones peridicas para evaluar el funcionamiento de este software? x
El software es actualizado peridicamente? x
Existe alguna aplicacin que le proteja de virus, gusanos o troyanos? x
Existe un firewall configurado que ayude a la proteccin del S.O.? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
182
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
Activo: Software Anti-X
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
El software y sus licencias estn bien guardados? x
Existen copias del software para ser utilizadas en caso de emergencia? x
Poseen soporte tcnico para este software? x
En el caso de necesitarse una nueva licencia se tiene un proveedor que le facilite una
rpidamente?
x
Tienen acceso al software y a las licencias nicamente personal autorizado? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan revisiones peridicas para evaluar el funcionamiento de este software? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
Activo: Software para manejo de Backups
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
El software y sus licencias estn bien guardados? x
Existen copias del software para ser utilizadas en caso de emergencia? x
Poseen soporte tcnico para este software? x
En el caso de necesitarse una nueva licencia o copia de este producto se tiene un
proveedor que le facilite una rpidamente?
x
Tienen acceso al software y a las licencias nicamente personal autorizado? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan revisiones peridicas para evaluar el funcionamiento de este software? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
183
Activo: Software para manejo de telefona ip
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
El software y sus licencias estn bien guardados? x
Existen copias del software para ser utilizadas en caso de emergencia? x
Poseen soporte tcnico para este software? x
En el caso de necesitarse una nueva licencia o copia de este producto se tiene un
proveedor que le facilite una rpidamente?
x
Tienen acceso al software y a las licencias nicamente personal autorizado? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan revisiones peridicas para evaluar el funcionamiento de este software? x
Esta cifrada la informacin que circula a travs de la telefona ip? x
El acceso a los nmeros de telefona ip es limitado? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
Activo: Software para control de centralilla
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
El software y sus licencias estn bien guardados? x
Existen copias del software para ser utilizadas en caso de emergencia? x
Poseen soporte tcnico para este software? x
En el caso de necesitarse una nueva licencia o copia de este producto se tiene un
proveedor que le facilite una rpidamente?
x
Tienen acceso al software y a las licencias nicamente personal autorizado? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan revisiones peridicas para evaluar el funcionamiento de este software? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
Activo: Software de diseo grfico
Responsable: __Ing._Omar Durazno_
184
Checklist
Preguntas SI NO
El software y sus licencias estn bien guardados? x
Este software posee algn tipo de autenticacin? x
Existen copias del software para ser utilizadas en caso de emergencia? x
Poseen soporte tcnico para este software? x
En el caso de necesitarse una nueva licencia o copia de este producto se tiene un
proveedor que le facilite una rpidamente?
x
Tienen acceso al software y a las licencias nicamente personal autorizado? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan revisiones peridicas para evaluar el funcionamiento de este software? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
Activo: Software para manejo de control de procesos de produccin
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
El software y sus licencias estn bien guardados? x
Este software posee algn tipo de autenticacin? x
Existen copias del software para ser utilizadas en caso de emergencia? x
Poseen soporte tcnico para este software? x
En el caso de necesitarse una nueva licencia o copia de este producto se tiene un
proveedor que le facilite una rpidamente?
x
Tienen acceso al software y a las licencias nicamente personal autorizado? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan revisiones peridicas para evaluar el funcionamiento de este software? x
Los mensajes de error son claros? x
Existe un manual tcnico de este software? x
Existe un manual de usuario para manejo de este software? x
Los usuarios que manejan este software estn capacitados? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
Considera que los sistemas estn validados para garantizar la integridad y
consistencia de los datos?
x
185
Activo: Software de Webserver
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
El software y sus licencias estn bien guardados? x
Este software posee algn tipo de autenticacin? x
Existen copias del software para ser utilizadas en caso de emergencia? x
Poseen soporte tcnico para este software? x
En el caso de necesitarse una nueva licencia o copia de este producto se tiene un
proveedor que le facilite una rpidamente?
x
Tienen acceso al software y a las licencias nicamente personal autorizado? x
En caso de fallo o falta de este software el negocio puede continuar? x
Se realizan revisiones peridicas para evaluar el funcionamiento de este software? x
Los mensajes de error son claros? x
Existe un manual tcnico de este software? x
Existe un manual de usuario para manejo de este software? x
Los usuarios que manejan este software estn capacitados? x
Existe alguna aplicacin que filtre el acceso a pginas web no autorizadas? x
Los programas nuevos, son probados y revisados antes de ponerlos en
funcionamiento?
x
La instalacin de nuevas aplicaciones o los cambios de unas aplicaciones por otras,
son aprobados por personal autorizado o con la autoridad suficiente?
x
SISTEMA ELECTRICO
Activo: Generador Elctrico
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? (gabinete, cuarto de telecomunicaciones,
etc.)
x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
El dispositivo tiene suficiente combustible para funcionar correctamente? x
Posee un equipo similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
186
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza revisiones peridicamente a este equipo? x
Activo: UPS para cuarto de Telecomunicaciones y Servidores
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? (gabinete, cuarto de telecomunicaciones,
etc.)
x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
Posee un equipo similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza revisiones peridicamente a este equipo para verificar su correcto
funcionamiento?
x
Activo: UPS para usuarios
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Este dispositivo esta en un lugar adecuado? (gabinete, cuarto de telecomunicaciones,
etc.)
x
Tienen acceso a este dispositivo nicamente personal autorizado? x
Es segura la ubicacin del dispositivo frente a desastres naturales u otras
eventualidades?
x
Posee un equipo similar a este, almacenado como respaldo? x
Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,
tiempo, existencia)
x
En caso de fallo o falta de este dispositivo el negocio puede continuar? x
Se realiza revisiones peridicamente a este equipo para verificar su correcto
funcionamiento?
x
Activo: Instalaciones elctricas acondicionadas para equipos de cmputo
Responsable: __Ing._Omar Durazno_
187
Checklist
Preguntas SI NO
Esta instalacin esta en un lugar adecuado? x
Tienen acceso a esta instalacin nicamente personal autorizado? x
Posee una instalacin similar a esta, en caso de necesitarla por alguna emergencia? x
En caso de fallo o falta de esta instalacin el negocio puede continuar? x
Se realiza revisiones peridicamente a esta instalacin para verificar su estado? x
Esta instalacin se creo en base a un estndar? x
OTROS
Activo: Datos de Base de Datos
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Activo: Datos de Correo Electrnico
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
188
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Activo: Archivos de Fax
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Los archivos impresos estn almacenados en un lugar seguro al cual solo tenga acceso
personal autorizado?
x
Para eliminar los documentos impresos se han utilizado mtodos adecuados que eviten
su lectura? (trituradora de papel, etc.)
x
Activo: Datos de aplicaciones office
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
189
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Los documentos impresos estn almacenados en un lugar seguro al cual solo tenga
acceso personal autorizado?
x
Para eliminar los documentos impresos se han utilizado mtodos adecuados que eviten
su lectura? (trituradora de papel, etc.)
x
Activo: Datos de aplicaciones de software de procesos de produccin
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Los documentos impresos estn almacenados en un lugar seguro al cual solo tenga
acceso personal autorizado?
x
Para eliminar los documentos impresos se han utilizado mtodos adecuados que eviten
su lectura? (trituradora de papel, etc.)
x
Activo: Datos de trfico telefnico
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
190
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Activo: Datos de backup de servidores
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Activo: Datos de backup de usuarios
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
191
Activo: Imgenes del CCTV
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Activo: Backup de configuraciones de equipos de comunicacin
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Activo: Base de datos de conocimiento, soporte tcnico
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Esta informacin esta almacenada en algn dispositivo de respaldo? x
192
Los respaldos de esta informacin se almacenan en un lugar seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Activo: Archivos impresos
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
Esta informacin esta almacenada en un dispositivo seguro? x
Tienen acceso a esta informacin nicamente personal autorizado? x
En caso de fallo o falta de esta informacin el negocio puede continuar? x
Se realiza revisiones peridicamente de esta informacin para verificar su estado? x
Cree que sea necesaria la encriptacin de esta informacin, en caso de robo? x
Se verifica la integridad de los datos? x
Los datos estn siempre disponibles? x
Se lleva una bitcora con la informacin de las personas que acceden a estos datos y
las modificaciones que realizan?
x
Los documentos impresos estn almacenados en un lugar seguro al cual solo tenga
acceso personal autorizado?
x
Para eliminar los documentos impresos se han utilizado mtodos adecuados que eviten
su lectura? (trituradora de papel, etc.)
x
TEST GENERAL PARA IDENTIFICAR VULNERABILIDADES
Responsable: __Ing._Omar Durazno_
Checklist
Preguntas SI NO
PERSONAL
Los usuarios tienen conocimientos acerca de la importancia de la seguridad para la
organizacin?
x
Se controlan peridicamente los perfiles y roles de usuario en la BD? x
193
Se controlan peridicamente contraseas de usuario? x
Los usuarios conocen acerca de polticas de manejo de contraseas? x
Los empleados ms importantes o que tienen acceso a informacin confidencial de a
empresa han firmado algn contrato de no divulgacin?
x
Los usuarios conocen acerca de las Polticas y procedimientos para el intercambio de
informacin?
x
Los usuarios conocen las restricciones acerca de la utilizacin del correo electrnico o
mensajera?
x
El personal conoce los principales activos de la empresa y su importancia? x
El personal esta conciente de las funciones y responsabilidades que posee sobre la
informacin que manipula?
x
El personal de outsourcing de la empresa ha firmado contratos de no divulgacin? x
SOFTWARE NO AUTORIZADO
Existe algn procedimiento a seguir por parte de quienes dan mantenimiento a las PCs
cuando se necesita instalar algn software?
x
Los usuarios son libres de instalar cualquier aplicacin en sus computadores? x
Se realiza una revisin peridica para detectar software no autorizado en las PCs de
usuarios?
x
Los usuarios conocen que es prohibido software sin licencia en sus PCs? x
INTERNET
Se sigui algn anlisis para determinar que usuarios deben tener acceso a Internet y
quienes no?
x
Si existe alguna poltica para asignar horarios de uso de Internet a los usuarios? x
Existe alguna poltica que especifique el uso de Internet? x
Est permitido descargarse cualquier tipo de software? x
Est permitido visitar cualquier pgina Web? x
El personal conoce que el uso de Internet es exclusivo para tareas laborables? x
El personal esta conciente de las amenazas existentes en Internet? x
Existe algn software que filtre el acceso a ciertos sitios web? x
REDES
Se han implementado VPNs para dar mayor seguridad a la red? (VLANS O VPNS?)
Se ha utilizado algn software para testeo de la red? x
Se han implementado ACLs para incrementar la seguridad de la red? x
La empresa posee enlaces redundantes en su conexin con el ISP? x
Existe un inventario sobre los dispositivos de telecomunicaciones de la organizacin y
sus responsables?
x
El personal a cargo de los dispositivos esta conciente de las medidas de seguridad que
se deben tomar para proteger a estos?
x
INFORMACIN
194
Tiene niveles de seguridad de acuerdo con la importancia de la informacin? x
Se verifica adecuadamente la autenticidad e integridad de la informacin transmitida
va telfono e Internet?
x
Tienen asegurado que la integridad y lo adecuado de los datos mantenidos en archivos
se verifique peridicamente, especialmente a la informacin privada?
x
SOLUCIN A PROBLEMAS
Se lleva un registro de los problemas que han ocurrido, y las soluciones que se han
brindado?
x
SOFTWARE DESARROLLADO POR LA EMPRESA
En el caso de existir fallas en el sistema, existen las acciones correctivas pertinentes y
se investigan las fallas a tiempo?
x
ALMACENAMIENTO Y RESPALDOS
Se realiza un almacenamiento apropiado de los archivos de datos, del software y de la
documentacin relacionada, tanto dentro como fuera de las instalaciones?
x
Las instalaciones en las que se almacenan los respaldos son revisadas peridicamente
con respecto a la seguridad de acceso fsico y la seguridad de los archivos de datos?
x