Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
POR:
AHIMARA MILENA GIRALDO RUIZ
Tutor:
1
TABLA DE CONTENIDO
INTRODUCIÓN
1. GENERALIDADES
1.1 OBJETIVOS.................................................................................................................6
1.1.1 Objetivo general.......................................................................................................6
1.1.2 Objetivos específicos................................................................................................6
2 MARCOS DE REFERENCIA.........................................................................................8
4.1 FAMILIARIZACIÓN....................................................................................................14
4.1.1 Cuestionario de Control de Auditorias de Sistemas..............................................17
4.1.2 Familiarización por Entornos..................................................................................17
4.1.2.1 Bases de Datos.....................................................................................................17
4.1.2.2 Redes y Comunicaciones.....................................................................................18
4.1.2.3 Control de Seguridad Lógica e Informática.........................................................18
4.1.2.4 Control y Seguridad Física de instalaciones.......................................................18
4.1.2.5 Control de Impacto Ambiental.............................................................................18
2
4.1.2.6 Control Riesgos...................................................................................................18
4.2 ANALISIS DE INFORMACION OBTENIDA...........Error: Reference source not found
4.2.1 Definición y Calificación de Riesgos......................................................................19
4.2.2 Análisis de riesgos en los diferentes entornos.......................................................22
4.2.3 Analisis de Riesgos………………………………………………………………22
4.3 DISEÑO Y EVALUACION.........................................................................................24
4.3.1 Programación de Prueba de Auditoria...................................................................24
4.3.2 Diseño Pruebas de Auditoria..............................................................................2727
5 CONCLUSIONES Y RECOMENDACIONES...........................................................4354
BIBLIOGRAFÍA.................................................................................................................55
ANEXOS………………… …………………………………….................................45
3
RESUMEN
4
INTRODUCCIÓN
La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con
la consagración de los datos como uno de los Activos fundamentales de las
empresas, ha hecho que los temas relativos a su control interno y auditoría
cobren, cada día, mayor interés. Como ya se ha comentado, normalmente la
auditoría informática se aplica de dos formas distintas; por un lado, se auditan las
principales áreas del departamento de informática: explotación, dirección,
metodología de desarrollo, sistema operativo, telecomunicaciones, bases de
datos, etc.; y, por otro, se auditan las aplicaciones (desarrolladas internamente,
subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la
auditoría del entorno de bases de datos hace énfasis en que es el punto de partida
para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
– Quién accede a los datos – Cuándo se accedió a los datos – Desde qué tipo de
dispositivo/aplicación – Desde que ubicación en la Red – Cuál fue la sentencia
SQL ejecutada – Cuál fue el efecto del acceso a la base de datos
Con el fin de brin dar un servicio ágil y confiable con respecto al flujo vehicular
de los clientes al paso por la estación, para las categorías asignadas a esta
particular mente las especiales las cuales no tienen dentro de sus procesos un
desarrollo, ni metodología clara, lo cual no brinda la confiabilidad requerida para
este proceso lo que puede ocasionar perdida de información y falla en los
procesos.
5
Por esta razón se crea la necesidad de implementar controles, políticas y
planes de mejora, que le permitan diseñar y ejecutar sus procesos de la manera
adecuada, proporcionando disponibilidad rápida y eficiente de la información,
brindando a los usuarios un servicio ágil al paso por la estación.
GENERALIDADES
1.1 OBJETIVOS
Monitorear y registrar el uso de los datos por los usuarios Autorizados o no.
Mantener trazas de uso y del acceso a bases de datos.
6
Permitir investigaciones.
Generar alertas en tiempo real.
Mitigar los riesgos asociados con el manejo inadecuado de los datos.
Apoyar el cumplimiento regulatorio.
Satisfacer los requerimientos de los auditores.
Evitar acciones criminales.
Recopilar la información de la base de datos del sistema operativo IRD
para generar un diagnóstico del sistema acertado.
Analizar la información recolectada del sistema operativo IRD, haciendo
uso de normas y estándares internacionales.
Diseñar y evaluar el plan de auditoria para el sistema operativo IRD, de
acuerdo a la información recolectada y determinar su escalabilidad.
Auditar sus respectivas licencias.
7
2 MARCOS DE REFERENCIA
8
• Entrega y asistencia técnica
• Control
• Planeamiento y organización
• Aprendizaje e implementación (Benchmark, 2016)
2.1.3 Riesgo
9
2.1.4 Amenaza
Una amenaza informática es un posible peligro del sistema. Puede ser una
persona (cracker), un programa (virus, caballo de Troya, etc.), o un suceso
natural o de otra índole (fuego, inundación, etc.). Representan los posibles
atacantes o factores que aprovechan las debilidades del sistema. (UNAD, 2016)
2.1.5 Vulnerabilidad
10
Representan las debilidades o aspectos falibles o atacables en el sistema
informático. (UNAD, 2016)
2.1.6 Probabilidad
2.1.7 Impacto
Este sistema fue implementado durante el año 1998 por lo que al pasar de los
años ha este se le han tenido que implementar desarrollos que no van acorde a
su modelo, ni su estructura inicial.
11
Por lo que actualmente se determinara su escalabilidad o remplazó para la
implementación de nuevas subcategorizaciones de vehículos.
12
3 METODOLOGÍA
13
Conclusiones del Plan de Auditoria
4 DESARROLLO
Cada uno de los objetivos hacen parte de una fase del programa de auditoria de
sistemas diseñado para la estación de peaje y dirigidos al sistema de
información IRD.
4.1 FAMILIARIZACIÓN
14
Ficha Técnica
FICHA TÉCNICA
OBJETIVO DE LA APLICACIÓN
Gestionar la recepción de la tabulación, detección y cobro de la tarifa de peaje
según corresponda a cada categoría vehicular asignada ,por cada uno de los
carriles de la estación en tiempo real y con disponibilidad 7/24.
ESTADO
Activo
DEPENDENCIAS
Operativa y sistemas.
INFRAESTRUCTURA
Servidor PCs
Sw Hw Sw Hw
Unix Ram: 256 Mb
Consolas de clasificación IRD N/A
BD:
Postgres/pg
Disco Duro:
s ql - N/A N/A
73Gb.
Procesador:
N/A N/A
INTEL/PENTIUM III
REDES
Servidor PCs
Local Local
MÓDULOS
15
1) REPORTES: * Combo text avance
* Combo Texto Programado
OTRA DOCUMENTACIÓN
No hay.
16
4.1.1 Cuestionario de Control de Auditorias de Sistemas.
Estas se componen de unas plantillas con una serie de preguntas, para acceder
a los cuestionarios completos, ver los anexos
17
4.1.2.2 Redes y Comunicaciones
Determinar qué proceso miden y administra los posibles riesgos a los que está
expuesta la estación. Identificar cuáles son los procesos críticos y a que se le
debe dar prioridad ante una falla del sistema, debido al impacto negativo que
puede traer para la estación.
18
4.2 ANÁLISIS DE INFORMACIÓN OBTENIDA
19
A continuación, se describen los riesgos encontrados a partir de la
familiarización realizada.
Identificación de Riesgos
CODIG RIESGO
O
Perdida de información de la base de datos, causada por robo
R-01
desde la parte externa de la empresa.
Perdida de información de la base de datos, causada por robo
R-02
desde la parte interna de la empresa.
R-03 Perdida de información de la base de datos, causada por
personal con mala intención.
R-04 Perdida de información de la base de datos, causada por
desconocimiento del personal.
R-05 Modificación y perdida de la integridad de la información,
causada por personal con mala intención.
R-06 Perdida de la información, causada por daño en instalaciones del
proveedor.
R-07 Eliminación de información, causada por el personal sin intención
o por accidente.
Eliminación o daño de la información, causada por la ejecución
R-08
de un proceso inadecuado.
Daño en la estructura de la base de datos, causada por
R-09
administración inadecuada de la base de datos.
Daño de la estructura de la base de base de datos, causada por
R-10
falta de documentación de su estructura.
Retrasos en la implementación de cambios en la base de datos,
R-11
causada por administración inadecuada.
Daño en la base de datos, causada por falta de conocimiento del
R-12
personal en la estructura de la base de datos.
R-13 Robo de información a causa de intrusión a la red por personas
ajenas a la empresa.
Daños en la estructura de la red, causados por ingreso a las
R-14
oficinas de personas ajenas a la empresa.
R-15 Perdida en la conexión de red a causa de la demora en la
detección del cableado interno oportuno.
R-16 Interrupción del servicio, causado por perdida del fluido
eléctrico.
20
R-17 Perdida de información, causada por la no ejecución del proceso
de Backup diario.
Daño del código del IRD, causado por hacer cambios
R-18
directamente en el sistema de versiones.
Pérdida de ingresos para la empresa, causado por cambios
R-19
inadecuados sobre el sistema IRD.
R-20 Daño de equipos de cómputo, causado por instalación de
software con virus.
Generación de Multas por parte de la Dian, a causa de instalación
R-21
de software sin licencia de uso.
R-22 Perdida de información, causada por falta de espacio en los
servidores.
R-23 Robo de equipos de cómputo, causado por personal con mala
intención.
R-24 Daño de equipos de cómputo, causado por arreglos hechos por
personal no capacitado.
R-25 Daño en los servidores, causado por instalación de software
malicioso.
R-26 Perdida de información, causado por instalación de software
malicioso.
Perdida de equipos de cómputo y objetos de la empresa,
R-27
causadas por personal mal intencionado.
R-28 Perdida de información, causada por personal mal intencionado.
21
Generación de multas por parte del ente regulador, causado por
R-38
desconocimiento del personal sobre los procesos de la estación.
R-39 Rotación constante del personal, causado por no escalamiento
dentro de la empresa.
R-40 Daño de la información, causado rotación constante del
personal.
ANALISIS DE RIESGOS
22
Aplicar un procedimiento formal de
ejecución batch (Indica personal
autorizado, aplicativo a ejecutar, fecha y
hora)
Generar un reporte automatico del
proceso ejecutado (Fecha, hora inicio
hora final , funcionario, resultados, # de
registros actualizados , duracion, etc )
Lentitud en las comunicaciones Ejecutar procesos de monitoreo al
rendimiento
ACCESO LÓGICO A Acceso no autorizado a la base de Aplicar esquema de seguridad lógica a la
LA BASE DE DATOS datos base de datos - Perfiles - roles
PLAN DE Ausencia de mecanismos de Activar Plan de Contingencias
CONTINGENCIAS, recuperación (SW,HW,COM,RH,PR,DT)
BACKUPS Y PISTAS
DE AUDITORÍA
DOCUMENTACIÓN Ausencia de Guias para Admon de Verificar documentacion APL y BD
TÉCNICA y de la BD y APL
USUARIO
ADMINISTRACIÓN Inadecuados cambios al APL o BD Verificar parametrizacion
DE CAMBIOS AL
SOFTWARE
APLICATIVO, LA
BASE DE DATOS Y
LA
PARAMETRIZACIÓN
DEL SISTEMA
ADMINISTRACIÓN Ejecutar procesos de verificacion d la
DE CAMBIOS AL base de datos despues de cambio en
SOFTWARE tablas o en eaplicativo
APLICATIVO, LA
BASE DE DATOS Y
LA
PARAMETRIZACIÓN
DEL SISTEMA
23
4.3 DISEÑO Y EVALUACIÓN
Definiciones:
CODIGO MINREI-FR-33
INSTITUTO NACIONAL DE VIAS
GESTIÓN DE INNOVACIÓN Y REGLAMENTACION TECNICA DE LA INFRAESTRUCTURA
VERSION 1
24
Programación de Prueba de Auditoría
25
P011 Validar el acceso de las personas que ingresan a las
instalaciones y que trabajos se disponen a realizar.
26
4.1.4 Diseño Pruebas de Auditoria
TIPO: Mixta
27
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
28
TIPO: Mixta
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
TIPO: Mixta
29
CONTROLES A PROBAR: Se realizan backups de la información principal a diario.
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
TIPO: Mixta
30
CONTROLES A PROBAR: Antes de poner en producción cualquier cambio es
evaluado por el jefe de operaciones o por el desarrollador master.
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
TIPO: Mixta
31
CONTROLES A PROBAR: N/E
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
ACTIVIDAD: Redes
PRUEBA No: P006
PROCESO: Garantizar que cada usuario se autentique al ingresar a la red empresarial.
OBJETIVO DE LA PRUEBA: Validar que cada persona que acceda a la red de la
estación tenga asignado un usuario y contraseña para que se autentique en la red.
TIPO: Mixta
32
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
TIPO: Mixta
33
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT .
PROCEDIMIENTO A EMPLEAR
34
TIPO: Mixta
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
TIPO: Mixta
35
CONTROLES A PROBAR: N/E
INFORMACIÓN
TIPO: Mixta
36
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
: HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PROCEDIMIENTO A EMPLEAR
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
37
Prueba P011 Verificar el Funcionamiento de la UPS.
SMSAMERICAS
TIPO: Mixta
CONTROLES A PROBAR: Se tiene una UPS que permite trabajar con algunos
equipos mientras la luz se restaura.
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
38
DISEÑO DE PRUEBAS DE AUDITORÍA
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe Técnico.
PROCEDIMIENTO A EMPLEAR
39
DISEÑO DE PRUEBAS DE AUDITORÍA
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor.
PROCEDIMIENTO A EMPLEAR
40
DISEÑO DE PRUEBAS DE AUDITORÍA
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe Técnico el listado del software autorizado para el uso corporativo.
Seleccionar algunos equipos de muestra y realizar la revisión en el panel de
control, programas y verificar el listado del software instalado.
Realiza una comparación entre el software encontrado y el aprobado por la
compañía.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P015 está relacionada con la revisión de las licencias del software
instalado en los equipos de cómputo.
41
T Prueba P015 Revisar las Licencias del Software Instalado en los
Equipos de Cómputo.
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
42
Prueba P016 Comprobar la Eliminación de Archivos Temporales
y Obsoletos.
DISEÑO DE PRUEBAS DE AUDITORÍA
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
43
Prueba P017 Confirmar el Funcionamiento de la Ventilación de la Oficina.
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
44
La prueba P018 está relacionada con la comprobación de las señalizaciones de
emergencia instalados en la compañía.
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT.
45
PROCEDIMIENTO A EMPLEAR
Luego de realizar estas pruebas se sigue con la ejecución de las mismas para
evaluar cada uno de los entornos. Por lo cual se recomienda iniciar por los
entornos con mayor grado de severidad de riesgo.
Justificación:
46
La integridad, supone que la información se mantenga inalterada ante
accidentes o intentos maliciosos. Sólo se podrá modificar la información
mediante autorización.
47
− Rendiciones de cuentas que no presentan características de integridad,
confiabilidad y oportunidad.
De acuerdo con los riesgos que pueden afectar a este factor, el relevamiento del
diseño del proceso de control interno consistirá en indagar e identificar al menos lo
siguiente:
− Interés de la Dirección en cuanto a la integridad y los valores éticos.
− Compromiso de la Dirección respecto de la ética institucional.
− Actos fraudulentos de los servidores públicos relacionados con las operaciones.
− Aplicación de sanciones por incumplimientos éticos, cuando corresponda.
48
Los riesgos relacionados con estas actividades de control son los siguientes: −
Incumplimiento de procedimientos aplicables.
49
− Controles gerenciales, independientes y de procesamiento aplicados por los
diferentes niveles organizativos.
− Controles físicos para asegurar la protección y conservación de los activos y
demás recursos de la entidad.
3. La confidencialidad:
Requiere que la información sea accesible de forma única a las personas
que se encuentran autorizadas. Es necesario acceder a la información
mediante autorización y control. La confidencialidad hace referencia a la
necesidad de ocultar o mantener secreto sobre determinada información o
recursos.
La sostenibilidad de las organizaciones y su posicionamiento en el mercado
pueden depender de forma directa a la implantación de los diseños y
deben protegerlos mediante mecanismos de control de acceso que
aseguren la confidencialidad de las informaciones.
El objetivo de la confidencialidad es, prevenir la divulgación no
autorizada de la información sobre nuestra organización.
Los riesgos relacionados con estas actividades de control son los siguientes:
− Falta de registro de pérdidas y robos de activos.
50
− Falta de registro de deterioros de los activos.
− Derechos y obligaciones no registrados.
− Pérdida de documentación de respaldo sobre los registros.
− Inexistencia de activos, derechos y obligaciones registrados.
− Registro de operaciones en períodos incorrectos.
− Registro de operaciones no autorizadas o aprobadas.
− Pérdidas o alteraciones de información registrada.
− Registro erróneo o inexacto de las operaciones.
− Revelación errónea e incompleta de la información complementaria.
− Falta de consolidación y agregación de los estados financieros.
- Clasificación y agrupación incorrecta de la información incluida en los
estados financieros.
51
− Consistencia del presupuesto aprobado para la entidad con los estados
financieros elaborados.
− Aplicación de los principios de contabilidad gubernamental integrada. − Registro
integral de las operaciones presupuestarias, financieras y patrimoniales de la
entidad.
5. Oportunidad en la información:
Hoy en día, las empresas han apostado por mejorar su infraestructura tecnológica
(software y hardware) para salvaguardar y obtener en cuestión de segundos la
información. Se obtiene de manera instantánea, si no aquella que al recibirla
contiene lo necesario para la toma de decisiones, ya que de lo contrario
podríamos saturarnos de datos sin sentido. Creo que es aquí donde todos los
usuarios (Directores, Gerentes, Usuarios Finales, expertos en informática)
debemos tener claro que buscamos al momento de solicitar y/o generar
información para aprovechar al máximo todos los recursos con que contamos para
alinearlos a la estrategia del negocio.
52
Aspectos a Evaluar:
53
Acorde a los indicadores descritos en la tabla 1 y obtenidos a través del muestreo
implementado con clientes directos del aplicativo, es importante para la
organización propietaria de la aplicación de gestión documental objeto de este
proyecto; el contar con un estudio que le proporcione el análisis de los riesgos de
seguridad de la información a los que se encuentra expuesta la información (esta
puede ser de clientes o de la organización propietaria del software) que se
gestiona a través del aplicativo de gestión documental que ofrecen a sus clientes,
así como el plan tratamiento de riesgos diseñado y sugerido para reducir y
controlar los riesgos de seguridad detectados sobre la aplicación de gestión
documental llevándolos a niveles aceptables y asumibles para la entidad
propietaria del software, lo que le permitirá a la organización tomar las acciones
correctivas necesarias para fortalecer la seguridad como parte del desarrollo e
implementación de sus aplicaciones de software, así como operativo para
salvaguardar la información propia y de sus clientes aspectos enfocados a
contribuir con la continuidad del negocio y el crecimiento de la organización a nivel
nacional.
5 CONCLUSIONES Y RECOMENDACIONES
54
BIBLIOGRAFÍA
Plan-auditoría-SisInf-VASP-empresa-Smsamericas
55
ANEXOS
Anexo 1 Cuestionarios
Empresa: R/PT
Cuestionario de Control Bases de Datos 001
Dominio Bases de Datos
Proceso Seguridad de la
Información
Seguridad de la
Objetivo de Control Información
Bases de Datos
Cuestionario
Pregunta SI NO N/E
¿Existe algún archivo de tipo Log donde guarde
información referida a las operaciones que realiza la
Base de datos?
¿Se realiza copias de seguridad (diariamente,
semanalmente, mensualmente, etc.)?
¿Existe algún usuario que no sea el DBA pero que tenga
asignado el rol
DBA del servidor?
¿Se encuentra un administrador de sistemas en la
empresa que lleve un control de los usuarios?
¿Son gestionados los perfiles de estos usuarios por el
administrador?
¿Son gestionados los accesos a las instancias de la
Base de Datos?
¿Las instancias que contienen el repositorio, tienen
acceso restringido?
¿Se renuevan las claves de los usuarios de la Base de
Datos?
¿Se obliga el cambio de la contraseña de forma
automática?
¿Se encuentran listados de todos aquellos intentos de
accesos no satisfactorios o denegados a estructuras,
tablas físicas y lógicas del repositorio?
¿Posee la base de datos un diseño físico y lógico?
56
¿Posee el diccionario de datos un diseño físico y lógico?
¿Existe una instancia con copia del Repositorio para el
entorno de desarrollo?
¿Los datos utilizados en el entorno de desarrollo, son
reales?
¿Las copias de seguridad se efectúan diariamente?
¿Las copias de seguridad son encriptados?
¿Se ha probado restaurar alguna vez una copia de
seguridad, para probar que las mismas se encuentren
bien hechas?
¿Los dispositivos que tienen las copias de seguridad,
son almacenados fuera del edificio de la empresa?
¿En caso de que el equipo principal sufra una avería,
existen equipos
auxiliares?¿Cuándo se necesita restablecer la base de
datos, se le comunica al administrador?
¿Se lleva a cabo una comprobación, para verificar que
los cambios efectuados son los solicitados por el
interesado?
¿Se documentan los cambios efectuados?
¿Hay algún procedimiento para dar de alta a un usuario?
¿Hay algún procedimiento para dar de baja a un
usuario?
¿Es eliminada la cuenta del usuario en dicho
procedimiento?
¿El motor de Base de Datos soporta herramientas de
auditoría?
¿Existe algún plan de contingencia ante alguna situación
no deseada en la Base de Datos?
¿Existen logs que permitan tener pistas sobre las
acciones realizadas sobre los objetos del base de datos?
Empresa: R/PT
Cuestionario de Control Inventario 002
57
Dominio Redes y
Comunicaciones
Proceso Instalación y diseño
de redes
Evaluación
Infraestructura de
Objetivo de Control
redes de
comunicación
Cuestionari
o
Pregunta SI NO N/E
¿Todos los nodos se encuentran bajo un mismo
estándar de modo que no se reduzca la velocidad de
transmisión?
¿Se gestiona la infraestructura de la red inalámbrica
en base a los recursos de radiofrecuencia de los
clientes?
¿Los enlaces de la red se testean frecuentemente?
¿La longitud de los tramos de cableado horizontal no
excede de los 90 metros?
¿El armado del patch panel cumple con los
requerimientos básicos del estándar 568-A y 568-B?
¿El etiquetado implementado en la organización
cuenta con un código de colores para facilitar su
identificación?
¿Cuenta con un mapa arquitectónico para la
verificación del sembrado de nodos?
¿El cable cuenta con los recorridos horizontales
correctos para el backbone y sus subsistemas?
¿El cableado estructurado del interior del edificio viaja
dentro de
canaleta o ducto?¿Cuenta con dispositivo firewall
físico para protección y
aseguramiento de la red?¿Las direcciones IP´S de los
equipos de cómputo son implementadas
de forma fija?¿Cuentan con conmutadores en red,
para la expansión de redes locales?
¿Se tiene conexión a tierra física para protección de
Equipos ante posibles descargas eléctricas que
puedan afectar?
58
¿Cuenta con dispositivos para la regulación del
voltaje?
Se tiene implementado un sistema de control de
acceso a los centros de cableado y dispositivos
¿Los equipos se encuentran instalados en áreas con
temperaturas adecuadas para su funcionamiento?
¿Esta implementado un modelo de QoS en la red?
¿La red cuenta con los equipos y aplicaciones
(protección) necesarias para tener un mayor
resguardo de intrusos activos (hackers)?
¿Existen planes de contingencia y continuidad que
garanticen el buen funcionamiento de la red?
¿Las terminaciones del cable de red están
correctamente configuradas
en base al código de colores de los pares ¿Se tienen
suficientes nodos en la red para conectar todos los
equipos trenzados? que lo requieren?
¿Cuenta con un análisis de vulnerabilidades en la
implementación y configuración de los dispositivos de
red?
¿Los datos que viajan por internet se encuentran
cifrados?
En cuanto a las pruebas del cableado, ¿el
departamento de TI, genera sus propios ataques
para probar la solidez de la red y encontrar posibles
fallas?
Cuentan con administración interna de la red, es decir,
¿cuentan con VLAN’s creadas en el servidor para
tener una mayor administración en cada una de las
oficinas que se dedican a diferentes actividades?
Para evitar vulnerabilidades en las WLAN ¿Usan
protocolos de autenticación, como está establecido en
el estándar IEEE 802?11?
¿La cantidad de dispositivos Access Point es la
adecuada en función del número de usuarios que se
conectan, como lo establece el estándar 802?
¿La red inalámbrica proporciona velocidades de ?11?
transmisión de 54Mbps en distancias cortas?
59
Empresa: R/PT
Cuestionario de Control Seguridad Lógica e 003
Informática
Manejo de
Dominio Información y
elementos
Proceso Seguridad de la
Información
Objetivo de Control Seguridad de la
Información
Cuestionario
Pregunta SI NO N/E
¿Existen metodologías de respaldo de información?
¿Se realizan respaldos de información
periódicamente?
¿Existe un administrador de sistemas que controle
las cuentas de los usuarios?
¿Existe algún estándar para la creación de
contraseñas?
¿Las contraseñas cuentan con letras, números y
símbolos?
¿Se obliga, cada cierto tiempo a cambiar la
contraseña?
¿La organización cuenta con un proceso para dar
mantenimiento preventivo al software?
¿La organización cuenta con un proceso para dar
mantenimiento correctivo al software?
¿Se tienen software antivirus instalados en los
equipos de cómputo?
¿Cuentan con antivirus actualizado?
¿Se tienen instalados anti malware en los equipos de
cómputo?
¿Cuenta con licencias de software?
¿Existe un proceso para mantener las licencias
actualizadas?
¿Existe un proceso para adquirir nuevas licencias?
¿Se sanciona al integrante del departamento si
instala software no permitidos?
60
¿Los usuarios de bajo nivel tienen restringido el
acceso a las partes más delicadas de las
aplicaciones?
¿Realizan mantenimiento preventivo al equipo de
cómputo?
¿Realizan mantenimiento correctivo al equipo de
cómputo?
¿El equipo de cómputo cuenta con suficiente espacio
en HD en función de los servicios que otorga?
¿El equipo de cómputo cuenta con suficiente
memoria RAM en función de los servicios que
otorga?
¿La velocidad del procesador es el adecuado para
los programas que son utilizados en los equipos?
Empresa: R/PT
Cuestionario de Control y seguridad 004
Instalaciones y
Estación Entrega de Servicios y
Soportes
Proceso Administración de
Instalaciones.
61
Instalaciones,
Objetivo de Control adecuaciones y
seguridad
Cuestionario
Pregunta SI NO N/E
¿Las instalaciones (aulas, cubículos y oficinas)
fueron diseñadas o adaptadas específicamente
para funcionar como un centro de cómputo.?
¿Se tiene una distribución del espacio
adecuada, de forma tal que facilite el trabajo y no
existan distracciones?
¿Existe suficiente espacio dentro de las
instalaciones de forma que permita una
circulación fluida?
¿Existen lugares de acceso restringido?
¿Se cuenta con sistemas de seguridad para
impedir el paso a lugares de acceso restringido?
¿Se cuenta con sistemas de emergencia como
son detectores de humo, alarmas, u otro tipo de
censores?
¿Existen señalizaciones adecuadas en las
salidas de emergencia y se tienen establecidas
rutas de evacuación?
¿Se tienen medios adecuados para extinción de
fuego en el centro de cómputo?
¿Se cuenta con iluminación adecuada y con
iluminación de emergencia en casos de
contingencia?
¿Se tienen sistemas de seguridad para evitar
que se sustraiga equipo de las instalaciones?
¿Se tiene un lugar asignado para papelería y
utensilios de
trabajo?¿Son funcionales los muebles instalados
dentro del centro de cómputo: ¿cinto teco,
Discoteca, archiveros, mesas de trabajo, etc?
¿Existen prohibiciones para fumar, consumir
alimentos y bebidas?
¿Se cuenta con suficientes carteles en lugares
visibles que recuerdan estas prohibiciones?
¿Con cuanta frecuencia se limpian las
62
instalaciones?
¿Con cuanta frecuencia se limpian los ductos de
aire y la cámara de aire que existe debajo del
piso falso (si existe)?
Empresa: R/PT
Cuestionario de Control Impacto Ambiental 005
Dominio Entrega de Servicios y
Soportes
Protección contra
Proceso
Factores Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/E
¿El centro de cómputo tiene alguna sección con
sistema de refrigeración?
¿Con cuanta frecuencia se revisan y calibran los
controles ambientales?
¿Se tiene contrato de mantenimiento para los
equipos que proporcionan el control ambiental?
¿Se tienen instalados y se limpian regularmente
los filtros de aire?
¿Con cuanta frecuencia se limpian los filtros de
aire?
¿Se tiene plan de contingencia en caso de que
fallen los
¿Se cuenta con políticas claras y definidas al
finalizar la vida útil de los elementos informáticos
que se dan de baja?
Empresa: R/PT
Cuestionario de Control 006
Dominio Entrega de Servicios y
Soportes
Protección contra
Proceso
Factores Ambientales
Objetivo de Control Seguridad Física
63
Cuestionario
Pregunta SI NO N/E
¿Se tienen lugares de acceso restringido?
¿Se poseen mecanismos de seguridad para el
acceso a estos
lugares?¿A este mecanismo de seguridad se le
han detectado debilidades?
¿Tiene medidas implementadas ante la falla del
sistema de seguridad?
¿Con cuanta frecuencia se actualizan las claves
o credenciales de acceso?
¿Se tiene un registro de las personas que
ingresan a las instalaciones?
Empresa: R/PT
Cuestionario de Control 007
Dominio Planear y Organizar
Proceso
Evaluar y Administrar
Objetivo de Control Los Riesgos de TI
Cuestionario
Pregunta SI NO N/E
¿Cuenta el Departamento de Sistemas con
64
hardware interno o externo similar o compatible
para ser utilizado en caso de emergencia?
¿Cuenta con un marco de trabajo de
administración de Riesgos?
¿Saben cómo medir el impacto el impacto
potencial negativo sobre las metas o las
operaciones de la Empresa?
¿Cuentan con un proceso de respuesta ante la
materialización de un riesgo, que aseguren un
bajo costo apara la empresa?
¿Tienen bien definidas las prioridades y las
planeaciones de las actividades de control a
todos los niveles para implementar una
respuesta a los riesgos?
65