7.

Instrumentos para obtención de datos

7.1. Lista de chequeo

Entidad Unión Peruana del Norte.

Lima Área Auditada: oficinas del 3 Piso
Junio del 2018 Marco de trabajo COBIT 5 - Proceso DSS05
Lista de Chequeo

Datos de Auditoría Prácticas de Gestión

Oficinas 3er Piso UPN Fecha 07/06/2018 DSS05.02
Responsable DSS05.05
Auditor SmartConsulting DSS05.06

DSS05.02 Gestionar la seguridad de la red y las V.P. CUMPLE

Observaciones
conexiones. 25% SI NO
¿Se ha establecido una Política de seguridad
1 para las conexiones basado en análisis de
riesgos? 50% X
Actividad 1
¿Se ha establecido una Política de seguridad
2 para las conexiones basado en los
requerimientos del negocio? 50% X
El acceso a la información de la empresa está
3
restringido solo para dispositivos autorizados? 50% X
Actividad 2
D 4 El acceso a la red de la empresa está
S restringido solo a dispositivos autorizados? 50% X
S Se ha implementado mecanismos de filtrado
0 Actividad 3 5 de red para el control del tráfico entrante y
5. saliente? 100% X
0 Se ha aplicado protocolos de seguridad a las
2 Actividad 5 6 conexiones de red?
100% X
Se ha establecido mecanismo de confianza
Actividad 7 7 para la transmisión y recepción de la
información? 100% X SEGUN PARA MI AQUÍ NO(FOTO)
Se realizan pruebas de intrusión para verificar
Actividad 8 8 la adecuación de la protección de la red?
100% X
Se realizan pruebas de la seguridad del sistema
Actividad 9 12 para verificar la adecuación de la protección
del sistema? 100% X

Total Puntaje Obtenido

 V.P. CUMPLE Observaciones
DSS05.05 Gestionar el acceso físico a los activos de TI 20% SI NO
El acceso físico a las instalaciones de TI se
1 realiza a través de peticiones formales que son
revisadas por la dirección de TI? 25% X
¿Se concede el acceso físico a las instalaciones
2
Actividad 1 de TI solo a las áreas que se solicitaron? 25% X
El acceso físico a las instalaciones de TI es
3
autorizado por la dirección de TI? 25% X
Existe un registro de las peticiones formales
4
realizadas a la dirección de TI? 25% X
Los perfiles de acceso físico a las instalaciones
5
de TI están actualizados? 50% X
Actividad 2 El acceso físico a las instalaciones de TI se
6 realiza en función al trabajo y
responsabilidades? 50% X
Los puntos de entrada a las instalaciones de TI
7
se encuentran en un registro formal? 35% X
Los puntos de entrada a las instalaciones de TI
Actividad 3 8
son supervisados regularmente? 35% X
D Se lleva un registro del acceso a las
S 9 instalaciones de TI de todos los visitantes
S (proveedores, vendedores) 30% X
0 El personal que labora en las instalaciones de
10
5. TI cuenta con tarjetas de identificación? 25% X
0 Se capacita al personal que labora en las
5 11 instalaciones de TI sobre el uso de la tarjeta de
Actividad 4 identificación? 25%
El personal que labora en las instalaciones de
12
TI mantiene visible la tarjeta de identificación? 25%
Se previene la entrega de tarjetas de
13
identificación sin autorización? 25%
Las visitas autorizadas a ingresar a las
14 instalaciones de TI son escoltadas en todo
momento? 50%
Actividad 5
Se alerta al personal de seguridad sobre la
15 presencia de algún individuo que no porte la
tarjeta de identificación? 50%
El acceso a las instalaciones de TI sensibles
16 está restringido con controles de seguridad en
el perímetro? 50%
Se verifica que los controles de seguridad en el
Actividad 6 17
perímetro restringen el acceso no autorizado? 25%
Se verifica que los controles de seguridad en el
18 perímetro disparan una alarma en caso de
acceso no autorizado? 25%
 Se capacita al personal que labora en las
Actividad 7 19 instalaciones de TI sobre seguridad física
regularmente? 100%
Total Puntaje Obtenido

DSS05.06 Gestionar documentos sensibles y V.P. CUMPLE Observaciones

dispositivos de salida. 15% SI NO
Se ha establecido un procedimiento para la
1 recepción de formularios especiales y
dispositivos de salida? 25% X
Se ha establecido un procedimiento para el
2 uso de formularios especiales y dispositivos de
salida? 25% X
Actividad 1
Se ha establecido un procedimiento para la
3 eliminación de formularios especiales y
dispositivos de salida? 25% X
Se ha establecido un procedimiento para la
4 destrucción de formularios especiales y
dispositivos de salida? 25% X
D Se han asignado privilegios de acceso a los
S 5 documentos sensibles y dispositivos de salida
S considerando el riesgo? 50% X
0 Actividad 2 Se han asignado privilegios de acceso a los
5. 6 documentos sensibles y dispositivos de salida
0 considerando los requerimientos del negocio? 50% X
6 Se ha establecido un inventario de
7
documentos sensibles y dispositivos de salida? 50% X
Actividad 3
Se realiza conciliaciones del inventario de
8
documentos sensibles y dispositivos de salida? 50% X
Se ha establecido controles de seguridad
Actividad 4 9 físicos sobre los formularios especiales y
dispositivos de salida? 100% X
La información contenida en los documentos o
10 dispositivos sensibles es destruida de forma
Actividad 5 segura? 50% X
Se protege los dispositivos de salida de forma
11
adecuada? 50% X
Total Puntaje Obtenido