Sei sulla pagina 1di 10

Lista de verificacin para una auditora a la seguridad informtica

Seguridad en la proteccin y conservacin de locales, instalaciones, mobiliario y equipos. Seguridad para el personal informtico y los usuarios del sistema. Seguridad en los accesos a las reas de sistemas, as como a sus sistemas computacionales, informacin y software. Seguridad en los sistemas computacionales y dispositivos perifricos. Seguridad en la informacin institucional y bases de datos. Seguridad en los sistemas operativos, lenguajes, programas, paqueteras, utileras y dems software institucional. Seguridad en los activos informticos del rea de sistemas. Seguridad en la arquitectura de las telecomunicaciones. Seguridad en los sistemas de redes, sistemas mayores y PCs. Seguridad contra la piratera informtica. Seguridad contra los virus informticos.

Lista de verificacin en detalle Seguridad en la proteccin y conservacin de locales, instalaciones, mobiliario y equipos.
Auditora de la seguridad en las condiciones e instalaciones fsicas del rea de sistemas. Proteccin contra los riesgos y contingencias de origen natural relacionados con el ambiente de trabajo. o Las condiciones generales de trabajo de los sistemas computacionales, para el bienestar y comodidad de los empleados y usuarios del sistema. o Proteccin contra la humedad del ambiente. o Medidas para prevenir que los sistemas computacionales y las instalaciones elctricas, telefnicas y de datos tengan contacto con el agua. o Proteccin contra partculas de polvo y deshechos voltiles de cualquier tipo en el ambiente, a fin de evitar desperfectos en los sistemas computacionales y medios de almacenamiento, as como el deterioro de los activos informticos del rea de sistemas. o Proteccin contra la esttica e imantacin producidas por fibras sintticas, metales, algunos plsticos y por el cabello humano y animal que pueden repercutir en el funcionamiento de los sistemas computacionales de la empresa. o Anlisis de los sistemas de acondicionamiento y pisos falsos. o Anlisis de la regulacin de temperatura y aire acondicionado. o Anlisis de la regulacin de la humedad en el medio ambiente del rea de sistemas. o Anlisis de los suministros de energa, comunicaciones y procesamiento de los datos. o Anlisis de la limpieza del rea de sistemas.

Seguridad para el personal informtico y los usuarios del sistema.


Proteccin contra riesgos y contingencias relacionados con el ambiente de trabajo en las reas de sistemas de la empresa. o La iluminacin artificial del rea de sistemas y la iluminacin por medio de luz solar. o Las instalaciones elctricas, de datos y de comunicacin. o Los accesos y salidas en las reas de sistemas. o La repercusin de los aspectos de carcter ergonmico. o Las adaptaciones de los equipos de cmputo. o Las condiciones de trabajo con computadora. o Proteccin contra contingencias causadas por la temperatura del sistema de aire acondicionado. o La ventilacin natural de las reas y espacios. Proteccin contra riesgos y contingencias causados por factores meteorolgicos, atmosfricos, y desastres naturales incontrolables. o Por precitacin pluvial, de nieve, de granizo y otras precipitaciones. o Por vientos, huracanes, ciclones y fenmenos atmosfricos. o Por terremotos y temblores. o Por inundaciones, marejadas, maremotos y fenmenos martimos. o Por tormentas elctricas. o Por incendios accidentales. o Otros fenmenos de origen natural que afectan a las reas de sistemas y a los propios sistemas computacionales. Proteccin contra riesgos y contingencias derivados del suministro de la energa elctrica. o Prevencin de interrupciones y falta permanente del suministro de energa elctrica para el funcionamiento de los sistemas computacionales. o Continuidad del suministro de la energa elctrica, por medio de la red pblica o plantas de emergencia, fuentes ininterrumpidas de poder y nobreaks. o Previsin en la funcionalidad, distribucin adecuada y seguridad de las instalaciones elctricas del rea de sistemas.

o Previsin de fallas y deficiencias de la red pblica de suministro de electricidad. o Proteccin contra las variaciones de voltaje, as como el uso de reguladores de corriente, contactos aterrizados, supresores de picos y sistemas no-breaks. o El anlisis del cableado, construcciones y adaptaciones elctricas, contactos, sistema de tierra fsica y dems instalaciones elctricas internas del rea de sistemas. o El anlisis del cableado pblico de las instalaciones elctricas que estn fuera de la empresa.

Seguridad en los accesos a las reas de sistemas, as como a sus sistemas computacionales, informacin y software.
Proteccin y seguridad de los espacios fsicos de las instalaciones de cmputo. o En los sistemas de vigilancia de las reas de sistemas. o En el acceso a las instalaciones de las reas de cmputo. o En las reas restringidas y de accesos exclusivos. o En las reas de trabajo de sistemas, almacenamiento, cintotecas y discotecas (bvedas) y otros espacios de sistemas. o En la administracin y control de los medios de seguridad, y de la observacin y vigilancia de los sistemas computacionales. o En la vigilancia del mobiliario, equipo y activos informticos de las reas de sistemas. o En la vigilancia del almacenamiento de informacin, datos y software institucional en las reas de cmputo. o En la vigilancia de accesos a los sistemas computacionales en las reas ajenas al centro de cmputo. o En la seguridad, salvaguarda y proteccin de los CD-ROM, cintas, disquetes y otros medios magnticos utilizados en el rea de sistemas. o En la seguridad y proteccin de manuales, instructivos, datos, informacin y reportes del rea de sistemas. o En la totalidad, veracidad y confiabilidad de la captura de informacin. El anlisis de los planes de contingencias informticas. o Evaluar la existencia, difusin, aplicacin y uso del plan contra contingencias de sistemas. o Evaluar la aplicacin de simulacros, as como del plan contra contingencias durante la ocurrencia de siniestros en los sistemas.

o Evaluar la confiabilidad, veracidad y oportunidad en la aplicacin de las medidas del plan contra contingencias.

Seguridad en los sistemas computacionales y dispositivos perifricos.


Auditora de la seguridad y proteccin en el diseo de las instalaciones del rea de sistemas de la empresa y/o empresas de cmputo. o En el anlisis de los estudios de localizacin de planta para instalar el rea de sistemas. o En el anlisis para la localizacin de instalaciones sistemas. o En el anlisis de la infraestructura pblica de servicios. o En el anlisis de los medios de comunicacin pblica, y de los medios de transporte de pasajeros. o En el anlisis de los estudios de composicin del suelo para prevenir desastres naturales. o En el anlisis del cableado telefnico interno para el funcionamiento del rea de sistemas. o En el anlisis del cableado externo y redes pblicas del servicio telefnico, as como de telecomunicacin para el funcionamiento del rea de sistemas. fsicas del rea de

o En el anlisis de los estudios de la densidad de poblacin.

Seguridad en la informacin institucional y bases de datos.


Auditora de la seguridad en los sistemas computacionales. o Evaluar el rendimiento y uso del sistema computacional y de sus perifricos asociados. o Evaluar la existencia, proteccin y periodicidad de los respaldos de bases de datos, software e informacin importante de la organizacin. o Evaluar la configuracin, instalaciones y seguridad del equipo de cmputo, mobiliario y dems equipos del rea de sistemas. o Evaluar el rendimiento, la aplicacin y la utilidad del equipo de cmputo, mobiliario y dems equipos. o Evaluar la seguridad en el procesamiento de informacin. o Evaluar los procedimientos de captura, procesamiento de datos y emisin de resultados de los sistemas computacionales. Auditora de la seguridad del hardware.
5

o Realizar inventarios de hardware, equipos y perifricos asociados. o Evaluar la configuracin del equipo de cmputo (hardware). o Evaluar el rendimiento y uso del sistema computacional y sus perifricos asociados. o Evaluar el estado fsico del hardware, perifricos y equipos asociados.

Seguridad en los sistemas operativos, lenguajes, programas, paqueteras, utileras y dems software institucional.
Auditora de la seguridad del software. o Realizar inventarios de software, paqueteras y desarrollos empresariales. o Evaluar las licencias, contratos, permisos y usos de los sistemas computacionales. o Evaluar el rendimiento y uso del software de los sistemas computacionales. o Verificar que la instalacin de software, paqueteras y sistemas desarrollados en la empresa sea la adecuada para cubrir las necesidades de esta ltima.

Seguridad en los activos informticos del rea de sistemas.


Auditora para verificar la captura, procesamiento de datos y emisin de resultados. o Evaluar la totalidad, veracidad y confiabilidad de la captura de informacin. o Evaluar la existencia, difusin, aplicacin y uso del plan contra contingencias en los sistemas. o Evaluar la aplicacin de simulacros, as como del plan contra contingencias durante la ocurrencia de siniestros en los sistemas. o Evaluar la confiabilidad, veracidad y oportunidad en la aplicacin de las medidas del plan contra contingencias.

Seguridad contra la piratera informtica.


Auditora de la prevencin de actos premeditados que afecten el funcionamiento de los sistemas computacionales. Proteccin contra los actos ilegales en contra de los sistemas, activos informticos e informacin. o Contra sabotajes.
6

o Por extorsin. o Por alteracin o destruccin de datos. o Por fraudes. Proteccin contra mal uso de la informacin. o Por invasin de la privacidad. o Por mal uso de la confiabilidad. o Por uso inadecuado de los datos. Proteccin contra la piratera y robo de informacin. o Con medidas preventivas. o Con la proteccin de archivos. o Con limitacin de accesos. o Con proteccin contra robos. o Con proteccin ante copias ilegales. Proteccin para el almacenamiento de la informacin. o Respaldos de programas e informacin. o Almacenamiento y custodia de CDs, cintas, disquetes, etctera. o Lugares adecuados, como cintotecas, discotecas, bvedas, etctera. o El control y uso de informacin, programas y paquetes. Proteccin contra actos no intencionales o Por negligencia o descuido. o Por fallas del equipo y del sistema o Por fallas de carcter externo. Proteccin y seguridad para el desarrollo de programas y proyectos de sistemas. o Desarrollo de programas y nuevos proyectos de sistemas. o Proteccin contra deficiencias de programas y lenguajes. o Prevencin de fallas del sistema operativo. o Proteccin en el establecimiento de estndares de proyectos.

Seguridad contra los virus informticos.


Proteccin y seguridad para los accesos al sistema computacional y a la informacin. o En el uso de contraseas. Establecimiento de niveles de acceso y uso de archivos. Para el uso de sistemas de encriptacin. o Para el uso de estndares de seguridad y proteccin. Proteccin contra virus informticos. o Medidas preventivas y correctivas. o Uso de vacunas y buscadores de virus. o Proteccin de archivos, programas e informacin.

Seguridad en la arquitectura de las telecomunicaciones. Seguridad en los sistemas de redes, sistemas mayores y PCs.
Proteccin y seguridad del hardware, componentes del sistema, perifricos y equipos asociados. o Proteccin a la CPU. Mantenimiento preventivo y correctivo a la CPU. o Medidas de seguridad y proteccin. o Rutinas internas para el inicio del sistema. o Rutinas internas de auditora y verificacin de componentes. Mantenimiento preventivo y correctivo al sistema de cmputo. o Rutinas internas de auditora y verificacin de conexiones. o Con el uso de manuales e instructivos de operacin. Mantenimiento preventivo y correctivo a los perifricos. o Rutinas internas de auditora y verificacin de perifricos. o Para el uso adecuado de los perifricos. Mantenimiento preventivo y correctivo al equipo adicional. o Rutinas internas de auditora y verificacin de equipos.
8

Resultados de auditoras de sistemas. Seguridad ante fenmenos sociales. o Prevencin de huelgas. o Prevencin ante cambios sociales, econmicos, legales, etctera.

Perifricos ms comunes del sistema:


Teclado y ratn. Lector de cdigos de barra. Monitor. Impresora. CD-ROM CD-RW DVD-Multimedia. FAX-MODEM. Otros perifricos.

Perifricos externos asociados al sistema:


Impresoras. Sistemas de video conferencias. Escner y dictador de textos.

Prevencin ante cambios tecnolgicos.


El levantamiento de inventarios, a fin de hacer un recuento de los bienes informticos del rea de sistemas cuya seguridad se tenga que evaluar; para llevar a cabo esto, es recomendable realizar los siguientes inventarios: Inventarios de los equipos de cmputo, contemplando la seguridad, proteccin y salvaguarda de los bienes informticos y sistemas computacionales, sus marcas, procesadores, tarjetas madre, velocidad, configuracin, componentes, memorias, sistemas de almacenamiento, tarjetas adicionales, nmeros de serie, responsables de su resguardo y todos los dems aspectos relacionados con el inventario de la seguridad de estos equipos. Inventario del personal informtico y usuarios del sistema, a fin de evaluar la proteccin de este importante recurso. Inventario de las medidas de seguridad y proteccin para los sistemas operativos, lenguajes, programas, paqueteras, utileras y dems software institucional, incluyendo sus licencias, resguardos y copias de seguridad. Inventario de los bienes muebles, inmuebles, materiales y consumibles del rea de sistemas, a fin de valorar su proteccin y uso adecuados. Inventario de los accesos a los sistemas de redes o sistemas mayores, dependiendo del diseo del sistema, as como del acceso a la informacin y a los sistemas operativos, lenguajes, programas y dems software institucional de esas redes o sistemas mayores. Inventario de las instalaciones fsicas, a fin de evaluar la vigilancia y los accesos establecidos para la proteccin y seguridad de los bienes informticos del rea de sistemas. Inventario de las normas, polticas, reglamentos y medidas preventivas y correctivas del rea de sistemas, a fin de evaluar la seguridad establecida para satisfacer las necesidades de proteccin en la funcin informtica. Otros inventarios relacionados con la seguridad, proteccin y salvaguarda de los bienes informticos del rea de sistemas.

10